Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Cybersecurity-Risikomanagement > Die Bundesregierung gibt zu: Ihr Cloud-Sicherheitsprozess ist mangelhaft

Die Bundesregierung gibt zu: Ihr Cloud-Sicherheitsprozess ist mangelhaft

von Paul Sechser updated März 24, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Am 18. März 2026 veröffentlichte ProPublica eine Recherche, die alle Unternehmen alarmieren sollte, die FedRAMP-Zertifizierungen als Vertrauensbeweis für Cloud-Sicherheit betrachten. Die Geschichte ist eindeutig: Bundesweite Cybersicherheitsprüfer versuchten fast fünf Jahre lang – und scheiterten –, zu verifizieren, wie Microsoft vertrauliche Regierungsdaten innerhalb von GCC High schützt, der Cloud-Suite für einige der sensibelsten nicht klassifizierten Informationen der Regierung.

Wichtige Erkenntnisse

  1. FedRAMP hat Microsoft GCC High autorisiert, obwohl es fast fünf Jahre lang ungelöste Sicherheitsbedenken gab – weil das Produkt bereits zu tief im Bundesapparat verankert war, um es abzulehnen. Bundesprüfer investierten 480 Stunden und führten 18 technische Deep Dives durch, kamen aber zu dem Schluss, dass sie „kein Vertrauen“ in die generelle Sicherheitslage des Produkts haben.
  2. Microsoft konnte FedRAMP nicht zeigen, wie sensible Regierungsdaten während der Übertragung verschlüsselt werden – eine Grundanforderung, die Amazon und Google routinemäßig dokumentieren. Die Prüfer kamen nie über einen einzigen Dienst, Exchange Online, hinaus, bevor der Prozess scheiterte.
  3. Die unabhängigen Drittanbieter, die GCC High prüfen sollten, teilten FedRAMP intern mit, dass sie das Produkt nicht vollständig bewerten konnten – während ihre offiziellen Berichte das Gegenteil behaupteten. Sowohl Coalfire als auch Kratos äußerten ihre Bedenken im Hintergrund, ohne sie schriftlich gegenüber dem zahlenden Kunden zu dokumentieren.
  4. Budgetkürzungen beim DOGE reduzierten FedRAMP auf etwa zwei Dutzend Mitarbeitende, die sich auf die schnelle Ausstellung von Zertifizierungen konzentrieren – nicht auf fundierte Sicherheitsprüfungen. Das Jahresbudget des Programms liegt mit 10 Millionen US-Dollar auf dem niedrigsten Stand seit zehn Jahren, während Behörden die Einführung cloudbasierter KI-Tools beschleunigen.
  5. Compliance-Labels sind keine Sicherheit – Unternehmen benötigen Cloud-Architekturen, die nachweisbaren, kontinuierlichen Schutz bieten, unabhängig davon, wer das Zertifikat ausgestellt hat. Die Kiteworks Data Security and Compliance Risk Forecast 2026 ergab, dass 38 % der Regierungsorganisationen weiterhin auf manuelle oder periodische Compliance-Prozesse setzen.

Dennoch wurde die Autorisierung erteilt. Nicht, weil alle Fragen beantwortet wurden. Nicht, weil die Prüfung abgeschlossen war. Sondern weil das Produkt bereits zu tief im Justizministerium, Energieministerium und in der Verteidigungsindustrie verankert war, um es abzulehnen.

Ein Mitglied des FedRAMP-Prüfteams fasste die von Microsoft bereitgestellte Sicherheitsdokumentation so zusammen, dass sie auch ohne Cybersecurity-Studium verständlich ist. Ein anderer Prüfer teilte dem DOJ mit, dass er die verbleibenden Unbekannten nicht einmal quantifizieren könne. Tony Sager, ehemaliger NSA-Computerspezialist mit drei Jahrzehnten Regierungserfahrung, brachte es auf den Punkt: „Das ist keine Sicherheit. Das ist Sicherheitstheater.“

Was Microsoft nicht zeigen konnte – oder wollte

Das Kernproblem war trügerisch einfach. FedRAMP forderte Datenflussdiagramme: technische Darstellungen, die zeigen, wie Daten von Punkt A nach Punkt B gelangen und – entscheidend – wie sie unterwegs verschlüsselt werden. Wenn Daten durch die Cloud-Infrastruktur wandern – über Server, Lastverteiler und Speicher – verhindert Verschlüsselung während der Übertragung das Abfangen. Um diese Verschlüsselung zu verifizieren, muss der gesamte Pfad sichtbar sein.

