Ein Leader im Gartner® Magic Quadrant™ für Endpoint Protection Platforms 2025. Seit fünf Jahren in FolEin Leader im Gartner® Magic Quadrant™Bericht lesen
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for CMMC-Checkliste: Leitfaden zur Auditvorbereitung für DoD-Auftragnehmer
Cybersecurity 101/Cybersecurity/CMMC-Checkliste

CMMC-Checkliste: Leitfaden zur Auditvorbereitung für DoD-Auftragnehmer

CMMC 2.0 erfordert eine unabhängige Überprüfung der Cybersicherheitskontrollen von DoD-Auftragnehmern. Verwenden Sie diese CMMC-Checkliste, um sich von der Abgrenzung bis zur Zertifizierung auf das Audit vorzubereiten.

CS-101_Cybersecurity.svg
Inhaltsverzeichnis
Was ist CMMC (Cybersecurity Maturity Model Certification)?
Wer benötigt eine CMMC-Checkliste?
So bestimmen Sie Ihr erforderliches CMMC-Level
Abgleich des Datentyps mit dem Zertifizierungslevel
Verständnis der CMMC-Level vor Verwendung einer Checkliste
Checkliste zur Prüfungsbereitschaft (Pre-Assessment Readiness)
CMMC Level 1 Checkliste (Grundlegende Kontrollen)
CMMC Level 2 Checkliste (Fortgeschrittene Kontrollen)
CMMC Level 3 Checkliste (Experten-Kontrollen)
Checkliste für Dokumentation und Nachweise
Häufige Fehler bei der Umsetzung der CMMC-Checkliste
Scoping-Fehler, die Prüfungen entgleisen lassen
Dokumentation, die Absicht statt Realität beschreibt
Fehlmanagement von POA&Ms
CMMC-Prüfungskosten und Zeiterwartungen
Typische Zeitrahmen
Kostenüberlegungen
Best Practices für die Nutzung einer CMMC-Checkliste
Beginnen Sie mit CUI-Discovery, nicht mit der Kontrolleinführung
Segmentieren Sie Ihr Netzwerk vor der Prüfung
Bauen Sie Nachweise über Monate, nicht Tage auf
Bereiten Sie Ihr Personal auf Interviews vor
Setzen Sie Flow-Down-Anforderungen für Unterauftragnehmer durch
Wichtige Erkenntnisse

Verwandte Artikel

  • Was ist die DORA-Verordnung? EU-Rahmenwerk für digitale Resilienz
  • Was ist Session Fixation? Wie Angreifer Benutzersitzungen kapern
  • Ethical Hacker: Methoden, Tools & Karrierepfad-Leitfaden
  • Was sind adversariale Angriffe? Bedrohungen & Abwehrmaßnahmen
Autor: SentinelOne | Rezensent: Arijeet Ghatak
Aktualisiert: April 30, 2026

Was ist CMMC (Cybersecurity Maturity Model Certification)?

Ein Auftragnehmer des US-Verteidigungsministeriums verliert einen wichtigen Verteidigungsauftrag, weil er davon ausging, dass die Selbstauskunft nach NIST SP 800-171 ausreicht. Ab dem 10. November 2025 ist das nicht mehr der Fall. Die Cybersecurity Maturity Model Certification (CMMC) 2.0 ist ein Cybersecurity-Zertifizierungsrahmen des US-Verteidigungsministeriums, der die Umsetzung bestehender bundesstaatlicher Sicherheitsanforderungen durch unabhängige Prüfungen bei Verteidigungsauftragnehmern verifiziert. Es werden keine neuen Sicherheitsanforderungen geschaffen. Es wird eine unabhängige Überprüfung zu bereits seit 2017 unter DFARS 7012 vorgeschriebenen Kontrollen hinzugefügt.

Das Programm ist in 32 CFR 170 (CMMC Program Rule) kodifiziert und wird durch 48 CFR 204 (DFARS Acquisition Rule) durchgesetzt. Die Cyber AB fungiert als Akkreditierungsstelle für das CMMC-Ökosystem. Wenn Sie Federal Contract Information (FCI) oder Controlled Unclassified Information (CUI) für das Verteidigungsministerium verarbeiten, gilt CMMC für Sie.

Laut 48 CFR 204.7502 dürfen Vergabestellen keine Verträge an Bieter ohne aktuellen CMMC-Status auf dem geforderten Level vergeben. Ihre Vorbereitung auf die CMMC-Checkliste beginnt jetzt, nicht erst, wenn eine Ausschreibung auf Ihrem Schreibtisch landet.

Vor CMMC bewerteten Auftragnehmer ihre NIST SP 800-171-Implementierung selbst und übermittelten die Ergebnisse an das Supplier Performance Risk System (SPRS). Die Selbstauskunft schuf eine Vertrauenslücke in der Defense Industrial Base (DIB), da Auftragnehmer die Einhaltung ohne unabhängige Validierung behaupten konnten.

CMMC schließt diese Lücke, indem je nach Sensibilität der verarbeiteten Daten Drittanbieter- oder Regierungsprüfungen vorgeschrieben werden. Jede Kontrolle, die Sie in Ihrem System Security Plan (SSP) angeben, muss einer Überprüfung, Befragung und technischen Prüfung durch geschulte Prüfer standhalten. Ihre Security-Operations-Tools, Audit-Logs, Zugriffskontrollen und Incident-Response-Verfahren fallen alle in den Prüfungsumfang von CMMC. Das Rahmenwerk organisiert diese Anforderungen in drei Zertifizierungsstufen, jede mit eigenem Prüfprozess.

Wer benötigt eine CMMC-Checkliste?

