Erstmals wurde im Mai 2019 vom Pentagon angekündigt, dass eine Cybersecurity Qualifizierung für Dienstleister des Departments of Defense („DoD“) geschaffen werden sollte. Bestimmte Tätigkeiten werden vom DoD outgesourct und da geht es dem DoD genauso, wie jedem anderen Unternehmen, dass bestimmte Verarbeitungstätigkeiten auslagert: Die Sicherheit des Gesamtsystems ist genauso hoch, wie die Sicherheit des schwächsten Gliedes.
Insofern hilft hier natürlich die ganzheitliche Problembetrachtung. Das Programm nennt sich „CMMC“ - Cybersecurity Maturity Model Certification. Das Konzept zielt darauf ab, die Einhaltung der föderalen Cybersicherheitsvorschriften rund um kontrollierte, nicht klassifizierte Informationen (CUI) durch ein Unternehmen zu zertifizieren. Im Ziel soll eine Risikoqualifikation (und Ertüchtigung) an allen Stellen der Lieferkette angestrebt werden. Ab 2020 sollen die Lieferanten-Unternehmen durch externe Audits deren Compliance nachweisen.
Insgesamt werden fünf Reifegradstufen unterschieden:
- CMMC Level 1 | Basic Cyber Hygiene | 17 security controls (NIST SP 800-171 rev 1)
- CMMC Level 2 | Intermediate Cyber Hygiene | 46 security controls (NIST SP 800-171 rev 1)
- CMMC Level 3 | Good Cyber Hygiene | 47 security controls (NIST SP 800-171 rev 1)
- CMMC Level 4 | Proactive | 26 security controls (NIST SP 800-171B)
- CMMC Level 5 | Advanced/Progressive | 4 security controls (NIST SP 800-171B)
Hier gibt es detailliert Infos zu dem System direkt vom DoD: https://www.acq.osd.mil/cmmc/faq.html
Datenschutz Bochum meint: Die ganzheitliche Betrachtungsweise von Cybersicherheit über die gesamte Lieferkette ist überfällig. Wir sitzen alle in einem Boot.