FedRAMP-Zertifizierung: Was ist sie, warum ist sie wichtig und wer hat sie?

Kimberly Parker

29-05-2023 Strategie
  • Teile Das
Kimberly Parker

Gehackte Kameras von Prominenten, staatliche Cyberspionage und alles, was dazwischen liegt. Die Datensicherheit hat ein breites Anwendungsspektrum und ist ein wichtiges Anliegen für alle, die Cloud-basierte Dienste nutzen oder anbieten.

Wenn es um Regierungsdaten geht, können diese Bedenken die Ebene der nationalen Sicherheit erreichen. Deshalb verlangt die US-Regierung, dass alle Cloud-Dienste, die von Bundesbehörden genutzt werden, eine sorgfältige Reihe von Sicherheitsstandards erfüllen, die als FedRAMP bekannt sind.

Was genau ist FedRAMP und was beinhaltet es? Hier sind Sie richtig, um das herauszufinden.

Bonus: Lesen Sie den Leitfaden für eine schrittweise Social-Media-Strategie mit Profi-Tipps für den Ausbau Ihrer Social-Media-Präsenz.

Was ist FedRAMP?

FedRAMP steht für "Federal Risk and Authorization Management Program" und standardisiert die Sicherheitsbewertung und Autorisierung für Cloud-Produkte und -Dienste, die von US-Bundesbehörden genutzt werden.

Ziel ist es, sicherzustellen, dass die Daten des Bundes in der Cloud durchgängig auf hohem Niveau geschützt sind.

Die FedRAMP-Autorisierung ist eine ernste Angelegenheit. Das geforderte Sicherheitsniveau ist gesetzlich vorgeschrieben. Es gibt 14 anwendbare Gesetze und Vorschriften sowie 19 Standards und Leitfäden. Es ist eine der strengsten Software-as-a-Service-Zertifizierungen der Welt.

Hier ist eine kurze Einführung:

FedRAMP gibt es seit 2012. Zu diesem Zeitpunkt begannen Cloud-Technologien, veraltete, gebundene Softwarelösungen zu ersetzen. Es entstand aus der "Cloud First"-Strategie der US-Regierung, die von den Behörden verlangte, cloudbasierte Lösungen als erste Wahl zu betrachten.

Vor FedRAMP mussten Cloud-Service-Anbieter für jede Behörde, mit der sie zusammenarbeiten wollten, ein Autorisierungspaket erstellen. Die Anforderungen waren nicht einheitlich, und es gab viel doppelten Aufwand für Anbieter und Behörden.

Mit FedRAMP wurde eine einheitliche Vorgehensweise eingeführt und der Prozess gestrafft.

Die Bewertungen und Anforderungen sind nun standardisiert und mehrere Behörden können das FedRAMP-Autorisierungssicherheitspaket des Anbieters wiederverwenden.

FedRAMP wurde anfangs nur langsam angenommen. In den ersten vier Jahren wurden nur 20 Cloud-Service-Angebote genehmigt. Aber seit 2018 hat das Tempo stark zugenommen, und es gibt jetzt 204 FedRAMP-genehmigte Cloud-Produkte.

Quelle: FedRAMP

FedRAMP wird von einem Joint Authorization Board (JAB) kontrolliert, das sich aus Vertretern der folgenden Organisationen zusammensetzt

  • das Ministerium für Innere Sicherheit
  • die General Services Administration und
  • das Verteidigungsministerium.

Das Programm wird vom Federal Chief Information Officers Council der US-Regierung befürwortet.

Warum ist die FedRAMP-Zertifizierung wichtig?

Alle Cloud-Dienste, die Bundesdaten speichern, benötigen eine FedRAMP-Autorisierung. Wenn Sie also mit der Bundesregierung zusammenarbeiten möchten, ist die FedRAMP-Autorisierung ein wichtiger Bestandteil Ihres Sicherheitsplans.

FedRAMP ist wichtig, weil es eine einheitliche Sicherheit der Cloud-Dienste der Regierung gewährleistet - und weil es eine einheitliche Bewertung und Überwachung dieser Sicherheit sicherstellt. Es bietet eine Reihe von Standards für alle Regierungsbehörden und alle Cloud-Anbieter.

