Die Einschätzung der Cyber Academy
NIST SP 800-171 ist der US-amerikanische Standard, der Sicherheitsanforderungen zum Schutz kontrollierter, nicht klassifizierter Informationen in nicht-bundesstaatlichen Systemen definiert. Er bildet das technische Rückgrat von CMMC für Verteidigungsauftragnehmer. Revision 3 (2024) hat die Controls verschärft. Wer an das US-Verteidigungsministerium verkauft, ist zur Einhaltung verpflichtet; wer ausschließlich in Europa tätig ist, kann den Standard als Referenz nutzen.
Was NIST SP 800-171 tatsächlich verlangt
Wenn die US-Regierung sensible, aber nicht klassifizierte Daten mit einem Auftragnehmer, einer Universität oder einem Dienstleister teilt, benötigt sie die Gewissheit, dass die Daten geschützt werden, obwohl sie nun außerhalb der föderalen Systeme liegen. NIST SP 800-171 ist der Katalog der Sicherheitsanforderungen, der diesem Bedarf gerecht wird.
Er sagt jeder nicht föderalen Organisation, die Controlled Unclassified Information verarbeitet, wie sie diese schützen muss: über Zugriffskontrolle, Sensibilisierung und Schulung, Audit und Rechenschaftspflicht, Konfigurationsmanagement, Identifizierung und Authentifizierung, Reaktion auf Vorfälle, Wartung, Datenträgerschutz, physischen Schutz, Personalsicherheit, Risikobewertung, Sicherheitsbewertung, Schutz von Systemen und Kommunikation sowie Integrität von Systemen und Informationen. Das Ziel ist Einheitlichkeit. Anstatt dass jede Behörde ihre eigenen Klauseln erfindet, erfüllen die Auftragnehmer eine einzige, konsistente Grundlinie.
Die Anforderungen sind aus dem weitaus umfangreicheren Kontrollkatalog NIST SP 800-53 abgeleitet, der innerhalb der föderalen Systeme verwendet wird, jedoch an die Realität einer privaten Organisation angepasst. Sie sind als Ergebnisse formuliert, die Sie erreichen müssen, nicht als ein einzelnes vorgeschriebenes Produkt oder eine vorgeschriebene Architektur, was einer Organisation Spielraum lässt, sie auf eine zu ihren eigenen Systemen passende Weise umzusetzen. Was Sie nicht erhalten, ist ein Ermessen darüber, ob Sie sie erfüllen. Sobald die Anforderung in Ihrem Vertrag erscheint, ist ihre Umsetzung eine Bedingung für das Halten dieses Vertrags.
CUI und warum die Frage des Geltungsbereichs am wichtigsten ist
Alles in NIST SP 800-171 hängt von einer vorgelagerten Frage ab: Wo liegt Controlled Unclassified Information tatsächlich in Ihrer Umgebung? CUI sind Informationen, die die Regierung erstellt oder besitzt, oder die eine Organisation für die Regierung erstellt, die nach einem Gesetz, einer Verordnung oder einer regierungsweiten Richtlinie geschützt werden müssen, aber nicht klassifiziert sind. Sie umfassen Kategorien wie technische Zeichnungen, ausfuhrkontrollierte Daten, personenbezogene Daten, die im Auftrag einer Behörde gehalten werden, und ähnliches sensibles Material. Die Norm gilt nur für die Systeme, die diese Daten speichern, verarbeiten oder übertragen.
Deshalb ist die Festlegung des Geltungsbereichs die Arbeit, die alles Weitere bestimmt. Definieren Sie die Grenze zu weit, erlegen Sie Ihrem gesamten Netzwerk Kontrollen auf föderalem Niveau auf, zu enormen Kosten. Definieren Sie sie zu eng, lassen Sie CUI in einem System ungeschützt, das Sie zu zählen vergessen haben. Der Großteil eines glaubwürdigen 800-171-Programms wird darauf verwendet, CUI zu identifizieren, die Systeme zu isolieren, die damit in Berührung kommen, und diese Grenze zu verkleinern, damit die Kontrollen dort greifen, wo sie tatsächlich benötigt werden, statt überall.
