The Federal Risk and Authorization Management Program (FedRAMP) is a US government program that standardizes the security assessment, authorization, and continuous monitoring for cloud products and services. Its goal is to help federal government agencies adopt secure cloud technologies more easily.

Why is FedRAMP authorization important for cloud services?

FedRAMP ensures that cloud service providers meet strict requirements for protecting federal data by standardizing security assessments. This allows federal agencies to quickly implement secure cloud services, while providers can expand their customer base to include federal agencies.

What are the key steps for a cloud service provider to achieve FedRAMP authorization?

Cloud service providers must implement the security and privacy controls defined by the National Institute of Standards and Technology (NIST) Special Publication 800-53. They then undergo an independent security assessment by a third-party assessment organization (3PAO), which produces a Security Assessment Report (SAR). After remediating any issues, they submit a security package for review by a federal agency, which decides whether to issue an Authorization to Operate (ATO).

What is a 3PAO and what is their role in the authorization process?

A 3PAO is a third-party assessment organization that is accredited by the American Association for Laboratory Accreditation (A2LA). Their role is to independently validate that a cloud service provider's security controls are correctly in place and functioning. The 3PAO performs initial and periodic assessments and creates the SAR for federal agencies to use in their risk-based decisions.

What is "continuous monitoring" (ConMon)?

Continuous monitoring (or ConMon) is the ongoing activity required to maintain FedRAMP authorization. It involves the regular assessment, reporting, and remediation of security controls. Cloud service providers must submit monthly vulnerability scans and plans of action, and undergo yearly security assessments by a 3PAO to ensure ongoing security awareness.

How does FedRAMP differ from FISMA and RMF?

FedRAMP is a specific program that provides a framework for assessing and authorizing the security of cloud services, which ensures those services meet the security baselines required by the Federal Information Security Modernization Act (FISMA). FISMA is the overarching federal law that mandates security programs for federal agencies. The Risk Management Framework (RMF) provides the process that federal agencies follow to authorize their own IT systems for operation, helping them manage security risks. FedRAMP is a process that cloud service providers follow to get their offerings approved for use by federal agencies.

What are the three FedRAMP impact levels?

FedRAMP defines three impact levels for cloud offerings, based on the sensitivity of the data and the potential impact of a breach: Low: For non-sensitive, publicly available information where a breach would have limited impact. Moderate: For sensitive but unclassified data where a breach could lead to serious adverse effects, like financial loss. High: The most stringent level, for the most sensitive unclassified data (e.g., used by law enforcement) where a breach could cause severe or catastrophic consequences.

What is the purpose of the FedRAMP Marketplace?

The FedRAMP Marketplace is a searchable online database that lists: Cloud service providers that have achieved a FedRAMP designation. Federal agencies currently using FedRAMP Authorized cloud service providers. FedRAMP-recognized third-party assessors or auditors (3PAOs).

What is the goal of the FedRAMP 20x initiative?

FedRAMP 20x is an initiative focused on streamlining and enhancing the compliance process by building a new, cloud-native approach to FedRAMP authorization. Its goals include simplifying automation of security requirements, leveraging existing industry security investments, and enabling rapid, continuous innovation.

What are the different types of cloud services that can be FedRAMP Authorized?

A variety of cloud services can achieve FedRAMP authorization, including infrastructure-as-a-service (IaaS), platform-as-a-service (PaaS), and software-as-a-service (SaaS) offerings. Examples of areas that can be authorized include application development, cybersecurity, networking, and analytics.

What is FedRAMP?

Was ist FedRAMP?

Das „Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung, das einen standardisierten Ansatz für die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten bietet. Es ermöglicht amerikanischen Bundesbehörden die optimierte Einführung sicherer Cloud-Technologien.

Bundesbehörden, die Cloud-Dienste nutzen möchten, müssen FedRAMP-autorisierte Dienste wählen. Cloud-Dienstanbieter, die Bundesbehörden ihre Dienste anbieten möchten, müssen die Einhaltung der FedRAMP-Vorgaben nachweisen.

