Informationscenter

FedRAMP-Compliance: eine umfassende Übersicht

Da Datenlecks immer häufiger vorkommen, sind Kunden naturgemäß misstrauisch gegenüber Unternehmen, die leichte Ziele sein könnten. Niemand möchte Kunde eines Unternehmens sein, das ein höheres Risiko hat, gehackt zu werden. Und das gilt besonders, wenn es um die US-Regierung geht.

Obwohl man annehmen könnte, dass amerikanische Bundesbehörden undurchdringliche Sicherheitsmaßnahmen haben, sagen die Statistiken etwas anderes. Sie sind nicht nur genauso anfällig wie andere Organisationen, sondern auch ein Top-Ziel für Hacker.

2018 war nachweislich das schlechteste Jahr für die US-Regierung in Bezug auf die Cybersicherheit. In diesem Jahr wurden 13.107 Angriffe auf Bundesbehörden gemeldet. Der Gesamtschaden belief sich auf 13,7 Milliarden.

In Anbetracht der sensiblen Natur der Informationen, die US-Bundesbehörden über das Land und seine Bürger speichern, geben solche Bedrohungen Anlass zur Sorge.

Deshalb nimmt die Regierung die Cybersicherheit ernst und gibt Richtlinien vor, die von allen Partnern befolgt werden müssen. Durch die Anforderung der Einhaltung hoher Cybersicherheitsstandards und Autorisierungen versucht die Regierung, ihre Risiken zu mindern.

Das Federal Risk and Authorization Management Program (FedRAMP) ist eine Initiative der Regierung, um Unternehmen bei der Bereitstellung sicherer Cloud-Dienste und -Produkte zu unterstützen.

In diesem Artikel finden Sie einen umfassenden Überblick über FedRAMP, einschließlich seines Inhalts und Zwecks, wann es entwickelt wurde und für wen, warum es wichtig ist, welche Zertifizierung erforderlich ist, Schritte zur FedRAMP-Autorisierung und vieles weitere mehr.

Was ist FedRamp?

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein US-Regierungsprogramm, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet.

FedRAMP zielt darauf ab, das Risiko von Datenkompromittierungen zu verringern und sensible Informationen zu schützen, indem es gewährleistet, dass Cloud-Produkte und -Dienste ein Mindestmaß an Sicherheitsanforderungen erfüllen.

Was wird mit FedRAMP bezweckt?

In den letzten zehn Jahren hat die Cloud-Technologie an Bedeutung gewonnen, und das aus gutem Grund. Mit ihr ist es viel einfacher geworden, Dienste schneller zu skalieren.

Aber mit dem Versprechen einer schnelleren Bereitstellung geht auch ein größeres Risiko einher – insbesondere beim Schutz von Kundendaten.

Daher gibt FedRAMP eine Reihe von Sicherheitsstandards und -prozessen vor, damit Cloud-basierte Dienste und Produkte zuverlässig und sicher werden.

Dieses Federal Risk and Authorization Management Program wurde erstmals 2011 veröffentlicht und rationalisiert die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung für Cloud-Produkte und -Dienste, die von Bundesbehörden eingesetzt werden und die Bundesinformationen speichern, verarbeiten oder weitergeben.

Die Ziele von FedRAMP lassen sich wie folgt zusammenfassen:

  • Sicherheit von US-Bundesinformationen, wenn sie mit Cloud-Dienste verarbeitet werden
  • Einsparen von Zeit und Geld, da Cloud-Dienste wiederverwendbar sind

Um diese Ziele zu erreichen, hat FedRAMP mehrere Schwerpunkte. Dazu zählen:

  • Durch Entwicklung eines einzigartigen, zuverlässigen Autorisierungsprozesses dazu beitragen, die in verschiedenen Behörden häufig zu beobachtenden gegensätzlichen Bemühungen zu reduzieren
  • Nutzung von NIST und FISMA zur Bewertung der Cloud-Sicherheit
  • Verbesserung der Zusammenarbeit zwischen Anbietern und Agenturen
  • Förderung der Einheitlichkeit in allen Sicherheitspakete durch standardisierte Best Practices
  • Unterstützung von Agenturen bei der Anpassung an die Cloud mithilfe eines zentralen Repositorys für gemeinsam genutzte Ressourcen

Geschichte von FedRAMP

Obwohl FedRAMP vor über einem Jahrzehnt eingeführt wurde, reichen seine Wurzeln noch weiter zurück. Um elektronische Behördendienste zu verbessern, verabschiedete der Kongress 2002 den E-Government Act. Mit diesem Gesetz wurde die Position eines Federal Chief Information Officer innerhalb des Office of Management and Budget (OMB) geschaffen.