Nicht jede Organisation, die mit dem Verteidigungsministerium interagiert, unterliegt identischen CMMC-Anforderungen, aber der Anwendungsbereich ist breiter als viele Auftragnehmer erwarten. Jedes Unternehmen, das FCI oder CUI im Rahmen eines DoD-Vertrags speichert, verarbeitet oder überträgt, muss vor Vertragsvergabe das entsprechende CMMC-Zertifizierungslevel erreichen.

Hauptauftragnehmer mit DoD-Verträgen, die die DFARS-Klausel 252.204-7021 enthalten, müssen den aktuellen CMMC-Status auf dem in der Ausschreibung angegebenen Level nachweisen. Diese Anforderung gilt auch für die Lieferkette: Unterauftragnehmer, die CUI zur Vertragserfüllung verarbeiten, müssen das erforderliche CMMC-Level unabhängig erfüllen und können sich nicht auf die Zertifizierung des Hauptauftragnehmers verlassen. Laut einer NDIA-Lieferkettenanalyse gelten DFARS-Flow-Down-Anforderungen unabhängig von der Position in der Lieferkette.

Organisationen, die eine CMMC-Checkliste führen sollten, sind Hersteller und Zulieferer der Verteidigungsindustrie, die CUI verarbeiten, IT-Dienstleister und Managed Service Provider mit Zugang zu CUI-Umgebungen, Forschungseinrichtungen mit DoD-finanzierten Verträgen sowie Personal- oder Beratungsunternehmen, deren Mitarbeitende auf CUI-Systeme zugreifen. Kleine Unternehmen sind nicht ausgenommen. Wenn Ihr Vertrag CUI umfasst, gelten die Anforderungen von CMMC Level 2 unabhängig von Unternehmensgröße oder Umsatz.

Die Schwelle ist eindeutig: Wenn Ihr Vertrag aktuell oder zukünftig DFARS 252.204-7021 enthält, benötigen Sie einen strukturierten Compliance-Prozess. Eine CMMC-Checkliste ermöglicht es Ihnen, die Umsetzung von Kontrollen zu verfolgen, die Evidenzsammlung zu dokumentieren und Lücken zu identifizieren, bevor ein C3PAO- oder DIBCAC-Prüfer dies tut.

So bestimmen Sie Ihr erforderliches CMMC-Level

Ihr erforderliches CMMC-Level hängt von der Art der Informationen ab, die Sie im Rahmen eines DoD-Vertrags verarbeiten. Die Bestimmung beginnt mit einer Frage: Beinhaltet Ihr Vertrag CUI?

Abgleich des Datentyps mit dem Zertifizierungslevel

  • Nur FCI (Level 1): Ihr Vertrag umfasst grundlegende Federal Contract Information, aber keine CUI-Kennzeichnungen. Sie implementieren 17 Praktiken aus FAR 52.204-21 und führen jährlich eine Selbsteinschätzung durch.
  • CUI (Level 2): Ihr Vertrag enthält Daten, die als Controlled Unclassified Information gemäß dem CUI-Register gekennzeichnet sind. Sie implementieren alle 110 Praktiken aus NIST SP 800-171 und unterziehen sich je nach Vertrag einer C3PAO-Prüfung oder Selbsteinschätzung.
  • High-Value CUI (Level 3): Ihr Vertrag betrifft CUI in kritischen Programmen, die vom DoD identifiziert wurden. Sie implementieren 134 Praktiken (110 aus NIST SP 800-171 plus 24 aus NIST SP 800-172) und unterziehen sich einer staatlich geführten DIBCAC-Prüfung. Level 3 setzt einen aktuellen Level-2-Status voraus.

Wenn Ihr Vertrag kein CMMC-Level angibt, prüfen Sie die DFARS-Klauseln in Ihrer Ausschreibung. Laut 32 CFR 170 bestimmt der Vergabebeamte das erforderliche Level basierend auf der Sensibilität der verarbeiteten Informationen. Im Zweifel wenden Sie sich direkt an Ihren Vergabebeamten. Ein falsches Level bedeutet Vorbereitung auf die falsche Prüfung, was Zeit und Budget verschwendet. Sobald Sie Ihr Level kennen, zeigt die folgende Tabelle genau, was dieses Level erfordert.

Verständnis der CMMC-Level vor Verwendung einer Checkliste

Bevor Sie eine CMMC-Checkliste durcharbeiten, benötigen Sie ein klares Bild davon, was jedes Zertifizierungslevel erfordert. Die drei Level unterscheiden sich erheblich in der Anzahl der Praktiken, im Prüfungstyp und in der Art der geschützten Informationen.

MerkmalLevel 1: GrundlegendLevel 2: FortgeschrittenLevel 3: Experte
SchutzumfangFederal Contract Information (FCI)Controlled Unclassified Information (CUI)High-Value CUI
Anzahl der Praktiken17 grundlegende Schutzmaßnahmen110 Praktiken134 Praktiken
PrüfungsartJährliche SelbsteinschätzungDreijährliche C3PAO- oder SelbsteinschätzungDreijährliche DIBCAC-Regierungsprüfung
POA&Ms erlaubt?NeinJa, Abschluss erforderlichJa, Abschluss erforderlich, kritische Anforderungen ausgeschlossen
Ergebniseintrag inSPRSSPRSCMMC eMASS
VoraussetzungKeineKeineAktueller Level-2-Status

Die Phase-1-Implementierung begann am 10. November 2025 und konzentriert sich hauptsächlich auf Level-1- und Level-2-Anforderungen. Phase 2 startet am 10. November 2026 und erweitert die verpflichtenden CMMC Third Party Assessment Organization (C3PAO) Level-2-Prüfungen. Die vollständige Umsetzung für alle relevanten Verträge beginnt nach dem 9. November 2028.

