Stufe 1: Grundlegende Cyberhygiene

Stufe 1 ist die grundlegendste Stufe der Cyberreife; sie bildet den ersten Baustein für grundlegende Cybersicherheit. Die implementierten Praktiken sollen die grundlegende Cybersicherheitshygiene der Organisation unterstützen, z. B. die Verwaltung von Passwörtern und die Aktualisierung von Systemen mit Patches. Diese Stufe ist für kleine Unternehmen mit geringem Risiko für ihre Daten gedacht.

Prozesse: Durchführung

Die Organisation setzt die Cybersicherheitsmaßnahmen ad hoc um und stützt sich dabei auf eine Dokumentation oder auch nicht.

Praktiken: Grundlegende Cyberhygiene

Die Organisation verfügt nur über begrenzte oder inkonsistente Prozesse für die Cybersicherheit. Zum gegenwärtigen Zeitpunkt bieten die eingeführten Cybersicherheitsmaßnahmen nur begrenzten Schutz vor Datenexfiltration und böswilligen Handlungen.


Quelle: Cybersecurity Maturity Model Certification (CMMC) 1.0

Access the questionnaire

Stufe 2: Cyberhygiene für Fortgeschrittene

Diese Stufe erfordert, dass eine Organisation die auf der vorhergehenden Stufe 1 (Durchführung) ermittelten Maßnahmen anwendet. Obwohl diese Stufe auf eine allgemeine Cyberhygiene hinweist, ist sie im Vergleich zu höheren Stufen immer noch begrenzt. Die Organisation hat möglicherweise immer noch Schwierigkeiten, sich wirksam gegen komplexe, anhaltende Bedrohungen (APTs) zu schützen. Darüber hinaus muss die Organisation nachweisen, dass die Praktiken in Richtlinien und Verfahren dokumentiert sind.

Prozesse: Dokumentation

Die Organisation legt Praktiken und Richtlinien fest und dokumentiert diese, um die Umsetzung ihrer Cybersicherheitsbemühungen zu steuern. Die Dokumentation von Praktiken ermöglicht es dem Einzelnen, sie in wiederholbarer Weise durchzuführen. Organisationen entwickeln ausgereifte Fähigkeiten, indem sie ihre Prozesse dokumentieren und sie dann wie dokumentiert praktizieren.

Praktiken: Cyberhygiene für Fortgeschrittene

Die Organisation überprüft detailliert ihre Richtlinien und Praktiken sowie die entsprechenden Ressourcen. Diese Ressourcen tragen dazu bei, dass Sicherheitslösungen korrekt umgesetzt werden und durch aktive Überwachung ihre volle Wirkung entfalten können.

Quelle: Cybersecurity Maturity Model Certification (CMMC) 1.0

Access the questionnaire

Stufe 3: Gute Cyberhygiene

Auf dieser Stufe muss eine Organisation die auf den vorhergehenden Stufen 1 und 2 ermittelten Maßnahmen anwenden (Durchführung und Dokumentation). Darüber hinaus muss die Organisation einen Plan aufstellen, umsetzen und bereitstellen, um nachzuweisen, dass sie die praktische Umsetzung verwaltet.

Prozesse: Verwaltung

Die Organisation erstellt und pflegt einen Plan, aus dem hervorgeht, wie die Aktivitäten zur praktischen Umsetzung gemanagt werden. Der Plan kann Informationen über Aufgaben, Ziele, Projektpläne, Ressourcen, erforderliche Schulungen und die Einbeziehung der relevanten Interessengruppen enthalten.

Praktiken: Gute Cyberhygiene

Die Organisation ergreift Maßnahmen, um eine fortgeschrittene oder fortschrittliche Cybersicherheitslage zu erreichen, und versucht, das Risiko von Advanced Persistent Threats (APTs) zu verringern. Bei den betrachteten APTs handelt es sich häufig um Nationalstaaten oder staatlich geförderte Gruppen, die über ausgefeilte Fachkenntnisse und umfangreiche Ressourcen verfügen, die es ihnen ermöglichen, kontinuierlich Sicherheitsnetzwerke anzugreifen und dabei mehrere und unterschiedliche Angriffsvektoren zu nutzen, darunter physische und Cybersicherheit sowie Täuschungstechniken.

Quelle: Cybersecurity Maturity Model Certification (CMMC) 1.0

Access the questionnaire

Stufe 4: Proaktive Cyberhygiene

Auf dieser Stufe muss eine Organisation die auf den vorhergehenden Stufen 1, 2 und 3 ermittelten Maßnahmen anwenden (Durchführung, Dokumentation und Verwaltung). Darüber hinaus muss die Organisation die erforderlichen Verfahren zur Überprüfung und Messung der Praktiken einführen, um deren Wirksamkeit nachzuweisen, Korrekturmaßnahmen zu ergreifen und die Geschäftsleitung zu informieren, wenn die Praktiken nicht den erforderlichen Grad an Wirksamkeit erreichen.

Prozesse: Überprüfung

Eine Organisation überprüft und misst die Effektivität ihrer Praktiken. Organisationen auf dieser Ebene können nicht nur die Effektivität ihrer Praktiken messen, sondern auch bei Bedarf Korrekturmaßnahmen ergreifen und die höhere Managementebene regelmäßig über den Status oder Probleme informieren.

Praktiken: Proaktive Cyberhygiene

Die Organisation ergreift Maßnahmen, um geschäftskritische Informationen vor Advanced Persistent Threats (APT) zu schützen. Diese Maßnahmen verbessern die Erkennungs- und Reaktionsfähigkeiten einer Organisation, um den sich ändernden Taktiken, Techniken und Verfahren (TTPs), die von APTs verwendet werden, zu begegnen und sich an diese anzupassen.

Quelle: Cybersecurity Maturity Model Certification (CMMC) 1.0

Access the questionnaire

Stufe 5: Fortgeschrittene/progressive Cyberhygiene

Stufe 5 ist die höchste Stufe der Cybersicherheitsreife. Auf dieser Stufe muss eine Organisation die auf den vorhergehenden Stufen 1, 2, 3 und 4 ermittelten Maßnahmen anwenden (Durchführung, Dokumentation, Verwaltung, Überprüfung und Messung). Darüber hinaus muss die Organisation die notwendigen Prozesse zur Standardisierung und Optimierung der Verfahren einführen, um deren Konsistenz, Effektivität und Effizienz im gesamten Unternehmen nachzuweisen. 

Prozesse: Optimierung

Die Organisation standardisiert und optimiert die Prozessimplementierung auf allen Ebenen der Organisation.

Praktiken: Erweiterte/proaktive Cyberhygiene

Die Organisation setzt zusätzliche Praktiken ein, die die Tiefe und Komplexität der Cybersicherheitsfähigkeiten erhöhen.

Quelle: Cybersecurity Maturity Model Certification (CMMC) 1.0

Access the questionnaire