Cybersicherheitsvorschriften werden oft als Checklistenproblem dargestellt: eine begrenzte Anzahl von Kontrollen, die umgesetzt, dokumentiert und geprüft werden müssen. In der Praxis funktionieren Vorschriften jedoch weniger wie eine Checkliste, sondern eher wie ein Mechanismus, der Anreize und Betriebsmodelle umgestaltet und entscheidet, welche Organisationen als vertrauenswürdig gelten, um an kritischen Ökosystemen teilzunehmen.
Die Cybersecurity Maturity Model Certification (CMMC) des US-Verteidigungsministeriums ist ein hervorragendes Beispiel dafür. Die CMMC formalisiert Cybersicherheit als Voraussetzung für die Teilnahme an der Lieferkette im Verteidigungsbereich und sorgt so für ein höheres Maß an Vertrauen dort, wo es am dringendsten benötigt wird.
Keyfactorhat Erlangung der CMMC-Zertifizierung der Stufe 2, die nach einer unabhängigen Bewertung durch eine akkreditierte C3PAO erteilt wurde, steht für die Übereinstimmung zwischen der Keyfactor und den Erwartungen der Kunden, die das Unternehmen bedient.
Warum es CMMC gibt (und warum Level 2 wichtig ist)
Die Lieferkette im Verteidigungsbereich ist strukturell verteilt. Sensible Informationen fließen nicht nur über Hauptauftragnehmer, sondern auch über Tausende von Subunternehmern, Lieferanten und Dienstleistern. In der Vergangenheit führte dies zu einem Problem der schwächsten Stelle: Selbst wenn das Verteidigungsministerium seine eigenen Systeme absicherte, blieben sensible Daten gefährdet, sobald sie die Grenzen des Unternehmens verließen.
CMMC ist ein Versuch, dieses Problem zu lösen. Durch die Standardisierung der Erwartungen an die Cybersicherheit und deren Durchsetzung durch unabhängige Bewertungen externalisiert das Verteidigungsministerium die Sicherheitsanforderungen im gesamten Ökosystem.
CMMC Level 2 ist der Wendepunkt. Es verlangt von Organisationen die Implementierung und den Betrieb von 110 Kontrollen gemäß NIST SP 800-171, um ihre Fähigkeit zum Schutz von kontrollierten, nicht klassifizierten Informationen (Controlled Unclassified Information, CUI) zu validieren. Wichtig ist, dass es die Selbstauskunft durch eine Überprüfung durch Dritte ersetzt und das Vertrauen von Behauptungen auf Nachweise verlagert.
Warum dies für einen PKI-Anbieter wichtig ist
Die Public Key Infrastructure (PKI) steht in den meisten Diskussionen zum Thema Compliance eher im Hintergrund. Wenn sie funktioniert, ist sie unsichtbar. Wenn sie versagt, wird sie umso sichtbarer. Zertifikate bilden die Grundlage für die Geräteidentität, die Authentifizierung von Workloads, verschlüsselte Kommunikation und Zugriffskontrolle, wodurch die PKI sowohl für den Betrieb als auch für die Sicherheit von entscheidender Bedeutung ist.
Das macht PKI-Anbieter zu einem interessanten Testfall für CMMC. Wenn ein für die kryptografische Vertrauenswürdigkeit verantwortlicher Anbieter selbst die Sicherheitsanforderungen der Verteidigungsstufe nicht erfüllen kann, könnte die gesamte Vertrauenskette in Frage gestellt werden.
Die CMMC-Level-2-ZertifizierungKeyfactorgilt speziell für sein PKI-as-a-Service-Produkt (PKIaaS) für Bundesbehörden und bestätigt, dass die Umgebung, die für die Ausstellung und Verwaltung kryptografischer Identitäten zuständig ist, denselben Standards entspricht, die auch für Organisationen der Defense Industrial Base gelten.
Dies ist nicht deshalb wichtig, weil die Einhaltung selten ist, sondern weil die Angleichung selten ist. Sicherheitsanforderungen sind nur dann wirklich wirksam, wenn Anbieter denselben Einschränkungen unterliegen wie ihre Kunden.
Eines der hartnäckigen Missverständnisse über Frameworks wie CMMC ist die Annahme, dass die Zertifizierung eine einmalige Leistung ist. In Wirklichkeit findet die bedeutendere Veränderung schon früher statt: wenn Teams Systeme, Prozesse und Kontrollen unter der Annahme entwickeln, dass sie kontinuierlich auditiert und nicht nur regelmäßig überprüft werden.
Um CMMC Level 2 zu erreichen, musste Keyfactor weisen:
- Operative Konsistenz über alle Sicherheitskontrollen hinweg
- Dokumentierte, wiederholbare Prozesse, die auf NIST SP 800-171 abgestimmt sind
- Rechenschaftsmechanismen, die einer unabhängigen Überprüfung standhalten
Mit anderen Worten: Compliance musste als Betriebsmodell und nicht als Ergebnis betrachtet werden – ein Ansatz, der widerspiegelt, wie moderne Infrastruktur mithilfe von Automatisierung, richtliniengesteuerten Veränderungen und Resilienz funktionieren muss.
Für Kunden: Weniger Reibung, mehr Vertrauen
Für Verteidigungsunternehmen und Dienstleister ist Compliance in der Regel eher ein Gemeinkostenfaktor als ein Kerngeschäft. Jeder zusätzliche Lieferant bringt potenzielle Risiken, zusätzlichen Dokumentationsaufwand und einen höheren Zeitaufwand für die Überprüfung der Kontrollen mit sich.
Durch das Erreichen von CMMC Level 2 Keyfactor diese Reibungspunkte. Kunden erhalten einen PKI-Partner, der bereits auf CMMC-konformen Sicherheitsstufen arbeitet, ein geringeres Risiko bei Audits und Lieferkettenprüfungen und eine Infrastruktur, die standardmäßig zum Schutz von CUI ausgelegt ist und nicht erst nachträglich hinzugefügt wurde.
Dies wird immer wichtiger , da die Gültigkeitsdauer von Zertifikaten immer kürzer wird und sich die Kryptografie immer schneller verändert. Manuelle Prozesse sind in regulierten Umgebungen nicht skalierbar; Automatisierung ist der einzige gangbare Weg, um eine nachhaltige Compliance zu erreichen.
CMMC, FedRAMP und die Richtung der Entwicklung
CMMC Level 2 existiert nicht isoliert. Es ergänzt die FedRAMP-Autorisierung „In Process“Keyfactorund stärkt damit eine umfassendere Strategie: in regulierten Umgebungen standardmäßig und nicht nur in Ausnahmefällen zu arbeiten.
Die Richtung ist klar. Mit der zunehmenden Verbreitung KI-gesteuerter Systeme, den sich weiterentwickelnden kryptografischen Anforderungen und der Umwandlung von Post-Quanten-Standards von der Theorie in verbindliche Vorschriften benötigen Unternehmen eine Infrastruktur, die sich anpassen lässt, ohne dass das Vertrauen von Grund auf neu aufgebaut werden muss.
Die CMMC-Zertifizierung der Stufe 2 ist ein Meilenstein, aber ihre wahre Bedeutung liegt in dem, was sie signalisiert: eine Verpflichtung zu gemeinsamen Standards, abgestimmten Anreizen und operativer Strenge in Umgebungen, in denen Vertrauen nicht verhandelbar ist.
Für Keyfactor ist die Logik ganz einfach: Wenn digitales Vertrauen das Produkt ist, dann muss Vertrauenswürdigkeit das Funktionsprinzip sein.