Alle Level-2-C3PAO-Prüfungen folgen einer verpflichtenden Vier-Phasen-Struktur gemäß dem CMMC-Prozess:

  1. Planung und Vorbereitung der Vorprüfung: Umfang definieren, SSP und Netzdiagramme bereitstellen und Zeitplan für die Prüfung abstimmen.
  2. Bewertung der Konformität mit Sicherheitsanforderungen: Prüfer untersuchen Dokumentation, befragen Personal und testen Kontrollen direkt.
  3. Abschluss und Berichterstattung der Prüfergebnisse: C3PAO lädt Ergebnisse in das erforderliche Berichtssystem hoch.
  4. Zertifikat ausstellen und POA&M abschließen: Offene Punkte innerhalb der zulässigen Frist beheben oder den Conditional CMMC Status verlieren.

Prüfer verwenden drei verpflichtende Methoden aus NIST 171A: prüfen (Dokumentation, Konfigurationen, Logs), befragen (strukturierte Gespräche mit Personal) und testen (technische Validierung). Eine reine Papierprüfung reicht nicht aus.

CMMC verwendet derzeit NIST SP 800-171 Revision 2. Laut DoD CIO FAQs hat das DoD eine Abweichung zur DFARS-Klausel 252.204-7012 erlassen, um Rev 2 als Prüfungsstandard beizubehalten, bis Rev 3 durch zukünftige Regelsetzung übernommen wird. Mit diesem Kontext bieten die folgenden Checklisten einen strukturierten Weg durch die Vorbereitung.

Checkliste zur Prüfungsbereitschaft (Pre-Assessment Readiness)

Die Prüfungsbereitschaft umfasst die grundlegenden Arbeiten, die abgeschlossen sein müssen, bevor Sie den Umfang festlegen, dokumentieren oder einen C3PAO beauftragen können. Hier identifizierte Lücken wirken sich auf jeden Punkt Ihrer CMMC-Checkliste aus.

Asset Scoping:

  • Vollständige Hardware- und Software-Inventarisierung über alle fünf CMMC-Asset-Kategorien (CUI-Assets, Security Protection Assets, CRMA, Specialized Assets, Out-of-Scope)
  • Alle Datenflüsse abbilden, die zeigen, wo CUI in Ihre Umgebung gelangt, sie durchläuft und verlässt
  • Alle Cloud-Service-Provider-Verbindungen dokumentieren und festhalten, ob sie CUI oder FCI verarbeiten
  • Alle externen Verbindungen, Remote-Arbeitsplätze und Zugangspunkte von Dienstleistern identifizieren
  • Technische und physische Trennung für Out-of-Scope-Assets verifizieren
  • CRMA-Risikomanagement-Begründung im SSP für jede CRMA-Klassifizierung dokumentieren
  • Alle Security Protection Assets und deren Sicherheitsfunktionen identifizieren

Assessment Readiness:

  • Lückenanalyse für alle Level-2-Praktiken anhand des DoD Assessment Guide abgeschlossen
  • Interne Probeprüfung oder Registered Practitioner Organization (RPO) Readiness Review durchgeführt
  • Personal auf Prüferinterviews vorbereitet (kann eigene Sicherheitsverantwortung erläutern)
  • Selbsteinschätzung an SPRS übermittelt
  • C3PAO aus dem Cyber AB Marketplace ausgewählt und Engagement-Vereinbarung abgeschlossen

Die Durchführung des Asset Scoping vor der Beauftragung eines C3PAO ist nicht optional. Prüfer, die während der Prüfung nicht gemeldete CUI-Assets entdecken, können den Umfang erweitern, Zeitpläne verlängern und bestandene Kontrollen in Findings umwandeln. Eine korrekte Durchführung dieses Schritts hat mehr Einfluss auf das Prüfungsergebnis als jeder andere einzelne Schritt in der CMMC-Vorbereitung.

CMMC Level 1 Checkliste (Grundlegende Kontrollen)

Level 1 erfordert 17 Praktiken aus FAR 52.204-21, verteilt auf sechs Sicherheitsdomänen. Dies sind grundlegende Schutzanforderungen für Systeme, die FCI verarbeiten. POA&Ms sind auf Level 1 nicht zulässig: Alle 17 Praktiken müssen vor der Selbsteinschätzung vollständig umgesetzt sein.

Zugriffskontrolle:

  • Zugriff auf Systeme auf autorisierte Benutzer, Prozesse und Geräte beschränken
  • Zugriff auf Transaktionen und Funktionen auf autorisierte Benutzer beschränken
  • Verbindungen zu externen Informationssystemen verifizieren und kontrollieren
  • Informationen, die auf öffentlich zugänglichen Systemen veröffentlicht oder verarbeitet werden, kontrollieren

Identifikation und Authentifizierung:

  • Alle Benutzer, Prozesse im Auftrag von Benutzern und Geräte identifizieren
  • Identitäten von Benutzern, Prozessen und Geräten vor Systemzugriff authentifizieren

Medien-Schutz:

  • Informationsträger vor Entsorgung oder Wiederverwendung bereinigen oder vernichten

Physischer Schutz:

  • Physischen Zugang zu Systemen auf autorisierte Personen beschränken
  • Besucher begleiten, Besucheraktivitäten überwachen und physische Zugangskontrollprotokolle führen
  • Physische Einrichtungen und unterstützende Infrastruktur schützen und überwachen

System- und Kommunikationsschutz:

  • Kommunikation an externen und wichtigen internen Grenzen überwachen, kontrollieren und schützen
  • Subnetze für öffentlich zugängliche Komponenten implementieren, die von internen Netzwerken getrennt sind

System- und Informationsintegrität:

  • Schwachstellen im Informationssystem zeitnah identifizieren und beheben
  • Schutz vor Schadsoftware an geeigneten Systemstellen bereitstellen
  • Schutzmechanismen gegen Schadsoftware bei neuen Releases aktualisieren
  • Regelmäßige Systemscans und Echtzeit-Scans von Dateien aus externen Quellen durchführen

Level-1-Compliance ist für die meisten kleinen Auftragnehmer mit grundlegender IT-Hygiene erreichbar. Wenn alle 17 Praktiken umgesetzt sind, ist Ihre CMMC-Checkliste auf diesem Level einfach zu dokumentieren und zu attestieren. Der größere Vorbereitungsaufwand beginnt auf Level 2, wo 110 Praktiken anhand dokumentierter, betrieblicher Nachweise bewertet werden müssen.

