Zum Hauptinhalt springen
Blackberry-Logo
Hintergrund des Helden

FedRAMP-zertifizierte Cloud-Lösungen

Die Sicherheit von Cloud-Diensten ist für US-Bundesbehörden ein wichtiges Anliegen. Der Umgang mit sensiblen Regierungsdaten erfordert ein Maß an Vertrauen und Überprüfung, das weit über die üblichen kommerziellen Praktiken hinausgeht. Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Für einen Cloud-Dienstleister (CSP) ist die Erlangung des FedRAMP-Zertifizierungsstatus ein wichtiger Meilenstein, der bedeutet, dass seine Lösung die strengen Sicherheitsstandards erfüllt, die für die Nutzung durch die Bundesregierung erforderlich sind.

Was bedeutet es, FedRAMP-zertifiziert zu sein?

FedRAMP ist ein regierungsweites Programm, das eine Grundlage für die Sicherheit von Cloud-Angeboten schafft. Wenn eine Cloud-Lösung als „FedRAMP-zertifiziert“ oder, genauer gesagt, als „FedRAMP-autorisiert“ ausgewiesen ist, bestätigt dies, dass das Angebot einer gründlichen und standardisierten Sicherheitsbewertung unterzogen wurde. Diese Autorisierung zeigt, dass die Lösung eines CSP die erforderlichen Kontrollen zum Schutz von Bundesinformationen implementiert hat.

Das Programm wurde entwickelt, um redundante und inkonsistente Sicherheitsbewertungen zwischen verschiedenen Behörden zu vermeiden und ein einheitliches, zuverlässiges Rahmenwerk zu schaffen. Eine Genehmigung einer Behörde kann von anderen Behörden genutzt werden, nach dem Motto „einmal erstellen, mehrfach nutzen“. Dieser Prozess spart Zeit, Ressourcen und Aufwand sowohl für Behörden als auch für CSPs.

Es gibt zwei Hauptwege zur Autorisierung:

  1. Joint Authorization Board (JAB) Provisional Authorization (P-ATO): Das JAB besteht aus den Chief Information Officers (CIOs) des Verteidigungsministeriums (DoW), des Ministeriums für Innere Sicherheit (DHS) und der General Services Administration (GSA). Eine P-ATO des JAB steht für ein Höchstmaß an Sicherheitsvertrauen und wird für Cloud-Lösungen mit breiter Anwendbarkeit in der gesamten Regierung priorisiert.

  2. Behördliche Betriebsgenehmigung (Authorization to Operate, ATO): Ein CSP kann direkt mit einer bestimmten Bundesbehörde zusammenarbeiten, um eine ATO für sein Cloud-Service-Angebot zu erhalten. Die Behörde prüft das Sicherheitspaket des CSP und erteilt, wenn es die Anforderungen erfüllt, eine Genehmigung für die Nutzung innerhalb dieser Behörde. Diese ATO kann dann von anderen Behörden geprüft und wiederverwendet werden.

Der Prozess zur Erlangung der FedRAMP-Zertifizierung

Der Weg zur FedRAMP-Zertifizierung ist methodisch und erfordert einen erheblichen Aufwand an Zeit und Ressourcen. Die Einzelheiten variieren zwar je nach Autorisierungsweg (JAB oder Behörde), die Kernphasen sind jedoch im Allgemeinen einheitlich.

Phase 1: Vorbereitung

In dieser ersten Phase muss ein CSP feststellen, ob sein Dienst für den Bundesmarkt geeignet ist. Der Anbieter muss seine Systemarchitektur dokumentieren, die Grenzen des zu autorisierenden Systems identifizieren und sein Informationssystem auf der Grundlage der FIPS 199-Standards (geringe, mittlere oder hohe Auswirkung) kategorisieren. Diese Kategorisierung bestimmt die Anzahl und Strenge der zu implementierenden Sicherheitskontrollen. Der CSP beauftragt außerdem eine von FedRAMP akkreditierte unabhängige Bewertungsorganisation (3PAO) mit der Durchführung unabhängiger Sicherheitstests.

