Deutsche Cyber-Anbieter: FedRAMP, CMMC und US-Bundesbeschaffungs-Architektur.

Der deutsche Cyber-Anbieter-Archetyp.

Das Muster wiederholt sich quer durch die deutsche Cyber- und Dual-Use-Landschaft an dem Punkt, an dem die US-Bundesbeschaffungs-Aufnahme aktiv wird. Der Prinzipal ist die geschäftsführende Direktorin, der Director Federal Markets, der Head of US Operations oder die Vorstandsvertretung in einem Sicherheits-Anbieter mit DACH-Bundesbehörden-Beziehung. Das Haus trägt Jahre BSI-Zertifizierung, BSI-C5-Cloud-Konformität, BfV- (Bundesamt für Verfassungsschutz) und Bundeswehr-CIR-Beziehung sowie BAAINBw-(Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr)-Lieferanten-Status. Die Heimatmarkt-Position steht. Die US-Bundes-Aufnahme arbeitet als Aufsichtsratsthema, als Reaktion auf eine US-DoD-RFP oder als Erweiterung nach einer US-Akquisition oder einem US-Joint-Venture.

Der Archetyp konzentriert sich in identifizierbaren Häusern. secunet Security Networks in Essen ist ein BSI-naher IT-Sicherheitsspezialist mit SINA-Architektur und Bundesbehörden-Lieferungen. Rohde & Schwarz Cybersecurity in München ist Teil der Rohde-&-Schwarz-Gruppe und liefert Endpoint Security, Network Security und Browser-Sicherheit. Genua in Kirchheim bei München ist BSI-zertifiziert für Hochsicherheits-Netzwerk-Komponenten. Utimaco in Aachen ist ein HSM-Spezialist (Hardware Security Modules) mit BSI- und Common-Criteria-Zertifizierungen. Atos Eviden (deutsche Operationen aus dem Atos-Konzern) liefert Managed Security Services und Cyber-Resilienz. Hensoldt in Taufkirchen ist Sensor- und Cyber-Spezialist im Verteidigungs-Kontext. Diehl Defence Cyber ist die Cyber-Sparte der Diehl-Gruppe mit Defence-Engineering-Tiefe. Jeder ist ein eigenständiger Teilsegment-Spieler innerhalb der breiteren deutschen Cyber-Architektur.

Das gemeinsame Muster über diese Häuser hinweg ist, dass das US-Bundes-Gespräch beginnt, nachdem der DACH-Bundesbehörden-Status gefestigt ist. Der Prinzipal liest die US-Bundes-Anforderung als Erweiterungs-Übung auf der bereits etablierten BSI-Disziplin. Die Erweiterung ist Teilstück. Erhebliche Komponenten der US-Bundesbeschaffer-Antwort, darunter FedRAMP-Authorization mit JAB- oder Agency-Sponsoring und 3PAO-Audit, CMMC-2.0-Stufenbestimmung pro Vertrag, NIST-SP-800-171-Rev-2-Implementierung, DFARS-252.204-7012-Cyber-Vorfall-Reporting an DC3, DoD-SRG-Cloud-Stufen-Bestimmung pro Workload, ITAR-Registrierung mit DDTC, EAR-Klassifikation pro Item, FOCI-Mitigation und NISPOM-Disziplin, sind separat konstruierte Objekte.

Die Frage des Prinzipals lautet typisch: Wie lange dauert die FedRAMP-Authorization, was kostet die US-Federal-Vertriebspräsenz, und wann kann die erste US-DoD-RFP-Antwort gestellt werden. Der Rahmen, den die Firma beiträgt, ist nicht die regulatorische Zeitachse (die gehört zum FedRAMP-Berater, zur 3PAO und zum Federal-Cyber-Anwälte) sondern der US-kommerzielle Rahmen, den das Haus am Tag der ersten US-Federal-RFP braucht. Dasselbe Achtzehn-bis-Sechsunddreißig-Monate-Parallelaufbau-Fenster gilt für deutsche Cyber-Anbieter, und der Anbieter, der die FedRAMP-Authorization als einzige US-bezogene Arbeit behandelt, verliert die achtzehn bis sechsunddreißig Monate, die die US-Federal-Vertriebspräsenz, die US-Channel-Partnerschaften, die ITAR/EAR-Compliance-Architektur und die GSA-Schedule-Aufnahme brauchen.