CMMC Level 2 Checkliste (Fortgeschrittene Kontrollen)

Level 2 entspricht allen 110 Praktiken aus NIST SP 800-171 Revision 2 in 14 Sicherheitsdomänen. Diese CMMC-Checkliste ist nach Domänenfamilien organisiert. Nicht alle 110 einzelnen Praktiken sind hier aufgeführt; nutzen Sie den DoD Assessment Guide für die vollständige Liste und die Prüfungsziele.

  • Zugriffskontrolle (AC): Prinzip der minimalen Rechte umsetzen, privilegierte Konten verwalten, Sitzungs-Sperre nach Inaktivität erzwingen, Fernzugriff und Nutzung externer Systeme kontrollieren und Nutzung tragbarer Speichermedien ohne identifizierbaren Eigentümer verbieten.
  • Audit und Verantwortlichkeit (AU): System-Audit-Logs erstellen und schützen, Logs auf unbefugte Aktivitäten prüfen und analysieren, Audit-Aufzeichnungen zur Unterstützung nachträglicher Untersuchungen aufbewahren und Systemfähigkeit zur Protokollierung im SSP definierter Ereignisse bereitstellen.
  • Konfigurationsmanagement (CM): Basiskonfigurationen etablieren und pflegen, Sicherheitseinstellungen durchsetzen, Änderungen an Systemen verfolgen und kontrollieren, Sicherheitsauswirkungen von Änderungen vor der Umsetzung analysieren.
  • Identifikation und Authentifizierung (IA): Multi-Faktor-Authentifizierung für alle Netzwerkzugriffe und privilegierte Konten erzwingen, Authentifikator-Stärke und Lebenszyklus verwalten und wiederstandsresistente Authentifizierung einsetzen.
  • Incident Response (IR): Betriebsfähige Incident-Handling-Fähigkeit etablieren, einschließlich Vorbereitung, Erkennung, Eindämmung, Wiederherstellung und Benutzer-Meldung. Incident-Response-Fähigkeit testen und Vorfälle nachverfolgen.
  • Wartung (MA): Wartung an Systemen durchführen, Wartungswerkzeuge kontrollieren, Geräte vor externer Wartung bereinigen und MFA für Remote-Wartungssitzungen verlangen.
  • Medien-Schutz (MP): Systemmedien mit CUI schützen, Zugriff auf CUI auf Medien auf autorisierte Benutzer beschränken, Medien vor Entsorgung oder Wiederverwendung bereinigen und Zugriff auf Medien mit CUI während des Transports kontrollieren.
  • Personalsicherheit (PS): Personen vor der Autorisierung des Zugriffs auf Systeme mit CUI überprüfen und sicherstellen, dass CUI während und nach Personalmaßnahmen wie Kündigungen und Versetzungen geschützt bleibt.
  • Risikobewertung (RA): Risiken für Betrieb und Assets regelmäßig bewerten, Systeme und Anwendungen auf Schwachstellen scannen und Schwachstellen gemäß Risikobewertung beheben.
  • Sicherheitsbewertung (SA): Sicherheitskontrollen regelmäßig bewerten, Maßnahmenpläne entwickeln und umsetzen, Systemkontrollen kontinuierlich überwachen und einen aktuellen SSP bereitstellen, der die Betriebsumgebung widerspiegelt.
  • System- und Kommunikationsschutz (SC): Kommunikation an Grenzen überwachen, kontrollieren und schützen, Architekturdesigns und Softwareentwicklungstechniken zur Förderung der Sicherheit implementieren und CUI verschlüsseln (bei Übertragung und Speicherung).
  • System- und Informationsintegrität (SI): Schwachstellen identifizieren und beheben, Schutz vor Schadsoftware bereitstellen, Systeme auf Sicherheitswarnungen überwachen und Schutzmechanismen bei neuen Releases aktualisieren.

Die Bearbeitung der CMMC-Level-2-Checkliste erfordert einen kontinuierlichen Aufwand über Monate, nicht Wochen. Organisationen, die NIST SP 800-171 bisher nicht umgesetzt haben, sollten mit der Lückenbehebung lange vor der C3PAO-Beauftragung beginnen.

CMMC Level 3 Checkliste (Experten-Kontrollen)

Level 3 ergänzt 24 Praktiken aus NIST SP 800-172 zum vollständigen Level-2-Praktikenset, insgesamt 134 Praktiken. Diese erweiterten Anforderungen richten sich an Organisationen, die High-Value CUI in kritischen DoD-Programmen schützen. Die Prüfungen werden vom Defense Industrial Base Cybersecurity Assessment Center (DIBCAC) durchgeführt, nicht von einem C3PAO, und aktueller Level-2-Status ist Voraussetzung.

