Was Regierungsorganisationen über die Cybersecurity Maturity Model Certification (CMMC) wissen müssen

Zu Beginn des Jahres veröffentlichte das Verteidigungsministerium (DoD) die Cybersecurity Maturity Model Certification (CMMC) Version 1.0 – einen mit Spannung erwarteten einheitlichen Standard, der die riesige Lieferkette der Behörde absichern soll. Wenn sich etwa die Spannungen mit anderen Ländern verschärfen, befürchten viele, dass es zu Vergeltungsschlägen nicht nur über den Cyberspace, sondern auch über „ potenziell gefährdete Rüstungsunternehmen “ kommen könnte.

CMMC soll, wie es über einen Zeitraum von fünf Jahren eingeführt wird, derartige Schwachstellen verringern, wenn nicht sogar beseitigen und eine kritische Herausforderung für die nationale Sicherheit angehen. Zur Verteidigungsindustrie zählen mehr als 300.000 Unternehmen, bei denen es bislang eklatante Mängel hinsichtlich der Kontrolle gegeben hat. Diese Unternehmen greifen auf vertrauliche Verteidigungsinformationen zu und speichern diese auf ihren eigenen Systemen. CMMC stellt einen wichtigen Schritt zum Schutz dieser Informationen dar.

Trotz der langfristigen Vorteile kann CMMC bei vielen Auftragnehmern kurzfristig zu Verwirrung führen. Abhängig von ihrer Arbeit müssen Auftragnehmer eine von fünf neuen Sicherheitsstufen erfüllen. Die Ausgangssituation zur Verbesserung der eigenen Sicherheitslage ist jedoch mehr oder weniger die gleiche.

Vorbereitung auf CMMC

Wer sich im Zuge von CMMC über bewährte Sicherheitspraktiken informieren möchte, für den ist das Cybersecurity Framework des National Institute of Standards and Technology ( NIST ), das den Schwerpunkt auf kontinuierliche Sicherheit legt, ein guter Ausgangspunkt. Das NIST-Framework ist in fünf Bereiche bzw. Funktionen unterteilt: Identifizieren, Schützen, Erkennen, Reagieren und Wiederherstellen.

Der erste Eimer ist natürlich das Fundament. Um Bedrohungen zu identifizieren, müssen Unternehmen zunächst in der Lage sein, die Breite ihrer eigenen Systeme zu ermitteln, was im Zeitalter von BYOD und Schatten-IT eine Herausforderung sein kann. Es gibt keine Möglichkeit, ein System zu sichern, wenn Sie Ihre Mitarbeiter, Vermögenswerte und Daten nicht vollständig kennen. Es gibt jedoch zahlreiche Tools, die diese Sichtbarkeit ermöglichen, von der app-zentrierten Visualisierung bis zur SSL-Sichtbarkeit . Letzteres entschlüsselt und verschlüsselt den Datenverkehr erneut, um sicherzustellen, dass er keine Schadsoftware enthält.

Kontinuierliche Überwachung

Nur wenn Unternehmen vollständige Transparenz über Systeme und Daten haben, können sie die notwendigen Sicherheitsvorkehrungen treffen, etwa Schutz vor gängigen Web-Exploits, bösartigen IPs und koordinierten Angriffsarten . Zugriffsverwaltung, wie etwa Single Sign-On, sicheres VDI und privilegierter Benutzerzugriff, bieten eine Möglichkeit zum Schutz vor böswilligen Akteuren. Vereinfacht ausgedrückt: Die Bundesregierung muss in der Lage sein, zu überprüfen, ob die Auftragnehmer auch wirklich die sind, für die sie sich ausgeben – und ihnen dementsprechend die richtigen Zugriffsrechte gewähren.

Dennoch darf die Sicherheit nicht an der Tür enden. Auch nachdem die Benutzer authentifiziert wurden, müssen Unternehmen deren Aktivitäten weiterhin überwachen und protokollieren, um die dritte Komponente des NIST-Frameworks zu erreichen: eine schnelle Erkennung. Zu diesem Zweck können Verhaltensanalysen, Künstliche Intelligenz und maschinelles Lernen eingesetzt werden, um den Datenverkehr zu analysieren und riskantes oder ungewöhnliches Verhalten zu kennzeichnen.

Ohne diese ersten drei Schritte sind die letzten beiden – die Entwicklung eines Reaktionsplans und eines Plans zur Wiederherstellung der betroffenen Systeme und Ressourcen – nahezu unmöglich. Das Ziel von CMMC besteht natürlich darin, diese letzten beiden Schritte selten zu machen. Ziel einer kontinuierlichen Überwachung ist es, eine Kompromittierung von Auftragnehmern und Unterauftragnehmern des Verteidigungsministeriums gänzlich zu verhindern.

Das Fazit

Kurzfristig sollten Unternehmen in der Lieferkette des Verteidigungsministeriums in Technologien investieren, die Sichtbarkeit, Schutz und schnelle Erkennung unterstützen. Damit wird die notwendige Grundlage für Zertifizierung und Sicherheit geschaffen. Während viele Auftragnehmer die Aussicht auf CMMC abschreckend finden, handelt es sich in Wirklichkeit um eine notwendige Reaktion auf jahrelange Vernachlässigung.

Dennoch ist es wichtig, dass dieses neue Sicherheitsniveau nicht zu einem Ausschluss kleinerer Subunternehmer führt , die in der Lieferkette ebenfalls eine entscheidende Rolle spielen. Die gute Nachricht ist, dass das Verteidigungsministerium davon ausgeht, dass die meisten Auftragnehmer lediglich eine Zertifizierung der Stufe 1 benötigen, die sich auf grundlegende Cyber-Hygiene konzentriert. Dabei handelt es sich um bewährte Vorgehensweisen, die Unternehmen auch dann umsetzen sollten, wenn sie keinen Zugriff auf vertrauliche Regierungsdaten haben. Für die in der Verteidigungsindustrie tätigen Unternehmen war Schutz und Erkennung gestern.