Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > FedRAMP-Äquivalenzbehauptungen bestehen die Prüfung durch BOD 26-04 nicht. Echte Autorisierung schon.

FedRAMP-Äquivalenzbehauptungen bestehen die Prüfung durch BOD 26-04 nicht. Echte Autorisierung schon.

von Paul Sechser updated Juni 23, 2026 CMMC Compliance
Lesezeit: 15 Minuten

Bundesbehörden des Federal Civilian Executive Branch (FCEB), die Cloud Service Provider evaluieren, stehen vor einem Markt, der sich stillschweigend in zwei Kategorien aufgeteilt hat: Anbieter mit tatsächlicher FedRAMP-Zertifizierung – eine strenge, unabhängig geprüfte und kontinuierlich überwachte Zertifizierung, die durch das offizielle FedRAMP-Programm vergeben wird – und Anbieter, die eine „FedRAMP-Äquivalenz“ beanspruchen, also eine selbst attestierte Position ohne jegliche Anerkennung im offiziellen FedRAMP Marketplace und ohne unabhängige Überprüfung. Bis vor Kurzem war die Lücke zwischen diesen beiden Kategorien ein Compliance-Detail. Die Binding Operational Directive 26-04 (BOD 26-04) der CISA macht daraus ein operatives Risiko.

BOD 26-04 gilt ausschließlich für FCEB-Behörden. Sie schreibt spezifische Patch-Zeitleisten für bekannte ausgenutzte Schwachstellen (Known Exploited Vulnerabilities, KEV) vor und verstärkt die Anforderungen an kontinuierliche Autorisierung für Cloud-Services, die diese Behörden einsetzen. Für Sicherheits- und Beschaffungsteams von FCEB-Behörden entsteht dadurch ein Handlungsdruck, den FedRAMP-zertifizierte Anbieter bereits adressieren – denn kontinuierliches Monitoring, Dokumentation der Patch-Geschwindigkeit und Incident-Response-Rhythmen sind selbst Anforderungen der FedRAMP-Zertifizierung. Anbieter, die Äquivalenz beanspruchen, haben keine solchen Verpflichtungen gegenüber einer unabhängigen Instanz. Wenn eine FCEB-Behörde fragt, ob ein Cloud-Anbieter BOD 26-04-Compliance nachweisen kann, reicht „äquivalent“ als Antwort nicht aus.

Dies ist keine theoretische Beschaffungsfrage, sondern ein reales Marktdynamik. Viele Cloud Service Provider im Bundesmarkt verzichten auf die FedRAMP-Zertifizierung, weil sie mit erheblichem Aufwand verbunden ist – unabhängige Prüfungsorganisationen, kontinuierliche Monitoring-Pflichten, dokumentierte Incident-Response, jährliche Penetrationstests. Stattdessen werben sie bei Bundesbehörden mit Begriffen wie „FedRAMP-äquivalent“, „FedRAMP-ready“ oder „entspricht FedRAMP-Standards“. Keine dieser Aussagen entspricht dem, was das FedRAMP-Programm tatsächlich vergibt: eine Authorization to Operate oder eine Provisional Authorization to Operate durch eine Bundesbehörde. BOD 26-04 verschärft die praktischen Konsequenzen dieser Unterscheidung für FCEB-Behörden, die sich bislang auf Äquivalenzbehauptungen verlassen haben.

Für DIB-Auftragnehmer, die unter CMMC arbeiten, ist BOD 26-04 eine separate Instanz und erhöht nicht die Compliance-Anforderungen. Die DIB-Compliance läuft über das DoD und 32 CFR Part 170, nicht über die CISA. Für CMMC-Kunden ist die relevante Vorgabe NIST 800-171 SI-2, die bereits zeitnahe Patches vorschreibt – Bundesvorgaben definieren nun, was „zeitnah“ in der Praxis bedeutet. Dieser Beitrag fokussiert auf den FCEB-Bereich.

Wichtige Erkenntnisse

1. BOD 26-04 erhöht den Druck zugunsten verifizierter FedRAMP-Zertifizierung

Cloud-Services für FCEB-Behörden unterliegen jetzt Patch-Zeitleisten und Anforderungen an kontinuierliche Autorisierung, die nur Anbieter mit tatsächlichem FedRAMP-Authorized-Status operativ erfüllen können.

2. FedRAMP-Äquivalenz hat keinen offiziellen Status im Programm

Der FedRAMP Marketplace listet drei Kategorien – Authorized, In Process und Ready – und Äquivalenz gehört nicht dazu. Es handelt sich um eine selbst attestierte Marketingaussage ohne unabhängige Überprüfung.

