FedRAMP-zertifizierte Cloud-Lösungen

Die Sicherheit von Cloud-Diensten ist für US-Bundesbehörden ein zentrales Anliegen. Der Umgang mit sensiblen Regierungsdaten erfordert ein Maß an Vertrauen und Überprüfung, das weit über die üblichen kommerziellen Praktiken hinausgeht. Das Federal Risk and Authorization Management Program (FedRAMP) bietet einen standardisierten Ansatz für die Sicherheitsbewertung, Zertifizierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten. Für einen Cloud-Dienstleister (CSP) ist die Erlangung des FedRAMP-Zertifizierungsstatus ein entscheidender Meilenstein, der bedeutet, dass seine Lösung die strengen Sicherheitsstandards erfüllt, die für den Einsatz in der Bundesregierung erforderlich sind.

FedRAMP ist ein behördenübergreifendes Programm, das einen Mindeststandard für die Sicherheit von Cloud-Angeboten festlegt. Wenn eine Cloud-Lösung als „FedRAMP-zertifiziert“ oder, genauer gesagt, als „FedRAMP Certified“ ausgewiesen wird, bestätigt dies, dass das Angebot einer gründlichen und standardisierten Sicherheitsprüfung unterzogen wurde. Diese Zertifizierung belegt, dass die Lösung eines CSP die erforderlichen Kontrollmaßnahmen zum Schutz von Bundesdaten implementiert hat.

Das Programm wurde entwickelt, um überflüssige und uneinheitliche Sicherheitsbewertungen zwischen verschiedenen Behörden zu vermeiden und einen einheitlichen, zuverlässigen Rahmen zu schaffen. Eine Zertifizierung durch eine Behörde kann von anderen Behörden genutzt werden, ganz nach dem Motto „Einmal durchführen, mehrfach nutzen“. Dieser Prozess spart sowohl Behörden als auch CSPs Zeit, Ressourcen und Aufwand.

Es gibt zwei Hauptwege zur Zertifizierung:

1. Joint Authorization Board (JAB) Provisional Authorization (P-ATO): Das JAB besteht aus den Chief Information Officers (CIOs) des Verteidigungsministeriums (DoW), des Ministeriums für Innere Sicherheit (DHS) und der General Services Administration (GSA). Eine P-ATO des JAB steht für ein Höchstmaß an Sicherheitsvertrauen und wird für Cloud-Lösungen mit breiter Anwendbarkeit in der gesamten Regierung priorisiert.

2. Betriebsgenehmigung einer Behörde (ATO): Ein CSP kann direkt mit einer bestimmten Bundesbehörde zusammenarbeiten, um eine ATO für sein Cloud-Service-Angebot zu erhalten. Die Behörde prüft das Sicherheitspaket des CSP und erteilt, sofern die Anforderungen erfüllt sind, die Genehmigung für die Nutzung innerhalb dieser Behörde. Diese ATO kann anschließend von anderen Behörden geprüft und wiederverwendet werden.

Der Weg zur FedRAMP-Zertifizierung ist ein systematischer Prozess, der einen erheblichen Zeit- und Ressourcenaufwand erfordert. Auch wenn die Einzelheiten je nach Zertifizierungsweg (JAB oder Behörde) variieren, sind die Kernphasen im Allgemeinen einheitlich.

Phase 1: Vorbereitung

In dieser ersten Phase prüft ein CSP, ob sein Dienst für den Bundesmarkt geeignet ist. Der Anbieter muss seine Systemarchitektur dokumentieren, die Grenzen des zu zertifizierenden Systems festlegen und sein Informationssystem gemäß den FIPS-199-Standards (geringe, mittlere oder hohe Auswirkungen) kategorisieren. Diese Kategorisierung bestimmt die Anzahl und den Umfang der Sicherheitskontrollen, die umgesetzt werden müssen. Der CSP beauftragt zudem eine von FedRAMP akkreditierte externe Bewertungsstelle (3PAO) mit der Durchführung unabhängiger Sicherheitstests.

Phase 2: Bewertung

Während der Bewertungsphase führt die 3PAO eine umfassende Sicherheitsbewertung durch. Dabei werden die vom CSP implementierten Sicherheitskontrollen getestet, um zu überprüfen, ob sie wirksam sind und die FedRAMP-Anforderungen erfüllen. Die 3PAO erstellt einen Sicherheitsbewertungsbericht (SAR), in dem die Ergebnisse der Tests detailliert aufgeführt sind. Der CSP verwendet diesen Bericht, um einen Aktions- und Meilensteinplan (POA&M) zu erstellen, mit dem identifizierte Schwachstellen verfolgt und behoben werden können.

Phase 3: Zertifizierung

In dieser Phase prüft das JAB oder die federführende Behörde das gesamte Sicherheitspaket. Dieses Paket umfasst den System Security Plan (SSP), den SAR, den POA&M sowie weitere Begleitdokumente. Stellt die prüfende Stelle fest, dass das Sicherheitsrisiko akzeptabel ist, erteilt sie eine P-ATO oder ATO. Die zertifizierte Lösung wird anschließend im FedRAMP Marketplace gelistet, wodurch sie für alle Bundesbehörden sichtbar und verfügbar wird.

Phase 4: Kontinuierliche Überwachung

Die FedRAMP-Zertifizierung ist kein einmaliger Vorgang. Autorisierte CSPs müssen ihre Sicherheitskontrollen kontinuierlich überwachen, über ihren Status Bericht erstatten und sich jährlichen Bewertungen durch eine 3PAO unterziehen. Dadurch wird sichergestellt, dass die Lösung ihre Sicherheitslage über einen längeren Zeitraum beibehält und sich an neue Bedrohungen anpasst. Dieser fortlaufende Prozess gibt Behörden die Gewissheit, dass die von ihnen genutzten Dienste während ihres gesamten Lebenszyklus sicher bleiben.

Das Mandat gilt zwar für Bundesbehörden, doch der Nutzen von FedRAMP erstreckt sich auch auf andere Sektoren, die mit sensiblen Informationen umgehen.

• Staatliche und lokale Behörden: Viele staatliche und lokale Behörden betrachten das FedRAMP-Rahmenwerk als vertrauenswürdigen Standard bei der Beschaffung von Cloud-Diensten, auch wenn es keine formelle Anforderung ist.

• Kritische Infrastruktur: Branchen wie Energie, Finanzen, Gesundheitswesen und Verkehr verwalten hochsensible Daten und sind erheblichen Cyberbedrohungen ausgesetzt. Diese Organisationen bevorzugen oder verlangen oft, dass ihre Cloud-Anbieter über eine FedRAMP-Zertifizierung verfügen, die als Indikator für hohe Sicherheit gilt.

• Verteidigungsindustrie (DIB): Unternehmen, die Verträge mit dem Kriegsministerium abschließen, verarbeiten kontrollierte, nicht klassifizierte Informationen (CUI) und müssen strenge Sicherheitsanforderungen wie CMMC erfüllen. Eine FedRAMP-Zertifizierung wird oft als solide Grundlage für die Erfüllung dieser anderen Compliance-Verpflichtungen angesehen.

Für alle Organisationen, bei denen Datensicherheit und die Einhaltung gesetzlicher Vorschriften oberste Priorität haben, bietet eine FedRAMP-zertifizierte Lösung eine validierte Schutzgarantie. Sie bestätigt, dass der Anbieter in ein ausgereiftes Sicherheitsprogramm investiert hat, das in der Lage ist, kritische Informationsressourcen vor komplexen Bedrohungen zu schützen.