Wo 800-171 endet und CMMC beginnt
NIST SP 800-171 ist der Kontrollkatalog. Die Cybersecurity Maturity Model Certification (CMMC) ist der Verifizierungsmechanismus, den das US Department of Defense darauf aufgebaut hat. Jahrelang bescheinigten Auftragnehmer selbst, dass sie 800-171 erfüllten, und die Kluft zwischen der Bescheinigung und der Realität trat erst nach einem Vorfall zutage. CMMC Level 2 entspricht unmittelbar NIST SP 800-171, fügt aber eine unabhängige Bewertung hinzu, sodass eine Unterschrift nicht mehr ausreicht. Wenn Sie 800-171 wirklich umsetzen, haben Sie den größten Teil der inhaltlichen Arbeit für CMMC Level 2 geleistet; was bleibt, ist die Erbringung von Nachweisen und das Bestehen einer Bewertung durch jemanden, der nicht Sie selbst ist.
Die Revision 3, veröffentlicht 2024, hat die Anforderungen umstrukturiert und verschärft, die Kontrollfamilien neu geordnet und einige Einzelheiten in eine begleitende Bewertungspublikation verlagert. Für einen europäischen Lieferanten ist die Relevanz ausschließlich vertraglicher Natur. Wenn Sie für einen US-Prime als Unterauftragnehmer tätig sind, Verteidigungskomponenten fertigen oder CUI für ein DoD-Programm verarbeiten, bindet Sie 800-171 genauso wie ein amerikanisches Unternehmen. Ist Ihr Markt rein europäisch, ist es ein informativer Kontext, der Ihnen hilft, CMMC und die US-Beschaffungsanforderungen zu verstehen, und es ergänzt sich auf natürliche Weise mit der risikobasierten Disziplin des NIST Cybersecurity Framework, anstatt sie zu ersetzen.
Frequently asked questions
01Wer muss NIST SP 800-171 einhalten?
Jede nicht föderale Organisation, die Controlled Unclassified Information im Auftrag der US-Regierung speichert, verarbeitet oder überträgt, einschließlich Auftragnehmern, Unterauftragnehmern, Universitäten und Forschungseinrichtungen. Die Verpflichtung ist im Vertrag oder im Förderbescheid festgeschrieben.
02Was ist der Unterschied zwischen NIST SP 800-171 und CMMC?
NIST SP 800-171 ist der Katalog der Sicherheitsanforderungen zum Schutz von CUI. CMMC ist das Zertifizierungsprogramm des US Department of Defense, das überprüft, ob diese Anforderungen tatsächlich umgesetzt sind. CMMC Level 2 baut unmittelbar auf 800-171 auf und fügt eine unabhängige Bewertung hinzu.
03Was ist Controlled Unclassified Information (CUI)?
CUI sind Regierungsinformationen, die nach einem Gesetz, einer Verordnung oder einer regierungsweiten Richtlinie geschützt werden müssen, aber nicht klassifiziert sind. Sie umfassen Kategorien wie technische Daten, ausfuhrkontrollierte Informationen und personenbezogene Daten, die für eine Behörde gehalten werden. NIST SP 800-171 gilt nur für Systeme, die sie verarbeiten.
04Wie hängt NIST SP 800-171 mit NIST SP 800-53 zusammen?
Die Anforderungen von 800-171 sind aus dem umfangreicheren Kontrollkatalog 800-53 abgeleitet, der innerhalb der föderalen Informationssysteme verwendet wird, jedoch an nicht föderale Organisationen angepasst. 800-53 schützt föderale Systeme unmittelbar; 800-171 ist der moderierte Satz, der auf Auftragnehmer angewendet wird, die CUI verarbeiten.
05Gilt NIST SP 800-171 für europäische Organisationen?
Nur wenn sie CUI in der Lieferkette der US-Regierung verarbeiten, etwa als Unterauftragnehmer eines US-Prime oder als Verarbeiter von CUI für ein DoD-Programm. Für ein rein europäisches Geschäft ist es informativ und nicht verpflichtend.