Da Datenlecks immer häufiger vorkommen, sind Kunden naturgemäß misstrauisch gegenüber Unternehmen, die leichte Ziele sein könnten. Niemand möchte Kunde eines Unternehmens sein, das ein höheres Risiko hat, gehackt zu werden. Und das gilt besonders, wenn es um die US-Regierung geht.
Obwohl man annehmen könnte, dass amerikanische Bundesbehörden undurchdringliche Sicherheitsmaßnahmen haben, sagen die Statistiken etwas anderes. Sie sind nicht nur genauso anfällig wie andere Organisationen, sondern auch ein Top-Ziel für Hacker.
2018 war nachweislich das schlechteste Jahr für die US-Regierung in Bezug auf die Cybersicherheit. In diesem Jahr wurden 13.107 Angriffe auf Bundesbehörden gemeldet. Der Gesamtschaden belief sich auf 13,7 Milliarden.
In Anbetracht der sensiblen Natur der Informationen, die US-Bundesbehörden über das Land und seine Bürger speichern, geben solche Bedrohungen Anlass zur Sorge.
Deshalb nimmt die Regierung die Cybersicherheit ernst und gibt Richtlinien vor, die von allen Partnern befolgt werden müssen. Durch die Anforderung der Einhaltung hoher Cybersicherheitsstandards und Autorisierungen versucht die Regierung, ihre Risiken zu mindern.
Das Federal Risk and Authorization Management Program (FedRAMP) ist eine Initiative der Regierung, um Unternehmen bei der Bereitstellung sicherer Cloud-Dienste und -Produkte zu unterstützen.
In diesem Artikel finden Sie einen umfassenden Überblick über FedRAMP, einschließlich seines Inhalts und Zwecks, wann es entwickelt wurde und für wen, warum es wichtig ist, welche Zertifizierung erforderlich ist, Schritte zur FedRAMP-Autorisierung und vieles weitere mehr.
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet.
FedRAMP zielt darauf ab, das Risiko von Datenkompromittierungen zu verringern und sensible Informationen zu schützen, indem es gewährleistet, dass Cloud-Produkte und -Dienste ein Mindestmaß an Sicherheitsanforderungen erfüllen.
In den letzten zehn Jahren hat die Cloud-Technologie an Bedeutung gewonnen, und das aus gutem Grund. Mit ihr ist es viel einfacher geworden, Dienste schneller zu skalieren.
Aber mit dem Versprechen einer schnelleren Bereitstellung geht auch ein größeres Risiko einher – insbesondere beim Schutz von Kundendaten.
Daher gibt FedRAMP eine Reihe von Sicherheitsstandards und -prozessen vor, damit Cloud-basierte Dienste und Produkte zuverlässig und sicher werden.
Dieses Federal Risk and Authorization Management Program wurde erstmals 2011 veröffentlicht und rationalisiert die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung für Cloud-Produkte und -Dienste, die von Bundesbehörden eingesetzt werden und die Bundesinformationen speichern, verarbeiten oder weitergeben.
Die Ziele von FedRAMP lassen sich wie folgt zusammenfassen:
Um diese Ziele zu erreichen, hat FedRAMP mehrere Schwerpunkte. Dazu zählen:
Obwohl FedRAMP vor über einem Jahrzehnt eingeführt wurde, reichen seine Wurzeln noch weiter zurück. Um elektronische Behördendienste zu verbessern, verabschiedete der Kongress 2002 den E-Government Act. Mit diesem Gesetz wurde die Position eines Federal Chief Information Officer innerhalb des Office of Management and Budget (OMB) geschaffen.
Eines seiner wichtigsten Errungenschaften war der Federal Information Security Management Act von 2002 (FISMA). Darin wird ein Cyber-Sicherheitsrahmen zur Abwehr von Bedrohungen definiert. Seitdem gehört die Cloud zu den Technologien, die den Umgang der Bundesbehörden mit Daten stark verändert haben.