Anbieter von Cloud-Diensten, die über eine FedRAMP-Autorisierung verfügen, sind im FedRAMP-Marktplatz aufgeführt. Dieser Marktplatz ist die erste Anlaufstelle für Behörden, wenn sie eine neue Cloud-basierte Lösung suchen. Für eine Behörde ist es viel einfacher und schneller, ein bereits autorisiertes Produkt zu verwenden, als den Autorisierungsprozess mit einem neuen Anbieter zu beginnen.

Ein Eintrag im FedRAMP-Marktplatz erhöht also die Wahrscheinlichkeit, dass Sie zusätzliche Aufträge von Regierungsbehörden erhalten, kann aber auch Ihr Profil im privaten Sektor verbessern.

Das liegt daran, dass der FedRAMP-Marktplatz für die Öffentlichkeit sichtbar ist: Jedes Unternehmen des privaten Sektors kann die Liste der von FedRAMP autorisierten Lösungen durchblättern.

Es ist eine großartige Ressource, wenn sie ein sicheres Cloud-Produkt oder einen sicheren Cloud-Dienst suchen.

Die FedRAMP-Autorisierung stärkt das Vertrauen des Kunden in die Sicherheitsprotokolle und stellt eine kontinuierliche Verpflichtung zur Einhaltung der höchsten Sicherheitsstandards dar.

Die FedRAMP-Autorisierung erhöht die Glaubwürdigkeit Ihrer Sicherheit auch außerhalb des FedRAMP-Marktplatzes erheblich: Sie können Ihre FedRAMP-Autorisierung in sozialen Medien und auf Ihrer Website veröffentlichen.

Die Wahrheit ist, dass die meisten Ihrer Kunden wahrscheinlich nicht wissen, was FedRAMP ist. Es ist ihnen egal, ob Sie autorisiert sind oder nicht. Aber für die großen Kunden, die FedRAMP verstehen - sowohl im öffentlichen als auch im privaten Sektor - kann eine fehlende Autorisierung ein Deal-Breaker sein.

Was muss man tun, um FedRAMP-zertifiziert zu werden?

Es gibt zwei verschiedene Wege, um FedRAMP-autorisiert zu werden.

1 Vorläufige Betriebsgenehmigung des Gemeinsamen Genehmigungsausschusses (JAB)

In diesem Verfahren erteilt die JAB eine vorläufige Genehmigung, die die Agenturen darüber informiert, dass das Risiko geprüft wurde.

Das ist eine wichtige erste Genehmigung, aber jede Behörde, die den Dienst nutzen will, muss noch ihre eigene Betriebserlaubnis erteilen.

Dieses Verfahren eignet sich am besten für Anbieter von Cloud-Diensten mit hohem oder mittlerem Risiko (auf die Risikostufen gehen wir im nächsten Abschnitt ein).

Hier finden Sie einen visuellen Überblick über den JAB-Prozess:

Quelle: FedRAMP

2. die Betriebserlaubnis der Agentur

Bei diesem Verfahren baut der Cloud-Anbieter eine Beziehung zu einer bestimmten Bundesbehörde auf. Diese Behörde ist während des gesamten Verfahrens involviert. Wenn das Verfahren erfolgreich ist, stellt die Behörde ein Betriebsgenehmigungsschreiben aus.

Quelle: FedRAMP

Schritte zur FedRAMP-Autorisierung

Unabhängig davon, welche Art der Autorisierung Sie verfolgen, umfasst die FedRAMP-Autorisierung vier Hauptschritte:

  1. Entwicklung von Paketen. Zunächst findet ein Autorisierungs-Kick-off-Meeting statt. Dann füllt der Anbieter einen Systemsicherheitsplan aus. Als Nächstes entwickelt eine von FedRAMP zugelassene dritte Bewertungsorganisation einen Sicherheitsbewertungsplan.
  2. Bewertung. Die Bewertungsorganisation legt einen Bericht über die Sicherheitsbewertung vor. Der Anbieter erstellt einen Aktionsplan & Meilensteine.
  3. Autorisierung. Das JAB oder die autorisierende Behörde entscheidet, ob das beschriebene Risiko akzeptabel ist. Wenn ja, übermitteln sie dem FedRAMP-Projektmanagementbüro ein "Authority to Operate"-Schreiben. Der Anbieter wird dann im FedRAMP-Marktplatz gelistet.
  4. Überwachung. Der Anbieter sendet monatliche Sicherheitsüberwachungsberichte an jede Agentur, die den Dienst nutzt.

Bewährte FedRAMP-Autorisierungsverfahren

Der Prozess zur Erlangung der FedRAMP-Autorisierung kann schwierig sein, aber es ist im besten Interesse aller Beteiligten, dass Cloud-Service-Anbieter erfolgreich sind, sobald sie den Autorisierungsprozess beginnen.

FedRAMP hat mehrere kleine Unternehmen und Start-ups zu den Erfahrungen befragt, die sie bei der Autorisierung gemacht haben. Hier sind ihre sieben besten Tipps für eine erfolgreiche Navigation durch den Autorisierungsprozess:

  1. Verstehen Sie, wie Ihr Produkt mit FedRAMP zusammenpasst - einschließlich einer Lückenanalyse.
  2. Holen Sie sich die Zustimmung und das Engagement der Organisation - auch von der Führungsebene und den technischen Teams.
  3. Finden Sie einen Agenturpartner - einen, der Ihr Produkt verwendet oder sich dazu verpflichtet, dies zu tun.
  4. Nehmen Sie sich die Zeit, Ihre Grenzen genau zu definieren, was auch bedeutet:
    • interne Komponenten
    • Verbindungen zu externen Diensten, und
    • den Fluss von Informationen und Metadaten.
  5. Betrachten Sie FedRAMP als ein fortlaufendes Programm und nicht nur als ein Projekt mit einem Start- und Enddatum. Die Dienste müssen kontinuierlich überwacht werden.
  6. Überlegen Sie sich genau, wie Sie bei der Autorisierung vorgehen wollen: Für mehrere Produkte sind möglicherweise mehrere Autorisierungen erforderlich.
  7. Das FedRAMP PMO ist eine wertvolle Ressource, die technische Fragen beantworten und Sie bei der Planung Ihrer Strategie unterstützen kann.

    FedRAMP bietet Vorlagen an, die Cloud-Service-Anbieter bei der Vorbereitung auf die FedRAMP-Konformität unterstützen.

    Was sind die Kategorien der FedRAMP-Konformität?

    FedRAMP bietet vier Auswirkungsstufen für Dienste mit unterschiedlichen Risiken an, die auf den potenziellen Auswirkungen eines Sicherheitsverstoßes in drei verschiedenen Bereichen basieren.

    • Vertraulichkeit: Schutz der Privatsphäre und geschützter Informationen.
    • Integrität: Schutz vor Veränderung oder Zerstörung von Informationen.
    • Verfügbarkeit: Rechtzeitiger und zuverlässiger Zugang zu Daten.

    Die ersten drei Stufen basieren auf dem Federal Information Processing Standard (FIPS) 199 des National Institute of Standards and Technology (NIST). Die vierte Stufe basiert auf der NIST Special Publication 800-37. Die Stufen sind:

    • Hoch, basierend auf 421 Kontrollen. "Der Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit könnte schwerwiegende oder katastrophale nachteilige Auswirkungen auf den Betrieb der Organisation, das Vermögen der Organisation oder Einzelpersonen haben" - dies gilt in der Regel für Strafverfolgungs-, Notdienst-, Finanz- und Gesundheitssysteme.
    • Mäßig, auf der Grundlage von 325 Kontrollen. "Der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit könnte schwerwiegende nachteilige Auswirkungen auf den Geschäftsbetrieb, das Vermögen der Organisation oder auf Einzelpersonen haben. 80 Prozent der genehmigten FedRAMP-Anwendungen fallen unter die Stufe der mittleren Auswirkungen.
    • Niedrig, basierend auf 125 Kontrollen. "Es ist zu erwarten, dass der Verlust der Vertraulichkeit, der Integrität oder der Verfügbarkeit eine begrenzte nachteilige Auswirkung auf den organisatorischen Betrieb, die Vermögenswerte der Organisation oder auf Einzelpersonen haben könnte.
    • Low-Impact Software-as-a-Service (LI-SaaS), basierend auf 36 Kontrollen Für "Systeme mit geringem Risiko für Anwendungen wie Kollaborationstools, Projektmanagementanwendungen und Tools, die bei der Entwicklung von Open-Source-Code helfen" Diese Kategorie ist auch als FedRAMP Tailored bekannt.

