Die Digitalisierung und der verstärkte Einsatz von Cloud-Technologien im öffentlichen Sektor erfordern moderne Sicherheitsstandards, die sowohl Schutz garantieren als auch Innovationen ermöglichen. FedRAMP, die staatliche Initiative zur Sicherheitsbewertung von Cloud-Diensten in den USA, hat vor kurzem die Weiterentwicklung FedRAMP 20x gestartet. Ein Monat nach seiner Verkündung zeigt sich bereits, wie dynamisch und zielgerichtet dieser neue Ansatz die Cloud-Sicherheitslandschaft revolutioniert. FedRAMP 20x verfolgt eine klare Vision: Sicherheit rückt stärker in den Fokus als bloße Compliance, und Innovationen der Privatwirtschaft werden aktiv unterstützt. Zugleich setzt das Programm auf eine intensive Zusammenarbeit zwischen Behörden, Branchenexperten und Drittanbietern, um agil und transparent auf die sich wandelnden Anforderungen zu reagieren.
Die bisherigen Ergebnisse nach nur vier Wochen sind beeindruckend. So wurden 29 neue Cloud-Dienste mit einer FedRAMP-Autorisierung versehen, womit die Gesamtzahl der autorisierten Produkte auf über 400 ansteigt. Diese Zahl verdeutlicht nicht nur das Volumen der aktiven Cloud-Lösungen, die nun den Standards des Bundes genügen, sondern auch das beschleunigte Tempo, mit dem die Freigabeprozesse umgesetzt werden. Neben neuen Autorisierungen ist die Zahl der sogenannten „FedRAMP Ready“-Designationen gestiegen. Solche Einstufungen zeigen an, dass ein Cloud-Service die formalen Voraussetzungen für eine umfassende Prüfung erfüllt und sich auf dem Weg zur endgültigen Autorisierung befindet.
Im laufenden Jahr konnten sieben neue Ready-Designationen vergeben werden und somit der Weg für weitere sichere Cloud-Innovationen geebnet werden. Eine bedeutende Rolle spielen hierbei die Drittbeurteilungsorganisationen, die unabhängige Prüfungen der Cloud-Dienste durchführen. FedRAMP 20x hat zwei neue solcher Organisationen anerkannt, was die Basis für mehr Kapazität und Qualität bei der Begutachtung erweitert. Gleichzeitig beweist der Abbau der Warteschlange für Review-Pakete, dass administrative und technische Abläufe deutlich effizienter geworden sind. Mit aktuell 25 verbliebenen Paketen und acht davon „bereit für die Autorisierung“ befindet sich die Warteschlange auf dem niedrigsten Stand seit über zwei Jahren.
Dies zeigt, dass FedRAMP 20x nicht nur ambitionierte Ziele verfolgt, sondern diese auch konsequent in die Tat umsetzt. Die enge Einbindung der Community ist ein weiterer wichtiger Erfolgsfaktor. Mehr als 1.200 direkte Anfragen wurden innerhalb eines Monats beantwortet, darunter zahlreiche Zugangsbitten und allgemeine Informationsanfragen rund um FedRAMP. Die Initiative zur Gründung von Arbeitsgruppen und die Durchführung von acht öffentlichen Sitzungen trugen dazu bei, dass über tausend Teilnehmer aktiv an Diskussionsprozessen teilnahmen.
Diese Transparenz und Partizipation stärken das Vertrauen aller Beteiligten – von privaten Cloud-Anbietern über Regierungsbehörden bis hin zu Sicherheitsfachleuten. Darüber hinaus zeigt sich, wie FedRAMP 20x durch gezielte Gespräche mit hochrangigen Vertretern aus Verteidigung, Cybersicherheit, Gesundheitswesen und Regierungsaufsicht die Weichen für strategische Fortschritte stellt. Der regelmäßige Dialog mit Gremien und Ausschüssen des Kongresses unterstreicht die politische Bedeutung des Programms und fördert eine abgestimmte Modernisierung der Sicherheitsstandards. Auf technischer Ebene treiben neue Standards und Richtlinien die kontinuierliche Verbesserung voran. FedRAMP hat mehrere Entwürfe veröffentlicht, die zur öffentlichen Kommentierung freigegeben sind und somit eine breite Einbindung von Fachwissen fördern.
Hierbei ist besonders die Überarbeitung des vorherigen Bereichskonzepts (Boundary Guidance) hervorzuheben, das nun klarere und praktischere Vorgaben zur Abgrenzung von zu bewertenden Systemteilen beinhaltet. Die Neuausrichtung von Bewertungsrahmen soll eine sicherheitsorientierte Beurteilung begünstigen und die oft als bürokratisch wahrgenommene Compliance-Denke ablösen. Zum Beispiel wird in Zukunft erheblichen Änderungsanträgen nicht mehr im zeitintensiven Genehmigungsverfahren, sondern durch eine sogenannte „Significant Change Notification“ begegnet. Damit erhalten Cloud-Anbieter mehr Handlungsspielraum, notwendige Anpassungen eigenverantwortlich vorzunehmen, ohne vorab auf eine Genehmigung warten zu müssen – vorausgesetzt, diese Änderungen erfolgen im Interesse der Kunden. Ein weiterer Meilenstein ist die Erprobung automatisierter Autorisierungen speziell für Cloud-Dienste der Einstufung „FedRAMP Low“.