Die 24 zusätzlichen Praktiken konzentrieren sich auf fünf erweiterte Kontrollbereiche:

  • Erweiterte Zugriffskontrolle: Dynamische Zugriffskontroll-Ansätze einsetzen, die mit der organisatorischen Risikostrategie abgestimmt sind und Echtzeit-Zugriffsentscheidungen unterstützen
  • Fortgeschrittenes Konfigurationsmanagement: Ein Konfigurationsmanagementsystem etablieren und pflegen, das Änderungen mit Integritätsprüfung nachverfolgen kann
  • Gestärkte Incident Response: Eine Security Operations Center (SOC)-Fähigkeit etablieren und automatisierte Mechanismen zur Unterstützung des Incident Handlings einsetzen
  • Lieferketten-Risikomanagement: Risiken im Zusammenhang mit Lieferanten, Entwicklern und externen Anbietern bewerten und durch vertragliche Anforderungen adressieren
  • Fortgeschrittener System- und Kommunikationsschutz: Architekturfähigkeiten und Systemkonfigurationen einsetzen, die verwaltete Schnittstellen nutzen und Grenzschutzmechanismen implementieren

Level-3-Organisationen müssen zudem kontinuierliches Monitoring, Threat-Hunting-Fähigkeiten und Koordination mit Bundesbehörden im Bereich Cybersecurity nachweisen. Da DIBCAC staatlich geführte Prüfungen durchführt, sind Vorlaufzeiten erheblich und eine frühzeitige Abstimmung mit DoD-Programmstellen ist vor Beginn der Level-3-CMMC-Checklisten-Vorbereitung unerlässlich.

Checkliste für Dokumentation und Nachweise

Lücken bei Dokumentation und Nachweisen sind der häufigste Grund für Verzögerungen oder das Scheitern von CMMC-Prüfungen. Ihr SSP ist das zentrale Artefakt jeder CMMC-Checkliste, aber Prüfer verlangen ein vollständiges Nachweispaket für jede relevante Domäne.

SSP und Dokumentation:

  • Vollständige Beschreibung aller in Scope befindlichen Assets in allen fünf Kategorien
  • Aktuelle Netzdiagramme mit CUI-Datenflüssen und Systemgrenzen
  • Dokumentation aller Sicherheitskontrollen und deren Umsetzungsstatus
  • Rollen und Verantwortlichkeiten für die Umsetzung von Sicherheitskontrollen
  • Incident-Response-Verfahren und Ansprechpartner
  • Alle aufgelisteten Non-POA&M-Praktiken vollständig umgesetzt (AC.L2-3.1.20, AC.L2-3.1.22, CA.L2-3.12.4, PE.L2-3.10.3, PE.L2-3.10.4, PE.L2-3.10.5)

Nachweissammlung:

  • Systemprotokolle, die kontinuierliches Monitoring belegen (AU-Domäne)
  • Zugriffskontrollkonfigurationen und aktuelle Listen autorisierter Benutzer
  • Multi-Faktor-Authentifizierungsnachweise für alle in Scope befindlichen Systeme
  • Nachweise über abgeschlossene Security-Awareness-Schulungen mit Datum und Inhalt
  • Incident-Response-Plan mit dokumentierten Übungsnachweisen
  • Konfigurationsbaselines und Änderungsmanagementaufzeichnungen
  • Ergebnisse von Schwachstellenbewertungen und Nachverfolgung der Behebung
  • Kryptografie-Dokumentation und Zertifikate
  • Physische Zugangskontrollprotokolle für CUI-Bereiche
  • Nachweise zur Medienbereinigung
  • Dokumentation zum Umgang mit CUI durch Dritte und Cloud-Service-Provider

Wartung nach der Zertifizierung:

  • Jährliche Selbsteinschätzung mit Bestätigung durch die Geschäftsleitung
  • Jährliche Bestätigung an SPRS übermitteln
  • Kontinuierliches Monitoring und Audit-Logging aufrechterhalten
  • SSP bei Änderungen der Umgebung aktualisieren
  • Rezertifizierungsplanung vor Ablauf einleiten

Laut Cyber AB CAP kann ohne ausreichend dokumentierten SSP keine Prüfung stattfinden und das Assessment gilt standardmäßig als nicht bestanden. Bauen Sie Ihr CMMC-Checklisten-Nachweisarchiv kontinuierlich während der Vorbereitung auf, nicht erst in den Wochen vor dem Prüfungstermin.

Häufige Fehler bei der Umsetzung der CMMC-Checkliste

Viele Auftragnehmer gehen mit Vertrauen in ihre bestehenden Sicherheitsprogramme an CMMC heran, nur um bei der Prüfungs­vorbereitung zu scheitern. Dies sind die häufigsten Fehlerquellen und wie Sie sie vermeiden.

Scoping-Fehler, die Prüfungen entgleisen lassen

Zu großer Scope Ihrer CUI-Umgebung erhöht Kosten und Komplexität ohne Sicherheitsgewinn. Wenn ein System nie CUI verarbeitet, speichert oder überträgt, kann eine korrekte Contractor Risk Managed Asset (CRMA)-Klassifizierung und technische Trennung Ihren Prüfungsumfang legitim reduzieren. Laut CMMC-Prozess liegen CRMA-Klassifizierungen jedoch "im Ermessen des Prüfers". Jede CRMA muss durch eine dokumentierte Begründung im SSP gestützt werden.

Ebenso riskant: zu kleiner Scope durch Ausschluss von Backup-Systemen mit CUI, Cloud-Diensten, die CUI verarbeiten, oder Endpunkten von Remote-Mitarbeitern. Wenn CUI ein System durchlaufen kann, ist dieses System unabhängig von informellen Erklärungen im Scope.

Dokumentation, die Absicht statt Realität beschreibt

Laut Cyber AB CAP kann ohne ausreichend dokumentierten System Security Plan keine Prüfung stattfinden und das Assessment gilt standardmäßig als nicht bestanden. Ihr SSP ist das wichtigste Dokument in CMMC und muss den tatsächlichen Betriebszustand widerspiegeln, nicht den angestrebten.

Typische Nachweislücken sind Zugriffskontrolllisten ohne neu hinzugefügte Mitarbeitende, Richtlinien ohne Freigabe durch das Management und Bestätigungen, die von nicht zuständigen Personen unterzeichnet wurden.

