CMMC-Zertifizierung (Cybersecurity Maturity Model Certification der USA)

Das Verteidigungsministerium der USA (U.S. Department of Defense, DoD) verlangt, dass alle betroffenen Verteidigungsunternehmen und Subunternehmen die in NIST SP 800-171 r2 beschriebenen Sicherheitskontrollen umsetzen. Diese Anforderung dient dem Schutz von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) als Teil der vertraglichen Verpflichtungen der betroffenen Unternehmen aus DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting. Bundesauftragnehmer (einschließlich Verteidigungsaufträge), die mit Informationen des Bundesvertrags (Federal Contract Information, FCI) umgehen, sind verpflichtet, die Sicherheitsanforderungen in FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems einzuhalten.

Damit der formale Rahmen dieser Anforderung abgesteckt ist und das DoD eine Möglichkeit hat, die Einhaltung von NIST SP 800-171 r2 zu überprüfen, wurde die CMMC-Programmregel 32 CFR Teil 170 vom DoD veröffentlicht, um das Programm zur Überprüfung einer gültigen CMMC (Cybersecurity Maturity Model Certification) am 15. Oktober 2024 offiziell zu starten. Die Regel trat am 16. Dezember 2024 in Kraft. Zusätzlich zur neuen CMMC-Programmregel 32 CFR Teil 170 hat das Verteidigungsministerium eine vorgeschlagene Beschaffungsregel (CMMC-Beschaffungsregel 48 CFR Teil 204) zur Änderung der DFARS und zur Erfüllung der Anforderungen im Zusammenhang mit der neuen CMMC-Programmregel 32 CFR Teil 170. Es wird erwartet, dass die CMMC-Beschaffungsregel 48 CFR Teil 204 DFARS 252.204-7021 aktualisiert, um von den betroffenen Auftragnehmern und Subunternehmen zu verlangen, dass sie die erforderliche CMMC-Zertifizierungsstufe erreichen und während der Vertragslaufzeit aufrechterhalten. Das bedeutet, dass in den kommenden Monaten, sobald die Regel endgültig ist, Auftragnehmer möglicherweise die aktualisierte DFARS-Klausel 252.204-7021 sehen, die die CMMC-Compliance in Verträgen mit dem DoD erfordert. Während DFARS 252.204-7021 und die entsprechenden CMMC-Anforderungen schrittweise in Verträge aufgenommen werden, können DoD-Auftragnehmer, die bereits mit FCI und/oder CUI umgehen, freiwillig ihren CMMC-Compliance-Status anstreben. Google Cloud ist bereit, DoD-Auftragnehmer bei der Erfüllung ihrer CMMC-Compliance-Anforderungen zu unterstützen.

Was sind die drei CMMC-Stufen?

Das CMMC-Programm umfasst drei Stufen: Stufe 1 ist darauf ausgelegt, 15 Anforderungen gemäß FAR 52.204-21 zu überprüfen. Level 2 wurde entwickelt, um 110 Anforderungen von NIST SP 800-171 r2 zu überprüfen. Level 3 fügt weitere 24 NIST SP 800-172-Anforderungen hinzu. Weitere Informationen findest du unten.

Stufe 1: Grundlegende Sicherung von geschäftskritischen Informationen

  • Schwerpunkt: Schutz von geschäftskritischen Informationen (z.B. grundlegende Informationen wie Vertragsnummern und Lieferpläne). Dieser Sicherheitsstandard ist für kleinere Organisationen einfacher einzuhalten, wenn sie keine Informationen verwalten, die für die nationale Sicherheit von Bedeutung sind. 
  • Anforderungen: 15 grundlegende Best Practices für die Internetsicherheit. Beispiele: regelmäßiges Ändern von Passwörtern und Verwendung von Antivirensoftware.
  • Bewertung: Jährliche Selbsteinschätzung.
  • Anwendungsbereich: Erforderlich für alle Auftragnehmer, die in irgendeiner Form mit geschäftlichen Kundeninformationen umgehen. Das ist die häufigste Stufe.

Level 2: Umfassender Schutz von vertraulichen Informationen

  • Schwerpunkt: Schutz von CUI (z.B. sensible Daten, die der Sicherung oder Verbreitung unterliegen). Diese Stufe wurde entwickelt, um Informationen zu schützen, die für die nationale Sicherheit von entscheidender Bedeutung sind.
  • Anforderungen: 110 Sicherheitsanforderungen gemäß NIST SP 800-171 r2. Beispiele: Erstellen Sie einen Systemsicherheitsplan (System Security Plan, SSP), identifizieren, protokollieren und überwachen Sie CUI-Assets und implementieren Sie ein Programm zum Scannen von Sicherheitslücken, um Sicherheitsschwächen zu erkennen und zu beheben.
  • Bewertung: Wird im Vertrag festgelegt. Bei einigen Verträgen ist eine Selbsteinschätzung erforderlich, bei anderen ist eine Bewertung durch eine C3PAO (CMMC Third-Party Assessment Organization) erforderlich.
  • Anwendungsbereich: Verpflichtend für Auftragnehmer, die mit personenbezogenen Daten umgehen.