Warum ist FedRAMP wichtig?

Durch die Bereitstellung eines standardisierten Ansatzes zur Sicherheitsbewertung von Cloud-Diensten trägt FedRAMP dazu bei, dass Cloud-Dienstanbieter strenge Anforderungen zum Schutz von Bundesdaten erfüllen. Bundesbehörden können die Implementierung sicherer Cloud-Dienste beschleunigen, indem sie aus Cloud-Service-Angeboten (CSOs) auswählen, die eine FedRAMP-Autorisierung erhalten haben. Cloud-Service-Provider können unterdessen ihren Kundenstamm auf Bundesbehörden ausweiten, indem sie diese Autorisierung erhalten.

Wie erhalten Cloud-Diensteanbieter eine FedRAMP-Autorisierung?

FedRAMP verwendet die Special Publication 800-53 des National Institute of Standards and Technology (NIST) (NIST SP 800-53), um Sicherheits- und Datenschutzkontrollen zu definieren. Ein Cloud-Dienstleister muss geeignete Kontrollen für die von ihm angestrebte Zulassungsstufe implementieren und sich anschließend einer unabhängigen Sicherheitsbewertung durch eine externe Bewertungsorganisation (3PAO) unterziehen.

Dieser 3PAO erstellt einen Sicherheitsbewertungsbericht (Security Assessment Report, SAR), der alle Schwachstellen identifiziert und Empfehlungen zur Behebung derer gibt. Sobald der Cloud-Service-Anbieter alle Probleme behoben hat, kann er ein vollständiges Sicherheitspaket beim FedRAMP-Repository einreichen.

Das Paket wird dann von einer Bundesbehörde geprüft, die über die Erteilung einer Betriebsgenehmigung (Authorization to Operate, ATO – manchmal auch als „Authority to Operate“ bezeichnet) entscheidet. Bis 2024 konnten Pakete auch vom FedRAMP Joint Authorization Board (JAB) geprüft werden. Im Jahr 2024 wurde das JAB jedoch aufgelöst. Es wird keine neuen JAB-Genehmigungen mehr geben – derzeit ist das Genehmigungsverfahren der Behörde der einzige Weg zur Genehmigung für Cloud-Dienstleister.

Wenn ein Cloud-Dienstleister eine ATO von einer Behörde erhält, gilt er als FedRAMP-autorisiert und wird im FedRAMP Marketplace gelistet. Der Dienstleister implementiert dann eine kontinuierliche Überwachung und nimmt regelmäßige Neubewertungen vor, um die Compliance aufrechtzuerhalten.

Was ist ein 3PAO und warum ist einer erforderlich?

Eine 3PAO (Third-Party Assessment Organization) validiert unabhängig, dass die Sicherheitskontrollen eines Cloud-Serviceproviders vorhanden sind und ordnungsgemäß funktionieren. Dieser 3PAO führt anfängliche und regelmäßige Bewertungen durch und erstellt einen SAR, der Bundesbehörden die Informationen liefert, die sie für risikobasierte Entscheidungen über die Autorisierung des Angebots eines Cloud-Service-Providers zur staatlichen Nutzung benötigen.

3PAOs werden von der American Association for Laboratory Accreditation (A2LA) akkreditiert.

Was ist bei der kontinuierlichen Überwachung zu beachten?

Die FedRAMP-Autorisierung ist kein einmaliges Ereignis. Um die Autorisierung aufrechtzuerhalten, müssen Cloud-Dienstleister eine kontinuierliche Überwachung („continuous monitoring“, manchmal auch als „ConMon” bezeichnet) durchführen.

Laut NIST trägt die kontinuierliche Überwachung der Informationssicherheit dazu bei, „ein fortlaufendes Bewusstsein für Informationssicherheit, Schwachstellen und Bedrohungen“ zu gewährleisten. Sie trägt dazu bei, die Sicherheit von Cloud-Dienstleistern zu gewährleisten und liefert Behörden gleichzeitig die Einblicke, die diese zur Unterstützung wichtiger Entscheidungen im Risikomanagement benötigen.