Fehlmanagement von POA&Ms

Einige Praktiken dürfen nicht auf einen Plan of Action and Milestones (POA&M) gesetzt werden, darunter CA.L2-3.12.4 (System Security Plan), mehrere physische Schutzmaßnahmen und bestimmte Zugriffskontrollpraktiken. Wenn Sie mit Lücken in diesen Kontrollen in eine C3PAO-Prüfung gehen, kann eine vollständige Neubeurteilung erforderlich werden.

Wenn Sie einen Conditional CMMC Status mit offenen POA&M-Punkten erhalten, ist die Frist zur Behebung absolut. Laut DoD CMMC Guidance verfällt Ihr Status, wenn Sie POA&Ms nicht innerhalb der dokumentierten Frist schließen, ohne Möglichkeit einer Verlängerung.

Allen diesen Fehlerquellen ist das Timing gemeinsam. Die Zeitspanne von der Lückenbehebung bis zur CMMC-Zertifizierung kann erheblich sein, und die Kosten für verpasste Fristen oder wiederholte Prüfungen sind beträchtlich. Ein realistisches Bild von Budget und Zeitplan ist der nächste Schritt.

CMMC-Prüfungskosten und Zeiterwartungen

Budget und Zeitplan sind zwei der häufigsten Anliegen von Auftragnehmern, die mit der CMMC-Vorbereitung beginnen. Beide variieren stark je nach Unternehmensgröße, bestehender Sicherheitsreife und benötigtem Zertifizierungslevel.

Typische Zeitrahmen

Laut DoD CIO Guidance gibt es keine feste Vorbereitungsdauer, aber Branchenerfahrung liefert nützliche Richtwerte:

  • Level-1-Selbsteinschätzung: 1-3 Monate für Organisationen mit bereits implementierten Grundkontrollen.
  • Level 2 mit bestehendem NIST SP 800-171-Programm: 6-12 Monate für Lückenbehebung, Nachweissammlung und C3PAO-Terminierung.
  • Level 2 von Grund auf: 12-18 Monate oder länger, einschließlich Kontrolleinführung, Dokumentation, Nachweisreife und Prüferverfügbarkeit.
  • Level-3-Regierungsprüfung: Zeitrahmen abhängig von DIBCAC-Terminierung, aktueller Level-2-Status erforderlich.

Die Verfügbarkeit von C3PAOs verlängert diese Zeitrahmen zusätzlich. Laut GAO-26-107955 ist die Prüferkapazität begrenzt, daher ist eine frühzeitige Beauftragung wichtig.

Kostenüberlegungen

Die Prüfungskosten hängen von der Größe Ihrer Umgebung und der Komplexität des Scopes ab. Wichtige Kostenkategorien sind Berater- und RPO-Gebühren für Lückenanalyse und Remediation, C3PAO-Prüfungsgebühren (abhängig von Unternehmensgröße und Scope), Technologieinvestitionen für noch nicht implementierte Kontrollen sowie interner Personalaufwand für Dokumentation und Nachweiserstellung. 

Kleinere Unterauftragnehmer mit engem CUI-Scope haben geringere Kosten als große Hauptauftragnehmer mit komplexen, standortübergreifenden Umgebungen. Berücksichtigen Sie diese Kosten frühzeitig in Ihrer Programmplanung, um Überraschungen bei der Angebotsabgabe zu vermeiden. Mit Budget und Zeitplan im Blick helfen die folgenden betrieblichen Praktiken, das Beste aus beiden zu machen.

Best Practices für die Nutzung einer CMMC-Checkliste

Eine bestandene CMMC-Prüfung erfordert mehr als das Abhaken von Punkten auf einer CMMC-Checkliste. Diese Praktiken helfen Auftragnehmern, die nachhaltige CMMC-Compliance zu etablieren, die Prüfer erwarten.

Beginnen Sie mit CUI-Discovery, nicht mit der Kontrolleinführung

Bevor Sie eine einzige Sicherheitskontrolle implementieren, identifizieren Sie jeden Ort, an dem CUI existiert. Häufige Orte sind:

  • E-Mail-Archive und Kollaborationsplattformen
  • Personalakten und Projektdokumentation
  • Lieferantendokumente und Besprechungsnotizen
  • Gemeinsame Laufwerke und Cloud-Speicher

Erfassen Sie genau, wie CUI in Ihre Umgebung gelangt, wohin es sich bewegt, wo es gespeichert wird und wo es die Umgebung verlässt. Diese CUI-Map steuert Ihren SSP und bestimmt direkt Ihren Prüfungsumfang. Wenn externe Cloud-Service-Provider CUI verarbeiten, müssen sie die Anforderungen aus DFARS 252.204-7012(b)(2)(ii)(D) erfüllen.

Segmentieren Sie Ihr Netzwerk vor der Prüfung

Eine korrekte Segmentierung ist der wichtigste Mechanismus zur Reduzierung Ihres Prüfungsumfangs. Setzen Sie Firewalls zwischen internen Netzwerken und dem Internet ein. Verwenden Sie Routing-Switches, um Zonen zu schaffen, die CUI-Umgebungen von allgemeinen Geschäftsnetzwerken trennen, und verschlüsseln Sie alle CUI-Daten, die über das Internet übertragen werden. Die Policy-Enforcement- und Geräte­kontrollfunktionen der Singularity Platform können diese Segmentierung unterstützen, indem sie den Zugriff von Peripheriegeräten auf CUI-verarbeitende Systeme steuern.

Bauen Sie Nachweise über Monate, nicht Tage auf

Richten Sie ein strukturiertes Nachweisarchiv ein, das an die CMMC-Kontrollfamilien angelehnt ist. Füllen Sie es kontinuierlich, nicht reaktiv. Der Level-2-Assessment Guide verlangt Nachweise, dass Kontrollen über einen längeren Zeitraum konsistent betrieben werden. Schulungsnachweise, Audit-Log-Beispiele, Schwachstellenscan-Ergebnisse und Incident-Response-Übungsdokumentation müssen den nachhaltigen Betrieb belegen. Prüfer bewerten die betriebliche Reife, nicht nur die technische Existenz.