BSI-Zertifizierung gegenüber FedRAMP Rev 5.

Die Zertifizierung durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die deutsche Standard-Disziplin für IT-Sicherheits-Compliance. Der BSI-Grundschutz, das BSI-IT-Grundschutz-Kompendium und der BSI-C5-Katalog (Cloud Computing Compliance Criteria Catalogue) bilden die Basis für deutsche Bundesbehörden-Lieferungen und ergänzen Common Criteria für Produkte. Die Zertifizierung durch das BSI ist anerkannte Sicherheits-Autorität in DACH und in EU-Mitgliedstaaten, die sie reziprok lesen.

FedRAMP (Federal Risk and Authorization Management Program) ist das US-Bundes-Cloud-Sicherheits-Authorization-Programm, betrieben durch die US General Services Administration (GSA) im Auftrag des US Office of Management and Budget. FedRAMP Rev 5, gültig seit Mitte 2023, basiert auf NIST SP 800-53 Rev 5 und unterscheidet drei Baselines: FedRAMP Low (etwa 156 Kontrollen) für Cloud-Services mit niedrigem Impact bei Vertraulichkeits-, Integritäts- oder Verfügbarkeits-Verlust; FedRAMP Moderate (etwa 323 Kontrollen) für Cloud-Services mit moderatem Impact, der Standard für die meisten Behörden-Workloads; FedRAMP High (etwa 410 Kontrollen) für Cloud-Services mit hohem Impact, einschließlich Strafverfolgung und Notfallreaktion.

Die FedRAMP-Authorization läuft über zwei Pfade: JAB Authorization (Joint Authorization Board, mit DoD, DHS und GSA als Joint-Sponsoren) für hochpriorisierte Cloud Service Provider; Agency Authorization mit einer einzelnen US-Bundesbehörde als Sponsor, die die Authorization an andere Behörden weiter-zertifiziert. Beide Pfade verlangen einen 3PAO-Audit (Third-Party Assessment Organization, FedRAMP-akkreditiert), einen System Security Plan (SSP), Plan of Action and Milestones (POA&M), Continuous Monitoring und ein Authorization to Operate (ATO).

Die Übersetzungslücke ist strukturell. BSI C5 ist nicht durch FedRAMP Rev 5 substituierbar. Ein deutscher Cyber-Anbieter mit BSI-C5-Zertifizierung hat eine Basis (insbesondere zu BSI-Grundschutz, Risikomanagement und Cloud-Disziplin), aber die FedRAMP-Authorization ist eine eigenständige US-seitige Konstruktion. Der Anbieter muss eine US-Bundesbehörde als Authorization-Sponsor finden, ein FedRAMP-akkreditiertes 3PAO beauftragen, einen SSP zu NIST SP 800-53 Rev 5 erstellen, US-Datenresidenz und US-Personnel-Citizenship adressieren und Continuous-Monitoring nach FedRAMP-Kadenz aufstellen.

Die kommerzielle Folge ist, dass der deutsche Cyber-Anbieter kein US-Bundes-Gespräch mit BSI-C5-Sprache, Bundesbehörden-Lieferungs-Listen und SINA-Architektur als validierendem Beweis führen kann. Der US-Bundesbeschaffer liest BSI-C5 als europäischen Kontext und nicht als US-Bundes-Cloud-Authorization-Autorität. Der US-bezogene Beweis muss in FedRAMP-Begriffen regeneriert werden.