Die kontinuierliche Überwachung beinhaltet regelmäßige Bewertungen, Berichterstattung und Behebung von Sicherheitskontrollen. Cloud-Diensteanbieter müssen monatlich Schwachstellenscans sowie Aktionspläne und Meilensteine einreichen. Sie müssen sich jährlich einer Sicherheitsbewertung durch eine 3PAO unterziehen. Jede Behörde, die eine ATO für Cloud-Angebote ausstellt, überprüft die kontinuierlichen Überwachungsaktivitäten des Cloud-Serviceproviders, um sicherzustellen, dass die Behörde diese Angebote weiterhin nutzen kann.

Was bedeuten die Statusbeschreibungen des FedRAMP Marketplace?

Der FedRAMP Marketplace ist eine durchsuchbare, sortierbare Online-Datenbank, die Folgendes umfasst:

Cloud-Service-Anbietern, die eine FedRAMP-Auszeichnung erhalten haben
Bundesbehörden, die FedRAMP-autorisierte Cloud-Service-Provider nutzen
Von FedRAMP anerkannten externen Gutachtern oder Auditoren

Die Datenbank liefert einen FedRAMP-Status für jedes Cloud-Angebot:

FedRAMP Ready: Der Anbieter wurde von einer 3PAO bewertet, die die Sicherheit des Angebots in einem Bericht bestätigt hat. Ein FedRAMP Ready-Dienst wird voraussichtlich zukünftig eine FedRAMP-Autorisierung erhalten.
FedRAMP In Process: Der Anbieter verfolgt aktiv die FedRAMP-Autorisierung und arbeitet daran, die notwendigen Sicherheitskontrollen und Dokumentationsanforderungen zu erfüllen.
FedRAMP Authorized: Der Anbieter hat erfolgreich eine Autorisierung für ein bestimmtes Angebot erhalten und demonstriert damit, dass die Sicherheitsvorgaben auf einer bestimmten Wirkungsstufe (Low, Moderate oder High) eingehalten werden.

Welche FedRAMP-Wirkungsstufen (Impact Level) gibt es?

FedRAMP definiert drei „Wirkungsstufen“ für Cloud-Angebote. Jede Stufe beschreibt bestimmte Datentypen sowie die potenziellen Auswirkungen bei einer Sicherheitsverletzung dieser Daten.

Niedrig (Low): Diese Stufe ist für Systeme vorgesehen, die nicht sensible, öffentlich zugängliche Informationen oder Daten verarbeiten. Eine Sicherheitsverletzung hätte begrenzte Auswirkungen auf den Betrieb, die Assets oder Einzelpersonen.
Moderat (Moderate): Diese Stufe ist für Systeme gedacht, die sensible, aber nicht klassifizierte Daten verarbeiten. Ein Verstoß könnte schwerwiegende nachteilige Auswirkungen haben, wie z. B. finanzielle Verluste, betriebliche Schäden oder Schäden für Einzelpersonen, zur Folge haben.
Hoch (High): Dies ist die strengste Stufe, die für Systeme reserviert ist, die die sensibelsten, nicht klassifizierten Daten verarbeiten, wie sie beispielsweise von Strafverfolgungsbehörden, Notfalldiensten und Finanzinstituten verwendet werden. Ein Verstoß könnte schwerwiegende oder katastrophale Folgen für die nationale Sicherheit, die öffentliche Sicherheit oder die Verfügbarkeit von kritischen Behördendiensten haben.

Ein Cloud-Service-Provider kann Autorisierungen für mehr als eine Sicherheitsstufe haben. Beispielsweise können bestimmte Dienste dieses Anbieters über eine FedRAMP Moderate-Autorisierung verfügen, während andere über eine FedRAMP High-Autorisierung verfügen.

FedRAMP vs. RMF

Sowohl FedRAMP als auch das Risk Management Framework (RMF) bieten Richtlinien und Prozesse für den Umgang mit Cybersicherheitsrisiken, gelten jedoch für unterschiedliche Einrichtungen.