Die Cloud-Technologie steigert die Effizienz, während Betriebs- und Beschaffungskosten erheblich reduziert werden, wodurch die Bundesregierung jährlich Kosten in Milliardenhöhe einspart. Gleichzeitig entsteht damit jedoch ein zusätzliches Cyberrisiko.
2011 richtete die US-Regierung FedRAMP ein, um Cloud-Service-Anbieter zu regulieren, die Dienstleistungen und Produkte für Bundesbehörden anbieten. Zuvor hatte Steve VanRockel, der Bundes-CIO des OMB, ein Memo an US-Bundesbehörden geschickt, in dem die Notwendigkeit eines Cloud-Sicherheitsrahmens dargelegt wurde.
Darin schlug er die Einführung von FedRAMP als wirksames Instrument zur Verwaltung des Sicherheitsrisikos bei Cloud-Diensten vor. Das Programm wurde 2012 offiziell gestartet, als die US-Regierung ihre Genehmigung erteilte, den Betrieb aufzunehmen und mit der Zertifizierung von Cloud-Dienstanbietern zu beginnen.
Seitdem hat sich FedRAMP weiterentwickelt und ist heute der Standard für Cloud-Sicherheitsbewertungen, die die Sicherheit von Cloud-Diensten prüfen, welche von US-Bundesbehörden genutzt werden.
FedRAMP gilt für alle Cloud-Dienste oder -Produkte, die von der US-Bundesregierung verwendet werden. Dazu gehören Amazon Web Services (AWS), Microsoft Azure und Google Cloud-Plattform. Es gilt außerdem für Auftragnehmer und Anbieter, die Dienstleistungen im Auftrag der Regierung erbringen.
FedRAMP verlangt von Cloud-Dienstanbietern, dass sie eine effizient sichere Umgebung entwerfen und implementieren, die die erforderlichen Sicherheitsanforderungen erfüllt.
Heutzutage verlassen sich Behörden mehr denn je auf sichere Cloud-Dienste. Aufgrund der Verbreitung mobiler Technologien sehen sich Unternehmen gezwungen, neue Trends wie Cloud Computing, Infrastructure-as-a-Service (IaaS) und Software-as-a-Service (SaaS) einzusetzen, um wettbewerbsfähig zu bleiben.
FedRAMP ist daher umso bedeutender, weil es sicherstellt, dass die von der US-Bundesregierung genutzten Cloud-Dienste gewisse Sicherheitsstandards erfüllen. Es trägt dazu bei, Daten zu schützen, Kosten zu senken und die Effizienz zu verbessern. FedRAMP ist eine effektive Möglichkeit für Behörden, das Risiko von Cloud-Diensten zu bewerten und zu reduzieren und vereinfacht so den Prozess der Identifizierung, Bewertung und Autorisierung von genutzten Cloud-Diensten. (Weitere Informationen finden Sie unter Einhaltung gesetzlicher Vorschriften)
Um FedRAMP-zertifiziert zu werden, müssen Cloud-Service-Provider einen strengen Genehmigungsprozess durchlaufen. Er beginnt mit dem Ausfüllen eines Fragebogens zu ihrem Cloud-Service oder -Produkt. Wenn dieser Schritt erfolgreich bestanden wurde, müssen ein Impact Assessment Brief (IAB, Kurzbewertung der potenziellen Auswirkungen) und ein Plan of Action & Milestones (POA&M, Aktions- und Zwischenzielplan) eingereicht werden.
Die IAB bietet einen Überblick über die Architektur und die Sicherheitskontrollen des Systems, während der POA&M die Sicherheitsanforderungen umreißt, die zu erfüllen sind.
Sobald IAB und POA&M genehmigt sind, können Cloud-Service-Provider mit dem offiziellen FedRAMP-Zertifizierungsprozess beginnen.