Eines seiner wichtigsten Errungenschaften war der Federal Information Security Management Act von 2002 (FISMA). Darin wird ein Cyber-Sicherheitsrahmen zur Abwehr von Bedrohungen definiert. Seitdem gehört die Cloud zu den Technologien, die den Umgang der Bundesbehörden mit Daten stark verändert haben.

Die Cloud-Technologie steigert die Effizienz, während Betriebs- und Beschaffungskosten erheblich reduziert werden, wodurch die Bundesregierung jährlich Kosten in Milliardenhöhe einspart. Gleichzeitig entsteht damit jedoch ein zusätzliches Cyberrisiko.

2011 richtete die US-Regierung FedRAMP ein, um Cloud-Service-Anbieter zu regulieren, die Dienstleistungen und Produkte für Bundesbehörden anbieten. Zuvor hatte Steve VanRockel, der Bundes-CIO des OMB, ein Memo an US-Bundesbehörden geschickt, in dem die Notwendigkeit eines Cloud-Sicherheitsrahmens dargelegt wurde.

Darin schlug er die Einführung von FedRAMP als wirksames Instrument zur Verwaltung des Sicherheitsrisikos bei Cloud-Diensten vor. Das Programm wurde 2012 offiziell gestartet, als die US-Regierung ihre Genehmigung erteilte, den Betrieb aufzunehmen und mit der Zertifizierung von Cloud-Dienstanbietern zu beginnen.

Seitdem hat sich FedRAMP weiterentwickelt und ist heute der Standard für Cloud-Sicherheitsbewertungen, die die Sicherheit von Cloud-Diensten prüfen, welche von US-Bundesbehörden genutzt werden.

Für wen gilt FedRAMP?

FedRAMP gilt für alle Cloud-Dienste oder -Produkte, die von der US-Bundesregierung verwendet werden. Dazu gehören Amazon Web Services (AWS), Microsoft Azure und Google Cloud-Plattform. Es gilt außerdem für Auftragnehmer und Anbieter, die Dienstleistungen im Auftrag der Regierung erbringen.

FedRAMP verlangt von Cloud-Dienstanbietern, dass sie eine effizient sichere Umgebung entwerfen und implementieren, die die erforderlichen Sicherheitsanforderungen erfüllt.

Warum ist FedRAMP wichtig?

Heutzutage verlassen sich Behörden mehr denn je auf sichere Cloud-Dienste. Aufgrund der Verbreitung mobiler Technologien sehen sich Unternehmen gezwungen, neue Trends wie Cloud Computing, Infrastructure-as-a-Service (IaaS) und Software-as-a-Service (SaaS) einzusetzen, um wettbewerbsfähig zu bleiben.

FedRAMP ist daher umso bedeutender, weil es sicherstellt, dass die von der US-Bundesregierung genutzten Cloud-Dienste gewisse Sicherheitsstandards erfüllen. Es trägt dazu bei, Daten zu schützen, Kosten zu senken und die Effizienz zu verbessern. FedRAMP ist eine effektive Möglichkeit für Behörden, das Risiko von Cloud-Diensten zu bewerten und zu reduzieren und vereinfacht so den Prozess der Identifizierung, Bewertung und Autorisierung von genutzten Cloud-Diensten. (Weitere Informationen finden Sie unter Einhaltung gesetzlicher Vorschriften)

Wie erlangt man eine FedRAMP-Zertifizierung?

Um FedRAMP-zertifiziert zu werden, müssen Cloud-Service-Provider einen strengen Genehmigungsprozess durchlaufen. Er beginnt mit dem Ausfüllen eines Fragebogens zu ihrem Cloud-Service oder -Produkt. Wenn dieser Schritt erfolgreich bestanden wurde, müssen ein Impact Assessment Brief (IAB, Kurzbewertung der potenziellen Auswirkungen) und ein Plan of Action & Milestones (POA&M, Aktions- und Zwischenzielplan) eingereicht werden.

Die IAB bietet einen Überblick über die Architektur und die Sicherheitskontrollen des Systems, während der POA&M die Sicherheitsanforderungen umreißt, die zu erfüllen sind.

Sobald IAB und POA&M genehmigt sind, können Cloud-Service-Provider mit dem offiziellen FedRAMP-Zertifizierungsprozess beginnen.