FedRAMP bietet ein Verfahren, dem Cloud-Service-Provider folgen müssen, um ihre Angebote für die Nutzung durch Bundesbehörden genehmigen zu lassen. Das Ziel ist die beschleunigte Einführung sicherer Cloud-Lösungen durch Behörden.
Das RMF bietet ein Verfahren, dem Bundesbehörden folgen, um ein IT-System für den Betrieb zu autorisieren. Sie sollen diesen Organisationen helfen, Sicherheitsrisiken für ihre Informationssysteme zu erkennen, zu bewerten und zu neutralisieren.

FedRAMP vs. FISMA

Der Federal Information Security Modernization Act (FISMA) ist ein US-amerikanisches Bundesgesetz, das Bundesbehörden der USA dazu verpflichtet, Sicherheitsprogramme zum Schutz von Informationen und Systemen zu entwickeln, zu dokumentieren und zu implementieren. Es schreibt einen risikobasierten Ansatz für die Sicherheit vor und überträgt dem NIST die Verantwortung für die Bereitstellung von Standards und Richtlinien zur Erfüllung der Anforderungen. FISMA gilt für Behörden, deren Auftragnehmer und andere Organisationen, die den Betrieb der Behörden unterstützen.

FedRAMP ist ein Programm, das einen spezifischen Rahmen für die Bewertung und Autorisierung der Sicherheit von Cloud-Diensten bereitstellt und sicherstellt, dass diese Dienste die FISMA-Sicherheitsgrundlagen erfüllen. FISMA ist also die übergreifende Vorschrift, und FedRAMP ist ein Rahmenwerk, um die FISMA-Konformität nachzuweisen.

FedRAMP vs. GovRAMP

GovRAMP (früher unter dem Namen StateRAMP bekannt) ist ein Programm, das Cybersicherheitsbewertungen von Cloud-Dienstleistern standardisiert hat, die Dienstleistungen für US-amerikanische Landes-, Kommunal- und Stammesregierungen sowie Bildungseinrichtungen anbieten. Das Programm ist freiwillig und wird von einer privaten, gemeinnützigen Organisation verwaltet.

FedRAMP hingegen ist darauf ausgelegt, Dienste für Bundesbehörden zu autorisieren. Sie wird von der General Services Administration (GSA), einer Bundesbehörde, verwaltet.

Beide Programme:

Befolgen die durch NIST SP 800-53 definierten Sicherheitskontrollen
Verlangen Audits durch unabhängige Bewertungsorganisationen (3PAO) und kontinuierliche Überwachung
Verwenden die Wirkungsstufen „Low“, „Moderate“ und „High“, die auf die NIST-Kontrollen abgestimmt sind.
Regierungsorganisationen profitieren (durch die Optimierung der Einführung von Cloud-Diensten) ebenso wie Cloud-Service-Anbieter (indem sie ihren Kunden ein hohes Maß an Vertrauen in die Sicherheit ihrer Services bieten)

Ein Cloud-Service-Provider kann sowohl FedRAMP- als auch GovRAMP-Autorisierungen erhalten.

Was ist FedRAMP 20x?

FedRAMP 20x ist eine Initiative, die darauf abzielt, den Compliance-Prozess durch die Entwicklung eines neuen, Cloud-nativen Ansatzes für die FedRAMP-Autorisierung zu optimieren und zu verbessern. Die Initiative beschreibt fünf Hauptziele für einen neuen Bewertungsprozess, der von FedRAMP in Zusammenarbeit mit Branchenakteuren und Experten der Behörde konzipiert wird.

Vereinfachen Sie die Automatisierung der Anwendung und Validierung von FedRAMP-Sicherheitsanforderungen.
Nutzen Sie bestehende Brancheninvestitionen in Sicherheit, indem Sie erstklassige kommerzielle Sicherheitsframeworks übernehmen.
Überwachen Sie Sicherheitsentscheidungen kontinuierlich mit einem einfachen, automatischen Ansatz.
Bauen Sie Vertrauen zwischen Industrie und Bundesbehörden auf, indem Sie die direkten Geschäftsbeziehungen zwischen Anbietern und Kunden nutzen.
Ermöglichen Sie eine schnelle, kontinuierliche Innovation ohne künstliche Kontrollpunkte, die den Fortschritt aufhalten.

