CMMC-Zertifizierung (Cybersecurity Maturity Model Certification der USA)

Das US-Verteidigungsministerium (DoD) verlangt, dass alle Auftragnehmer und Subunternehmer der US-amerikanischen Verteidigungsindustrie (DIB) die in NIST SP 800-171 r2 beschriebenen Sicherheitskontrollen umsetzen, um kontrollierte, nicht klassifizierte Informationen (CUI) gemäß DFARS 252.204-7012, Safeguarding Covered Defense Information and Cyber Incident Reporting zu schützen. Bundesauftragnehmer (einschließlich Verteidigungsauftragnehmer), die mit Informationen des Bundesvertrags (Federal Contract Information, FCI) umgehen, müssen auch die Sicherheitsanforderungen in FAR 52.204-21, Basic Safeguarding of Covered Contractor Information Systems einhalten.

Um die Einhaltung von NIST SP 800-171 r2 zu formalisieren und zu überprüfen, hat das DoD am 15. Oktober 2024 das CMMC-Programm über die CMMC-Programmregel 32 CFR Teil 170 eingeführt, die am 16. Dezember 2024 in Kraft getreten ist. Eine vorgeschlagene Beschaffungsregel (48 CFR Teil 204) wird DFARS 252.204-7021 ändern, um eine CMMC-Zertifizierung für betroffene Auftragnehmer zu verlangen. Nach der Fertigstellung wird die CMMC-Compliance schrittweise in DoD-Verträge aufgenommen. Google Cloud und Google Workspace unterstützen Auftragnehmer bei der Einhaltung dieser Anforderungen.

Was sind die drei CMMC-Stufen?

Das CMMC-Programm hat drei Stufen:

Stufe 1: Grundlegender Schutz von FCI

  • Fokus: Schutz von FCI, zum Beispiel grundlegende Informationen wie Vertragsnummern und Lieferpläne. Dieses Level ist für kleinere Organisationen einfacher zu erreichen, wenn diese keine Informationen verwalten, die für die nationale Sicherheit von entscheidender Bedeutung sind. 
  • Anforderungen: 15 grundlegende Cybersicherheitspraktiken, zum Beispiel regelmäßiges Ändern von Passwörtern und Verwendung von Antivirensoftware.
  • Bewertung: Jährliche Selbsteinschätzung.
  • Anwendbarkeit: Erforderlich für alle Auftragnehmer, die in irgendeiner Form mit FCI umgehen. Dies ist die häufigste Stufe.

Stufe 2: Umfassender Schutz von CUI

  • Fokus: Schutz von CUI, z. B. sensible Daten, die Schutz- oder Verbreitungskontrollen unterliegen. Diese Stufe dient dem Schutz von Informationen, die für die nationale Sicherheit von entscheidender Bedeutung sind.
  • Anforderungen: 110 Sicherheitsanforderungen, die an NIST SP 800-171 r2 ausgerichtet sind, z. B. einen Systemsicherheitsplan (SSP) führen, CUI-Assets identifizieren, protokollieren und überwachen sowie ein Programm zum Scannen von Sicherheitslücken implementieren, um Sicherheitslücken zu identifizieren und zu beheben.
  • Bewertung: Im Vertrag festgelegt. Einige Verträge erfordern eine Selbstbewertung, während andere eine Bewertung durch Dritte durch eine CMMC Third-Party Assessment Organization (C3PAO) erfordern.
  • Anwendbarkeit: Erforderlich für Auftragnehmer, die CUI verarbeiten.

Stufe 3: Höherer Schutz von CUI vor komplexen, anhaltenden Bedrohungen

  • Fokus: Schutz hochsensibler CUI in kritischen Programmen. Fokus auf zusätzlichen Schutz vor Advanced Persistent Threats (APTs).
  • Anforderungen: Alle Anforderungen von Level 2 sowie zusätzliche Praktiken aus NIST SP 800-172 für eine verbesserte Sicherheit, zum Beispiel die Entwicklung eines umfassenden Incident Response-Plans, die Implementierung eines umfassenden Programms für die kontinuierliche Überwachung und die Bewertung und Verwaltung von Sicherheitsrisiken in der Lieferkette.
  • Bewertung: Von der Regierung geleitete Bewertung durch das Defense Industrial Base Cybersecurity Assessment Center (DIBCAC).
  • Anwendungsbereich: Erforderlich für Auftragnehmer, die an den sensibelsten Regierungsprojekten arbeiten. Dies ist die am wenigsten verbreitete Stufe.
  • Voraussetzung: Bevor ein Auftragnehmer CMMC Level 3 anstreben kann, muss er bereits CMMC Level 2 haben.

Je höher die CMMC-Stufe, desto sensibler sind die verarbeiteten Daten und desto strenger sind die Anforderungen an die Cybersicherheit.

Google Cloud und Google Workspace unterstützen CMMC

Sie können Google Cloud und Google Workspace nutzen, um die CMMC-Compliance-Anforderungen Ihrer Organisation auf allen Ebenen zu erfüllen. Dabei können Sie sich auf die von Google bereitgestellten, von FedRAMP autorisierten Dienste mit hohem Sicherheitsniveau verlassen. Google Cloud und Google Workspace erfüllen die ATO-Richtlinien FedRAMP (hohe Sicherheit) für abgedeckte Dienste.

Google bietet die folgenden Anleitungen, damit Sie die CMMC-Compliance-Anforderungen erfüllen können:

  • Google Workspace CMMC Implementation Guide
  • Google Cloud CMMC Implementation Guide

Außerdem stellt Google die folgenden Bestätigungsschreiben zur Verfügung, die von einer unabhängigen externen Prüforganisation erstellt wurden:

  • Bescheinigungsschreiben zu C3PAO CMMC für Google Workspace (Google Cloud voraussichtlich bis August 2025)
  • Bescheinigungsschreiben zur Compliance mit NIST SP 800-171 für Google Cloud und Google Workspace

Für Google Cloud müssen Sie die Assured Workloads-Datengrenze für FedRAMP High verwenden und die CMMC CRM (Customer Responsibility Matrix) bei der Konfiguration von Systemen zur Unterstützung der CMMC-Compliance nutzen. Wenden Sie sich an das Vertriebsteam von Google oder an Ihren Google Cloud-Ansprechpartner, um die oben erwähnte Dokumentation, wie z. B. das CRM, zu erhalten.

Für Google Workspace müssen Sie FedRAMP High-autorisierte Dienste für die CMMC-Compliance sowie Assured Controls Plus verwenden, um die Datenspeicherung ausschließlich in den Vereinigten Staaten zu ermöglichen. Bei Bedarf können Sie einen Dienst deaktivieren, der noch nicht FedRAMP-autorisiert ist.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Security
Google Cloud