CMMC 2.0 Stufen und NIST SP 800-171 Rev 2.

CMMC 2.0 (Cybersecurity Maturity Model Certification, Version 2.0) ist das vom US-Verteidigungsministerium für die Defense Industrial Base (DIB) verlangte Cybersecurity-Maturity-Framework. CMMC 2.0 löst CMMC 1.0 ab und vereinfacht das Modell auf drei Stufen, mit Inkrafttreten in Phasen über DFARS-Klauseln und FedRAR-Zyklen.

CMMC Stufe 1 (Foundational). Die fünfzehn Anforderungen aus FAR 52.204-21 Basic Safeguarding gelten für Auftragnehmer mit Federal Contract Information (FCI). Die Bewertung läuft über jährliche Selbstbewertung und Affirmation durch einen Senior Company Official, eingereicht im SPRS (Supplier Performance Risk System). Die Stufe 1 ist die Baseline für jeden DoD-Vertrag mit FCI-Berührung.

CMMC Stufe 2 (Advanced). Die hundertzehn NIST-SP-800-171-Rev-2-Anforderungen gelten für Auftragnehmer mit Controlled Unclassified Information (CUI). Die Bewertung läuft über dreijährliche Bewertung durch ein CMMC Third-Party Assessment Organization (C3PAO) für die meisten Verträge, oder durch Selbstbewertung für ausgewählte CUI-Verträge je nach DoD-Bestimmung. SSP, POA&M und Affirmation der Einhaltung sind erforderlich. Die Stufe 2 ist die häufigste CMMC-Anforderung in der DIB.

CMMC Stufe 3 (Expert). Die NIST-SP-800-171-Rev-2-Anforderungen plus eine Untergruppe von NIST SP 800-172 (Enhanced Security Requirements) gelten für Auftragnehmer mit höchster Vertraulichkeit. Die Bewertung läuft DoD-geführt durch DIBCAC (Defense Industrial Base Cybersecurity Assessment Center). Die Stufe 3 ist für die kritischsten DIB-Programme reserviert.

Für den deutschen Cyber-Lieferanten mit US-DoD-CUI-Berührung bedeutet das eine eigenständige Compliance-Übung pro Vertragsumfang. Der Lieferant mit BSI-IT-Grundschutz-Basis muss NIST SP 800-171 Rev 2 als separate Disziplin implementieren: Access Control, Awareness and Training, Audit and Accountability, Configuration Management, Identification and Authentication, Incident Response, Maintenance, Media Protection, Personnel Security, Physical Protection, Risk Assessment, Security Assessment, System and Communications Protection, System and Information Integrity. Die Lücke zwischen BSI-Grundschutz und NIST SP 800-171 ist real.

Die kommerzielle Folge ist, dass die US-DoD-Beschaffer-bezogenen Materialien die CMMC-Stufe pro Vertrag benennen, mit C3PAO-Status, SSP-Bereitschaft und Affirmation-Disziplin. Die generische deutsche Cyber-Geschichte trägt nicht durch den DFARS-CMMC-Filter.

DFARS 252.204-7012/-7019/-7020/-7021 und DoD SRG Impact Levels.

Die DFARS (Defense Federal Acquisition Regulation Supplement) Cyber-Klauseln sind die Vertrags-Implementierung der DoD-Cyber-Disziplin. Vier Klauseln sind zentral.

DFARS 252.204-7012 verlangt von Auftragnehmern mit Covered Defense Information (CDI) die Implementierung von NIST SP 800-171 Rev 2, das Reporting von Cyber-Vorfällen an das DoD Cyber Crime Center (DC3) innerhalb 72 Stunden, das Sammeln und Bewahren von Forensik-Daten, das Submitten von Malicious Software an DC3 und die Erfüllung von Cloud-Service-Anforderungen unter dem DoD Cloud Computing Security Requirements Guide (SRG) für CDI in der Cloud.