Cloud-Service-Provider können die FedRAMP-Baselines weiterhin nutzen, um die behördliche Autorisierung für ihre Services zu erreichen, bis diese Baselines ersetzt werden.

Welche Arten von Cloud-Diensten können FedRAMP-autorisiert werden?

Eine breite Palette von Infrastructure-as-a-Service (IaaS)-, Platform-as-a-Service (PaaS)- und Software-as-a-Service (SaaS)-Angeboten kann eine FedRAMP-Autorisierung erhalten. Ein Cloud-Dienstleister könnte beispielsweise eine Autorisierung für Anwendungsentwicklung, Cybersicherheit, Netzwerke, Analytik, Datenschutz/Compliance und andere Dienste erhalten.

Wie kann eine Behörde von FedRAMP-autorisierten Diensten profitieren?

Eine Bundesbehörde durchsucht den FedRAMP-Marktplatz nach Angeboten, die den Bedürfnissen und Sicherheitsanforderungen ihrer Mission entsprechen. In der Marketplace-Datenbank können Nutzer die Ergebnisse nach Geschäftskategorie, Auswirkungsgrad und Bereitstellungsmodell filtern.

Wenn ein Angebot von einer anderen Behörde autorisiert wurde, kann die Behörde, die nach einem Angebot sucht, den Zugriff auf das Sicherheitsbewertungspaket dieses Angebots beantragen. Das Paket kann die Behörde dann bei ihrer eigenen ATO-Entscheidung unterstützen.

Wie sich Cloudflare das Vertrauen seiner Kunden erarbeitet

Cloudflare verfügt über eine breite Palette an Richtlinien, Technologien und Zertifizierungen, die dazu beitragen, das Vertrauen der Kunden zu gewinnen, einschließlich der FedRAMP-Autorisierung. Besuchen Sie den Trust-Hub von Cloudflare, um mehr zu erfahren.

FAQs

Was ist FedRAMP?

Das Federal Risk and Authorization Management Program (FedRAMP) ist ein Programm der US-Regierung, das die Sicherheitsbewertung, Autorisierung und kontinuierliche Überwachung von Cloud-Produkten und -Diensten standardisiert. Ihr Ziel ist es, Bundesbehörden dabei zu helfen, sichere Cloud-Technologien einfacher einzuführen.

Warum ist die FedRAMP-Autorisierung für Cloud-Dienste von Bedeutung?

FedRAMP stellt durch die Standardisierung von Sicherheitsbewertungen sicher, dass Cloud-Dienstanbieter strenge Anforderungen zum Schutz von Bundesdaten erfüllen. Dies ermöglicht es Bundesbehörden, schnell sichere Cloud-Dienste zu implementieren, während Anbieter ihren Kundenstamm um Bundesbehörden erweitern können.

Welche sind die wichtigsten Schritte, die ein Cloud-Service-Provider unternehmen muss, um eine FedRAMP-Autorisierung zu erhalten?

Cloud-Service-Provider müssen die in der National Institute of Standards and Technology (NIST) Special Publication 800-53 definierten Sicherheits- und Datenschutzkontrollen umsetzen. Anschließend werden sie einer unabhängigen Sicherheitsbewertung durch eine unabhängige Bewertungsorganisation (3PAO) unterzogen, die einen Security Assessment Report (SAR) erstellt. Nachdem alle Probleme behoben wurden, reichen sie ein Sicherheitspaket zur Überprüfung durch eine Bundesbehörde ein, die über die Erteilung einer Betriebsgenehmigung (Authorization to Operate, ATO) entscheidet.

Was ist ein 3PAO und welche Rolle spielt dieser im Autorisierungsprozess?