    Diese letzte Kategorie wurde 2017 hinzugefügt, um den Behörden die Genehmigung von Anwendungsfällen mit geringem Risiko zu erleichtern. Um sich für FedRAMP Tailored zu qualifizieren, muss der Anbieter sechs Fragen mit Ja beantworten. Diese sind auf der FedRAMP Tailored-Richtlinienseite veröffentlicht:

    • Wird der Dienst in einer Cloud-Umgebung betrieben?
    • Ist der Cloud-Dienst voll funktionsfähig?
    • Handelt es sich bei dem Cloud-Service um Software as a Service (SaaS), wie in NIST SP 800-145, The NIST Definition of Cloud Computing, definiert?
    • Der Cloud-Dienst enthält keine persönlich identifizierbaren Informationen (PII), es sei denn, sie werden benötigt, um eine Anmeldemöglichkeit zu schaffen (Benutzername, Passwort und E-Mail-Adresse)?
    • Handelt es sich bei dem Cloud-Service um einen Dienst mit geringer Sicherheitsrelevanz gemäß der Definition von FIPS PUB 199, Standards for Security Categorization of Federal Information and Information Systems?
    • Wird der Cloud-Dienst innerhalb einer FedRAMP-genehmigten Platform as a Service (PaaS) oder Infrastructure as a Service (IaaS) gehostet, oder stellt der CSP die zugrunde liegende Cloud-Infrastruktur bereit?

    Denken Sie daran, dass das Erreichen der FedRAMP-Konformität keine einmalige Aufgabe ist. Erinnern Sie sich an die Überwachungsphase der FedRAMP-Autorisierung? Das bedeutet, dass Sie regelmäßige Sicherheitsaudits durchführen müssen, um sicherzustellen, dass Sie bleiben FedRAMP-konform.

    Bonus: Lesen Sie den Leitfaden für eine schrittweise Social-Media-Strategie mit Profi-Tipps für den Ausbau Ihrer Social-Media-Präsenz.

    Holen Sie sich den kostenlosen Leitfaden gleich jetzt!

    Beispiele für FedRAMP-zertifizierte Produkte

    Es gibt viele Arten von FedRAMP-autorisierten Produkten und Diensten. Hier sind ein paar Beispiele von Cloud-Service-Anbietern, die Sie kennen und vielleicht schon selbst nutzen.

    Amazon Webdienste

    Es gibt zwei AWS-Listen im FedRAMP Marketplace: AWS GovCloud ist auf der Stufe "Hoch" und AWS US East/West auf der Stufe "Moderat" autorisiert.

    AWS GovCloud (US)-Kunden können #AmazonEFS für geschäftskritische Datei-Workloads nutzen, da sie kürzlich die FedRAMP High-Autorisierung erhalten haben. #GovCloud //t.co/iZoKNRESPP pic.twitter.com/pwjtvybW6O

    - AWS for Government (@AWS_Gov) 18. Oktober 2019

    AWS GovCloud verfügt über satte 292 Berechtigungen, AWS US East/West über 250. Das ist weit mehr als jeder andere Eintrag im FedRAMP Marketplace.

    Adobe Analytics

    Adobe Analytics wurde 2019 zugelassen. Es wird von den Centers for Disease Control and Prevention und dem Department of Health and Human Services verwendet. Es ist auf der LI-SaaS-Ebene zugelassen.

    Adobe hat mehrere Produkte auf der LI-SaaS-Ebene autorisiert (z. B. Adobe Campaign und Adobe Document Cloud) und auch einige Produkte auf der Moderaten Ebene:

    • Verwaltete Adobe Connect-Dienste
    • Adobe Experience Manager Managed Services.

    Adobe ist derzeit dabei, von der FedRAMP Tailored Autorisierung zur FedRAMP Moderate Autorisierung für Adobe Sign zu wechseln.

    Erfahren Sie mehr darüber, wie @Adobe Sign daran arbeitet, von FedRAMP Tailored zu FedRAMP Moderate zu wechseln: //t.co/cYjihF9KkP

    - AdobeSecurity (@AdobeSecurity) August 12, 2020

    Denken Sie daran, dass die Genehmigung für den Dienst und nicht für den Dienstanbieter gilt. Wie Adobe müssen Sie möglicherweise mehrere Genehmigungen einholen, wenn Sie mehr als eine Cloud-basierte Lösung anbieten.