Dabei kommen Schlüssel-Sicherheitsindikatoren (Key Security Indicators) zum Einsatz, die definieren, welche zentralen Sicherheitsmaßnahmen für diese niedrigere Risikoebene erforderlich sind. Die Verwendung solcher quantitativen Indikatoren ermöglicht eine schnellere und zugleich nachvollziehbare Bewertung von Cloud-Anwendungen und ist ein wichtiger Schritt hin zu agileren Zertifizierungsprozessen. Die ersten Pilotprojekte im Rahmen von FedRAMP 20x Phase One bieten Anbietern die Chance, innerhalb von zwölf Monaten eine offizielle Freigabe mit Fokus auf „Low“-Sicherheitsstandards zu erlangen und dabei priorisiert in die weiterführende „Moderate“-Bewertung aufgenommen zu werden. Besonders bemerkenswert ist auch die Nutzung von Künstlicher Intelligenz durch das FedRAMP-Team. Ein kleines Wissenschaftlerteam arbeitet kontinuierlich daran, interne Prozesse mithilfe moderner AI-Werkzeuge effizienter zu gestalten.
So wurde ein eigenes System entwickelt, das Kommentare auf der Open-Source-Plattform GitHub analysiert und priorisiert. Dies unterstützt die FedRAMP-Teams bei der schnellen Bearbeitung von Eingaben aus der Community und bei der Erstellung von zusammenfassenden Berichten für die Entscheidungsträger. Darüber hinaus wurde eine API-zentrierte Technologieinfrastruktur geschaffen, die eine interaktive Datenverarbeitung in nahezu Echtzeit erlaubt. Des Weiteren entstehen in interaktiven Laborumgebungen neue Prototypen für generative AI-Anwendungen, die zukünftig auch die Sicherheitsanalyse komplexer wissenschaftlicher Publikationen unterstützen sollen. Natürlich steht die Organisation auch vor personellen Herausforderungen, denn in den letzten Wochen gab es einen hohen Personalwechsel.
Dennoch konnte FedRAMP seine Kernteams stabil halten und weiterhin die ambitionierten Ziele verfolgen. Gerade die engagierte Arbeit der verbleibenden Experten hat dazu beigetragen, den Review-Prozess in einer Rekordzeit von drei Monaten zu bewältigen – ein Meilenstein, der sowohl auf die Qualität als auch auf die Methodik von FedRAMP 20x verweist. Mit Blick auf die Zukunft zeigt sich, dass FedRAMP 20x auf einem soliden Fundament aufbaut und gleichzeitig den Blick stets auf Innovation und Kundenorientierung richtet. Die kontinuierliche Kommunikation mit der Community, die Aufforderung zur Mitwirkung an den Request-for-Comment-Standards und die offene Einladung zur Teilnahme an den Pilotprojekten sind Ausdruck eines Programms, das sich nicht nur an aktuellen technischen Entwicklungen orientiert, sondern auch die Vielfalt der Interessen berücksichtigt und integriert. Zusammengefasst markiert der erste Monat von FedRAMP 20x einen Wendepunkt in der amerikanischen Cloud-Sicherheitslandschaft.
Indem das Programm traditionelle Compliance-Strukturen zugunsten einer sicherheitsbasierten Bewertung aufbricht und KI-gestützte Verfahren einführt, etabliert es einen zukunftsweisenden Standard. Die beschleunigte Autorisierung von Cloud-Diensten, die verstärkte Community-Beteiligung und die moderne Prozessgestaltung zeigen, dass FedRAMP 20x mehr ist als eine Evolution – es ist eine Revolution, die die Cloud-Sicherheit für die Bundesbehörden in Zeiten rasanter technischer Veränderung neu definiert. Für Anbieter, Behörden und Nutzer gleichermaßen eröffnen sich dadurch neue Chancen und Perspektiven, die das digitale Zeitalter sicher, agil und effizient gestalten. Es bleibt spannend zu beobachten, wie FedRAMP 20x in den kommenden Monaten weiter voranschreitet und die Ziele „Sicherheit über Compliance“ sowie „Innovation durch Zusammenarbeit“ weiter verankert. Für Unternehmen, die Cloud-Lösungen im US-Bundesmarkt anstreben, empfiehlt es sich, die Entwicklung aktiv zu verfolgen, die verschiedenen öffentlichen Kommentierungsphasen zu nutzen und sich gegebenenfalls an Pilotprojekten zu beteiligen, um von Anfang an von den neuen Prozessen zu profitieren.
FedRAMP 20x stellt so einen bedeutenden Meilenstein dar, der Cloud-Sicherheit in der öffentlichen Verwaltung neu definiert und im besten Sinne beschleunigt.
