Das US-Verteidigungsministerium (US Department of Defense, DoD) hat kürzlich das Cybersecurity Maturity Model Certification(CMMC)-Programm veröffentlicht. Dies ist die neueste Entwicklung des Programms des DoD zum Schutz von Controlled Unclassified Information (CUI; kontrollierte, nicht klassifizierte Informationen) der US-Regierung.
Das US-Verteidigungsministerium setzt Anforderungen durch Vertragsklauseln im Defense Federal Acquisition Regulation Supplement (DFARS) durch. Wenn Ihr Unternehmen Geräte oder Dienstleistungen direkt oder über einen Lieferanten an das DoD liefert, muss Ihr Unternehmen diese Klauseln akzeptieren.
DoD-Vertragsklauseln enthalten Anforderungen an den Umgang mit CUI; diese haben sich in den letzten Jahren weiterentwickelt.
DFARS 252.204-7012 beschreibt die grundlegenden Anforderungen zum Schutz von CUI. Diese basieren auf 110 Kontrollen, die in NIST 800-171 definiert sind. Organisationen müssen bestätigen, dass sie die meisten dieser Kontrollen bereits implementiert haben, und einen Aktionsplan mit Meilensteinen (Plan of Action and Milestones, POAM) vorlegen, um die verbleibenden Kontrollen umzusetzen. Diese Klausel verpflichtet die Organisation außerdem dazu, den Regierungskunden zu benachrichtigen, wenn ein Cybervorfall vorliegt, der CUI der Regierung gefährdet.
Die „-7012“-Klausel wurde erstmals 2017 eingeführt. 2023 führte die Regierung drei neue Klauseln in Bezug auf CUI ein: -7019, -7020 und -7021.
DFARS 252.204-7019 erweitert die Berichtsanforderungen von -7012. Organisationen müssen eine Bewertung ihrer Systeme durchführen, um einen Score zu ermitteln. Dieser Score muss über die Website des Supplier Performance Risk System (SPRS) gemeldet werden, wo Regierungsbehörden und Hauptauftragnehmer ihn einsehen können. Bewertung und Score-Ermittlung müssen alle drei Jahre erneut durchgeführt werden.
DFARS 252.204-7020 definiert verschiedene Bewertungsstufen für -7019. Je nach Art der CUI-Daten kann die Bewertung von der Organisation oder von einem Regierungsteam durchgeführt werden. Diese Klausel besagt, dass die Regierungsbehörde Zugang erhält, um diese Überprüfungen durchzuführen, wenn sie dies für notwendig erachtet.
DFARS 252.204-7021 beschreibt das CMMC-Programm. Das Programm definiert drei Stufen von Lieferanten, mit unterschiedlichen Bewertungsanforderungen für jede Stufe. Lieferanten der Stufe 1 müssen die Anforderungen von 15 grundlegenden Kontrollen unter NIST 800-171 erfüllen. Die Bewertung erfolgt durch die Organisation selbst. Lieferanten der Stufe 2 müssen die Anforderungen aller 110 Kontrollen erfüllen und von einer zertifizierten CMMC Third Party Assessment Organization (C3PAO) bewertet werden. Lieferanten der Stufe 3 müssen direkt von Regierungsbeamten bewertet werden. In einem Klarstellungsschreiben bestätigte das DoD, dass sich das CMMC-Programm an NIST 800-171 Rev. 2 ausrichten wird, obwohl 2024 bereits Rev. 3 herausgegeben wurde.
Das vollständige CMMC-Programm wurde Ende 2024 veröffentlicht. Die ersten Verträge, welche die Anforderungen aus -7021 enthalten, wurden Anfang 2025 ausgegeben.
Das CMMC-Programm hat einen klaren Einfluss auf IT-Teams. Die Teams müssen sicherstellen, dass die Datensysteme des Unternehmens (E-Mail, Datenspeicherung, Office-Tools und Entwicklungswerkzeuge) den CMMC-Anforderungen entsprechen. In den meisten Unternehmen ist die IT die Gruppe, die für die Einhaltung der CMMC-Anforderungen verantwortlich ist, die Bewertungen einholt und die entsprechenden Compliance-Erklärungen unterzeichnet.