Die Zertifizierung kann auf zwei Arten erreicht werden:

1. Vorläufige Betriebserlaubnis des Joint Authorization Board (JAB).

Das JAB erteilt in diesem Verfahren eine vorläufige Zulassung, die den Behörden mitteilt, dass das Risiko geprüft wurde. Die JAB-Zulassung ist ein wichtiger erster Genehmigungsschritt, und der Anbieter muss sie dann einer vollständigen behördlichen Überprüfung unterziehen.

Service-Provider mit hohem oder mittlerem Risiko werden diesen Prozesstyp am vorteilhaftesten finden.

2. Behördengenehmigung

Die Behörden sind für die Genehmigung von Cloud-Diensten und -Produkten verantwortlich, die FedRAMP-Standards verwenden. Sie müssen das Gesamtrisiko bewerten und feststellen, ob das System alle Sicherheitsanforderungen erfüllt, bevor es genehmigt werden kann.

FedRAMP-Compliance-Kategorien

Die US-Regierung hat verschiedene Kategorien der FedRAMP-Compliance festgelegt: Niedrig, Moderat, Hoch und Nicht autorisiert. Jede Kategorie umfasst Sicherheitsanforderungen, die je nach Sensibilität der betreffenden Informationen erfüllt werden müssen.

Außerdem basieren sie auf den potenziellen Auswirkungen, die ein Sicherheitsverstoß in drei Hauptbereichen haben kann:

  • Vertraulichkeit – Schutz für Privatsphäre und geschützte Informationen
  • Integrität – Schutz für Datengenauigkeit und -vollständigkeit
  • Verfügbarkeit – Gewährleistung des Zugriffs für autorisierte Benutzer bei Bedarf

1. FedRAMP-Stufe "Niedrige Auswirkung"

Die Sicherheitsstufe "Niedrige Auswirkung" ist die Basisstufe für Cloud-Systeme und -Daten. Sie bedeutet ein geringes Risiko und gilt für Dienste und Produkte, die für die öffentliche Nutzung bestimmt sind. Systeme und Informationen auf dieser Stufe sind für den Auftrag, den Betrieb, die Finanzen, den Ruf oder das Personal einer Behörde nicht entscheidend. Daher würde ein Verlust ihrer Vertraulichkeit oder Verfügbarkeit keine wesentlichen Auswirkungen haben.

125 Kontrollen sichern Systeme auf dieser Ebene. Dabei handelt es sich um die Technologien und Prozesse, die Cloud-Service-Provider einsetzen, um in der Cloud gespeicherte Behördendaten zu schützen.

2. FedRAMP-Stufe "Mäßig hohe Auswirkung"

Auf dieser Auswirkungsstufe werden die fraglichen Daten als kontrollierte, nicht klassifizierte Informationen bezeichnet. Sie sind nicht öffentlich zugänglich und umfassen personenbezogene Daten. Dieser Datentyp unterliegt den 325 Kontrollen dieser FedRAMP-Stufe.

Wenn sie nicht vorhanden sind, könnte dies direkte Auswirkungen auf den Hauptauftrag einer Behörde haben. Beispielsweise könnten Routinearbeiten behindert werden, Ressourcen verloren gehen und personenbezogene Daten offengelegt werden.

3. FedRAMP-Stufe "Hohe Auswirkung"

Vor Juni 2016, als FedRAMP die Sicherheits-Baseline "Hohe Auswirkung" veröffentlichte, konnten US-Regierungsbehörden Cloud-Service-Provider nur für Operationen auf grundlegender oder moderater Stufe beauftragen. Aber mit der hohen Sicherheitsstufe dürfen Cloud-Service-Provider jetzt auch sensiblere Daten verarbeiten.

Hochrisikosysteme müssen 421 Kontrollen zum Schutz von Daten unterliegen, die als besonders wertvoll eingestuft werden. Eigentümer dieser Daten, zu denen nationale Sicherheitsinformationen, Geschäftsgeheimnisse und Finanzunterlagen gehören können, ist normalerweise eine Behörde.

Die 421 Kontrollen sind umfassend und bieten den höchsten Schutz für sensible Regierungsdaten, die in der Cloud gespeichert sind.

Die Stufe "hohe Auswirkung" ist den sensibelsten, nicht klassifizierten Informationen der US-Bundesregierung vorbehalten. Sie gilt für Bereiche, in denen ein Verstoß katastrophale Folgen haben könnte, wie die Schädigung einer Einrichtung, den finanziellen Ruin oder den Verlust von Menschenleben. Dazu gehören Strafverfolgung, Notfalleinsätze, Finanzdienstleistungen und Gesundheitssysteme.