Phase 2: Bewertung

Während der Bewertungsphase führt die 3PAO eine umfassende Sicherheitsbewertung durch. Dabei werden die vom CSP implementierten Sicherheitskontrollen getestet, um zu überprüfen, ob sie wirksam sind und die FedRAMP-Anforderungen erfüllen. Die 3PAO erstellt einen Sicherheitsbewertungsbericht (SAR), in dem die Ergebnisse der Tests detailliert aufgeführt sind. Der CSP verwendet diesen Bericht, um einen Aktions- und Meilensteinplan (POA&M) zu erstellen, mit dem identifizierte Schwachstellen verfolgt und behoben werden können.

Phase 3: Autorisierung

In dieser Phase überprüft die JAB oder die fördernde Behörde das gesamte Sicherheitspaket. Dieses Paket umfasst den System Security Plan (SSP), den SAR, den POA&M und weitere Begleitdokumente. Wenn die Genehmigungsbehörde zu dem Schluss kommt, dass das Sicherheitsrisiko akzeptabel ist, erteilt sie eine P-ATO oder ATO. Die genehmigte Lösung wird dann im FedRAMP Marketplace gelistet, wodurch sie für alle Bundesbehörden sichtbar und verfügbar wird.

Phase 4: Kontinuierliche Überwachung

Die FedRAMP-Zertifizierung ist kein einmaliger Vorgang. Autorisierte CSPs müssen ihre Sicherheitskontrollen kontinuierlich überwachen, über ihren Status Bericht erstatten und sich jährlichen Bewertungen durch eine 3PAO unterziehen. Dadurch wird sichergestellt, dass die Lösung ihre Sicherheitslage über einen längeren Zeitraum beibehält und sich an neue Bedrohungen anpasst. Dieser fortlaufende Prozess gibt Behörden die Gewissheit, dass die von ihnen genutzten Dienste während ihres gesamten Lebenszyklus sicher bleiben.

Begünstigte

Das Mandat gilt zwar für Bundesbehörden, doch der Nutzen von FedRAMP erstreckt sich auch auf andere Sektoren, die mit sensiblen Informationen umgehen.

  • Staatliche und lokale Behörden: Viele staatliche und lokale Behörden betrachten das FedRAMP-Rahmenwerk als vertrauenswürdigen Standard bei der Beschaffung von Cloud-Diensten, auch wenn es keine formelle Anforderung ist.

  • Kritische Infrastruktur: Branchen wie Energie, Finanzen, Gesundheitswesen und Transportwesen verwalten hochsensible Daten und sind erheblichen Cyber-Bedrohungen ausgesetzt. Diese Organisationen bevorzugen oder verlangen oft, dass ihre Cloud-Anbieter über eine FedRAMP-Zulassung verfügen, die als Indikator für robuste Sicherheit gilt.

  • Verteidigungsindustrie (DIB): Unternehmen, die Verträge mit dem Kriegsministerium abschließen, verarbeiten kontrollierte, nicht klassifizierte Informationen (CUI) und müssen strenge Sicherheitsanforderungen wie CMMC erfüllen. Eine FedRAMP-Zertifizierung wird oft als solide Grundlage für die Erfüllung dieser anderen Compliance-Verpflichtungen angesehen.

Für alle Organisationen, bei denen Datensicherheit und die Einhaltung gesetzlicher Vorschriften oberste Priorität haben, bietet eine FedRAMP-zertifizierte Lösung eine validierte Schutzgarantie. Sie bestätigt, dass der Anbieter in ein ausgereiftes Sicherheitsprogramm investiert hat, das in der Lage ist, kritische Informationsressourcen vor komplexen Bedrohungen zu schützen.

BlackBerry für sichere Kommunikation

Zertifizierte Sicherheit. Vertrauenswürdige Behörde.

Die BlackBerry Secure Communications-Lösungen sind von den weltweit strengsten Sicherheitsbehörden für Ihre geschäftskritischen Abläufe zertifiziert.

Entdecken Sie die Zertifizierungen für sichere Kommunikation von BlackBerry