DFARS 252.204-7019 verlangt eine NIST-SP-800-171-Self-Assessment-Score-Submission im SPRS auf Basic-Assessment-Level (Selbst-Bewertung), Medium-Assessment-Level (DoD-Review) oder High-Assessment-Level (DoD on-site).

DFARS 252.204-7020 erweitert die Self-Assessment-Anforderung auf alle Tiers der Lieferkette mit CDI-Berührung. Der deutsche Tier-1-Cyber-Lieferant muss seine Tier-2- und Tier-3-Lieferanten in Compliance bringen oder die Lieferketten-Karte vorlegen.

DFARS 252.204-7021 verlangt CMMC-Compliance bei Vertragsabschluss, mit der CMMC-Stufe spezifiziert in der Vertragssolicitation.

DoD SRG (Cloud Computing Security Requirements Guide) unterscheidet vier Impact Levels: IL2 (öffentliche und nicht-sensible Information, FedRAMP Moderate als Baseline), IL4 (CUI und Mission-Support-Information, FedRAMP Moderate plus DoD-spezifische Anforderungen), IL5 (höhere CUI und National-Security-Systems-Daten, FedRAMP High plus DoD-spezifische Anforderungen), IL6 (klassifizierte Information bis SECRET, separate Authorization-Disziplin). Der deutsche Cyber-Anbieter, der DoD-Cloud-Workload anbietet, muss die SRG-Stufe pro Workload identifizieren und mit US-Personnel-Citizenship-Anforderungen, US-Datenresidenz und US-Personnel-Background-Investigations adressieren.

ITAR, EAR und Dual-Use-Klassifikation.

ITAR (International Traffic in Arms Regulations, 22 CFR 120-130, administriert durch die US Department of State Directorate of Defense Trade Controls, DDTC) regelt den Export von defense articles und defense services aus den Vereinigten Staaten. Die United States Munitions List (USML) listet 21 Kategorien, darunter Category XI (Military Electronics), Category XIII (Materials and Miscellaneous Articles) und Category XII (Fire Control, Laser, Imaging) als typische Berührung für Cyber- und Sensor-Häuser.

EAR (Export Administration Regulations, 15 CFR 730-774, administriert durch das US Department of Commerce Bureau of Industry and Security, BIS) regelt den Export von Dual-Use-Items (zivile Items mit militärischer Anwendungs-Möglichkeit). Die Commerce Control List (CCL) listet Items mit Export Control Classification Numbers (ECCNs), darunter ECCN 5A002 (Cryptographic Information Security), 5A001 (Telecommunications) und 5D002 (Cryptographic Software).

Für deutsche Cyber- und Dual-Use-Anbieter wie Hensoldt oder Diehl Defence Cyber, die mit US-Defense-Gegenparteien arbeiten, bedeutet das: ITAR-controlled technical data erfordert ITAR-Registrierung mit DDTC, Lizenzen für Tech-Daten-Transfer und Kontrolle über Foreign Person Access (eine ITAR-controlled US-Niederlassung darf ITAR-Daten nicht an Non-US-Persons offenlegen, einschließlich deutscher Mutterkonzern-Mitarbeiter ohne US-Citizenship oder Permanent Residency, ohne separate Lizenz). EAR-controlled technologies erfordern EAR-Klassifikation pro Item, ggf. Lizenz und Compliance mit Deemed Export Rules (Tech-Daten-Übertragung an Non-US-Persons in den USA gilt als Export).

Die deutsche Niederlassung in den USA muss ITAR-Personnel-Compliance, EAR-Klassifikation pro Item und ggf. Foreign Ownership, Control and Influence (FOCI) Mitigation aufstellen, wo der deutsche Mutterkonzern als ausländischer Eigentümer im US-Sicherheits-Auftragnehmer-Kontext liest. FOCI-Mitigation, administriert durch DCSA (Defense Counterintelligence and Security Agency), umfasst Strukturen wie Special Security Agreement (SSA), Voting Trust, Proxy Agreement oder Board Resolution. Die Mitigation-Wahl ist programmspezifisch und wird mit DCSA verhandelt.

