13

Sep

2021

Was deutsche Firmen über die CMMC Zertifizierung des DoD wissen sollten

Was deutsche Firmen über die CMMC Zertifizierung des DoD wissen sollten

Sind deutsche Firmen von CMMC betroffen?

Ja. Die Cybersecurity Maturity Model Certification (CMMC) betrifft weltweit alle Firmen, die direkt oder indirekt Geschäftsbeziehungen mit dem U.S. Verteidigungsministerium (U.S. Department of Defense (DOD)) haben oder planen. CMMC betrifft Generalunternehmer, Subunternehmer / Zulieferer oder Produkthersteller.

Es ist davon auszugehen, dass CMMC auf Ausschreibungen von anderen U.S. Behörden ausgeweitet wird, sobald beim DOD entsprechende Erfahrungen gesammelt wurden, wenn man die Empfehlungen des Cyperspace Solarium Commission Reports berücksichtigt. Das U.S. Department of Homeland Security untersucht derzeit ebenfalls die Übernahme der CMMC Anforderung in seine Ausschreibungen.

Die Kombination der Defense Federal Acquisition Regulation Supplement (DFARS) § 7012, 19, 20 erlaubt es dem DOD Zugang zu Systemen, Personen und Räumlichkeiten zu verlangen.

Was ist das Ziel von CMMC?

Durch CMMC soll die Cybersicherheit der gesamten kommerziellen Lieferkette (auch Defense Industrial Base (DIB)) des U.S. Verteidigungsministeriums erhöht werden. Unternehmen sollen einheitliche, dokumentierte und geprüfte Cybersicherheitsmaßnahmen (IT & Prozesse) umsetzen.

Insbesondere sollen dabei sensitive aber nicht eingestufte Informationen – Controlled Unclassifed Information (CUI) – vor unkontrolliertem oder versehentlichem Zugang / Abfluss geschützt werden. Darüber hinaus sind ebenfalls Federal Contract Information (FCI), Covered Defense Information (CDI) und natürlich höhere eingestufte Informationen auf den Ebenen RESTRICTED, CONFIDENTIAL, SECRET und TOP SECRET/SCI zu schützen.

Ab wann wird die CMMC Zertifizierung für deutsche Firmen relevant?

CMMC wird bereits ab 2021 als Anforderung in 15 „Pathfinder“ Ausschreibungen (z.B. Air Force Mobility Tactical Data Links oder Azure Cloud Solution) für amerikanische Unternehmen enthalten sein und muss zum Zeitpunkt der Auftragsvergabe vorliegen.

Ab 2026 werden sämtliche DOD Ausschreibungen CMMC Anforderungen beinhalten. Es ist denkbar, dass große Generalunternehmen des DOD bereits früher Anforderungen an ihre deutschen Subunternehmer oder Produkthersteller stellen werden.

Wo finden deutsche Unternehmen die Anforderungen an den zu erfüllenden CMMC Reifegrad?

Das DOD wird CMMC Anforderungen im RFI (Teilnahmeantrag / Ausschreibungsankündigung) und dem RFP (Ausschreibung) nennen. In DOD RFPs werden CMMC Anforderungen in den Sektionen L (Allgemeine Instruktionen für Bieter) und M (Bewertungskriterien) zu finden sein.

Wer kann die CMMC Zertifizierung von deutschen Unternehmen vornehmen?

CMMC Zertifizierungen / Audits sind nur durch akkreditierte Unternehmen (sogn. Third Party Assessment Organizations (C3PAO)) möglich. Die Umsetzung und Akkreditierung der C3PAO wurde vom DOD an das CMMC Accreditation Body  (CMMC AB) übertragen. Aktuell ist die Akkreditierung nur für amerikanische C3PAO möglich, jedoch ist bislang (Stand 1.4.21) noch kein Anbieter abschließend akkreditiert worden.

C3PAO müssen u.a. eine 100% amerikanische Gesellschafterstruktur oder erfolgreich eine Foreign Ownership, Control or Influence (FOCI) Überprüfung bestanden haben und CMMC Level 3 erfüllen.

CMMC sieht vor, dass es auch internationale C3PAO geben wird. Ausländische Unternehmen können erst nach dem Abschluss von bilateralen Abkommen zwischen den USA und dem jeweiligen Land zu einem C3PAO akkreditiert werden.

Für die erstmalige CMMC C3PAO Akkreditierung und deren Erhaltung werden einmalige und jährliche Gebühren zwischen $ 1-2000 erhoben.

Wie hoch sind die Kosten für CMMC?

Das DOD geht von Kosten von 118.000 $ (100.000 €) für eine Level 3 Zertifizierung für ein Unternehmen aus. Die Kosten werden laut einer aktuellen Umfrage unter U.S. Unternehmen kritisch gesehen.

Wer berät deutsche Firmen zur CMMC Zertifizierung?

Neben den C3PAO gibt es sogenannte Registered Provider Organizations (RPO), die Unternehmen auf eine CMMC Zertifizierung vorbereiten. Das CMMC AB definiert ebenfalls sämtliche Anforderungen. RPO müssen mindestens über einen Mitarbeiter verfügen, der das CMMC Registered Practicioner (RP) Training erfolgreich bestanden hat und sich dem CMMC Code of Conduct verpflichtet. Darüber hinaus müssen die RPO über Expertise in der Cybersecurity, eine DUNS Nummer und eine positive Bewertung von Dun & Bradstreet verfügen.