Microsoft bezeichnete die Anforderung als zu anspruchsvoll. FedRAMP schlug einen Kompromiss vor und wollte mit nur einem Dienst beginnen: Exchange Online. Microsoft reichte ein Whitepaper zur Verschlüsselungsstrategie ein, ließ aber die konkreten Details aus, wo Verschlüsselung und Entschlüsselung tatsächlich stattfinden. Dadurch konnte FedRAMP nicht überprüfen, ob überhaupt ein Schutz besteht.

Andere große Cloud-Anbieter – darunter Amazon und Google – lieferten diese Dokumentation routinemäßig. Der CrowdStrike Global Threat Report 2026 macht die Dringlichkeit deutlich: 82 % der Entdeckungen sind inzwischen malwarefrei, Angreifer umgehen also klassische Abwehrmechanismen durch Identitätsmissbrauch und Diebstahl von Zugangsdaten. In diesem Umfeld sind Verschlüsselung und Transparenz bei Datenflüssen keine optionalen Extras, sondern die letzte Verteidigungslinie.

Das Problem ist laut mit Microsoft-Technologie vertrauten Personen architektonischer Natur. Die Cloud-Dienste des Unternehmens basieren auf jahrzehntealtem Legacy-Code. Ein FedRAMP-Prüfer verglich die resultierenden Datenpfade mit einem Wirrwarr – Daten reisen von Washington nach New York per Bus, Fähre und Flugzeug, statt direkt. Jeder zusätzliche „Hop“ ist eine weitere Gelegenheit für Abfangen, wenn die Daten nicht korrekt verschlüsselt sind.

Der Assessor-Konflikt, über den niemand spricht

Im FedRAMP-Prozess steckt ein strukturelles Problem, das die GCC-High-Geschichte unübersehbar macht: Die unabhängigen Prüfunternehmen werden von den Cloud-Anbietern selbst beauftragt und bezahlt.

2020 teilten beide Microsoft-Prüfer – Coalfire und Kratos – FedRAMP intern mit, dass sie nicht alle nötigen Informationen erhielten, um GCC High vollständig zu bewerten. Dies geschah über einen vertraulichen Kanal, nicht in den offiziellen Berichten. FedRAMP setzte Kratos schließlich auf einen Maßnahmenplan, weil sie Microsoft nicht entschieden genug widersprochen hatten.

Das ist strukturell vergleichbar mit einem Bauprüfer, der vom Bauherrn bezahlt wird, Risse im Fundament findet und diese der Stadtverwaltung zuflüstert, während er das Bauabnahmeprotokoll unterschreibt. Der Black Kite Third-Party Breach Report 2026 zeigt die Folgen im großen Maßstab: Von den 50 am stärksten vernetzten Drittanbietern hatten 70 % eine CISA-KEV-gelistete Schwachstelle, 84 % kritische Schwachstellen mit einem CVSS-Score von 8 oder höher und 62 % gestohlene Unternehmenszugänge in Stealer-Logs. Hohe Compliance-Werte und gravierende Sicherheitslücken existieren problemlos nebeneinander – auch wegen des Bewertungsmodells selbst.

Der Global Cybersecurity Outlook 2026 des World Economic Forum bestätigt: Das Management von Risiken in der Lieferkette wird als Compliance-Checkliste behandelt, nicht als dynamischer Prozess. Nur 27 % der Unternehmen simulieren Cybervorfälle oder führen Wiederherstellungsübungen mit Partnern in der Lieferkette durch. Nur 33 % kartieren ihre Lieferkette umfassend. Das Assessor-Modell fördert diese Selbstzufriedenheit, indem es Zertifizierungen produziert, die autoritativ wirken, aber nicht die Tiefe an Belegen verlangen, die echte Sicherheit erfordert.

Von „Too Big to Fail“ zu „Too Embedded to Reject“

Die GCC-High-Geschichte handelt nicht nur von einem Produkt. Sie zeigt, was passiert, wenn Cloud-Einführung schneller voranschreitet als Sicherheitsvalidierung.