Wo die deutsche Niederlassung Facility Clearance braucht, gilt NISPOM (National Industrial Security Program Operating Manual, 32 CFR Part 117). NISPOM regelt Personnel Clearances, Facility Clearances und Sicherheits-Kontrollen für klassifizierte Verträge. Die deutsche Niederlassung kann eine Facility Clearance halten, wenn FOCI-Mitigation in Kraft ist, mit US-Citizen-Senior-Management und US-Sicherheitsfreigabe-Personal.

US-Federal-Vertriebsarchitektur und Channel-Partner.

Die US-Bundesbeschaffung läuft nicht direkt zwischen Hersteller und Behörde. Die US-Federal-Vertriebsarchitektur umfasst SAM.gov-Registrierung (System for Award Management, mandatorisch für jeden Bundesauftrag), GSA Schedule (General Services Administration Multiple Award Schedule, mit IT Schedule 70 als typischer Cyber-Aufnahmen-Pfad, jetzt unter MAS Information Technology Category), SEWP V (Solutions for Enterprise-Wide US-Beschaffung, NASA-betrieben für IT-Hardware und -Software regierungsweit), NITAAC GWAC (NIH Information Technology Acquisition and Assessment Center Government-Wide Acquisition Contracts) und ITES-3 (Information Technology Enterprise Solutions, US-Army-betrieben).

US-Federal-Channel-Partner sind die Standard-Brücke für Non-US-Cyber-Anbieter. Carahsoft in Reston (Virginia) ist der größte US-Federal-IT-Distributor mit GSA-Schedule, SEWP-V- und NITAAC-Vehikeln und führt deutsche Anbieter regelmäßig als Master-Distributor. immixGroup (Arrow Electronics) ist Carahsoft-Wettbewerber in derselben Rolle. DLT Solutions (Tech Data) und Four Points Technology sind weitere typische Federal-Channel-Häuser. Der deutsche Cyber-Anbieter, der ohne Federal-Channel-Partnerschaft direkt an US-Bundesbehörden verkauft, sieht sich der GSA-Schedule-Disziplin und der Behörden-Kontraktor-Beziehung allein gegenüber, was typisch nicht skaliert.

Die Vertriebsbeziehung mit US-Bundesbehörden läuft über benannte Behörden-Gegenparteien: DoD-Programme über die Service-spezifischen Acquisition-Commands (Army Contracting Command, NAVAIR, Air Force Life Cycle Management Center, MARCORSYSCOM), Department of Homeland Security über CISA (Cybersecurity and Infrastructure Security Agency), Civilian-Behörden über GSA und über Behörden-spezifische CIO-Offices. Der deutsche Cyber-Anbieter muss Vertriebspersonal für US-Bundesbehörden mit benannten Behörden-Beziehungen anstellen, was zwölf bis vierundzwanzig Monate Aufbauarbeit ist.

Deutsche Cyber-Anbieter mit voller BSI-C5-Disziplin entdecken typisch, dass die US-Bundesbeschaffer-Antwort keine Übersetzung der DACH-Akte ist, sondern eine eigenständige US-seitige Konstruktion. Das Achtzehn-bis-Sechsunddreißig-Monate-Parallelaufbau-Fenster für FedRAMP-Authorization, CMMC-2.0-Compliance, DFARS-Klausel-Antwort, ITAR/EAR-Klassifikation, FOCI-Mitigation und US-Federal-Channel-Aufbau ist dasselbe Fenster, in dem die ersten US-DoD- oder US-CISA-Gespräche laufen. Der Anbieter, der dieses Fenster nutzt, baut eine US-Bundes-Position. Der Anbieter, der die BSI-Disziplin allein nutzt, steht am ersten RFP-Tag ohne fertigen kommerziellen Rahmen da. Hausmeinung zur deutschen Cyber-US-Bundes-Aufnahme

Die Korrektur-Sequenz.

