CMMC 2.0: Was es ist, wer es benötigt und wie MSPs ihren Kunden bei der Einhaltung der Vorschriften helfen können

Die „Cybersecurity Maturity Model Certification“ (CMMC) ist das Rahmenwerk des US-Verteidigungsministeriums, mit dem sichergestellt werden soll, dass die Verteidigungsindustrie sowie die Auftragnehmer und Subunternehmer, aus denen sich die Lieferkette des Verteidigungsministeriums zusammensetzt, ein angemessenes Maß an Cybersicherheit gewährleisten, um sensible Verteidigungsinformationen zu schützen.

Laut dem „Kaseya State of the MSP Report 2026“ gaben 71 % der MSPs an, dass ihre Umsätze im Bereich Cybersicherheit im Vergleich zum Vorjahr gestiegen sind. Die CMMC-Konformität entwickelt sich rasch zum Schlüssel für den Zugang zum Markt für Verteidigungsaufträge, und da das US-Verteidigungsministerium die Zahl der Lieferanten in der Verteidigungsindustrie auf 350.000 schätzt, ist der potenzielle Markt für MSPs, die Dienstleistungen zur Vorbereitung auf die CMMC-Zertifizierung anbieten, beträchtlich.

Die Durchsetzung von Phase 1 begann am 10. November 2025. Phase 2, in der die C3PAO-Zertifizierung für einen größeren Kreis von Aufträgen verpflichtend wird, beginnt am 10. November 2026. Organisationen, die zum Zeitpunkt der Ausschreibung für Phase 2 nicht zertifiziert sind, können sich nicht um diesen Auftrag bewerben. Die Vorbereitung dauert in der Regel 9 bis 12 Monate. Für Kunden, die noch Maßnahmen ergreifen müssen, ist jetzt der richtige Zeitpunkt.

Dieser Leitfaden behandelt die Anforderungen von CMMC 2.0, für wen es gilt und was MSPs wissen müssen, um ihren Kunden – und sich selbst – dabei zu helfen, die Compliance zu erreichen und aufrechtzuerhalten.

Was ist CMMC und wozu dient es?

Das CMMC wurde ins Leben gerufen, um ein konkretes Problem anzugehen: Sensible Verteidigungsinformationen, Federal Contract Information (FCI) und Controlled Unclassified Information (CUI) wurden von Auftragnehmern des Verteidigungsministeriums unter Verwendung unzureichender Cybersicherheitsmaßnahmen verarbeitet. Die bestehende Anforderung (DFARS 252.204-7012, die die Einhaltung von NIST SP 800-171 vorschrieb) stützte sich auf eine Selbstbescheinigung. Auftragnehmer bescheinigten die Einhaltung der Vorschriften, oft unzutreffend, und sensible Informationen blieben einem Risiko ausgesetzt.

Mit dem CMMC wird das Modell von der Selbstbescheinigung auf eine überprüfte Konformität umgestellt. Auftragnehmer legen entweder eine Selbstbescheinigung vor (Verträge der Stufe 1 und einige der Stufe 2) oder werden von einer zertifizierten externen Prüfstelle (C3PAO) oder staatlichen Prüfern bewertet (Stufe 3), je nach Sensibilität der von ihnen verarbeiteten Informationen und der im Vertrag geforderten CMMC-Stufe.

Die endgültige Regelung wurde in 32 CFR Teil 170 kodifiziert und trat am 16. Dezember 2024 in Kraft. Die Beschaffungsvorschrift, die CMMC über DFARS in Verträge des Verteidigungsministeriums einbindet, trat am 10. November 2025 in Kraft.

CMMC 2.0: Was hat sich gegenüber Version 1.0 geändert?

Das 2020 angekündigte CMMC 1.0 umfasste fünf Reifegrade und führte zu erheblicher Komplexität. Aufgrund des Feedbacks aus der Industrie veröffentlichte das Verteidigungsministerium 2021 das CMMC 2.0, das das Rahmenwerk in vier wesentlichen Punkten vereinfachte.

Drei Stufen statt fünf. CMMC 2.0 fasst die Stufen zu drei Ebenen zusammen, die sich an den tatsächlichen Risikostufen in der Verteidigungslieferkette orientieren: „Foundational“, „Advanced“ und „Expert“.

Anpassung an NIST SP 800-171 auf Stufe 2. Stufe 2 entspricht genau den 110 Praktiken in NIST SP 800-171, dem Standard, auf den die meisten Rüstungsunternehmen bereits hingearbeitet haben. Dies verringert Doppelarbeit und erleichtert Organisationen mit bestehenden NIST-Programmen die Einhaltung der Vorschriften.