In den letzten Jahrzehnten waren Testsysteme von vielen dieser Sicherheitsprogramme ausgeschlossen. Testsysteme verarbeiten jedoch sensible Regierungsdaten, einschließlich CUI. Testsysteme sind mit den Systemen verbunden, die in Regierungsnetzwerken eingesetzt werden, und ein böswilliger Angriff auf ein Testsystem führt somit zu einer Gefährdung von Regierungssystemen. Testsysteme sind ein wichtiger Bestandteil eines Sicherheitsabwehrsystems und müssen in eine CMMC-Bewertung einbezogen werden.
Das bedeutet, dass Testsysteme die Anforderungen der NIST-800-171-Kontrollen erfüllen müssen. Die Einhaltung der Anforderungen dieser Kontrollen muss jedoch anders als bei regulären IT-Systemen gewährleistet werden. IT-Kontrollen erfordern beispielsweise häufige Updates, um Systeme auf dem neuesten Stand zu halten. Testsysteme können nicht mit der gleichen Häufigkeit aktualisiert werden – Updates müssen vollständig getestet werden, um den fortlaufenden Betrieb sicherzustellen, und das Update muss zwischen Tests angewendet werden. Das Anwenden eines Updates während eines Tests kann zu Verzögerungen oder sogar Sicherheitsproblemen führen.
Um diesen Unterschieden Rechnung zu tragen, wird Testequipment der Betriebstechnik (Operational Technology, OT) und nicht der Informationstechnik (Information Technology, IT) zugeordnet. NIST 800-82, „Guide to Operational Technology (OT) Security“, bietet einige Erklärungen zum Verständnis der Unterschiede zwischen IT- und OT-Systemen im Bereich Sicherheit. Es ist ein wichtiges Dokument für IT-Teams, die eine Sicherheitsstrategie für Testsysteme erstellen.
NI arbeitet eng mit Testteams auf der ganzen Welt zusammen, um ihre Testsysteme vor bösartigen Angriffen zu schützen. Erfolgreiche Teams setzen die folgenden Sicherheitsprinzipien um:
Etablieren Sie so früh wie möglich einen klaren und offenen Kommunikationskanal mit dem IT-Sicherheitsteam. Machen Sie sich mit dessen Aufgaben und Richtlinien vertraut und nehmen Sie sich Zeit, um die Funktionsweise von Testoperationen zu erklären.
Führen Sie ein Framework für die Sicherheitsentwicklung in Ihrem Entwicklungsprozess ein. NIST 800-218 bietet eine Reihe von Praktiken, die Ihr Team übernehmen sollte, um sichere Lösungen zu entwickeln.
Arbeiten Sie mit seriösen Lieferanten zusammen, die die benötigten Funktionen und Dokumentationen bereitstellen können. Es ist viel einfacher nachzuweisen, dass Ihr System sicher ist, wenn die Komponenten von Unternehmen stammen, die Sicherheit ernst nehmen. Wenn der Lieferant Dokumente wie SBOMs, Volatilitätsdokumente, Compliance-Matrizen und Richtlinien zur sicheren Implementierung bereitstellen kann, reduzieren Sie Ihren eigenen Dokumentationsaufwand.
Entwickeln Sie eine starke Sicherheitskultur und schulen Sie Ihr Team darin, Sicherheit ernst zu nehmen.
Erstellen Sie einen Plan für die fortlaufende Aufrechterhaltung der Sicherheit. Das Aktualisieren von Testsystemen stellt eine echte Belastung für ein Testteam dar. Es wirkt sich disruptiv auf Test-Workflows aus. Möglicherweise muss das System auch erneut validiert werden. Sie müssen einen Plan für fortlaufende Updates erstellen, der zu Ihrem Betriebsablauf passt, und Sie müssen sicherstellen, dass Ihr Kunde oder Ihr Unternehmen bereit ist, diese Updates zu finanzieren.
Lernen Sie von anderen. NI veranstaltet zweimal jährlich einen Test System Security Summit und veröffentlicht die Präsentationen im Forum zur Testsystemsicherheit. Nehmen Sie an den dazugehörigen Meetings teil, um Antworten auf Ihre Fragen zu erhalten und sich über bewährte Methoden in der Branche zu informieren.
Weitere Informationen zu den NIST 800-171-Anforderungen finden Sie unter CMMC-Anforderungen.
Linux® wird gemäß einer Unterlizenz von LMI verwendet. LMI ist der exklusive Lizenznehmer von Linus Torvalds, dem weltweiten Eigentümer der Marke.