Beancount.io LogoBeancount.io

CMMC 2.0 und NIST 800-171 im Jahr 2026: Ein Zertifizierungs-Fahrplan für kleine Verteidigungsunternehmen

14 Minuten LesezeitMike ThriftMike Thrift
CMMC 2.0 und NIST 800-171 im Jahr 2026: Ein Zertifizierungs-Fahrplan für kleine Verteidigungsunternehmen

Falls Sie irgendetwas an das Verteidigungsministerium (Department of Defense – DoD) liefern — von maschinell bearbeiteten Teilen bis hin zu Software, von Logistikdienstleistungen bis hin zu technischen Zeichnungen — läuft für Ihr Unternehmen die Zeit ab. Das Programm zur Zertifizierung des Reifegrads der Cybersicherheit (Cybersecurity Maturity Model Certification, CMMC) wurde am 10. November 2025 offiziell in DoD-Verträge aufgenommen, und die darauffolgende Phase der Zertifizierung durch Dritte am 10. November 2026 wird im Stillen Tausende von kleinen Subunternehmern disqualifizieren, die dachten, sie hätten noch mehr Zeit.

Die unangenehmste Tatsache an CMMC ist, dass es sich nicht wirklich um ein neues Regelwerk handelt. Es ist ein Verifizierungsmechanismus für Cybersicherheitsanforderungen, die seit 2017 in der Defense Federal Acquisition Regulation Supplement (DFARS) verankert sind. Branchenumfragen zeigen immer noch, dass weniger als 15 Prozent der Verteidigungsunternehmen diese zugrunde liegenden Kontrollen nach NIST SP 800-171 vollständig implementiert haben. Das ist die Lücke, die CMMC aufdecken soll — und die Lücke, die nun vertraglich entscheidend dafür ist, ob Sie eine Ausschreibung gewinnen oder verlieren.

Dieser Leitfaden richtet sich an Eigentümer, COOs und IT-Leiter von Kleinunternehmen, die sich plötzlich in der Situation wiederfinden, ein Rahmenwerk mit 110 Kontrollen, einen Bewertungsleitfaden mit 320 Zielen und ein dreistufiges Zertifizierungsmodell in etwas zu übersetzen, das sie budgetieren, planen und liefern können, bevor die nächste Ausschreibung endet.

Die drei Stufen verständlich erklärt

CMMC 2.0 reduziert das ursprüngliche Fünf-Stufen-Modell auf drei Stufen. Welches Level Sie benötigen, bestimmt sich nach der Art der Regierungsinformationen, mit denen Sie arbeiten, nicht nach der Größe Ihres Unternehmens oder dem Dollarwert Ihres Vertrages.

Level 1 (Grundlegend) gilt, wenn Ihre einzigen DoD-bezogenen Informationen Bundesvertragsinformationen (Federal Contract Information, FCI) sind — also nicht-öffentliche Informationen, die im Rahmen oder für einen Vertrag generiert werden und die von der Regierung nicht zur öffentlichen Freigabe bestimmt wurden. Denken Sie an Bestellungen, Lieferpläne, grundlegende Daten zur Leistungsbeschreibung. Level 1 entspricht den 17 grundlegenden Sicherheitsvorkehrungen in der FAR-Klausel 52.204-21 und wird durch eine jährliche Selbsteinschätzung mit der Bestätigung eines leitenden Angestellten im Supplier Performance Risk System (SPRS) des DoD erfüllt.

Level 2 (Fortgeschritten) greift in dem Moment, in dem kontrollierte unklassifizierte Informationen (Controlled Unclassified Information, CUI) Ihre Umgebung berühren. CUI ist eine breitere Kategorie, die exportkontrollierte technische Daten, kontrollierte technische Informationen, Informationen über nukleare Schiffsantriebe, bestimmte Arten von personenbezogenen Daten und andere im CUI-Register definierte Kategorien umfasst. Level 2 erfordert die Implementierung aller 110 Kontrollen von NIST SP 800-171 Revision 2, bewertet anhand der 320 Bewertungsziele in NIST SP 800-171A. Die meisten Level-2-Verträge erfordern eine alle drei Jahre stattfindende Bewertung durch eine zertifizierte Bewertungsorganisation Dritter (Certified Third-Party Assessor Organization, C3PAO). Ein kleiner Teil von Verträgen mit „nicht-kritischen CUI“ kann eine jährliche Selbsteinschätzung zulassen, aber Sie sollten nicht davon ausgehen, dass Ihr Vertrag dazu gehört, es sei denn, der zuständige Vertragsbeamte sagt dies ausdrücklich.

