Öffentlicher Sektor 
Da Bundesbehörden mit immer ausgereifteren Cyber-Bedrohungen konfrontiert sind, hat der Schutz kritischer Systeme und vertraulicher, nicht klassifizierter Daten höchste Priorität. Um diesen Bedarf zu decken, hat
Das Federal Risk and Authorization Management Program (FedRAMP, Bundesprogramm für Risikomanagement und Autorisierung) ist ein Programm der US-Regierung, das die Bewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Computing-Diensten für Bundesbehörden standardisieren und optimieren soll. Es legt einheitliche Sicherheitsanforderungen für Cloud- Dienstanbieter (CSPs, Cloud Service Provider) fest, um sicherzustellen, dass ihre Produkte den strengen Sicherheits- und Datenschutzanforderungen der Bundesregierung entsprechen.
Der Unterschied zwischen FedRAMP-autorisiert und FedRAMP-äquivalent besteht darin, dass ein FedRAMP-autorisiertes Produkt offiziell als sichere und konforme Cloud-Lösung anerkannt ist, die für die Nutzung durch die Bundesregierung zugelassen ist und im offiziellen FedRAMP-Marktplatz aufgeführt ist. Im Gegensatz dazu ist ein FedRAMP-äquivalentes Produkt ein Zertifikat für ein ähnliches Maß an Sicherheitsbemühungen und -absichten, das Produkt ist jedoch nicht im offiziellen FedRAMP-Marktplatz aufgeführt.
Was bedeutet „FedRAMP-Äquivalenz“?
CSPs, die behaupten, die FedRAMP-Äquivalenz erreicht zu haben, geben an, dass ihr Produkt Sicherheitsstandards erfüllt, die mit FedRAMP vergleichbar sind, aber der CSP hat den strengen FedRAMP-Autorisierungsprozess nicht offiziell abgeschlossen. Dieser Begriff könnte von Nicht-US- Organisationen, Landesregierungen oder private Unternehmen verwendet werden, die Kontrollen auf der Grundlage der FedRAMP-Richtlinien umsetzen. Oft, aber nicht immer, verwenden CSPs die FedRAMP-Äquivalenz, um anzuzeigen, dass sie zur Einhaltung von FedRAMP bereit sind oder die Absicht haben, eine vollständige FedRAMP-Autorisierung anzustreben.
Die wichtigsten Merkmale der FedRAMP-Äquivalenz sind die folgenden:
- Der CSP bestätigt selbst, dass sein Produkt entweder mit den FedRAMP-Sicherheitskontrollen übereinstimmt oder diese als Benchmark verwendet.
- Das Produkt des CSP wurde möglicherweise von einer Bundesbehörde oder dem Joint Authorization Board (JAB) formell bewertet oder mit einer Betriebsgenehmigung (ATO, Authorization to Operate) versehen, oder auch nicht.
- Das Produkt des CSP ist nicht auf dem offiziellen FedRAMP-Marktplatz gelistet.
Was bedeutet FedRAMP-autorisiert?
CSPs, die FedRAMP-autorisierte Produkte verkaufen, haben den FedRAMP-Autorisierungsprozess abgeschlossen, einschließlich strenger Sicherheitsbewertungen durch eine unabhängige Bewertungsorganisation (3PAO), und das Produkt hat eine ATO von einer Bundesbehörde oder dem JAB erhalten.
Die wichtigsten Merkmale der FedRAMP-Autorisierung sind die folgenden:
- Das Produkt des CSP wurde einer sehr detaillierten Sicherheitsüberprüfung und einem Testverfahren durch eine 3PAO unterzogen und muss sich jährlich einer erneuten Autorisierungsprüfung unterziehen.
- Das Produkt des CSP hat eine ATO von einer Bundesbehörde oder dem JAB erhalten.
- Das Produkt des CSP ist auf dem offiziellen FedRAMP-Marktplatz gelistet.
Wichtige Unterschiede zwischen FedRAMP-äquivalent und FedRAMP-autorisiert
Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen FedRAMP-Äquivalenz und FedRAMP-Autorisierung zusammen.
