<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=1732033&amp;fmt=gif">
Skip to content
Kontakt

 

CMMC 2.0 | Cybersecurity Maturity Model Certification


 Angesichts steigender Cyberbedrohungen fordert das US-Verteidigungsministerium (DoD) von allen Partnern in der globalen Lieferkette den Nachweis robuster Sicherheitsstandards auf Basis des CMMC.
Unsere Services & Lösungen bietet Unternehmen aus der Defense-Industrie
fundierte Orientierung und fertige IT-Lösungsbausteine, um die komplexen CMMC Anforderungen erfolgreich umzusetzen und ihre Marktchancen im US-Sektor zu sichern. 

LIEFERANT DES US Department of Defense? JETZT TÄTIG WERDEN!
 

Warum CMMC?

Die CMMC-Compliance ist für Dienstleister eine zwingende vertragliche Voraussetzung, ohne die eine Bewerbung um Aufträge des US-Verteidigungsministeriums (DoW) ausgeschlossen ist. Da diese Sicherheitsvorgaben über die gesamte Lieferkette (Supply Chain) weitergegeben werden, sind auch Subunternehmer und Zulieferer direkt von der Nachweispflicht betroffen. Die Zertifizierung schützt sensible Verteidigungsdaten (CUI/FCI) effektiv vor Industriespionage, indem sie kritische Cyber-Sicherheitslücken schließt. Unternehmen sichern sich dadurch nicht nur den Marktzugang im US-Rüstungssektor, sondern erlangen auch einen klaren Wettbewerbsvorteil als vertrauenswürdiger globaler Partner. 

CMMC 2.0 Cybersecurity Maturity Model Certification Logo

Die CMMC Stufen

 Das CMMC-Modell ist pyramidal aufgebaut und passt die Sicherheitsanforderungen an die Sensitivität der verarbeiteten Daten an. Jede Stufe baut auf der vorherigen auf: 

CMMC L1 | Foundational

 

CMMC Level 1 konzentriert sich auf den Schutz von Federal Contract Information (FCI). Es umfasst 17 grundlegende Cyberhygiene-Praktiken, die durch eine jährliche Selbsteinschätzung nachgewiesen werden.

CMMC L2 | Advanced

 

CMMC Level 2 richtet sich an Unternehmen, die mit Controlled Unclassified Information (CUI) arbeiten. Dieses Level spiegelt die 110 Sicherheitsanforderungen der NIST SP 800-171 wider und erfordert in der Regel ein unabhängiges Drittanbieter-Audit (C3PAO).

CMMC L3 | Expert

 

CMMC Level 3 ist für Unternehmen, die an hochkritischen Verteidigungsprogrammen arbeiten und CUI verwalten. Es verlangt die Erfüllung von weit über 110 Controls (basierend auf NIST SP 800-172) zur Abwehr von fortgeschrittenen, anhaltenden Bedrohungen (APTs).

CMMC Level Grafik
WIE ERREICHE ICH CMMC COMPLIANCE?
 

Ihr Weg zu CMMC

ISEC7 begleitet Unternehmen und Organisationen beim strukturierten Aufbau bzw. Umbau einer CMMC-konformen Infrastruktur.  

Dabei kommen unsere Erfahrungen aus Eigenzertifizierung und diversen Kundenprojekten zumTragen.

Die erfolgreiche Implementierung von CMMC folgt einer strukturierten Phasenlogik, bei der die konkreten Sicherheitskontrollen (Controls) stets im Mittelpunkt stehen 

PHASE 1

Vorbereitung & Readiness Assessment

 Zunächst wird der genaue Geltungsbereich (Scoping) definiert – also wo im Unternehmen FCI oder CUI fließen. Anschließend erfolgt eine Bestandsaufnahme (Gap-Analyse) gegen die Controls des angestrebten Levels (z. B. die 110 Controls aus Level 2, aufgeteilt in Domänen wie Zugriffskontrolle oder Systemintegrität). 

PHASE 2

Behebung der Schwachstellen

 Identifizierte Lücken zu den geforderten Controls werden systematisch mit fertigen IT-Lösungsmodulen geschlossen. Für jede nicht erfüllte Sicherheitsanforderung wird ein Maßnahmenplan (Plan of Action and Milestones – POAM) sowie ein System-Sicherheitsplan (System Security Plan – SSP) erstellt, der die Umsetzung der Controls detailliert beschreibt.

PHASE 3

Institutionalisierung & Testlauf

 Die Controls dürfen nicht nur auf dem Papier existieren. In dieser Phase werden die neuen Sicherheitsrichtlinien im Alltag gelebt, Mitarbeiter geschult und die Prozesse durch interne Test-Audits auf ihre Wirksamkeit und Nachweisbarkeit überprüft. 

PHASE 4

Zertifizierung & Kontinuierliche Überwachung

 Abschließend erfolgt das offizielle Audit durch eine akkreditierte Organisation (C3PAO) für Level 2/3 oder die formelle Selbsterklärung für Level 1. Nach erfolgreichem Abschluss gilt es, die Controls durch kontinuierliches Monitoring aufrechtzuerhalten, da Bedrohungen sich ständig weiterentwickeln.

Häufige Fragen zu CMMC 2.0 bei ISEC7

Was ist CMMC 2.0 und wer benötigt es?

CMMC 2.0 (Cybersecurity Maturity Model Certification) ist das Cybersicherheits-Rahmenwerk des US-Verteidigungsministeriums. Jeder Partner in der DoD-Lieferkette muss die Erfüllung definierter Sicherheitskontrollen nachweisen. Jedes Unternehmen, das Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) für einen US-Verteidigungsauftrag verarbeitet, direkt oder als Subunternehmer, muss die CMMC-Zertifizierung auf dem im Vertrag geforderten Level erreichen.

Was ist der Unterschied zwischen FCI und CUI?

Federal Contract Information (FCI) sind nicht-öffentliche Informationen, die im Rahmen eines Vertrags von der US-Regierung bereitgestellt oder dafür erstellt werden. Controlled Unclassified Information (CUI) ist sensibler und umfasst Informationen, die nach speziellen Gesetzen oder Richtlinien zu schützen sind. CMMC Level 1 schützt FCI, Level 2 und 3 schützen CUI.

Wie lange dauert eine CMMC-Zertifizierung?

Die Dauer hängt vom Ziellevel und vom Reifegrad der Organisation ab. Level 1 Self-Assessments können in wenigen Wochen erreicht werden. Level 2 dauert in der Regel sechs bis zwölf Monate für Scoping, Lückenschluss, Dokumentation und das Drittanbieter-Audit. Level 3 ist aufgrund der zusätzlichen NIST SP 800-172 Controls noch aufwendiger.

Was ist ein C3PAO und wann wird er benötigt?

Ein C3PAO (CMMC Third Party Assessment Organization) ist eine akkreditierte Prüfstelle, die das formelle CMMC-Audit durchführt und die Zertifizierung ausstellt. Ein C3PAO-Audit ist für Level 2 (bei den meisten CUI-Verträgen) und Level 3 erforderlich. Für Level 1 und einen Teil von Level 2 reicht ein formales Self-Assessment.

Wie unterstützt ISEC7 bei der CMMC-Compliance?

ISEC7 begleitet Defense-Kunden über den gesamten CMMC-Weg: Readiness Assessment und Scoping, Gap-Analyse, fertige IT-Lösungsbausteine, die bis zu 90 % der technischen Controls abdecken, Dokumentations-Support für POAM und SSP, Audit-Vorbereitung mit C3PAO-Partnern und kontinuierliches Monitoring nach der Zertifizierung. Mehr zum ISEC7 CyberRisk Check nach DIN SPEC 27076 als Einstiegspunkt für eine strukturierte Sicherheitsbewertung.

CMMC REGULATORIK EINFACH GEMACHT 
 

Sichere CMMC

Infrastrukturen

 

Jetzt CMMC Compliance umsetzen mit Expertise von ISEC7!

  • Fertige CMMC Module & Monitoring
  • Lösungsbausteine für bis zu 90% Compliance
  • CMMC aus der FedRamp Cloud