Ein 3PAO ist eine von der American Association for Laboratory Accreditation (A2LA) akkreditierte externe Bewertungsorganisation. Ihre Aufgabe ist es, unabhängig zu validieren, dass die Sicherheitskontrollen eines Cloud-Dienstleisters korrekt eingerichtet sind und funktionieren. Der 3PAO führt anfängliche und regelmäßige Bewertungen durch und erstellt den SAR, der von Bundesbehörden für ihre risikobasierten Entscheidungen verwendet wird.

Was ist „Continuous Monitoring“ (ConMon)?

Kontinuierliche Überwachung (oder ConMon) ist die fortlaufende Aktivität, die erforderlich ist, um die FedRAMP-Autorisierung aufrechtzuerhalten. Dies beinhaltet die regelmäßige Bewertung, Berichterstattung und Behebung von Sicherheitskontrollen. Cloud-Service-Anbieter müssen monatliche Schwachstellenscans und Aktionspläne einreichen und sich jährlich einer Sicherheitsbewertung durch eine 3PAO unterziehen, um ein kontinuierliches Sicherheitsbewusstsein zu gewährleisten.

Wie unterscheidet sich FedRAMP von FISMA und RMF?

FedRAMP ist ein spezifisches Programm, das einen Rahmen für die Bewertung und Autorisierung der Sicherheit von Cloud-Diensten bereitstellt und sicherstellt, dass diese Dienste die Sicherheitsstandards erfüllen, die durch den Federal Information Security Modernization Act (FISMA) gefordert werden. FISMA ist das übergreifende Bundesgesetz, das Sicherheitsprogramme für Bundesbehörden vorschreibt. Das Risk Management Framework (RMF) beschreibt das Verfahren, dem Bundesbehörden der USA folgen, um ihre eigenen IT-Systeme für den Betrieb zu autorisieren und Sicherheitsrisiken zu verwalten. FedRAMP ist ein Verfahren, das Cloud-Service-Provider befolgen, um ihre Angebote zur Nutzung durch Bundesbehörden genehmigen zu lassen.

Welche drei FedRAMP-Wirkungsstufen gibt es?

FedRAMP definiert drei Wirkungsstufen für Cloud-Angebote, basierend auf der Sensibilität der Daten und den potenziellen Auswirkungen eines Verstoßes: Low: Für nicht sensible, öffentlich zugängliche Informationen, bei denen ein Verstoß nur begrenzte Auswirkungen hätte. Moderate: Für sensible, jedoch nicht klassifizierte Daten, bei denen eine Verletzung zu schwerwiegenden negativen Folgen, wie beispielsweise finanziellen Verlusten, führen könnte. High: Die strengste Stufe für die sensibelsten, nicht klassifizierten Daten (z. B. zur Nutzung durch Strafverfolgungsbehörden), bei denen eine Verletzung schwerwiegende oder katastrophale Folgen haben könnte.

Was ist der Zweck des FedRAMP Marketplace?

Der FedRAMP Marketplace ist eine durchsuchbare Online-Datenbank, die folgende Einträge enthält: Cloud-Service-Provider, die eine FedRAMP-Zertifizierung erhalten haben. Bundesbehörden, die derzeit FedRAMP-autorisierte Cloud-Service-Provider nutzen. Von FedRAMP anerkannte externe Gutachter oder Auditoren (3PAOs).

Was ist das Ziel der FedRAMP 20x Initiative?

FedRAMP 20x ist eine Initiative, die sich auf die Straffung und Verbesserung des Compliance-Prozesses konzentriert, indem ein neuer, Cloud-nativer Ansatz für die FedRAMP-Autorisierung geschaffen wird. Zu den Zielen gehören die Vereinfachung der Automatisierung von Sicherheitsanforderungen, die Nutzung vorhandener Sicherheitsinvestitionen der Branche und die Ermöglichung schneller, kontinuierlicher Innovation.

Welche verschiedenen Arten von Cloud-Diensten können FedRAMP-autorisiert werden?

Eine Vielzahl von Cloud-Diensten kann eine FedRAMP-Autorisierung erhalten, einschließlich Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS). Beispiele für autorisierte Bereiche sind Anwendungsentwicklung, Cybersicherheit, Netzwerkbetrieb und Analytik.