|
|
FedRAMP Authorized | FedRAMP Equivalent |
|---|---|---|
| Definition | A cloud product that has undergone the full FedRAMP security assessment process and received an official Authority to Operate (ATO) or Provisional Authority to Operate (P-ATO). | A cloud product that claims to be aligned with FedRAMP security controls but has not completed the formal FedRAMP authorization process. |
| Assessment Process | Requires a formal review by a FedRAMP-approved 3PAO and approval from a federal agency or the JAB. | Often involves internal assessments or informal audits aligned with FedRAMP standards, which may or may not have been done with oversight by a 3PAO or federal entity. |
| Security Standards | Fully compliant with FedRAMP’s standardized controls, derived from NIST SP 800-53. | Aligns with FedRAMP security controls but may not fully meet them. |
| Government Recognition | Listed on the FedRAMP Marketplace and officially recognized by federal agencies. | Not listed on the FedRAMP Marketplace and may not be recognized by federal agencies. |
| Verification | Includes comprehensive documentation, audits and ongoing monitoring validated by the U.S. government. | May or may not include partial documentation and assessments. |
| Continuous Monitoring | Requires continuous monitoring, with regular reporting and updates to maintain authorization. | Continuous monitoring may be implemented but not necessarily aligned with FedRAMP’s formal requirements. |
| Use Cases | Can be used by U.S. federal agencies procuring cloud services. Suitable for systems processing sensitive but unclassified (Moderate) or highly sensitive (High) data. | May be used for state, local or private sector applications where full FedRAMP authorization is not mandatory. May not be sufficient for direct federal use and cannot be used for highly sensitive (High) data. |
| Reusability Across Agencies | Can be reused across multiple federal agencies without having to examine the CSP’s entire Body of Evidence (BoE). This significantly reduces the time and cost of evaluating and onboarding the product. | No reusability. Each agency or organization may need to conduct its own security assessment, including a review of the CSP’s entire BoE, including their System Security Plan (SSP), Security Assessment Plan (SAP) and all attachments. This duplicates effort and significantly increases the time and cost of evaluating and onboarding the product. |
Die Risiken der Zusammenarbeit mit einem „FedRAMP-äquivalenten“ Anbieter gegenüber einem von FedRAMP autorisierten Anbieter
Die Entscheidung, mit einem FedRAMP-äquivalenten CSP anstelle eines FedRAMP-autorisierten CSP zusammenzuarbeiten, birgt gewisse Risiken, da es keine formelle Validierung und staatliche Anerkennung der Sicherheitsmaßnahmen des Anbieters gibt. Zu den weiteren Risiken der Zusammenarbeit mit einem „FedRAMP-äquivalenten“ CSP zählen mögliche Sicherheitslücken und eine inkonsistente Implementierung von Sicherheitskontrollen. Die FedRAMP-Autorisierung umfasst mehr als 325 Kontrollen und eine kontinuierliche Überwachung, um einen sehr hohen Sicherheitsstandard zu gewährleisten. Gleichwertige Anbieter führen möglicherweise weniger Kontrollen durch oder haben keine robusten Überwachungsprozesse. Da es außerdem kein standardisiertes Zertifizierungsverfahren für die FedRAMP-Äquivalenz gibt, kann der Grad der Konformität zwischen den CSPs erheblich variieren.
Aufgrund dieser Risiken eignen sich FedRAMP-äquivalente Produkte am besten für nicht-bundesstaatliche Organisationen wie private Unternehmen oder staatliche und lokale Behörden, die eine Übereinstimmung mit hohen Sicherheitsstandards benötigen, ohne die Kosten eines FedRAMP-autorisierten Produkts tragen zu müssen. Ein privates Gesundheitsorganisationen kann zum Beispiel ein FedRAMP-äquivalentes System verwenden, um die Datensicherheit für die Einhaltung des HIPAA zu gewährleisten.
Das Fazit
Die Zusammenarbeit mit einem FedRAMP-äquivalenten Anbieter anstelle eines FedRAMP-autorisierten Anbieters setzt Organisationen Risiken wie Sicherheitslücken, Nichteinhaltung und erhöhte Anfälligkeit für Cyberangriffe aus. Während FedRAMP-äquivalente CSPs zwar ihre Bereitschaft zur Einhaltung von Sicherheitsstandards unter Beweis stellen können, werden nur FedRAMP-autorisierte CSPs der formellen Validierung und kontinuierlichen Überwachung unterzogen, die erforderlich sind, um diese Risiken vollständig zu mindern.
Darüber hinaus ist die Bewertung eines FedRAMP-äquivalenten Anbieters ein zeitaufwändiger und teurer Prozess, der die Prüfung des gesamten BoE des Anbieters erfordert, der in der Regel Hunderte, wenn nicht Tausende von Seiten an Dokumentation umfasst. Umgekehrt bedeutet die Wahl eines FedRAMP-autorisierten Anbieters, dass ein 3PAO die BoE des Anbieters bereits geprüft, seine Kontrollen getestet und bestätigt hat, dass das Produkt des Anbieters den FedRAMP-Standards entspricht. Behörden können dies einfach überprüfen, indem sie das Angebot des CSP im offiziellen FedRAMP-Marktplatz überprüfen.
Für behördliche Zwecke ist die Zusammenarbeit mit einem FedRAMP High-autorisierten Anbieter wie Keeper unerlässlich, um eine robuste Sicherheit und Compliance zu gewährleisten.