Als Melinda Rogers vom DOJ Anfang 2020 GCC High autorisierte, wurde das Produkt im FedRAMP Marketplace als „in process“ gelistet. Diese Listung – auf einer Regierungswebsite, die von Beschaffungsteams genutzt wird – fungierte als implizite Empfehlung. Weitere Behörden übernahmen das Produkt. Das Pentagon verlangte von seinen Auftragnehmern die Einhaltung der FedRAMP-Standards, und Microsoft vermarktete GCC High an Verteidigungsunternehmen wie Boeing als konform, auch ohne vollständige Autorisierung.

Als das FedRAMP-Prüfteam schließlich feststellte, dass das Produkt grundlegende Probleme hatte, hätte ein Abbruch mehrere Bundesbehörden und zahlreiche Verteidigungsunternehmen beeinträchtigt. FedRAMPs eigene Zusammenfassung räumte ein: Eine Nicht-Autorisierung „würde mehrere Behörden betreffen, die GCC-H bereits nutzen“. Also wurde die Autorisierung mit Auflagen erteilt – ein „Käufer aufgepasst“-Hinweis, der die Verantwortung auf die einzelnen Behörden verlagerte.

Der Kiteworks MFT Survey Report 2025 ergab, dass 72 % der Unternehmen angeben, die Sicherheit von Anbietern gründlich zu prüfen, die Vorfallrate aber dennoch bei 59 % liegt. Gründliche Prüfung schließt Sicherheitslücken nicht, wenn die Bewertung auf unvollständigen Informationen basiert. Und wenn der Anbieter zu groß und zu tief integriert ist, wird die Bewertung zur Formsache.

DOGE-Kürzungen verschärften die Lage

Wenn der FedRAMP-Prozess bereits überlastet war, machte das Department of Government Efficiency ihn strukturell handlungsunfähig. Das Personal wurde drastisch reduziert, das Budget auf 10 Millionen US-Dollar gekürzt – der niedrigste Wert seit zehn Jahren – und die verbliebenen rund zwei Dutzend Mitarbeitenden sollten Zertifizierungen in Rekordzeit liefern.

Die Kiteworks Data Security and Compliance Risk Forecast 2026 zeigt, dass es bei Regierungsorganisationen eine 24-Punkte-Lücke zwischen formalen Governance-Modellen (86 % Nutzung) und automatisierter Compliance-Durchsetzung (62 % Nutzung) gibt. Die Dokumentation ist also vorhanden, aber die Infrastruktur zur Umsetzung fehlt. FedRAMP nach den DOGE-Kürzungen ist die institutionelle Variante dieses Problems: Das Programm existiert, aber die Kapazität für sinnvolle Arbeit ist ausgehöhlt.

Das betrifft weit mehr als Microsoft. Während die Bundesregierung die Einführung cloudbasierter KI-Tools beschleunigt – die Zugang zu enormen Mengen sensibler Daten benötigen – hat das Programm zur Cloud-Sicherheitsvalidierung weniger Ressourcen, weniger Expertise und mehr Druck zur schnellen Freigabe als je zuvor. Das Weiße Haus forderte in einem Memorandum, FedRAMP müsse „in der Lage sein, rigorose Prüfungen durchzuführen“. Die GSA der aktuellen Regierung antwortete, FedRAMPs Aufgabe sei es „nicht zu bestimmen, ob ein Cloud-Dienst sicher genug ist“, sondern „sicherzustellen, dass Behörden genügend Informationen für ihre Risikoentscheidungen haben“. Das ist ein deutlicher Rückschritt im Anspruch. Und die meisten Behörden haben nicht das Personal, um die Lücke zu schließen.

Die Drehtür, die das Bild vervollständigt

Die ProPublica-Recherche dokumentierte noch einen weiteren Punkt: den Wechsel wichtiger Entscheidungsträger zwischen Regierung und Microsoft. Melinda Rogers, die DOJ-Beamtin, die GCC High autorisierte und später neben Microsofts Verbindungsperson bei einer FedRAMP-Sitzung saß, wurde 2025 von Microsoft eingestellt. Lisa Monaco, stellvertretende Justizministerin, die die DOJ-Initiative zur Rechenschaftspflicht von Regierungsauftragnehmern bei Cyberbetrug leitete, verließ die Regierung im Januar 2025. Microsoft stellte sie als Präsidentin für globale Angelegenheiten ein.