Bei einigen Verträgen der Stufe 2 ist eine Selbstbescheinigung zulässig. Vorrangige Beschaffungen (Verträge, die besonders sensible CUI betreffen) erfordern eine Bewertung durch eine unabhängige C3PAO-Stelle. Bei nicht vorrangigen Beschaffungen kann während der schrittweisen Einführung eine jährliche Selbstbescheinigung zulässig sein. Stufe 1 erfolgt stets im Wege der Selbstbescheinigung.

Aktionspläne und Meilensteine (POA&Ms) sind zulässig. Das 2.0-Rahmenwerk erlaubt POA&Ms für eine begrenzte, zeitlich begrenzte Behebung festgestellter Mängel und bietet so einen Weg zur Vertragsfähigkeit, während auf die vollständige Einhaltung der Vorschriften hingearbeitet wird.

Die drei CMMC-Stufen

Stufe 1, Grundstufe (15 Maßnahmen). Gilt für Organisationen, die mit Informationen zu Bundesaufträgen (FCI) umgehen, jedoch nicht mit CUI. Erfordert die Umsetzung der 15 grundlegenden Maßnahmen zur Cyberhygiene gemäß FAR-Klausel 52.204-21. Jährliche Selbstbescheinigung durch einen leitenden Unternehmensvertreter, wobei die Ergebnisse im Supplier Performance Risk System (SPRS) eingereicht werden. Keine Bewertung durch Dritte erforderlich. Auf dieser Stufe sind keine POA&Ms zulässig; alle 15 Anforderungen müssen vollständig erfüllt sein.

Hinweis: In früheren CMMC-Unterlagen wurde auf 17 Praktiken der Stufe 1 Bezug genommen. In der endgültigen Regelung gemäß 32 CFR Part 170, die im Dezember 2024 in Kraft tritt, wurden drei Anforderungen an den physischen Schutz zu einer einzigen zusammengefasst, wodurch sich die offizielle Anzahl auf 15 beläuft.

Stufe 2, Fortgeschritten (110 Maßnahmen). Gilt für Organisationen, die mit nicht klassifizierten, aber schutzbedürftigen Informationen (Controlled Unclassified Information, CUI) umgehen. Erfordert die vollständige Umsetzung von NIST SP 800-171 Rev. 2. Bei vorrangigen Beschaffungen ist eine alle drei Jahre stattfindende Bewertung durch eine C3PAO erforderlich. Bei nicht vorrangigen Beschaffungen ist unter Umständen eine jährliche Selbstbescheinigung zulässig. Stufe 2 ist die Stufe, die die meisten Rüstungsunternehmen erreichen müssen, um ihre Berechtigung zur Teilnahme an Verträgen des Verteidigungsministeriums (DoD) aufrechtzuerhalten.

Stufe 3, Experte (über 130 Maßnahmen). Gilt für Organisationen, die im Rahmen kritischer Programme mit besonders sensiblen CUI umgehen. Erfordert die vollständige Umsetzung von NIST SP 800-171 sowie ausgewählter Maßnahmen aus NIST SP 800-172. Bewertung durch staatliche Prüfer der DCSA (DIBCAC). Gilt für eine kleine Untergruppe hochsensibler Programme.

Wer muss die CMMC-Anforderungen erfüllen?

Die CMMC-Anforderungen gelten für alle Organisationen, Hauptauftragnehmer oder Subunternehmer, die im Rahmen von Verträgen mit dem Verteidigungsministerium mit FCI oder CUI umgehen. Der Anwendungsbereich ist weiter gefasst, als vielen Organisationen zunächst bewusst ist.

Direkte Auftragnehmer des Verteidigungsministeriums. Unternehmen, die Hauptverträge mit dem Verteidigungsministerium abgeschlossen haben. Die meisten benötigen die Sicherheitsstufe 1 oder 2, je nachdem, ob sie mit CUI umgehen.

Subunternehmer. Jede Organisation in der Lieferkette, die mit FCI oder CUI umgeht. Die Weitergabe der Anforderungen ist obligatorisch: Hauptauftragnehmer müssen sicherstellen, dass ihre Subunternehmer das vertraglich vorgeschriebene CMMC-Niveau erfüllen. Ein kleines Ingenieurbüro, das als Subunternehmer der zweiten Ebene an einem Verteidigungsprogramm beteiligt ist, kann mit CUI umgehen und unterliegt möglicherweise Stufe 2.

Managed Service Provider. Wenn ein MSP im Auftrag eines Kunden aus der Rüstungsindustrie CUI verarbeitet, speichert oder übermittelt oder wenn die Systeme des MSP im Rahmen der Leistungserbringung CUI verarbeiten, ist der MSP Teil des CUI-Grenzbereichs und unterliegt möglicherweise selbst den CMMC-Anforderungen. Dies ist die am häufigsten übersehene Konsequenz für MSPs.