Stufe 3: Höherwertiger Schutz von CUI vor fortschrittlichen, anhaltenden Bedrohungen

  • Schwerpunkt: Schutz von hochsensiblen personenbezogenen Daten in kritischen Programmen Konzentrierte sich auf zusätzliche Schutzmaßnahmen zum Schutz vor Advanced Persistent Threats (APTs).
  • Anforderungen: Alle Anforderungen der Stufe 2 sowie zusätzliche Praktiken aus NIST SP 800-172 für eine höhere Sicherheit. Beispiele: Entwickeln Sie einen umfassenden Incident Response-Plan, implementieren Sie ein umfassendes Programm für die kontinuierliche Überwachung und bewerten und verwalten Sie die Sicherheitsrisiken in der Lieferkette.
  • Bewertung: Bewertung durch das Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) im Auftrag der Regierung.
  • Anwendungsbereich: Erforderlich für Auftragnehmer, die an den sensibelsten Regierungsprojekten arbeiten. Das ist die seltenste Stufe.
  • Voraussetzung: Bevor ein Auftragnehmer CMMC Level 3 anstrebt, muss er bereits CMMC Level 2 erreicht haben.

Je höher die CMMC-Stufe, desto sensibler sind die Daten, die verarbeitet werden, und desto strenger sind die Anforderungen an die Cybersicherheit. Die für einen bestimmten Vertrag erforderliche Sicherheitsstufe hängt von der Art der Informationen und der Vertraulichkeit des Projekts ab.

Google Cloud und Google Workspace unterstützen CMMC

Kunden können Google Cloud und Google Workspace nutzen, um die auf CSP anwendbaren CMMC-Anforderungen auf allen Ebenen einzuhalten. Dazu nutzen sie die FedRAMP-Grundlagen von Google und konfigurieren ihre Systeme so, dass sie FedRAMP-konform sind. Google Cloud und Google Workspace erfüllen sowohl die FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) ATO (Authority to Operate, Betriebsberechtigung) für definierte Dienste. Alle Dienste gemäß FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) entsprechen den Anforderungen von NIST 800-171 r2 für CSPs. Kunden müssen die FedRAMP CRM (Customer Responsibility Matrix) verwenden, die Teil des FedRAMP-Systemsicherheitskonzepts von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen.

Auf Anfrage kann Google Kunden auch eine Implementierungsanleitung für die Einrichtung von CMMC-Enklaven und ein C3PAO-CMMC-Compliance-Bestätigungsschreiben zur Unterstützung der Anforderungsprüfung zur Verfügung stellen. Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf die anwendbare Dokumentation erleichtern. 

Für DoD-Auftragnehmer, die CMMC-Level-1-Compliance benötigen, können alle Google Cloud-Produkte die Compliance-Anforderungen erfüllen. Um die CMMC-Compliance der Stufe 2 und/oder 3 zu erreichen, müssen DoD-Auftragnehmer, die CUI verwalten, Cloud-Lösungen nutzen, die mindestens FedRAMP Moderate-autorisierte Cloud-Dienste bieten. Kunden, die diese Anforderungen mit Google Cloud-Diensten erfüllen möchten, können die FedRAMP-autorisierten Dienste nutzen, die hier aufgeführt sind. 

Google Cloud-Kunden müssen das Kontrollpaket FedRAMP (moderate Sicherheit) oder FedRAMP (Hohe Sicherheit) für die Bereitstellung innerhalb der softwaredefinierten Grenze auswählen. Wie oben erwähnt, sollten Kunden die FedRAMP CRM verwenden, die Teil des FedRAMP-Systemsicherheitskonzepts von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen.

Google Workspace-Kunden müssen dafür sorgen, dass sie nur Dienste nutzen, die gemäß CMMC die FedRAMP Moderate- oder FedRAMP High-Richtlinie erfüllen. Bei Bedarf kann ein Kunde einen Dienst, der noch nicht FedRAMP-autorisiert ist, deaktivieren

Kunden, die verlangen, dass ihre Daten ausschließlich in den USA gespeichert werden, müssen FedRAMP (hohe Sicherheit)-Dienste (konfiguriert mit Assured Workloads oder Assured Controls Plus) und das FedRAMP CRM verwenden. Dadurch wird sichergestellt, dass die Kundendaten in Rechenzentrumsregionen von Google in den USA gespeichert werden. Kunden können auch Google-Lösungen für IL2, IL4 oder IL5 verwenden, um die Anforderungen an den Datenstandort zu erfüllen. Google empfiehlt Kunden, die Konfigurationsanleitung für Google Workspace für FedRAMP zu befolgen, um die CMMC-Compliance zu unterstützen.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Google Cloud