Lieferkette im Verteidigungsumfeld

Der Weg zur CMMC-Compliance

, Zero Networks | Autor: Herbert Wieler

Der Weg zur CMMC-Compliance

So bereiten sich Unternehmen auf die neuen Cybersicherheitsanforderungen vor

Die Kosten von Cyberangriffen steigen weiter: Allein in den USA verursachte ein Datensicherheitsvorfall im Jahr 2025 durchschnittlich 10,22 Millionen US-Dollar Schaden. Gleichzeitig werden Angriffe gezielter – etwa durch Identitätsmissbrauch, KI-gestützte Exploits und Schwachstellen in komplexen Lieferketten. Als Reaktion darauf verschärft das US-Verteidigungsministerium (DoD) seine Sicherheitsvorgaben und führt das Cybersecurity Maturity Model Certification (CMMC) schrittweise ein. Das Ziel: ein einheitliches, überprüfbares Sicherheitsniveau für die gesamte Lieferkette der Verteidigungsindustrie.

Doch was bedeutet CMMC konkret – und wie können sich Unternehmen vorbereiten?

Was ist CMMC?

Das Cybersecurity Maturity Model Certification (CMMC) ist ein vom US-Verteidigungsministerium entwickeltes Framework zur Bewertung der Cybersicherheitsreife von Unternehmen in der Defense Industrial Base (DIB).

CMMC stellt sicher, dass Auftragnehmer und Subunternehmer angemessene Sicherheitsmaßnahmen implementieren, wenn sie mit sensiblen Informationen arbeiten – insbesondere mit:

  • Federal Contract Information (FCI)
  • Controlled Unclassified Information (CUI)

Mit CMMC 2.0 wurde das Modell vereinfacht und auf drei Reifegrade reduziert, die sich an etablierten Standards orientieren:

  • Level 1: Grundlegende Schutzmaßnahmen gemäß FAR 52.204-21
  • Level 2: Umfassende Sicherheitskontrollen nach NIST SP 800-171
  • Level 3: Erweiterter Schutz gegen hochentwickelte Bedrohungen auf Basis von NIST SP 800-172

Wer ist von CMMC betroffen?

CMMC gilt für die gesamte Lieferkette im Verteidigungsumfeld – also nicht nur für Hauptauftragnehmer, sondern auch für Subunternehmer, IT-Dienstleister und andere Partner. Ob und welches CMMC-Level erforderlich ist, hängt davon ab, welche Art von Informationen ein Unternehmen im Rahmen eines Vertrags verarbeitet oder speichert. Da CMMC über Vertragsklauseln durchgesetzt wird, wird ein bestimmtes Reifelevel zunehmend zur Voraussetzung für die Teilnahme an Ausschreibungen.

Die drei CMMC-Level im Überblick

CMMC Level 1: Grundlegende Cyberhygiene

Level 1 definiert ein Mindestmaß an Cybersicherheit. Dazu gehören unter anderem:

  • Zugriffsbeschränkung auf autorisierte Benutzer
  • Kontrolle externer Verbindungen
  • Überwachung von Netzwerkgrenzen
  • Basismaßnahmen zur Vorfallbehandlung

Die Einhaltung wird über jährliche Selbstbewertungen nachgewiesen, deren Ergebnisse im Supplier Performance Risk System (SPRS) hinterlegt werden.

CMMC Level 2: Schutz sensibler Informationen

Level 2 richtet sich an Unternehmen, die Controlled Unclassified Information (CUI) verarbeiten. Hier müssen 110 Sicherheitsanforderungen aus NIST SP 800-171 umgesetzt werden – unter anderem in den Bereichen:

  • Zugriffskontrolle und Identitätsmanagement
  • Auditierung und Protokollierung
  • Incident Response und Risikobewertung
  • System- und Kommunikationsschutz

Zusätzlich zur technischen Umsetzung sind die Maßnahmen in einem System Security Plan (SSP) sowie in POA&Ms zu dokumentieren. Die Bewertung erfolgt entweder per Selbstbewertung oder durch eine autorisierte Drittstelle.

CMMC Level 3: Absicherung gegen Advanced Threats

Level 3 stellt die höchste Stufe dar. Zusätzlich zu Level 2 kommen erweiterte Anforderungen aus NIST SP 800-172 hinzu, etwa:

  • Anomalieerkennung und erweiterte Überwachung
  • Isolierung besonders kritischer Ressourcen
  • Resilienzmechanismen gegen fortgeschrittene Angriffe

Die Bewertung erfolgt ausschließlich durch staatliche Stellen und muss regelmäßig bestätigt werden.

Zeitplan: Wann wird CMMC verpflichtend?

Die Einführung von CMMC erfolgt schrittweise:

  • ab November 2025: erste Anforderungen in Ausschreibungen
  • 2026–2027: zunehmende Drittbewertungen, insbesondere für Level 2
  • 2027–2028: Einführung von Level-3-Zertifizierungen
  • ab November 2028: vollständige Integration von CMMC in den Beschaffungsprozess

Spätestens dann wird CMMC-Compliance zur Grundvoraussetzung für Aufträge des DoD.

Zentrale Sicherheitsbereiche für die CMMC-Compliance

Unabhängig vom Level stehen folgende Themen im Fokus:

  • Zugriffskontrolle und Least Privilege
  • Identifizierung und Authentifizierung (inkl. MFA)
  • System- und Kommunikationsschutz
  • Auditierung und Nachvollziehbarkeit
  • Erkennung und Eindämmung von Sicherheitsvorfällen

CMMC-Compliance effizient umsetzen mit Zero Networks

Zero Networks unterstützt Unternehmen bei der Umsetzung von CMMC durch automatisierte, identitätsbasierte Mikrosegmentierung. Assets und Identitäten werden standardmäßig isoliert und nur mit den minimal notwendigen Zugriffsrechten versehen. So lassen sich Angriffe auf Architekturebene eindämmen, noch bevor sie sich lateral ausbreiten können. Gleichzeitig sorgt Echtzeit-Transparenz über alle Netzwerkaktivitäten für bessere Audit-Fähigkeit und vereinfacht die Einhaltung der CMMC-Anforderungen – über alle Level hinweg.