Die Weitergabeverpflichtung ist der Aspekt, der am häufigsten übersehen wird. Ein MSP, der nie geprüft hat, ob seine Dienstleistungen eine Verpflichtung zum Umgang mit CUI begründen, arbeitet mit einer unentdeckten Haftung – ebenso wie die Hauptauftragnehmer, deren Compliance davon abhängt.

Was CMMC Level 2 konkret verlangt

Die 110 Maßnahmen der Stufe 2 in 14 Bereichen bilden ein umfassendes Sicherheitsprogramm. Die Bereiche, die für KMU und Rüstungsunternehmen mit einem niedrigen Ausgangsniveau die größten operativen Herausforderungen darstellen:

Zugriffskontrolle (AC), 22 Maßnahmen. Multi-Faktor-Authentifizierung (MFA) für alle Konten, Prinzip der geringsten Berechtigungen, bedarfsgerechter Zugriff auf Basis des „Need-to-know“-Prinzips, Zeitlimit für Sitzungen, Beschränkungen für den Fernzugriff und kontrollierte Nutzung mobiler Geräte.

Konfigurationsmanagement (CM), 9 Praktiken. Dokumentierte Basis-Konfigurationen, Überwachung und Benachrichtigung bei Konfigurationsänderungen, Einschränkung der Installation nicht autorisierter Software.

Incident Response (IR), 3 Maßnahmen: Dokumentierter und getesteter Plan zur Reaktion auf Vorfälle, Fähigkeit zur Eindämmung von Vorfällen und zur Wiederherstellung nach Vorfällen sowie die verpflichtende Meldung von Vorfällen an das Verteidigungsministerium.

Risikobewertung (RA), 3 Maßnahmen: Regelmäßige Risikobewertungen, Behebung festgestellter Schwachstellen und Beteiligung am Austausch von Bedrohungsinformationen.

System- und Kommunikationsschutz (SC), 16 Maßnahmen. Netzwerksegmentierung zur Isolierung von CUI-Systemen von Nicht-CUI-Systemen, Verschlüsselung von CUI während der Übertragung und im Ruhezustand, verwaltete Schnittstellen und Grenzschutzmaßnahmen.

System- und Informationsintegrität (SI), 7 Maßnahmen. Schutz vor Malware durch regelmäßige Updates, Überwachung von Sicherheitswarnungen, Patch-Management für Betriebssysteme und Anwendungen sowie Systemüberwachung auf ungewöhnliches Verhalten.

Der Umfang von Level 2 macht die Umsetzung für Organisationen, die von einem niedrigen Ausgangsniveau starten, zu einem erheblichen Unterfangen. Ausgangspunkt ist eine Lückenanalyse anhand von NIST SP 800-171, bei der ermittelt wird, welche der 110 Maßnahmen bereits umgesetzt sind, welche teilweise umgesetzt sind und welche noch nicht berücksichtigt wurden. Im Durchschnitt benötigt ein Rüstungsunternehmen 9 bis 12 Monate, um ab dem Zeitpunkt des Beginns einer formellen Lückenanalyse für die Bewertung bereit zu sein.

MSPs und CMMC: Die Komplexität der Lieferkette

MSPs nehmen im CMMC-Ökosystem eine komplexe Stellung ein. Wenn ein MSP im Rahmen der Erbringung von Dienstleistungen für einen Rüstungsunternehmen auf CUI zugreift, diese verarbeitet oder speichert, muss der MSP möglicherweise die Anforderungen der Stufe 2 für seine eigene Umgebung erfüllen. Entscheidend ist dabei, ob die Systeme und das Personal des MSP im Rahmen der Erbringung von managed services mit CUI in Berührung kommen.

Ein konkretes Beispiel: Ein MSP, der Fernüberwachung und -verwaltung für einen Rüstungskonzern bereitstellt und dessen RMM-Agenten auf Endgeräten installiert sind, die CUI verarbeiten, verfügt über Systeme, die wohl innerhalb der CUI-Grenzen liegen. Der MSP muss prüfen, ob dies eine CMMC-Verpflichtung für seine eigene Umgebung nach sich zieht.

Hauptauftragnehmer nehmen zunehmend CMMC-Weiterverwirklichungsklauseln in MSP-Dienstleistungsverträge auf. Unkenntnis des Geltungsbereichs gilt nicht als Rechtfertigung, und eine falsche Bescheinigung zieht rechtliche Konsequenzen nach dem False Claims Act nach sich.

MSPs, die die CMMC-Konformität für ihre eigenen Umgebungen erreichen, verschaffen sich einen bedeutenden Wettbewerbsvorteil: Sie werden zum bevorzugten IT-Partner für Rüstungsunternehmen, die nachweisen müssen, dass ihre MSP-Lieferkette keine Compliance-Lücken aufweist. CMMC-konforme MSPs erhalten Zugang zu einem Marktsegment, das nicht konforme MSPs nicht bedienen können, und können ihre Preise entsprechend gestalten.

Erfüllung der CMMC-Anforderungen: ein praxisorientierter Ansatz

Schritt 1: Erfassen Sie die CUI-Umgebung. Ermitteln Sie alle Systeme, Mitarbeiter und Prozesse, die mit CUI umgehen. Die CUI-Grenze legt fest, was den Compliance-Anforderungen entsprechen muss. Durch die Minimierung des Umfangs, indem der Umgang mit CUI auf einen definierten Bereich beschränkt wird, lässt sich der Compliance-Aufwand erheblich reduzieren.

Schritt 2: Führen Sie eine Lückenanalyse durch. Bewerten Sie den aktuellen Stand der Umsetzung anhand der 110 Praktiken aus NIST SP 800-171. Ein Systemsicherheitsplan (SSP) dokumentiert den aktuellen Konformitätsstatus. Ein Aktions- und Meilensteinplan (POA&M) dokumentiert festgestellte Lücken und Zeitpläne für deren Behebung. Beide Dokumente sind für die Zertifizierung der Stufe 2 erforderlich.

Schritt 3: Beheben Sie Schwachstellen. Beheben Sie zunächst die kritischsten Schwachstellen, insbesondere in den Bereichen Zugriffskontrolle, Reaktion auf Vorfälle sowie System- und Informationsintegrität, da diese die Angriffsvektoren mit der höchsten Wahrscheinlichkeit abdecken. Automatisierte Tools decken eine Vielzahl von Kontrollmaßnahmen gleichzeitig ab: Das Patch-Management erfüllt die Anforderungen an die System- und Informationsintegrität, die Einführung von MFA erfüllt die Anforderungen an die Zugriffskontrolle, EDR deckt die Anforderungen an die Malware-Abwehr und Überwachung im Bereich der System- und Informationsintegrität ab, und SIEM erfüllt die Anforderungen an die Audit-Protokollierung über mehrere Domänen hinweg.

Schritt 4: Wählen Sie den Bewertungsweg aus. Stellen Sie fest, ob für den jeweiligen Vertrag eine Selbstbescheinigung der Stufe 2 zulässig ist oder ob eine C3PAO-Bewertung erforderlich ist. Ab dem 10. November 2026 ist die C3PAO-Zertifizierung für betroffene Ausschreibungen der Stufe 2 verpflichtend. Bereiten Sie die Nachweise für die Konformität vor: das SSP, das POA&M sowie technische Nachweise aus Sicherheitstools, die die Umsetzung der Kontrollmaßnahmen belegen.

Schritt 5: Aufrechterhaltung der Konformität. CMMC ist keine einmalige Zertifizierung. Jährliche Selbstbescheinigungen oder alle drei Jahre stattfindende C3PAO-Bewertungen erfordern eine kontinuierliche Aufrechterhaltung der Konformität: fortlaufende Überwachung, Patch-Management, Tests der Notfallpläne und die Erstellung von Nachweisen zwischen den Bewertungen.

Wie Compliance Manager GRC das CMMC Compliance Manager GRC

Compliance Manager GRC einen strukturierten Weg zur CMMC-Bereitschaft, der sowohl den Aufwand für die Bewertung als auch die laufenden Anforderungen an die Nachweispflicht berücksichtigt.

Die Plattform umfasst eine spezielle Vorlage für die CMMC-Bewertung der Stufe 2, die auf die 110 Anforderungen der NIST SP 800-171 Rev. 2 abgestimmt ist, einschließlich der Risikobewertungsmatrix des Verteidigungsministeriums (DoD). Der SSP und der POA&M, beides für die Zertifizierung erforderliche Dokumente, werden innerhalb der Plattform erstellt und nachverfolgt. Sobald Lücken behoben sind, werden die entsprechenden Nachweise für jede Kontrollmaßnahme erfasst.

Durch die direkte Integration mit VSA und Datto RMM werden technische Nachweise zu Patch-Compliance, Endpunktzustand und Konfigurationsdaten direkt in den Compliance Manager GRC übernommen, wodurch sich der manuelle Aufwand für die Dokumentation der Kontrollumsetzung verringert. Datto EDR liefert Nachweise für Kontrollen im Bereich Malware-Schutz und Systemüberwachung. IT Glue überträgt abgeschlossene Compliance-Berichte automatisch in die Dokumentation jedes Kunden und hält so die auditfähigen Nachweise zwischen den Bewertungen auf dem neuesten Stand.

Für MSPs, die die CMMC-Bereitschaft als Dienstleistungsangebot positionieren, ermöglicht die Multi-Client-Architektur Compliance Manager GRCdie Verwaltung von Bewertungen für mehrere Kunden aus der Verteidigungsindustrie über eine einzige Konsole.

Entdecken Sie Compliance Manager GRC CMMC