Ergänzung zur Bundesbeschaffungsverordnung für das Verteidigungsministerium (DFARS)

Die gemäß DFARS erforderlichen angemessenen Sicherheitsvorkehrungen sind im NIST-Sicherheitsrahmen 800-171 festgelegt. Dieser Standard behandelt 14 Aspekte einer wirksamen Sicherheit, darunter:

• Risikobewertung
• Konfigurationsmanagement
• Wartung
• System- und Informationsintegrität
• Identifizierung und Authentifizierung
• Prüfung und Rechenschaftspflicht

Das US-Verteidigungsministerium (DoD) regelt seine Beschaffungsangelegenheiten anhand einer Vorschrift namens „Defense Federal Acquisition Regulation Supplement“ (DFARS). Ein Abschnitt der DFARS (Klausel 252.204-7012) schreibt vor, dass alle Auftragnehmer im Verteidigungsbereich angemessene Sicherheitsvorkehrungen für alle „kontrollierten nicht klassifizierten Informationen“ (CUI) treffen müssen, die entweder in den Systemen des Auftragnehmers gespeichert sind oder diese durchlaufen.

Auftragnehmer, die für Teile ihrer Verträge mit dem Verteidigungsministerium Subunternehmer einsetzen oder einen Teil ihres IT-Betriebs auslagern, sind weiterhin dafür verantwortlich, die Einhaltung der DFARS-Vorschriften in ihrer gesamten Lieferkette sicherzustellen. Das heißt, ein Rüstungsunternehmen ist für die Einhaltung der DFARS-Vorschriften (bzw. deren Nichteinhaltung) durch seine Drittparteien verantwortlich.

Das Verteidigungsministerium bescheinigt nicht, dass ein Auftragnehmer die DFARS-Vorschriften einhält, und erkennt auch keine Bewertungen oder Zertifizierungen durch Dritte an, wonach ein Auftragnehmer die DFARS-Vorschriften einhält. Vielmehr erklärt sich ein Unternehmen durch die Unterzeichnung eines Vertrags mit dem Verteidigungsministerium damit einverstanden, comply DFARS comply .

Ein Auftragnehmer, der die DFARS-Standards nicht erfüllt, kann von der Teilnahme an Ausschreibungen für öffentliche Aufträge ausgeschlossen werden, bereits bestehende Aufträge verlieren oder sogar zivil- und strafrechtliche Sanktionen vor Gericht riskieren.

Die Rolle der Cybersicherheit in den DFARS

Nicht als geheim eingestufte Informationen können ein breites Spektrum an Daten umfassen: personenbezogene Daten, Finanzdaten, Pläne für nukleare Antriebe, Unfallinformationen, Haushaltsvoranschläge, die Identität von Hinweisgebern und vieles mehr. Jeder Rüstungsunternehmen, das solche Informationen für das Verteidigungsministerium besitzt oder verarbeitet, muss Sicherheitsvorkehrungen gemäß NIST 800-171 treffen.

Der NIST-Standard geht ausdrücklich auf mehrere Aspekte der Unternehmenssicherheit ein. Dazu gehören das Konfigurationsmanagement und die Systemwartung, einschließlich Software-Patches.

Ein nicht authentifizierter Angriff, der eine Fehlkonfiguration oder Schwachstelle in Ihren geschäftskritischen Anwendungen ausnutzt – welche viele Unternehmen zur Verwaltung ihrer Lieferketten mit ihren Partnern einsetzen –, könnte es böswilligen Akteuren ermöglichen, die zugrunde liegenden Daten zu manipulieren, ohne dabei die Benutzeranwendungen zu berühren oder einen Prüfpfad zu hinterlassen. Selbst bei strengen internen Kontrollen und Prüfungen auf Infrastruktur- und Datenbankebene können Sicherheitslücken auf Anwendungsebene weiterhin CUI-Daten gefährden und Ihre DFARS-Konformität beeinträchtigen.

Zu ergreifende Maßnahmen

• Machen Sie sich mit dem Wesen dieser Compliance-Verpflichtung vertraut und weisen Sie die Zuständigkeit dafür zu. CISOs verstehen möglicherweise die Anforderungen der DFARS-Compliance nicht, während interne Revisions- oder Compliance-Teams möglicherweise die Herausforderungen bei der Gewährleistung der Sicherheits-Compliance entlang der gesamten Lieferkette nicht erfassen. Beauftragen Sie ein Team mit assess Sicherheitsrisiken und der erforderlichen Maßnahmen zu deren Minderung.
  
• Entwickeln Sie eine Sicherheitsstrategie für geschäftskritische Anwendungen, die den Anforderungen der DFARS gerecht wird. Diese Strategie sollte Aspekte wie Konfigurationsmanagement, Protokollverwaltung, die Entwicklung kundenspezifischer Anwendungen, Patches, kontinuierliche Überwachung und vieles mehr umfassen. Diese Maßnahmen müssen einen zuverlässigen Schutz vor Datenmanipulationen in Ihrer ERP-Infrastruktur gewährleisten.
  
• Finden Sie die richtigen Werkzeuge für diese Aufgabe. Sicherheitsteams müssen gemeinsam mit den Verantwortlichen für den Geschäftsbetrieb und der internen Revision Risiken und Schwachstellen identifizieren, die die Einhaltung der DFARS-Vorschriften gefährden, und diese Lücken schließen. Angesichts moderner ERP-Systeme, die geschäftskritische Anwendungen unterstützen, ist das keine leichte Aufgabe. Der Einsatz der richtigen Technologie ist entscheidend, um diese Aufgabe erfolgreich zu bewältigen.