Aktuell (Stand 29.8.21) ist es deutschen Firmen noch nicht möglich RPO zu werden oder ihre Mitarbeiter als RP zu schulen. Für die Aufnahme und Erhaltung des Status als CMMC RPO werden einmalige und jährliche Gebühren von $ 5000 erhoben.

Generell sind die CMMC Beratungsleistungen und -aktivitäten vergleichbar mit den Vorbereitungen auf das Geheimschutzverfahren oder eine IT-Sicherheitszertifizierung nach BSI IT-Grundschutz oder ISO 27001.

Das INFODAS Cybersecurity Consulting Team führt erste CMMC Beratungen für Rüstungsunternehmen in Europa durch.

Wie findet man C3PAO und RPO?

Auf der Website des CMMC Accreditation Body findet sich eine Datenbank (Marktplatz) mit einer Übersicht über alle C3PAO, RPO, RP, LPP, LTP.

Wie kann man Mitarbeiter/innen zu CMMC in Deutschland schulen?

Es gibt derzeit keine deutschen Anbieter von Schulungen. Organisationen die CMMC Schulungsmaterialien erstellen wollen, werden als CMMC Licensed Partner Publisher (LPP) bezeichnet. Das CMMC AB überprüft diese. Gleiches gilt für Anbieter von Schulungen. Diese werden als Licensed Training Provider (LTP) bezeichnet.

Für den Aufnahme und Erhaltung des Status als CMMC LTP werden einmalige und jährliche Gebühren von $ 5000 erhoben.

An welchen IT-Sicherheitsstandards orientiert sich CMMC?

CMMC basiert auf NIST 800-171, NIST 800-53, CSF, CIS v7 , SOC2 , NAS 9933 oder ISO 27002 . Ebenfalls relevant sind Federal Acquisition Regulation (FAR) § 52.204-21 und Defense Federal Acquisition Regulation Supplement (DFARS) § 252.204-7012 [3,4,4],

Wird eine ISO 27001 Zertifizierung nach BSI IT-Grundschutz oder Maßnahmen im Rahmen der Geheimschutzbetreuung von CMMC anerkannt?

Viele Maßnahmen für den BSI IT-Grundschutz und Geheimschutz dürften die CMMC Zertifizierung erleichtern, ob und welche Maßnahmen für eine erfolgreiche CMMC Zertifizierung erforderlich sind, muss individuell geprüft werden.

Das infodas Cybersecurity Consulting Team hat ein Mapping von ISO 27001 Annex A mit CMMC vorgenommen und ist als XLSX zum download verfügbar.

Was sind Controlled Unclassified Information?

Die unterschiedlichsten Daten und Unterlagen werden als CUI eingestuft. CUI verfügen eine Klassifizierung oder Markierung, die ihren Schutzbedarf anzeigen. Im Vergleich dazu gibt es keine Markierung für FCI. Gleichwohl, sollten diese nicht für die Öffentlichkeit zur Verfügung stehen. Beispiele für CUI sind Standards, Prozessbeschreibungen, Handbücher, technische Dokumentationen, Stücklisten und Produktkataloge, Datensätze und Datenbanken, Studien, Analysen oder (Software) Source Code.

Wo findet man Detailinformationen zum CMMC Modell?

Auf der Website des Office of the Under Secretary of Defense for Acquisition & Sustainment finden sich die  aktuellen Versionen des CMMC Modells sowie relevante Anlagen und Bewertungsbögen für CMMC Level 1 und 3.

Wie ist das CMMC Modell aufgebaut?

CMMC hat 5 Reifegrade (Level). Es wird erwartet, dass die Mehrheit (60-70%) der Firmen – eher Subunternehmer – nur Reifegrad 1 erfüllen muss („Basic Cyberhygiene“). Level 4 und 5 gelten vor allem für Generalunternehmer. Maßnahmen und Prozesse werden in 17 Domänen aufgeteilt. Diese umfassen insgesamt 171 Security Controls / Maßnahmen, die für Level 5 erfüllt sein müssen. Der Schwerpunkt (31%) aller Controls / Maßnahmen liegt in den Domänen Access Control (AC) und Systems & Communication Protection (SC).

Was passiert nach einem CMMC Audit?

Nach Abschluss eines CMMC Audits wird der C3PAO Auditor die Ergebnisse an das CMMC-AB senden. Das Unternehmen hat bis zu 90 Tage Zeit, alle identifizierten Probleme zu beheben. Sobald diese überprüft wurden, erhält das Unternehmen sein CMMC Zertifikat.

Es gibt nur den Status PASS oder FAIL (mit Begründung).

Wer hat Zugriff zu den Ergebnissen des CMMC Audits?

Einzelheiten zu den CMMC Audits und dem CMMC-Reifegrad werden nicht veröffentlicht. Es ist lediglich sichtbar, dass ein Unternehmen eine CMMC Zertifizierung hat. Nur das DOD hat Zugriff auf die Zertifikate. Diese werden in der CMMC Enterprise Mission Assurance Support Services (eMASS)-Datenbank und dem Supplier Performance Risk System (SPRS) erfasst.

Profil/Autor
Dr. Alexander Schellong
VP Global Business | infodas