Bereiten Sie Ihr Personal auf Interviews vor

Personal, das Prüfern die eigenen Sicherheitsaufgaben nicht erklären kann, ist eine häufig unterschätzte Fehlerquelle. Führen Sie interne Interviewproben durch. Stellen Sie sicher, dass jede Person im Scope erklären kann, was sie tut, warum sie es tut und wo es dokumentiert ist.

Prüfer werden Personal in mehreren Schlüsselrollen befragen:

  • Empfänger von Security-Awareness-Schulungen
  • Administratoren von Informationssicherheitsschulungen
  • Incident-Response-Team-Mitglieder
  • Personal für Audit-Monitoring und Log-Review

Vorbereitung in diesen Gruppen schafft Sicherheit und reduziert Überraschungen während der Prüfung.

Setzen Sie Flow-Down-Anforderungen für Unterauftragnehmer durch

Laut einer NDIA-Lieferkettenanalyse gelten DFARS 252.204-7012 Flow-Down-Anforderungen "unabhängig von der Position in der Lieferkette" für jeden Unterauftragnehmer, der im Rahmen der Vertragserfüllung CUI speichert, verarbeitet oder erzeugt. Identifizieren Sie alle Unterauftragnehmer, die CUI verarbeiten, und nehmen Sie die CMMC-Klausel in Unterverträge auf. Vergewissern Sie sich, dass jeder Unterauftragnehmer den erforderlichen CMMC-Status auf dem geforderten Level hat. Geben Sie CMMC-Anforderungen nicht an Unterauftragnehmer weiter, die kein CUI verarbeiten.

Die konsequente Anwendung dieser Praktiken fördert die betriebliche Reife, die Prüfer erwarten. Die richtige Sicherheitslösung kann zudem den manuellen Aufwand für die Aufrechterhaltung dieser Position weiter reduzieren.

Entfesseln Sie AI-gestützte Cybersicherheit

Verbessern Sie Ihre Sicherheitslage durch Echtzeit-Erkennung, maschinelle Reaktion und vollständige Transparenz Ihrer gesamten digitalen Umgebung.

Demo anfordern

Wichtige Erkenntnisse

CMMC 2.0 ist jetzt durchsetzbar, Phase 1 ist seit dem 10. November 2025 aktiv. Ihre CMMC-Checkliste muss Asset Scoping, SSP-Dokumentation, Nachweissammlung und laufende Wartung über alle Level-2-Praktiken abdecken. Die häufigsten Fehler sind Dokumentation, die Absicht statt betrieblicher Realität beschreibt, unvollständige CUI-Erfassung und reaktive Nachweiserstellung. 

Beginnen Sie die Vorbereitung auf die CMMC-Compliance lange bevor Sie die Zertifizierung benötigen, berücksichtigen Sie die begrenzte C3PAO-Kapazität und bauen Sie eine Monitoring-Infrastruktur auf, die CMMC-Zertifizierungsnachweise von Anfang an generiert.

FAQs

Eine CMMC-Checkliste ist ein strukturiertes Werkzeug, das DoD-Auftragnehmern hilft, die Umsetzung und Beweissammlung für jede erforderliche Cybersicherheitsmaßnahme im Rahmen des Cybersecurity Maturity Model Certification Frameworks nachzuverfolgen. Sie organisiert die 17, 110 oder 134 auf jeder CMMC-Stufe geforderten Maßnahmen in umsetzbare Aufgaben und deckt Asset-Scoping, Dokumentation, Implementierung von Kontrollen und Prüfungsbereitschaft ab. 

Die Verwendung einer CMMC-Checkliste verringert das Risiko, kritische Kontrollen zu übersehen oder ohne ausreichende Nachweise zu einer C3PAO-Prüfung zu erscheinen.

Eine vollständige CMMC-Checkliste umfasst die Bestandsaufnahme von Assets und die Eingrenzung von CUI, Dokumentationsanforderungen für den System Security Plan (SSP), den Umsetzungsstatus der Kontrollen in allen relevanten NIST SP 800-171-Praxisfamilien, Anforderungen an die Nachweiserbringung nach Domäne (Zugriffskontrolle, Audit-Logs, Incident Response, Konfigurationsmanagement und andere), POA&M-Verfolgung für offene Punkte sowie die Vorbereitung des Personals auf Assessoreninterviews. 

Auf Level 2 bildet die Checkliste 110 Praktiken in 14 Sicherheitsdomänen ab. Auf Level 3 erweitert sie sich auf 134 Praktiken unter Einbeziehung der Anforderungen aus NIST SP 800-172.

Keine Vorschrift verlangt von Auftragnehmern die Verwendung eines bestimmten Checklistenformats. Der DoD-Bewertungsprozess erfordert jedoch, dass jede relevante Maßnahme von Prüfern untersucht, getestet oder beobachtet wird. Ohne einen systematischen Nachverfolgungsansatz übersehen Auftragnehmer regelmäßig Nachweislücken oder dokumentieren Kontrollumsetzungen unzureichend. 

Laut Cyber AB CAP kann eine Bewertung ohne ausreichend dokumentiertes SSP nicht fortgesetzt werden, wodurch eine strukturierte Vorbereitung faktisch verpflichtend ist, auch wenn das Checklistenformat selbst nicht vorgeschrieben ist.