Microsoft erklärte, beide Einstellungen seien mit allen Ethikregeln vereinbar. Das mag stimmen. Doch die Optik – zusammen mit fünf Jahren Nachsicht, die FedRAMP einem Unternehmen zeigte, dessen Produkte im Zentrum zweier der schwerwiegendsten Cyberangriffe auf die US-Regierung standen – verdeutlicht ein größeres Problem: Die zu bewertenden Unternehmen, die Bewertenden und die Regelhüter sind Teil desselben Ökosystems. Unabhängigkeit braucht hier strukturelle Sicherungen, nicht nur gute Absichten.

Architektur statt Autorisierung: Wie Kiteworks Cloud-Sicherheit für Bundesbehörden angeht

Der Fall GCC High zeigt, was passiert, wenn Unternehmen Compliance-Autorisierung mit echter Sicherheit verwechseln. Kiteworks geht den umgekehrten Weg: Zuerst wird die Sicherheitsarchitektur gebaut, die Compliance-Belege ergeben sich aus den implementierten Kontrollen.

Kiteworks verfügt seit Juni 2017 durchgängig über eine FedRAMP Moderate Authorization – fast neun Jahre ununterbrochene Sicherheitsvalidierung für Bundesbehörden. Die Secure Gov Cloud hat den Status „FedRAMP High In Process“ erreicht, mit einer aktiven Behördenpartnerschaft zur Prüfung des Sicherheitspakets für die Betriebsfreigabe auf High-Impact-Level. Die Entwicklung – Moderate seit 2017, High Ready im Februar 2025, High In Process 2026 – steht für eine nachweisbare Erfolgsbilanz, nicht für Marketing.

Wo der Fall GCC High Lücken bei Verschlüsselungsdokumentation und Datenfluss-Transparenz offenlegte, liefert Kiteworks eine Single-Tenant, gehärtete virtuelle Appliance mit integrierten Sicherheitskontrollen – Netzwerk-Firewall, Web Application Firewall, Intrusion Detection –, die keinerlei Konfiguration durch den Kunden erfordern. Doppelte Verschlüsselung im ruhenden Zustand verwendet getrennte Schlüssel auf Datei- und Festplattenebene. FIPS 140-3-validierte kryptografische Module erfüllen die Anforderungen, die laut Kiteworks-Umfrage 69 % der Behörden und 59 % der Finanzdienstleister fordern. Jeder Austausch sensibler Daten – E-Mail, Filesharing, SFTP, Managed File Transfer, Datenformulare, APIs – erzeugt einen vollständigen, Echtzeit-Audit-Trail ohne Verzögerung oder Drosselung.

Der architektonische Unterschied ist entscheidend. Wo Microsofts FedRAMP-Prüfer ein System beschrieben, in das sie keinen Einblick hatten, bietet Kiteworks vollständige Transparenz in jeden Datenfluss über alle Austauschkanäle hinweg. Wo Drittanbieter-Prüfer das Gesamtbild nicht erfassen konnten, liefern die speziell entwickelten Compliance-Dashboards von Kiteworks die Abbildung auf mehr als 14 regulatorische Rahmenwerke aus einer einzigen Plattform.

Was Unternehmen jetzt tun sollten – ohne auf FedRAMP zu warten

Erstens: Hören Sie auf, FedRAMP-Autorisierungen als Sicherheitsgarantie zu betrachten. Sie sind ein Baustein der Risikoanalyse, kein Endurteil. Jeder Cloud-Anbieter, der sensible Daten verarbeitet, sollte die Verschlüsselungsarchitektur, Transparenz der Datenflüsse und Audit-Trail-Vollständigkeit so nachweisen können, dass Ihr Sicherheitsteam dies unabhängig prüfen kann.

Zweitens: Fordern Sie von Ihren Cloud-Anbietern Dokumentationen zu Datenflüssen ein. Dass Microsoft fünf Jahre lang nicht liefern konnte, was Amazon und Google routinemäßig bereitstellten, sollte Ihre Bewertung der Sicherheitslage von Anbietern verändern. Kann ein Anbieter nicht exakt zeigen, wie Ihre Daten während der Übertragung und im ruhenden Zustand verschlüsselt werden, ist das ein Befund – kein Gesprächsthema.

Drittens: Überprüfen Sie Ihre Beziehungen zu Assessoren. Die Hinterzimmer-Dynamik zwischen Coalfire, Kratos und FedRAMP offenbart einen systemischen Interessenkonflikt. Laut World Economic Forum kartieren nur 33 % der Unternehmen ihre Lieferkette umfassend, um Bedrohungen zu erkennen. Ihr Drittanbieter-Risikoprogramm sollte unabhängige Prüfungen beinhalten, die nicht von den Assessoren des Anbieters abhängen.

Viertens: Bewerten Sie Ihre Cloud-Architektur hinsichtlich Anbieterkonzentrationsrisiken. Der Black Kite Third-Party Breach Report 2026 identifizierte 136 bestätigte Drittanbieter-Sicherheitsvorfälle mit Auswirkungen auf rund 26.000 Unternehmen. Wird ein Cloud-Anbieter zu unverzichtbar – wie GCC High –, übernimmt Ihr Unternehmen jedes dort bestehende Sicherheitsrisiko.

Fünftens: Setzen Sie auf kontinuierliches Compliance-Monitoring statt periodischer Prüfungen. Die Kiteworks-Forecast-Daten zeigen, dass 25 % der Unternehmen weiterhin manuelle oder periodische Compliance als Hauptstrategie nutzen. In einer Bedrohungslage, in der die durchschnittliche eCrime-Breakout-Zeit laut CrowdStrike Global Threat Report 2026 bei 29 Minuten liegt, sind quartalsweise Compliance-Reviews ein Anachronismus.

Der Fall GCC High hat die Lücke zwischen Compliance und echter Sicherheit nicht geschaffen – aber er macht sie unübersehbar. Unternehmen, die jetzt architektonische Nachweise statt Autorisierungs-Labels verlangen, sind deutlich besser aufgestellt als jene, die auf die nächste Untersuchung warten, um zu erfahren, was sie längst hätten wissen müssen.

Häufig gestellte Fragen

FedRAMP-Autorisierung ist keine Sicherheitsgarantie – sondern ein standardisierter Prüfprozess mit strukturellen Grenzen. Die ProPublica-Recherche zeigte, dass Produkte trotz ungelöster Sicherheitsfragen autorisiert werden können. Bundesbehörden sollten FedRAMP als einen Baustein für Risikoentscheidungen betrachten, nicht als endgültiges Urteil, und Verschlüsselung, Datenflussarchitektur und Audit-Trail-Vollständigkeit unabhängig prüfen.

Verteidigungsauftragnehmer, die GCC High nutzen, sollten die Bedingungen des FedRAMP-Cover-Reports prüfen und bewerten, ob alle CMMC-Anforderungen erfüllt werden. Laut Kiteworks/Coalfire-Umfrage sehen sich nur 46 % der DIB-Organisationen als CMMC-ready und 62 % verfügen nicht über ausreichende Governance-Kontrollen. Verifizieren Sie unabhängig, dass Ihre Cloud-Umgebung die von CMMC Level 2 geforderten Verschlüsselungs-, Protokollierungs- und Zugriffskontrollen bereitstellt.

Fordern Sie Datenflussdiagramme an, die exakt zeigen, wo Verschlüsselung und Entschlüsselung bei jedem Dienst stattfinden, der Ihre Daten verarbeitet. Der Fall GCC High zeigte, dass Microsoft dies über fünf Jahre nicht einmal für einen einzigen Dienst liefern konnte, während Wettbewerber wie Amazon und Google dies routinemäßig bereitstellten. Der Thales Data Threat Report 2026 ergab, dass nur 33 % der Unternehmen vollständige Transparenz über den Speicherort ihrer Daten haben – übernehmen Sie nicht die Blindstellen Ihres Cloud-Anbieters.

Das vom Anbieter bezahlte Assessor-Modell schafft inhärente Interessenkonflikte, wie der Fall GCC High zeigte, als Assessoren Bedenken im Hintergrund äußerten, während die offiziellen Berichte unkritisch blieben. Der Black Kite Third-Party Breach Report 2026 stellte fest, dass 53,77 % der überwachten Unternehmen trotz hoher Cyber-Grades kritische Schwachstellen hatten. Ergänzen Sie Anbieterbewertungen durch unabhängige technische Validierung und kontinuierliches Monitoring.

Die GCC-High-Untersuchung macht die Komplexität von Multi-Tenant-Architekturen als zentrales Sicherheitsrisiko deutlich. FedRAMP-Prüfer beschrieben Microsofts Datenpfade als intransparent und schwer überprüfbar. Single-Tenant-Architekturen wie Kiteworks eliminieren Risiken durch Mandantenüberschneidungen und bieten vollständige Transparenz der Datenflüsse – für überprüfbare Sicherheit statt bloßer Anbieterzusicherung, dass irgendwo im Blackbox-System verschlüsselt wird.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks