CMMC definiert Cybersicherheit in der US-Verteidigungsindustrie neu
Geplanter Übergang zu einem neuen Sicherheitsansatz
Cybersicherheit entwickelt sich stets weiter und für Regierungen ist diese Weiterentwicklung eine Frage der nationalen Sicherheit. Mit dem Auftreten neuer Bedrohungen müssen neue Technologien erforscht werden, die diesen entgegenwirken – und manchmal ist es nötig, die Richtlinien und Best Practices bezüglich der Sicherung von Daten zu überprüfen. Genau das ist es, was das US-Verteidigungsministerium (Department of Defense, DoD) mit der Cybersecurity Maturity Model Certification (CMMC) getan hat.
CMMC – Das Was, Wo und Warum
Das Hauptziel der CMMC ist, sogenannte Controlled Unclassified Information (CUI) zu schützen. In diesem Fall bezieht CUI sich auf alle Daten, die der Regierung oder in ihrem Auftrag handelnden Instanzen gehören. Daher deckt die CMMC nicht nur Prototypenentwicklung oder operative Sicherheit ab, sondern auch Finanz- oder Rechtsdokumentation und selbst Infrastruktur.
Die CMMC wurde erstellt, um die über die Lieferkette des DoD hinweg verwendeten Cybersicherheitsstandards zu vereinheitlichen und deren Durchsetzung und Monitoring zu vereinfachen. Anstelle einer Selbstzertifizierung verlangt sie von Drittauditoren ausgeführte Prüfungen, um Compliance nachzuweisen. Mit einer Testeinführungsphase von 2021 bis 2025 wird die CMMC langfristig zur Basis des Betriebs innerhalb der DoD-Lieferkette werden.
Was sind die Auswirkungen bei Nichteinhaltung der CMMC-Richtlinien?
Die CMMC wendet eine mehrstufige Zertifikationslösung an. Unternehmen werden anhand einer Skala mit 5 Levels evaluiert. Diejenigen, die sich auf Level 1 befinden, legen “Grundlegende Cyberhygiene” an den Tag, wohingegen diejenigen auf Level 5 “Fortgeschrittene, progressive Cybersicherheit” demonstrieren. Die höchsten Levels der Zertifizierung verlangen von Unternehmen Systeme und Prozesse zu erstellen, die dazu fähig sind fortgeschrittenen, persistenten Bedrohungen entgegenzuwirken.
Im Rahmen der stufenweisen Implementierung wird jedoch von keinem Unternehmen erwartet, Level 5 vor dem Jahr 2025 zu erreichen. Langfristig wird Level 3 zum Basislevel für die von Projekten innerhalb der DoD-Lieferkette erforderliche Compliance werden. Diejenigen Firmen, die nicht konform handeln oder Datenschutzverletzungen erleiden, werden von der Arbeit an DoD-Projekten ausgeschlossen.
Wie unterstützt Tresorit Compliance mit der CMMC?
Die CMMC unterteilt ihre Richtlinien in 17 Domänen, die von Zugriffskontrolle über Audit und Haftung bis hin zu Wiederherstellung und System- und Informationsintegrität reichen. Der von Tresorit zur Verfügung gestellte Ende-zu-Ende-verschlüsselte (E2EE) Cloudspeicher mit Zero-Knowledge-Prinzip, der von Sicherheitsfeatures auf dem Stand der Technik unterstützt wird, kann Ihnen auf vielerlei Weise dabei helfen die CMMC zu erlangen:
- Sichere Controlled Unclassified Information:Alle in Tresorit gespeicherten Daten werden mit Verschlüsselung auf Militärniveau geschützt. Mehrstufige Zero-Knowledge-Authentifizierung sorgt dafür, dass nicht einmal Passwörter das Gerät verlassen, wenn Sie sich anmelden. Nur mit Salt versehene Hashwerte erreichen unsere Server.
- Clientseitiger Integritätsschutz:Tresorit garantiert, dass der Inhalt einer Datei nicht ohne Ihr Wissen modifiziert werden kann. Clients wenden kryptographische Authentifizierung auf alle verschlüsselten Daten an. Der Schlüssel ist nur dem Client des Nutzers und denen, mit denen die Datei geteilt wird, bekannt.
- Verwaltung von Zugriffsrechten- und -berechtigungen: Rollenbasierte Nutzerrechte zur Verwaltung von Lizenzrichtlinien und diverse Zugriffsberechtigungen ermöglichen differenzierte Kontrolle darüber, wer dazu befugt ist auf Dateien zuzugreifen.
- Verwaltung von Nutzern und Monitoring von Dateiaktivität: Das Admin-Center bietet einfachen Zugriff auf und zentralisierten Speicherplatz für detaillierte Aktivitätsberichte, Nutzerverwaltung, zugelassene Geräte, teambasierte Richtlinien und unentbehrliche Nutzerstatistiken.
- Auf Mobilgeräten verschlüsselte Daten:Da alle in unserer Cloud gespeicherten Daten immer nur clientseitig entschlüsselt werden, kann Tresorit garantieren, dass Daten auch dann gesichert sind, wenn von Mobilgeräten aus auf sie zugegriffen wird.
- Leichte Wiederherstellung von mehrfachen, verschlüsselten Back-ups: Robustes Tracking von Versionen ermöglicht die jederzeitige Wiederherstellung von früheren Dateiversionen. Sichere, redundante Back-ups auf mehreren Servern sorgen dafür, dass Daten niemals verloren gehen.
Die Komplexität der CMMC bedeutet, dass die betroffenen Unternehmen erhebliche Vorsorgemaßnahmen treffen müssen. Tresorit kann Vertragspartnern der Verteidigungsindustrie dabei helfen, diverse Hürden durch die Nutzung eines E2EE-Speichers für jegliche sensible Daten zu überwinden.
Beginnen Sie Ihre Vorbereitungen auf die CMMC noch heute – mit Tresorit.