FedRAMP-Governance

FedRAMP wird von Einheiten der Exekutive beaufsichtigt, die zusammenarbeiten, um das Programm zu entwickeln, zu verwalten und zu betreiben. Im Folgenden sind die Organe von FedRAMP aufgeführt:

  • Das Joint Authorization Board (JAB). Dies ist das wichtigste Leitungs- und Entscheidungsorgan für FedRAMP. Es besteht aus Chief Information Officers (CIOs) des Ministerium für Innere Sicherheit, der General Services Administration (GSA) und dem Verteidigungsministerium der USA.
  • Office of Management and Budget (OMB). Das OMB gibt Orientierungshilfen, Anweisungen und Richtlinien für die Informationstechnologie des Bundes.
  • FedRAMP Program Management Office (PMO). Dieses Büro ist verantwortlich für die Entwicklung des Programmrahmens, die Verwaltung der Compliance-Bemühungen und die Aufsicht über Dienstanbieter.
  • CIO Council. Dieser Rat gibt Behörden Anweisungen und Anleitungen zu Cloud-Computing-Bemühungen.
  • Department of Homeland Security (Ministerium für Innere Sicherheit). Bietet technische und Cybersicherheitsbewertungen von Cloud-Dienstanbietern durch ihren „Authority to Operate“-Prozess.

Beispiele für FedRAMP-zertifizierte Programme

Das Federal Risk and Authorization Management Program hat mehrere Cloud-basierte Dienste zertifiziert, darunter:

  • Amazon Web Services (AWS)
  • Microsoft Azure Government Cloud
  • Google Cloud Platform für die Regierung
  • Salesforce
  • Oracle Cloud Infrastructure für die Regierung

Diese Cloud-basierten Dienste entsprechen den Sicherheitsanforderungen von FedRAMP und haben die erforderliche Genehmigung erhalten. Daher können Bundesbehörden jeden dieser Dienste nutzen, um sensible Regierungsdaten in der Cloud zu speichern, ohne ihre Sicherheit zu gefährden.

FedRAMP-Zertifizierung

Für die Zertifizierung müssen Cloud-Service-Provider die im FedRAMP-Framework beschriebenen Sicherheitsanforderungen erfüllen. Dazu gehören ein Risk Assessment Report (RAR, Risikobewertungsbericht), in dem die mit dem vorgeschlagenen Service verbundenen Risiken aufgeführt sind, ein Security Assessment Plan (SAP, Sicherheitsbewertungsplan, SAP), in dem dargelegt wird, wie Risiken gemindert werden, und ein Genehmigungspaket, in dem die Einhaltung der Kontrollen nachgewiesen wird.

Sobald der Cloud-Anbieter alle diese Anforderungen erfüllt hat, kann er eine Genehmigung zum Betrieb seiner Dienste in einer Regierungsumgebung beantragen. Bei positiver Bescheinigung erhält er vom Joint Authorization Board eine vorläufige Betriebsgenehmigung (P-ATO), die drei Jahre gültig ist.

Schritte zur FedRAMP-Genehmigung

Es gibt vier allgemeine Schritte im FedRAMP-Genehmigungsprozess, unabhängig davon, welche spezifische Art der Genehmigung Sie anstreben.

  1. Paketentwicklung – Ein Kickoff-Meeting zur Genehmigung, gefolgt von der Erstellung eines Systemsicherheitsplans durch den Anbieter. Danach entwickelt eine von FedRAMP zugelassene unabhängige Bewertungsorganisation einen Security Assessment Plan.
  2. Bewertung – Die Sicherheitsbewertungsorganisation legt einen Bericht vor, in dem ihre Ergebnisse und Empfehlungen detailliert aufgeführt sind. Der Service-Provider erstellt einen Behebungsplan mit Zwischenetappen, um die im Bericht identifizierten Mängel zu beheben.
  3. Genehmigung – Sobald das JAB oder die Genehmigungsbehörde feststellt, dass die Risiken gering genug sind, senden sie ein Schreiben zur Durchführung des Projekts an das FedRAMP-Projektmanagementbüro. Anschließend wird der Name des Anbieters in den FedRAMP Marketplace aufgenommen.
  4. Überwachung – Jede Behörde, die den Sicherheitsdienst nutzt, erhält monatliche Überwachungsberichte.

Best Practices für die FedRAMP-Genehmigung

Die Erlangung der FedRAMP-Genehmigung ist kein leichtes Unterfangen, aber für alle Beteiligten ist der Erfolg der Cloud-Service-Provider nach Einleitung des Vorgangs von entscheidender Bedeutung.