Level 3 (Experte) ist Auftragnehmern vorbehalten, die mit CUI in Verbindung mit den höchstpriorisierten Programmen des DoD arbeiten. Es fügt 24 Kontrollen aus NIST SP 800-172 zu den 110 aus 800-171 hinzu und wird vom Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) bewertet. Wenn Sie nicht bereits wissen, dass Sie Level 3 sind, sind Sie es höchstwahrscheinlich nicht.

Die praktische Auswirkung: Wenn Ihr Unternehmen jemals technische Zeichnungen, als CUI gekennzeichnete Spezifikationen, ITAR-kontrollierte Daten oder irgendetwas erhält, das der Hauptauftragnehmer als „kontrolliert“ beschreibt, sind Sie ein Level-2-Betrieb und müssen entsprechend budgetieren.

Was sich in der endgültigen Regelung geändert hat

Die DFARS-Änderung, die CMMC festschreibt, trat am 10. November 2025 in Kraft, mit einer phasenweisen Einführung über vier Jahre. Zwei Aspekte der Regelung verdienen Aufmerksamkeit, da sie häufig missverstanden werden.

Erstens wurde die DFARS-Klausel 252.204-7019 — die eigenständige Anforderung zur Durchführung einer grundlegenden NIST SP 800-171-Selbsteinschätzung und zur Veröffentlichung einer Punktzahl in SPRS — in die CMMC-Klauseln integriert und existiert nicht mehr als separate Bestimmung. Viele Kleinunternehmen gehen immer noch davon aus, dass die Veröffentlichung einer Selbsteinschätzung das Ende ihrer Compliance-Verpflichtung ist. Nach dem 10. November 2025 ist dies das absolute Minimum, um mitbieten zu können, und nach dem 10. November 2026 wird es für die meisten CUI-Verträge überhaupt nicht mehr ausreichen.

Zweitens macht DFARS 252.204-7021 die CMMC-Zertifizierung zur Bedingung für die Auftragsvergabe und verlangt vom Auftragnehmer, diese Zertifizierung während des gesamten Leistungszeitraums aufrechtzuerhalten. Das bedeutet, dass Ihre Zertifizierung nicht mitten im Vertrag stillschweigend auslaufen darf; falls doch, haben Sie ein Compliance-Problem, das sich über die Lieferkette bis zum Hauptauftragnehmer auswirkt.

Drittens bleibt DFARS 252.204-7012 — die Klausel zur Meldung von Vorfällen, die seit 2017 in Kraft ist — unverändert. Sie haben weiterhin 72 Stunden Zeit, um einen Cybervorfall zu melden, der geschützte Verteidigungsinformationen betrifft, und Sie müssen auf Anfrage weiterhin Datenträger für eine forensische Analyse bereitstellen.

Die 14 Kontrollfamilien, entmystifiziert

Die 110 Kontrollen von Level 2 sind in 14 Familien unterteilt, die die Struktur von NIST SP 800-171 widerspiegeln. Das Lesen in einfacher Sprache hilft Ihnen zu verstehen, wo die eigentliche Arbeit anfällt.

Zugriffskontrolle (22 Kontrollen) regelt, wer sich anmelden darf, was er sehen kann und was er tun darf, sobald er im System ist. Rechnen Sie damit, jeden Benutzer, jede Rolle und jedes gemeinsam genutzte Konto in Ihrer Umgebung zu inventarisieren.

Bewusstsein und Schulung (3 Kontrollen) erfordert dokumentierte Schulungen zum Sicherheitsbewusstsein für alle Benutzer sowie rollenbasierte Schulungen für privilegierte Benutzer. Generische Phishing-Module allein reichen nicht aus.

Prüfung und Rechenschaftspflicht (9 Kontrollen) verlangt, dass Ihre Systeme Protokolle erstellen, schützen und überprüfen, die ausreichen, um zu rekonstruieren, was während eines Vorfalls passiert ist. Viele kleine Betriebe scheitern hier nicht, weil sie keine Protokolle erstellen können, sondern weil niemand sie überprüft.

Konfigurationsmanagement (9 Kontrollen) fordert Sie auf, Baselines für jedes System festzulegen, das CUI verarbeitet, und Änderungen an diesen Baselines zu verwalten. Hier werden nicht autorisierte Software und „Schatten-IT“ zu einem Prüfungsbefund.

Identifizierung und Authentifizierung (11 Kontrollen) ist die Familie der Multi-Faktor-Authentifizierung (MFA). MFA für privilegierte Konten ist nicht verhandelbar. MFA für alle Konten, die auf CUI zugreifen, ist die praktische Auslegung, die Auditoren anwenden.

Reaktion auf Vorfälle (3 Kontrollen) erfordert eine getestete Reaktionsfähigkeit auf Vorfälle mit dokumentierten Verfahren, Schulungen und Berichterstattung. Die 72-Stunden-Frist nach DFARS 7012 macht dies konkret.

Wartung (6 Kontrollen) steuert, wie Sie Wartungsarbeiten an Systemen durchführen, die CUI verarbeiten, einschließlich Fernwartung und der Überwachung von Anbietern, die mit Ihrer Umgebung in Kontakt kommen.

Schutz von Medien (9 Kontrollen) umfasst die Kennzeichnung, den Transport, die Bereinigung und die Vernichtung von Medien, die CUI enthalten – ja, einschließlich des USB-Sticks, auf dem Sicherungskopien von Konstruktionsdaten gespeichert sind.

Personalsicherheit (2 Kontrollen) erfordert eine Überprüfung vor der Gewährung des Zugriffs auf CUI und stellt sicher, dass der Zugriff nach Beendigung des Arbeitsverhältnisses gesperrt wird.

Physischer Schutz (6 Kontrollen) regelt den physischen Zugang zu Einrichtungen, in denen CUI verarbeitet wird, einschließlich Besucherprotokollen und Schutzmaßnahmen für Geräte.

Risikobewertung (3 Kontrollen) erfordert regelmäßige Risikobewertungen und Schwachstellenscans Ihrer relevanten Systeme.

Sicherheitsbewertung (4 Kontrollen) verlangt einen dokumentierten Systemsicherheitsplan (SSP) und einen Plan für Maßnahmen und Meilensteine (POA&M) – die beiden Artefakte, die jeder Prüfer zuerst öffnet.

System- und Kommunikationsschutz (16 Kontrollen) umfasst den Schutz von Netzwerkgrenzen, Verschlüsselung bei der Übertragung, Verschlüsselung im Ruhezustand und die architektonische Trennung von CUI von anderen Daten.

System- und Informationsintegrität (7 Kontrollen) umfasst die Behebung von Mängeln, den Schutz vor bösartigem Code und die Überwachung.

Die 110 Kontrollen erweitern sich in NIST SP 800-171A auf 320 Bewertungsziele. Jedes Ziel ist eine diskrete Ja-oder-Nein-Frage, die der Prüfer stellen wird, und jedes erfordert Beweise – eine Richtlinie, einen Screenshot der Konfiguration, ein Protokollbeispiel, eine unterschriebene Bestätigung. Ersteller von Repositories für Compliance-Nachweise schätzen typischerweise 600 bis 1.200 einzelne Nachweise für eine erfolgreiche Level-2-Bewertung.

Was dies ein kleines Unternehmen tatsächlich kostet

Die eigene Regulierungsfolgenabschätzung des DoD schätzt, dass etwa 229.818 der 337.968 betroffenen Unternehmen kleine Unternehmen sind. Die Kosterealität variiert stärker, als es jedes Pitch-Deck eines Anbieters zugeben würde.

Gap-Analysen von unabhängigen Beratern kosten zwischen etwa 3.500 amunterenEndeund20.000am unteren Ende und 20.000 für eine gründliche Überprüfung der Rev. 2 einschließlich eines Entwurfs für den SSP. Dies ist das am besten investierte Geld, bevor Sie sich zur Behebung verpflichten, da es Ihnen den tatsächlichen Umfang des Projekts aufzeigt.

Behebungskosten für kleine Unternehmen liegen je nach Lücke häufig zwischen 35.000 und115.000und 115.000. Die teuren Posten sind in der Regel: ein konformer Microsoft 365 GCC High Tenant (oder das Äquivalent), Endpoint Detection and Response (EDR), Multi-Faktor-Authentifizierung überall, ein verwalteter Service für Sicherheitsinformations- und Ereignismanagement (SIEM) sowie der Arbeitsaufwand für das Schreiben und Betreiben der erforderlichen Richtlinien.

C3PAO-Bewertungsgebühren für eine Level-2-Zertifizierung liegen für eine kleine Umgebung in der Regel zwischen 20.000 und 75.000 \, wobei größere oder komplexere Umgebungen teurer sind. Die Vorlaufzeiten betragen derzeit 3 bis 6 Monate und werden länger – es gibt weniger als 100 autorisierte C3PAOs, die schätzungsweise 80.000 Level-2-Auftragnehmer bedienen, und die Kapazitäten halten noch nicht mit der Nachfrage Schritt.

Laufende Betriebskosten – Managed Services, Schulungen, Tools, Zeitaufwand für internes Personal – belaufen sich für ein kleines Unternehmen in der Regel auf zusätzliche 10.000 bis20.000bis 20.000 pro Jahr, jedes Jahr, auf unbestimmte Zeit.

Die Gesamtkosten (Total Cost of Ownership) für einen kleinen Level-2-Betrieb, einschließlich des ersten Zertifizierungszyklus, liegen über drei Jahre hinweg häufig zwischen 80.000 und250.000und 250.000. Level 1 ist dramatisch günstiger und oft für unter 10.000 $ erreichbar, wenn Ihre Umgebung bereits einigermaßen gut verwaltet ist.

Diese Zahlen sind unangenehm. Sie sind jedoch in Angebote einrechenbar. Wenn Ihre Verträge diese Kosten nicht auffangen können, ist dies eine strategische Frage, die es zu beantworten gilt, bevor Sie ein weiteres Quartal damit verbringen, DoD-Aufträgen nachzujagen.

Die POA&M-Lücke (Maßnahmenplan und Meilensteine)

Die endgültige Regelung sieht einen begrenzten POA&M-Mechanismus für Level 2 vor. Sie können eine bedingte Zertifizierung mit offenen Punkten erreichen, sofern:

  • Ihre SPRS-Gesamtpunktzahl bei oder über 88 (von 110) liegt.
  • Die offenen Punkte nicht auf der Liste der hochwertigen Kontrollen stehen, die zum Zeitpunkt der Bewertung vollständig erfüllt sein müssen (Multi-Faktor-Authentifizierung, FIPS-validierte Kryptografie, kontinuierliche Sicherheitsüberwachung und einige andere).
  • Sie jeden offenen Punkt innerhalb von 180 Tagen schließen, woraufhin eine Abschlussbewertung Ihren bedingten Status in einen endgültigen umwandelt.

POA&Ms sind nützlich, aber sie sind kein Ersatz für Vorbereitung. Eine bedingte Zertifizierung mit einer gescheiterten 180-Tage-Nachprüfung ist wesentlich schlechter als eine verzögerte Erstbewertung, da sie zum Verlust der Zertifizierung während der Vertragslaufzeit führen kann.

Ein 90-Tage-Plan für kleine Auftragnehmer, die jetzt beginnen

Wenn Sie dies Mitte 2026 lesen und noch nicht begonnen haben, finden Sie hier einen realistischen, komprimierten Zeitplan. Er geht davon aus, dass Level 2 Ihr Ziel ist und Ihre Umgebung in etwa einem kleinen Unternehmen mit 10 bis 50 Mitarbeitern entspricht.

Tage 1 bis 14: Umfang und Inventarisierung. Identifizieren Sie jedes System, jedes Benutzerkonto und jeden Datenfluss, der mit CUI (Controlled Unclassified Information) in Berührung kommt. Die meisten kleinen Unternehmen unterschätzen den Umfang von CUI in ihrer Umgebung drastisch; das Ziel ist die kleinste vertretbare Enklave, die dennoch die vertraglichen Verpflichtungen erfüllt. Entscheiden Sie, ob Sie eine dedizierte CUI-Enklave (einen separaten Microsoft 365 GCC High Tenant oder gleichwertig) nutzen oder eine unternehmensweite Compliance anstreben. Enklaven sind für kleine Betriebe fast immer kostengünstiger.

Tage 15 bis 30: Gap-Analyse. Beauftragen Sie eine Registered Practitioner Organization (RPO) oder einen qualifizierten Berater mit der Durchführung einer NIST SP 800-171 Rev. 2 Lückenanalyse gegen die 110 Kontrollen und 320 Zielsetzungen. Bestehen Sie auf einem schriftlichen Bericht mit Ergebnissen zu jeder einzelnen Kontrolle, empfohlenen Abhilfemaßnahmen und einem Entwurf für den System-Sicherheitsplan (SSP).

Tage 31 bis 60: Fehlerbehebungs-Sprints. Gehen Sie die hochwertigen Kontrollen zuerst an, da diese nicht in einem POA&M verbleiben können. Richten Sie MFA für jedes Konto ein, das mit CUI in Berührung kommt. Migrieren Sie CUI-Workloads in einen konformen Tenant. Implementieren Sie EDR (Endpoint Detection and Response). Richten Sie eine zentrale Protokollsammlung ein. Erstellen oder kaufen Sie die 14 Richtliniendokumente, die der Bewertungsleitfaden erwartet.

Tage 61 bis 75: Dokumentation und Schulung. Stellen Sie den SSP fertig, schließen Sie die rollenbasierte Sicherheitsschulung ab, führen Sie Ihre erste interne Tabletop-Übung zur Reaktion auf Vorfälle durch und aktualisieren Sie Ihre SPRS-Punktzahl. Erstellen Sie das Repository für Nachweise, das der Auditor anfordern wird.

Tage 76 bis 90: Vorbewertung und Buchung. Führen Sie eine interne Test-Bewertung unter Verwendung von NIST SP 800-171A als Bewertungsmaßstab durch. Schließen Sie alle verbleibenden Lücken. Reichen Sie eine Anfrage für die Terminplanung bei einem C3PAO ein – und akzeptieren Sie, dass die tatsächliche Bewertung 90 bis 180 Tage nach dem Anfragedatum liegen kann. Nutzen Sie die Wartezeit, um die Kontrollen operativ anzuwenden; Auditoren suchen nach Beweisen für einen dauerhaften Betrieb, nicht nach frisch erstellten Richtlinien.

Dieser Plan ist aggressiv. Er ist für eine Organisation mit Engagement der Geschäftsführung, einem ehrlichen Umfang und der Bereitschaft zu Investitionen erreichbar. Organisationen, die versuchen, Compliance nachträglich in eine weitläufige, undokumentierte Umgebung zu integrieren, benötigen stattdessen routinemäßig 9 bis 12 Monate.

Buchhaltung für das Compliance-Projekt

Zwei Fehler im Finanzmanagement erschweren bei kleinen Unternehmen regelmäßig CMMC-Projekte.

Der erste besteht darin, Compliance-Ausgaben als einen einzigen Topf zu behandeln. Ein sauberer Kontenrahmen trennt einmalige Korrekturkosten (in vielen Fällen aktivierungsfähig), wiederkehrende Software-Abonnements (Betriebsausgaben), Arbeitskosten für internes Personal (oft auf mehrere Programme verteilbar) und Bewertungsgebühren (Kosten auf Vertragsebene, die unter indirekten Kostensätzen für kostenerstattungsfähige Arbeiten zulässig sein können). Verteidigungsunternehmen mit DCAA-relevanten Buchhaltungssystemen müssen diese Kategorien besonders präzise erfassen; Fehlklassifizierungen können sich Jahre später als in Frage gestellte Kosten herausstellen.

Der zweite Fehler ist das Versäumnis, CMMC-Kosten pro Vertrag zu erfassen. Wenn Ihre Compliance-Investition durch eine spezifische Vertragsanforderung getrieben wurde, können Sie möglicherweise einen Teil über erstattungsfähige Kosten oder die Preisgestaltung bei Folgeaufträgen zurückgewinnen. Wenn Sie nicht nachweisen können, welcher Vertrag einen bestimmten Betrag unterstützt hat, können Sie dies nicht geltend machen.

Versionskontrollierte Plain-Text-Buchhaltung passt genau deshalb gut in dieses Umfeld, weil sie einen prüfbaren Pfad hinterlässt. Jede Transaktion ist menschenlesbar, jede Änderung ist in der Versionskontrolle dokumentiert, und die Bücher selbst können von einem DCAA-Auditor ohne spezialisierte Softwarelösungen überprüft werden. Mehrere Kontrollen in NIST SP 800-171 – insbesondere in den Bereichen Audit und Rechenschaftspflicht sowie Konfigurationsmanagement – fordern ähnliche Eigenschaften für IT-Systeme, und es liegt eine stille Eleganz darin, dass die Finanzberichte demselben Standard entsprechen.

Häufige Fehlerquellen, die es zu vermeiden gilt

Einige Muster wiederholen sich bei kleinen Auftragnehmern, die ihre erste Bewertung nicht bestehen.

MFA als optional betrachten. Multi-Faktor-Authentifizierung für privilegierte Konten ist der am häufigsten auftretende Kontrollfehler. Es ist gleichzeitig am günstigsten zu beheben. Erledigen Sie dies in der ersten Woche.

Fehlklassifizierung von CUI. Entweder wird zu viel als CUI markiert (was Umfang und Kosten unnötig erhöht) oder zu wenig (was echte Risiken schafft). Fordern Sie von Ihrem zuständigen Vertragsmitarbeiter Klarheit über die CUI-Kategorien, bevor Sie den Projektumfang festlegen.

Verwechslung von IT-Sicherheit mit Cybersecurity-Compliance. Ein Managed Service Provider, der Ihre Laptops patcht, ist nicht dasselbe wie eine RPO oder ein C3PAO. Die Fähigkeiten überschneiden sich, aber die Arbeit an Dokumentation, Nachweisen und Bewertungsbereitschaft ist eine andere Disziplin.

Dokumentation unterschätzen. Auditoren vergeben keine Punkte für mündliche Erklärungen. Jede Kontrolle benötigt Beweise, die heute existieren, nicht Beweise, die das Unternehmen auf Anfrage erstellen könnte. Erstellen Sie das Repository für Nachweise parallel zur Umsetzung.

Glauben, dass der Generalunternehmer es regelt. Generalunternehmer (Primes) geben ihre Compliance-Anforderungen über Unterverträge weiter. Sie sind weder Ihr Bewerter noch Ihr Auditor, aber sie werden sich definitiv von einem Subunternehmer trennen, der ihre eigene Zertifizierung gefährdet.

Halten Sie Ihre Compliance-Kosten transparent und prüfbar

Die Cybersicherheits-Compliance ist heute ein Posten, den jedes Rüstungsunternehmen für die restliche Programmlaufzeit tragen wird. Diese Kosten sauber zu erfassen – nach Vertrag, nach Kontrollfamilie, nach Behebung versus Betriebsausgaben – macht den Unterschied zwischen einem Projekt, das Sie in einem DCAA-Audit verteidigen können, und einem Projekt, das still und leise Ihre Marge schmälert. Beancount.io bietet Plain-Text-Buchhaltung, die Ihnen vollständige Transparenz und Versionskontrolle über jeden Finanzdatensatz bietet, ohne Vendor-Lock-in und ohne Black-Box-Berichte. Starten Sie kostenlos und bringen Sie dieselbe Audit-Bereitschaft in Ihre Bücher, die CMMC von Ihrer IT-Umgebung verlangt.