Die Zertifizierung kann auf zwei Arten erreicht werden:
Das JAB erteilt in diesem Verfahren eine vorläufige Zulassung, die den Behörden mitteilt, dass das Risiko geprüft wurde. Die JAB-Zulassung ist ein wichtiger erster Genehmigungsschritt, und der Anbieter muss sie dann einer vollständigen behördlichen Überprüfung unterziehen.
Service-Provider mit hohem oder mittlerem Risiko werden diesen Prozesstyp am vorteilhaftesten finden.
Die Behörden sind für die Genehmigung von Cloud-Diensten und -Produkten verantwortlich, die FedRAMP-Standards verwenden. Sie müssen das Gesamtrisiko bewerten und feststellen, ob das System alle Sicherheitsanforderungen erfüllt, bevor es genehmigt werden kann.
Die US-Regierung hat verschiedene Kategorien der FedRAMP-Compliance festgelegt: Niedrig, Moderat, Hoch und Nicht autorisiert. Jede Kategorie umfasst Sicherheitsanforderungen, die je nach Sensibilität der betreffenden Informationen erfüllt werden müssen.
Außerdem basieren sie auf den potenziellen Auswirkungen, die ein Sicherheitsverstoß in drei Hauptbereichen haben kann:
Die Sicherheitsstufe "Niedrige Auswirkung" ist die Basisstufe für Cloud-Systeme und -Daten. Sie bedeutet ein geringes Risiko und gilt für Dienste und Produkte, die für die öffentliche Nutzung bestimmt sind. Systeme und Informationen auf dieser Stufe sind für den Auftrag, den Betrieb, die Finanzen, den Ruf oder das Personal einer Behörde nicht entscheidend. Daher würde ein Verlust ihrer Vertraulichkeit oder Verfügbarkeit keine wesentlichen Auswirkungen haben.
125 Kontrollen sichern Systeme auf dieser Ebene. Dabei handelt es sich um die Technologien und Prozesse, die Cloud-Service-Provider einsetzen, um in der Cloud gespeicherte Behördendaten zu schützen.
Auf dieser Auswirkungsstufe werden die fraglichen Daten als kontrollierte, nicht klassifizierte Informationen bezeichnet. Sie sind nicht öffentlich zugänglich und umfassen personenbezogene Daten. Dieser Datentyp unterliegt den 325 Kontrollen dieser FedRAMP-Stufe.
Wenn sie nicht vorhanden sind, könnte dies direkte Auswirkungen auf den Hauptauftrag einer Behörde haben. Beispielsweise könnten Routinearbeiten behindert werden, Ressourcen verloren gehen und personenbezogene Daten offengelegt werden.
Vor Juni 2016, als FedRAMP die Sicherheits-Baseline "Hohe Auswirkung" veröffentlichte, konnten US-Regierungsbehörden Cloud-Service-Provider nur für Operationen auf grundlegender oder moderater Stufe beauftragen. Aber mit der hohen Sicherheitsstufe dürfen Cloud-Service-Provider jetzt auch sensiblere Daten verarbeiten.
Hochrisikosysteme müssen 421 Kontrollen zum Schutz von Daten unterliegen, die als besonders wertvoll eingestuft werden. Eigentümer dieser Daten, zu denen nationale Sicherheitsinformationen, Geschäftsgeheimnisse und Finanzunterlagen gehören können, ist normalerweise eine Behörde.
Die 421 Kontrollen sind umfassend und bieten den höchsten Schutz für sensible Regierungsdaten, die in der Cloud gespeichert sind.
Die Stufe "hohe Auswirkung" ist den sensibelsten, nicht klassifizierten Informationen der US-Bundesregierung vorbehalten. Sie gilt für Bereiche, in denen ein Verstoß katastrophale Folgen haben könnte, wie die Schädigung einer Einrichtung, den finanziellen Ruin oder den Verlust von Menschenleben. Dazu gehören Strafverfolgung, Notfalleinsätze, Finanzdienstleistungen und Gesundheitssysteme.
