CMMC-Konformität erfordert mehr als Verschlüsselung

Das CMMC-Programm etabliert Bewertungsmechanismen, um die Einhaltung der Datenschutzbestimmungen des US-Verteidigungsministeriums durch Rüstungsunternehmen zu überprüfen.

Jeder direkte Lieferant des Verteidigungsministeriums, der mit Informationen aus Bundesverträgen (FCI) oder kontrollierten, nicht klassifizierten Informationen (CUI) umgeht, muss eine der drei CMMC-Stufen erreichen, wie in seinem Vertrag festgelegt, um für die Durchführung von Arbeiten im Verteidigungsbereich berechtigt zu sein.

Stufe 1 – Grundlagen – Nur FCI (Selbstbewertung)

Diese Stufe ist für Organisationen gedacht, die ausschließlich FCI verarbeiten, und basiert auf den 17 Kontrollen gemäß FAR 52.204-21 „Grundlegender Schutz von geschützten Auftragnehmerinformationen“, der sich auf den Schutz von FCI konzentriert. Unternehmen und Organisationen dieser Stufe müssen jährlich eine Selbsteinschätzung durchführen, um nachzuweisen, dass sie die Anforderungen erfüllen und um ihre Zertifizierung zu erhalten.

Stufe 2 - Fortgeschritten - CUI (Bewertung durch Dritte)

Die Anforderungen der Stufe 2 stimmen vollständig mit den Anforderungen von NIST SP 800-171 überein. Im Hinblick auf die Zertifizierung lassen sich Organisationen dieser Ebene in zwei Gruppen unterteilen:

CUI mit priorisierten Beschaffungen: Organisationen, die CUI mit priorisierten Beschaffungen verarbeiten, d. h. Informationen, die als kritisch für die nationale Sicherheit gelten, müssen sich alle 3 Jahre einer externen Zertifizierung unterziehen.

CUI ohne priorisierte Beschaffungen: CUI ohne priorisierte Beschaffungen, also Informationen, die nicht als kritisch für die nationale Sicherheit eingestuft werden, können eine jährliche Selbstbewertung für ihre Zertifizierung durchführen, wobei sie das gleiche Verfahren wie Organisationen der Stufe 1 anwenden.

Stufe 3 – Experte – Kritische CUI (vom US-Verteidigungsministerium bewertet)

CMMC Level 3 besteht aus einer ausgewählten Menge von (24) Sicherheitsanforderungen, die aus NIST SP 800-172 abgeleitet wurden. Darüber hinaus gilt Level 3 nur für Systeme, die bereits den CMMC-Status Final Level 2 (C3PAO) erreicht haben und somit die in NIST SP 800-171 festgelegten Sicherheitsanforderungen erfüllen. Laut Verteidigungsministerium wird Stufe 3 nur für schätzungsweise 1 % der Verträge gelten, die „seine wichtigsten Programme und Technologien“ unterstützen.

Zusätzlich zu den Anforderungen der Stufe 2 bietet Stufe 3 einen zusätzlichen Schutz gegen fortgeschrittene persistente Bedrohungen (APTs) und erhöht die Gewissheit für das Verteidigungsministerium, dass eine Organisation, die eine Zertifizierung anstrebt, CUI auf einem Niveau angemessen schützen kann, das dem gegnerischen Risiko entspricht, einschließlich des Schutzes des Informationsflusses mit der Regierung und mit Unterauftragnehmern in einer mehrstufigen Lieferkette. Organisationen der Stufe 3 unterliegen alle 3 Jahre einer staatlich durchgeführten Zertifizierungsprüfung.

FCI – Informationen zu Bundesverträgen

FCI bezieht sich auf Informationen, die nicht zur Veröffentlichung bestimmt sind und von der Regierung im Rahmen eines Vertrags zur Entwicklung oder Lieferung eines Produkts oder einer Dienstleistung für die Regierung bereitgestellt oder für diese erstellt werden. Beispiele hierfür sind Vertragsdetails oder -bestimmungen, Leistungsdaten des Auftragnehmers, Berichte oder Ergebnisse, die im Rahmen von Bundesverträgen erstellt wurden, sowie Projektmanagement- oder Finanzinformationen, die für den Vertrag relevant sind.

CUI – Kontrollierte, nicht klassifizierte Informationen

CUI-geschützte Informationen sind zwar nicht klassifiziert, unterliegen aber einer Kontrolle, um die Veröffentlichung nicht klassifizierter Informationen zu verhindern, die, wenn sie öffentlich mit Verteidigungsmissionen in Verbindung gebracht oder mit anderen Informationsquellen zusammengeführt werden, häufig verwertbare Informationen für Gegner preisgeben oder gegen gesetzliche Bestimmungen verstoßen.