Drei Stufen in Reihenfolge.

Diagnose. Die erste Stufe identifiziert, wo die US-Bundesbeschaffung gegen die deutsche BSI- und C5-Disziplin bricht. Welche FedRAMP-Baseline (Low, Moderate, High) gilt pro Workload. Welche CMMC-Stufe (1, 2 oder 3) gilt pro Vertrag. Wie ist der DFARS-Status der Lieferkette. Wie ist die ITAR/EAR-Klassifikation pro Item. Welche US-Bundesbeschaffer lesen deutsche Cyber-Materialien als BSI-zentriert.

Korrektur des Signals. Die zweite Stufe baut die US-Bundesbeschaffungs-bezogenen Materialien neu auf. FedRAMP-Authorization-Pfad pro Service mit benanntem Sponsor und 3PAO. CMMC-2.0-Compliance-Geschichte pro Programm mit C3PAO-Status. NIST SP 800-171 Rev 2 plus 800-172 Mapping. DFARS 252.204-7012/-7019/-7020/-7021 Compliance-Architektur. DoD SRG IL2/IL4/IL5/IL6 Stufenbestimmung pro Workload. ITAR-Registrierung mit DDTC und EAR-Klassifikation pro kontrolliertem Item. FOCI-Mitigation-Strategie über DCSA. NISPOM-Disziplin wo Facility Clearance erforderlich.

Ausführungsschicht. Die dritte Stufe baut die Oberflächen neu auf, denen der US-Bundesbeschaffer und der US-DoD-Gegenpartei begegnen. US-Vertriebs- und Engineering-Team-Biografien mit US-Sicherheitsfreigabe an der Oberfläche. US-Bundesbeschaffer-bezogenes Site mit FedRAMP-Status, CMMC-Stufe und DFARS-Compliance-Geschichte. US-SAM-Registration und GSA-Schedule-Bewerbung. US-Channel-Partnerschaften (Carahsoft, immixGroup, DLT Solutions oder vergleichbar). US-Federal-Compliance-Materialien.

Wann uns einbinden.

Die Firma führt drei Mandate für deutsche Cyber-Anbieter. Passung und Konditionen werden in der Qualifikation bestätigt, nicht veröffentlicht.

• Market Entry Sprint (sechs bis zehn Wochen) für eine einzelne US-Federal-Programm-Antwort und die ersten US-Bundesbeschaffer-bezogenen Materialien neu aufgebaut und versandt. Typisch für einen deutschen Cyber-Anbieter mit erstem US-DoD-RFP, FedRAMP-Authorization-Sponsor-Suche oder Carahsoft-Mandat. Sprint besprechen →
• Cross-Border Build (drei bis sechs Monate) für einen vollständigen US-Neuaufbau über Positionierung, FedRAMP-Pfad, CMMC-Stufenbestimmung, DFARS-Compliance-Architektur, ITAR/EAR-Klassifikation, FOCI-Mitigation, US-Federal-Channel-Partnerschaft, US-Webseite und US-kommerzielle Kadenz. Standard-Form für deutsche Cyber-Prinzipale mit klarer US-Bundes-Verpflichtung. Aufbau besprechen →
• Group Partnership (monatliche Zusammenarbeit, zwölf Monate Mindestlaufzeit) für deutsche Cyber-Holdings, Defense-Gruppen oder Mittelstand-Sicherheits-Häuser mit mehreren operativen Marken, die parallele US-bezogene Neuaufbauten erfordern. Partnership besprechen →

Für Korridor-Lektüre siehe die Stadtseite München, den DACH-Mittelstand-Industrie- und Engineering-Grundlagenartikel, den Deutschland-USA-Markteintritts-Leitfaden 2026 und das US-Beschaffungs-Vier-Filter-Rahmenwerk.

Häufig gestellte Fragen.