    Slack

    Slack wurde im Mai dieses Jahres autorisiert und verfügt über 21 FedRAMP-Autorisierungen. Das Produkt ist auf der Stufe "Moderate" autorisiert. Es wird unter anderem von Behörden genutzt:

    • die Zentren für Seuchenkontrolle und -schutz,
    • die Federal Communications Commission und
    • den Nationalen Wissenschaftsfonds.

    Der öffentliche Sektor in den USA kann dank unserer neuen FedRAMP-Autorisierung jetzt einen größeren Teil seiner Arbeit in Slack erledigen. Und indem wir diese strengen Sicherheitsanforderungen erfüllen, sorgen wir auch für die Sicherheit aller anderen Unternehmen, die Slack nutzen. //t.co/dlra7qVQ9F

    - Slack (@SlackHQ) August 13, 2020

    Slack erhielt ursprünglich die FedRAMP Tailored-Autorisierung und verfolgte dann die Moderate-Autorisierung, indem es eine Partnerschaft mit dem Department of Veterans Affairs einging.

    Slack weist auf seiner Website auf die Sicherheitsvorteile hin, die diese Genehmigung für Privatkunden mit sich bringt:

    "Diese jüngste Autorisierung bedeutet eine sicherere Erfahrung für Slack-Kunden, einschließlich privater Unternehmen, die keine FedRAMP-autorisierte Umgebung benötigen. Alle Kunden, die die kommerziellen Angebote von Slack nutzen, können von den erhöhten Sicherheitsmaßnahmen profitieren, die für eine FedRAMP-Zertifizierung erforderlich sind."

    Trello Enterprise Cloud

    Trello hat erst im September die Li-SaaS-Autorisierung erhalten. Trello wird bisher nur von der General Services Administration genutzt. Aber das Unternehmen will das ändern, wie aus seinen sozialen Posts über seinen neuen FedRAMP-Status hervorgeht:

    🏛️Mit der FedRAMP-Autorisierung von Trello kann Ihre Behörde jetzt Trello nutzen, um die Produktivität zu steigern, Teamsilos aufzubrechen und die Zusammenarbeit zu fördern. //t.co/GWYgaj9jfY

    - Trello (@trello) October 12, 2020

    Zendesk

    Zendesk wurde ebenfalls im Mai zugelassen und wird von vielen Unternehmen genutzt:

    • das Ministerium für Energie,
    • die Federal Housing Finance Agency
    • das FHFA Office of the Inspector General und
    • die General Services Administration.

    Die Zendesk Kundensupport- und Helpdesk-Plattform verfügt über eine Li-Saas-Autorisierung.

    Ab heute können wir Regierungsbehörden die Zusammenarbeit mit uns wesentlich erleichtern, denn @Zendesk ist jetzt FedRAMP-autorisiert. Vielen Dank an alle Teams innerhalb und außerhalb von Zendesk für die geleistete Arbeit. //t.co/A0HVwjhGsv

    - Mikkel Svane (@mikkelsvane) May 22, 2020

    FedRAMP für die Verwaltung sozialer Medien

    SMMExpert ist FedRAMP-autorisiert, so dass Behörden jetzt problemlos mit dem weltweit führenden Anbieter von Social Media Management zusammenarbeiten können, um mit den Bürgern in Kontakt zu treten, Krisenkommunikation zu betreiben und Dienstleistungen und Informationen über soziale Medien bereitzustellen.

    Demo anfordern

    Vorherigen Post Der perfekte Social Media Style Guide für Ihre Marke im Jahr 2023
    Nächster Beitrag 8 Tipps für eine makellose Instagram-Übernahme

    Kimberly Parker ist eine erfahrene Expertin für digitales Marketing mit über 10 Jahren Erfahrung in der Branche. Als Gründerin ihrer eigenen Social-Media-Marketing-Agentur hat sie zahlreichen Unternehmen aus verschiedenen Branchen dabei geholfen, ihre Online-Präsenz durch effektive Social-Media-Strategien aufzubauen und auszubauen. Kimberly ist auch eine produktive Autorin und hat Artikel über soziale Medien und digitales Marketing für mehrere renommierte Publikationen verfasst. In ihrer Freizeit experimentiert sie gerne in der Küche mit neuen Rezepten und unternimmt lange Spaziergänge mit ihrem Hund.