FedRAMP wird von Einheiten der Exekutive beaufsichtigt, die zusammenarbeiten, um das Programm zu entwickeln, zu verwalten und zu betreiben. Im Folgenden sind die Organe von FedRAMP aufgeführt:
Das Federal Risk and Authorization Management Program hat mehrere Cloud-basierte Dienste zertifiziert, darunter:
Diese Cloud-basierten Dienste entsprechen den Sicherheitsanforderungen von FedRAMP und haben die erforderliche Genehmigung erhalten. Daher können Bundesbehörden jeden dieser Dienste nutzen, um sensible Regierungsdaten in der Cloud zu speichern, ohne ihre Sicherheit zu gefährden.
Für die Zertifizierung müssen Cloud-Service-Provider die im FedRAMP-Framework beschriebenen Sicherheitsanforderungen erfüllen. Dazu gehören ein Risk Assessment Report (RAR, Risikobewertungsbericht), in dem die mit dem vorgeschlagenen Service verbundenen Risiken aufgeführt sind, ein Security Assessment Plan (SAP, Sicherheitsbewertungsplan, SAP), in dem dargelegt wird, wie Risiken gemindert werden, und ein Genehmigungspaket, in dem die Einhaltung der Kontrollen nachgewiesen wird.
Sobald der Cloud-Anbieter alle diese Anforderungen erfüllt hat, kann er eine Genehmigung zum Betrieb seiner Dienste in einer Regierungsumgebung beantragen. Bei positiver Bescheinigung erhält er vom Joint Authorization Board eine vorläufige Betriebsgenehmigung (P-ATO), die drei Jahre gültig ist.
Es gibt vier allgemeine Schritte im FedRAMP-Genehmigungsprozess, unabhängig davon, welche spezifische Art der Genehmigung Sie anstreben.
Die Erlangung der FedRAMP-Genehmigung ist kein leichtes Unterfangen, aber für alle Beteiligten ist der Erfolg der Cloud-Service-Provider nach Einleitung des Vorgangs von entscheidender Bedeutung.
FedRAMP hat mehrere kleine Unternehmen und Start-ups darüber befragt, welche Lektionen sie während dieses Prozesses gelernt haben, um sie an andere weiterzugeben. Hier sind die sieben besten Tipps, die diese Unternehmen für ein erfolgreiches Durchlaufen des Genehmigungsprozesses geben:
Obwohl die Einhaltung von FedRAMP obligatorisch ist, sollten Sie es nicht als Verpflichtung, sondern als Investition betrachten. Dies liegt daran, dass eine Zertifizierung erhebliche Vorteile bietet, darunter:
FedRAMP ist eine wichtige Cybersicherheitsmaßnahme für Regierungsbehörden und Cloud-Service-Provider gleichermaßen. Es gewährleistet in einem hohen Maß, dass sensible Regierungsdaten geschützt und gesichert sind, und hilft Unternehmen, einen größeren Marktanteil zu erhalten.
Kontaktieren Sie uns daher noch heute, um loszulegen. Wir sind hier, um Ihnen dabei zu helfen, die Komplexität der FedRAMP-Compliance zu bewältigen und Ihre Daten dauerhaft zu schützen.
Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Cybersicherheitsprogramm für alle Einrichtungen der US-Regierung, das entwickelt wurde, um standardisierte Sicherheitsanforderungen für Cloud-Service-Provider bereitzustellen, die US-Bundesbehörden zu ihren Kunden zählen.
FedRAMP gilt für alle Bundesbehörden in den USA und alle Anbieter von darin genutzten Cloud-Lösungen.
Für die Zertifizierung müssen Cloud-Service-Provider die im FedRAMP-Framework beschriebenen Sicherheitsanforderungen erfüllen. Dazu gehören Schwachstellenscans, Konfigurationsprüfungen, Richtlinienentwicklung und andere Schritte.
FedRAMP ist wichtig, um sensible Daten zu schützen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und Cloud-Anbietern einen größeren Marktanteil zu sichern.