CUI erfordert Kennzeichnungen, die die Empfänger darauf hinweisen, dass möglicherweise eine besondere Handhabung erforderlich ist, um Gesetze, Verordnungen oder regierungsweite Richtlinien einzuhalten.

1. Grundlegende Anforderungen an die Kennzeichnung von CUI

• Kennzeichnung in Kopf- und Fußzeile: Jede Seite eines Dokuments, das CUI enthält, muss in der Kopf- und/oder Fußzeile mit dem Begriff „CONTROLLED“ oder „CUI“ gekennzeichnet werden, um auf das Vorhandensein von CUI hinzuweisen.
• Abschnittskennzeichnung: Die Abschnittskennzeichnung (z. B. durch Kennzeichnung bestimmter Absätze oder Abschnitte mit "(CUI)") ist zwar optional, wird aber empfohlen, um bestimmte Teile eines Dokuments zu kennzeichnen, die CUI enthalten.
• Banner-Kennzeichnung: Ein deutlicher Hinweis am oberen Rand der ersten Seite oder des ersten Bildschirms mit der Aufschrift „Controlled Unclassified Information“ oder „CUI“ ist erforderlich.
• Kennzeichnung bei Aufhebung der Kontrolle: Wenn sich der CUI-Status ändert, sollte dies im Dokument vermerkt werden, beispielsweise durch Hinzufügen des Vermerks „Aufgehoben“ mit dem Datum der Aufhebung.

2. Kategorisierung

• CUI können in verschiedene Kategorien fallen (z. B. Datenschutz (PII), Finanzdaten, Strafverfolgungsdaten). Die Kennzeichnungsstandards erlauben die Aufnahme von Kategorieabkürzungen (z. B. „CUI//PRIV“), um die Art des CUI anzugeben.
• CUI-Dokumente können gegebenenfalls spezifischere Schutz- oder Verbreitungsanweisungen enthalten (z. B. „CUI//NOFORN“, um die Verbreitung ins Ausland einzuschränken).

3. Handhabungshinweise

• Die Dokumente können auch Anweisungen wie „CUI//SP-Exportkontrolle“ oder andere spezifische Schutzbestimmungen enthalten, um besondere Schutzanforderungen gemäß bestimmten Gesetzen oder Richtlinien anzugeben.

4. CUI-Dekontrolle

• Wenn CUI nicht mehr als sensibel eingestuft wird und die Aufhebung der Kontrolle erforderlich ist, sollte das Datum der Aufhebung der Kontrolle klar angegeben werden. Die CUI-Kennzeichnungen können durchgestrichen oder mit einem Vermerk versehen werden, der darauf hinweist, dass die Informationen freigegeben wurden.

5. Kennzeichnung für Übertragung und Lagerung

• Elektronische Dateien, die CUI enthalten, müssen entsprechend gekennzeichnet werden, und zwar mit sichtbaren Hinweisen in E-Mails, auf gemeinsam genutzten Laufwerken oder in Cloud-Speichern.
• Bei der Übermittlung von CUI (Controlled Unified Information) müssen physische oder digitale Dateien gekennzeichnet werden, um sicherzustellen, dass die Empfänger über ihre Verantwortung für den Schutz der Informationen informiert sind. Diese Kennzeichnungsstandards tragen dazu bei, eine ordnungsgemäße Handhabung und Verbreitung sicherzustellen, das Risiko einer unbefugten Weitergabe zu verringern und gleichzeitig die Einheitlichkeit zwischen verschiedenen Regierungsstellen und Auftragnehmern zu fördern. Die Standards orientieren sich am CUI-Programm der National Archives and Records Administration (NARA).

Nachdem das CMMC-Programm nun endgültig festgelegt wurde, wurde klargestellt, dass die unterstützenden Tools, die die CMMC-Zertifizierung ermöglichen, nicht FedRAMP-zertifiziert sein müssen. Unser Produkt zur Datenklassifizierung fungiert als Erweiterung Ihrer Office-Anwendungen und läuft auf den Geräten und Endgeräten Ihrer Organisation. Daher ist eine FedRAMP-Zertifizierung unseres Produkts nicht erforderlich, um Ihre CMMC-Konformität zu gewährleisten. Unser Administrationstool kann lokal in einer Cloud-Umgebung gehostet werden, die gegebenenfalls FedRAMP-zertifiziert ist, oder On-Premises, je nach den Anforderungen Ihrer Organisation.