Das zentrale Dokumentationspaket für eine CMMC Level 2-Bewertung umfasst: einen System-Sicherheitsplan, der alle im Geltungsbereich befindlichen Assets abdeckt, Netzpläne mit Darstellung der CUI-Datenflüsse und Systemgrenzen, Zugriffskontrolllisten und Autorisierungsnachweise, Nachweise zur Sensibilisierungsschulung für Sicherheit mit Abschlussdaten, Dokumentation zum Vorfallreaktionsplan und zu Übungen, Konfigurationsgrundlagen und Änderungsmanagementnachweise, Ergebnisse von Schwachstellenscans und Nachverfolgung der Behebung sowie alle offenen POA&M-Punkte mit Meilensteinterminen. 

Die Prüfer führen außerdem strukturierte Personalinterviews und praktische technische Tests durch, daher muss die Dokumentation den operativen Ist-Zustand widerspiegeln, nicht den angestrebten Zustand.

Die Vorbereitungszeiten variieren je nach vorhandenen Kontrollen, Reifegrad der Dokumentation und wie viele historische Nachweise Sie bereits vorlegen können. Organisationen mit ausgereiften Sicherheitsprogrammen und etablierten SSPs kommen in der Regel schneller voran, während diejenigen, die von Grund auf beginnen, mit einem längeren Vorlauf rechnen sollten. 

Alle Organisationen sollten Zeit für die Sammlung von Nachweisen, interne Readiness-Reviews und Vorlaufzeiten für die C3PAO-Terminierung einplanen, was die Gesamtdauer um Monate verlängern kann.

Ihren bedingten CMMC-Status kann verfallen, und Sie müssen möglicherweise eine vollständig neue Bewertung durchlaufen, anstatt einfach dort fortzufahren, wo Sie aufgehört haben. Dadurch wird Ihr Zeitplan zurückgesetzt und die Kosten steigen. 

Es kann Sie auch von aktiven Vertragsmöglichkeiten disqualifizieren, die einen aktuellen CMMC-Status erfordern. Planen Sie die Behebungsmaßnahmen sorgfältig und stellen Sie Ressourcen bereit, um POA&M-Punkte deutlich vor Ablauf der Frist zu schließen.

Wenn ein Cloud-Service-Provider CUI in Ihrem Auftrag verarbeitet, speichert oder überträgt, muss er die in DFARS 252.204-7012(b)(2)(ii)(D) festgelegten Sicherheitsanforderungen erfüllen. Dies bedeutet in der Regel eine FedRAMP Moderate- oder gleichwertige Autorisierung. 

Das Versäumnis, den Compliance-Status Ihres Cloud-Anbieters zu dokumentieren und zu validieren, führt zu Abgrenzungsproblemen während der Bewertung und kann zu Feststellungen gegen Ihre Organisation führen, nicht nur gegen den Anbieter.

DFARS 252.204-7012 legt die grundlegenden Cybersicherheitsanforderungen fest, die Verteidigungsauftragnehmer umsetzen müssen, hauptsächlich basierend auf NIST SP 800-171. CMMC fügt eine Verifizierungsebene hinzu, indem eine unabhängige Bewertung dieser Implementierungen verlangt wird. 

Beide arbeiten zusammen: DFARS definiert, was Sie tun müssen, und CMMC bestätigt, dass Sie es tatsächlich getan haben. Vor CMMC meldeten Auftragnehmer die Einhaltung selbst, ohne unabhängige Validierung.

Unterauftragnehmer, die im Rahmen der Vertragserfüllung CUI speichern, verarbeiten oder erzeugen, benötigen den entsprechenden CMMC-Status auf der im Vertrag festgelegten Ebene. 

Hauptauftragnehmer sind dafür verantwortlich, CMMC-Klauseln in Untervertragsvereinbarungen aufzunehmen und den Status der Unterauftragnehmer zu überprüfen. Unterauftragnehmer, die nur FCI verarbeiten oder keinen Kontakt mit CUI haben, sollten keine über die Vertragsanforderungen hinausgehenden CMMC-Flow-Down-Anforderungen erhalten.

Erfahren Sie mehr über Cybersecurity

Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & FrameworksCybersecurity

Cybersecurity im öffentlichen Sektor: Risiken, Best Practices & Frameworks

Erfahren Sie, welchen Risiken und Bedrohungen Behörden und staatliche Einrichtungen im Bereich Cybersecurity ausgesetzt sind. Wir behandeln außerdem die Best Practices zur Absicherung von Regierungssystemen. Lesen Sie weiter, um mehr zu erfahren.

Mehr lesen
Was ist Insecure Direct Object Reference (IDOR)?Cybersecurity

Was ist Insecure Direct Object Reference (IDOR)?

Insecure Direct Object Reference (IDOR) ist eine Zugriffskontrollschwäche, bei der fehlende Eigentumsprüfungen es Angreifern ermöglichen, durch Änderung eines URL-Parameters auf die Daten beliebiger Benutzer zuzugreifen. Erfahren Sie, wie Sie sie erkennen und verhindern können.

Mehr lesen
IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best PracticesCybersecurity

IT- vs. OT-Sicherheit: Zentrale Unterschiede & Best Practices

IT- und OT-Sicherheit betreffen zwei Bereiche mit unterschiedlichen Risikoprofilen, Compliance-Anforderungen und betrieblichen Prioritäten. Erfahren Sie zentrale Unterschiede und Best Practices.

Mehr lesen
Was sind Air Gapped Backups? Beispiele & Best PracticesCybersecurity

Was sind Air Gapped Backups? Beispiele & Best Practices

Air Gapped Backups halten mindestens eine Wiederherstellungskopie außerhalb der Reichweite von Angreifern. Erfahren Sie, wie sie funktionieren, welche Typen es gibt, Beispiele und Best Practices für die Ransomware-Wiederherstellung.

Mehr lesen
Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erleben Sie die fortschrittlichste Cybersecurity-Plattform

Erfahren Sie, wie die intelligenteste und autonomste Cybersicherheitsplattform der Welt Ihr Unternehmen heute und in Zukunft schützen kann.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch