Das Verteidigungsministerium der USA (U.S. Department of Defense, DoD) verlangt, dass alle betroffenen Verteidigungsunternehmen und Subunternehmen die in NIST SP 800-171 r2 beschriebenen Sicherheitskontrollen umsetzen. Diese Anforderung dient dem Schutz von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) als Teil der vertraglichen Verpflichtungen der betroffenen Unternehmen aus DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. Bundesauftragnehmer (einschließlich Verteidigungsaufträge), die mit Informationen des Bundesvertrags (Federal Contract Information, FCI) umgehen, sind verpflichtet, die Sicherheitsanforderungen in FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems einzuhalten.
Damit der formale Rahmen dieser Anforderung abgesteckt ist und das DoD eine Möglichkeit hat, die Einhaltung von NIST SP 800-171 r2 zu überprüfen, wurde die CMMC-Programmregel 32 CFR Teil 170 vom DoD veröffentlicht, um das Programm zur Überprüfung einer gültigen CMMC (Cybersecurity Maturity Model Certification) am 15. Oktober 2024 offiziell zu starten. Die Regel trat am 16. Dezember 2024 in Kraft. Zusätzlich zur neuen CMMC-Programmregel 32 CFR Teil 170 hat das Verteidigungsministerium eine vorgeschlagene Beschaffungsregel (CMMC-Beschaffungsregel 48 CFR Teil 204) zur Änderung der DFARS und zur Erfüllung der Anforderungen im Zusammenhang mit der neuen CMMC-Programmregel 32 CFR Teil 170. Es wird erwartet, dass die CMMC-Beschaffungsregel 48 CFR Teil 204 DFARS 252.204-7021 aktualisiert, um von den betroffenen Auftragnehmern und Subunternehmen zu verlangen, dass sie die erforderliche CMMC-Zertifizierungsstufe erreichen und während der Vertragslaufzeit aufrechterhalten. Das bedeutet, dass in den kommenden Monaten, sobald die Regel endgültig ist, Auftragnehmer möglicherweise die aktualisierte DFARS-Klausel 252.204-7021 sehen, die die CMMC-Compliance in Verträgen mit dem DoD erfordert. Während DFARS 252.204-7021 und die entsprechenden CMMC-Anforderungen schrittweise in Verträge aufgenommen werden, können DoD-Auftragnehmer, die bereits mit FCI und/oder CUI umgehen, freiwillig ihren CMMC-Compliance-Status anstreben. Google Cloud ist bereit, DoD-Auftragnehmer bei der Erfüllung ihrer CMMC-Compliance-Anforderungen zu unterstützen.
Das CMMC-Programm umfasst drei Stufen: Stufe 1 ist darauf ausgelegt, 15 Anforderungen gemäß FAR 52.204-21 zu überprüfen. Level 2 wurde entwickelt, um 110 Anforderungen von NIST SP 800-171 r2 zu überprüfen. Level 3 fügt weitere 24 NIST SP 800-172-Anforderungen hinzu. Weitere Informationen findest du unten.
Stufe 1: Grundlegende Sicherung von geschäftskritischen Informationen
Level 2: Umfassender Schutz von vertraulichen Informationen
Stufe 3: Höherwertiger Schutz von CUI vor fortschrittlichen, anhaltenden Bedrohungen
Je höher die CMMC-Stufe, desto sensibler sind die Daten, die verarbeitet werden, und desto strenger sind die Anforderungen an die Cybersicherheit. Die für einen bestimmten Vertrag erforderliche Sicherheitsstufe hängt von der Art der Informationen und der Vertraulichkeit des Projekts ab.
Kunden können Google Cloud und Google Workspace nutzen, um die auf CSP anwendbaren CMMC-Anforderungen auf allen Ebenen einzuhalten. Dazu nutzen sie die FedRAMP-Grundlagen von Google und konfigurieren ihre Systeme so, dass sie FedRAMP-konform sind. Google Cloud und Google Workspace erfüllen sowohl die FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) ATO (Authority to Operate, Betriebsberechtigung) für definierte Dienste. Alle Dienste gemäß FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) entsprechen den Anforderungen von NIST 800-171 r2 für CSPs. Kunden müssen die FedRAMP CRM (Customer Responsibility Matrix) verwenden, die Teil des FedRAMP-Systemsicherheitskonzepts von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen.
Auf Anfrage kann Google Kunden auch eine Implementierungsanleitung für die Einrichtung von CMMC-Enklaven und ein C3PAO-CMMC-Compliance-Bestätigungsschreiben zur Unterstützung der Anforderungsprüfung zur Verfügung stellen. Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf die anwendbare Dokumentation erleichtern.
Für DoD-Auftragnehmer, die CMMC-Level-1-Compliance benötigen, können alle Google Cloud-Produkte die Compliance-Anforderungen erfüllen. Um die CMMC-Compliance der Stufe 2 und/oder 3 zu erreichen, müssen DoD-Auftragnehmer, die CUI verwalten, Cloud-Lösungen nutzen, die mindestens FedRAMP Moderate-autorisierte Cloud-Dienste bieten. Kunden, die diese Anforderungen mit Google Cloud-Diensten erfüllen möchten, können die FedRAMP-autorisierten Dienste nutzen, die hier aufgeführt sind.
Google Cloud-Kunden müssen das Kontrollpaket FedRAMP (moderate Sicherheit) oder FedRAMP (Hohe Sicherheit) für die Bereitstellung innerhalb der softwaredefinierten Grenze auswählen. Wie oben erwähnt, sollten Kunden die FedRAMP CRM verwenden, die Teil des FedRAMP-Systemsicherheitskonzepts von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen.
Google Workspace-Kunden müssen dafür sorgen, dass sie nur Dienste nutzen, die gemäß CMMC die FedRAMP Moderate- oder FedRAMP High-Richtlinie erfüllen. Bei Bedarf kann ein Kunde einen Dienst, der noch nicht FedRAMP-autorisiert ist, deaktivieren.
Kunden, die verlangen, dass ihre Daten ausschließlich in den USA gespeichert werden, müssen FedRAMP (hohe Sicherheit)-Dienste (konfiguriert mit Assured Workloads oder Assured Controls Plus) und das FedRAMP CRM verwenden. Dadurch wird sichergestellt, dass die Kundendaten in Rechenzentrumsregionen von Google in den USA gespeichert werden. Kunden können auch Google-Lösungen für IL2, IL4 oder IL5 verwenden, um die Anforderungen an den Datenstandort zu erfüllen. Google empfiehlt Kunden, die Konfigurationsanleitung für Google Workspace für FedRAMP zu befolgen, um die CMMC-Compliance zu unterstützen.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.