FedRAMP hat mehrere kleine Unternehmen und Start-ups darüber befragt, welche Lektionen sie während dieses Prozesses gelernt haben, um sie an andere weiterzugeben. Hier sind die sieben besten Tipps, die diese Unternehmen für ein erfolgreiches Durchlaufen des Genehmigungsprozesses geben:

  • Bestimmen Sie, inwiefern FedRAMP für Ihr Produkt gilt, und führen Sie eine Lückenanalyse durch.
  • Holen Sie sich Unterstützung im gesamten Unternehmen, einschließlich des technischen Teams und des Führungsteams.
  • Finden Sie eine Behörde, die Ihr Produkt bereits verwendet oder sich bereit erklärt, es zu verwenden.
  • Definieren Sie Ihre Grenzen klar in allen Bereichen, von den internen Komponenten bis zu den Verbindungen mit externen Diensten und dem Informations- und Metadatenfluss.
  • Betrachten Sie FedRAMP nicht als ein Projekt mit einem Endpunkt, sondern als ein fortlaufendes Programm, das Dienste ständig überwacht.
  • Überlegen Sie sich Ihren Ansatz für die Genehmigung sorgfältig, da Sie möglicherweise mehrere Genehmigungen für verschiedene Produkte benötigen.
  • Die Einbeziehung des FedRAMP PMO ist sehr hilfreich, sowohl bei der Beantwortung von technischen Fragen als auch bei der langfristigen Planung.

Vorteile der FedRAMP-Compliance

Obwohl die Einhaltung von FedRAMP obligatorisch ist, sollten Sie es nicht als Verpflichtung, sondern als Investition betrachten. Dies liegt daran, dass eine Zertifizierung erhebliche Vorteile bietet, darunter:

  • Mehr Vertrauen und Sicherheit bei der Speicherung vertraulicher Regierungsdaten
  • Kosteneinsparungen aufgrund des geringeren Bedarfs an Infrastruktur und Wartung des Rechenzentrums
  • Ein optimierter Genehmigungsprozess, der es Behörden ermöglicht, schnell auf Cloud-Dienste zuzugreifen
  • Erhöhter Marktanteil, da Regierungsbehörden mit größerer Wahrscheinlichkeit FedRAMP-konforme Anbieter gegenüber nicht-zertifizierten Anbietern bevorzugen
  • Verbesserte Konformität mit anderen Sicherheitsstandards wie HIPAA und SOX
  • Reduzierung des Risikos von Datenkompromittierungen und anderen Angriffen dank eines robusten Systems
  • Kürzere Markteinführungszeit für Dienste mit FedRAMP-konformen Funktionen
  • Höheres Vertrauen zwischen Bundesbehörden und Cloud-Service-Providern

Fazit

FedRAMP ist eine wichtige Cybersicherheitsmaßnahme für Regierungsbehörden und Cloud-Service-Provider gleichermaßen. Es gewährleistet in einem hohen Maß, dass sensible Regierungsdaten geschützt und gesichert sind, und hilft Unternehmen, einen größeren Marktanteil zu erhalten.

Kontaktieren Sie uns daher noch heute, um loszulegen. Wir sind hier, um Ihnen dabei zu helfen, die Komplexität der FedRAMP-Compliance zu bewältigen und Ihre Daten dauerhaft zu schützen.

 

Zu den Veritas-Kunden zählen 95 % der Fortune 100-Unternehmen, und NetBackup™ ist die erste Wahl für Unternehmen, die große Datenmengen sichern möchten.

 

Erfahren Sie, wie Veritas mit Tools und Services für die Datensicherung in Unternehmen Ihre Daten in virtuellen, physischen, Cloud- und Legacy-Workloads umfassend schützt.

 

Häufig gestellte Fragen

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Cybersicherheitsprogramm für alle Einrichtungen der US-Regierung, das entwickelt wurde, um standardisierte Sicherheitsanforderungen für Cloud-Service-Provider bereitzustellen, die US-Bundesbehörden zu ihren Kunden zählen.

FedRAMP gilt für alle Bundesbehörden in den USA und alle Anbieter von darin genutzten Cloud-Lösungen.

Für die Zertifizierung müssen Cloud-Service-Provider die im FedRAMP-Framework beschriebenen Sicherheitsanforderungen erfüllen. Dazu gehören Schwachstellenscans, Konfigurationsprüfungen, Richtlinienentwicklung und andere Schritte.

FedRAMP ist wichtig, um sensible Daten zu schützen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und Cloud-Anbietern einen größeren Marktanteil zu sichern.