3. Kontinuierliches Monitoring ist der praktische Nachweis der Autorisierung

FedRAMP-zertifizierte CSPs reichen monatliche Schwachstellenscans, jährliche Penetrationstestergebnisse und offene POA&Ms bei den autorisierenden Stellen ein; Anbieter mit Äquivalenzanspruch führen keine solchen Nachweise.

4. KEV-Katalogeinträge lösen dokumentierte Patch-Anforderungen aus

Wenn eine bekannte Schwachstelle im CISA-Katalog auftaucht, müssen FCEB-Behörden Nachweise über die Patch-Zeitleiste ihres Cloud-Anbieters vorlegen – Nachweise, die nur eine FedRAMP-Zertifizierung liefern kann.

5. Beschaffungsteams sollten den Marketplace-Status direkt prüfen

Die Überprüfung des Authorized-Status auf marketplace.fedramp.gov vor Auftreten einer BOD 26-04-Compliance-Lücke ist besseres Risikomanagement als das Erkennen des Problems unter Audit-Druck.

CMMC 2.0 Compliance Roadmap für DoD-Auftragnehmer

Jetzt lesen

Was FedRAMP-Zertifizierung tatsächlich erfordert

Der FedRAMP-Compliance-Prozess ist keine Checkliste. Es handelt sich um eine laufende operative Verpflichtung – und dieser Unterschied ist entscheidend, wenn man bewertet, was die Zertifizierung tatsächlich belegt.

FedRAMP-Zertifizierung verlangt von Cloud Service Providern, eine Third Party Assessment Organization (3PAO) – einen akkreditierten, unabhängigen Prüfer – zu beauftragen, die implementierten Sicherheitskontrollen anhand des FedRAMP-Baselines (Low, Moderate oder High, entsprechend der Auswirkungsebene der verarbeiteten Daten) zu bewerten. Die Prüfung führt zu einem Security Assessment Report, den ein autorisierender Bundesbeamter prüft, bevor eine Authorization to Operate erteilt wird. Eine Provisional ATO vom FedRAMP Joint Authorization Board bietet eine behördenübergreifende Autorisierung, die einzelne Behörden nutzen können.

Nach der Zertifizierung beginnen die kontinuierlichen Monitoring-Pflichten. Zertifizierte CSPs müssen monatliche Schwachstellenscan-Berichte, vierteljährliche Meldungen signifikanter Änderungen und jährliche Sicherheitsbewertungen einreichen. Sie pflegen ein POA&M, das bekannte Schwachstellen, Zeitpläne für die Behebung und Status dokumentiert. Die autorisierenden Behörden und das FedRAMP Program Management Office prüfen diese Unterlagen. Es handelt sich nicht um eine Selbstattestierung – die Unterlagen werden unabhängig geprüft und sind auditierbar.

Allein der 3PAO-Prüfprozess unterscheidet zertifizierte Anbieter von Äquivalenzansprüchen. Ein 3PAO muss eine Akkreditierung der American Association for Laboratory Accreditation (A2LA) im Rahmen des FedRAMP 3PAO Accreditation Program besitzen. Das Prüferteam bewertet System-Sicherheitspläne, testet technische Kontrollen, befragt Personal und erstellt unabhängige Feststellungen. Der Anbieter kann seinen eigenen Prüfbericht nicht selbst verfassen. Diese Unabhängigkeit – die Gewähr, dass Ergebnisse nicht durch Anbieterinteressen gefiltert werden – ist das strukturelle Rückgrat der Zertifizierung. Sie fehlt bei jedem Äquivalenzanspruch, egal wie detailliert die Selbstbewertung des Anbieters ist.

Diese operative Infrastruktur ist es, was die Patch-Zeitleisten-Anforderungen von BOD 26-04 tatsächlich prüfen. Ein zertifizierter CSP kann die Taktung seiner Schwachstellenscans, die Geschwindigkeit der Patch-Einspielung und seine Pläne zur Behebung offener Findings dokumentieren. Wenn eine FCEB-Behörde einen FedRAMP-zertifizierten Secure MFT– oder Kiteworks Secure File Sharing-Anbieter fragt, ob er BOD 26-04-Compliance nachweisen kann, kann der Anbieter das kontinuierliche Monitoring-Paket vorlegen, das die Frage beantwortet. Ein Anbieter mit Äquivalenzanspruch kann das nicht.

Der FedRAMP Moderate Authorization-Baseline umfasst 325 Kontrollen aus NIST 800-53 Rev 5. Diese Kontrollen decken Zugriffskontrolle, Sensibilisierung und Schulung, Audit und Verantwortlichkeit, Konfigurationsmanagement, Notfallplanung, Identifikation und Authentifizierung, Incident Response, Wartung, Mediensicherheit, physischen und Umweltschutz, Planung, Personalsicherheit, Risikobewertung, System- und Kommunikationsschutz sowie System- und Informationsintegrität ab. Die SI-2-Kontrollen zur Fehlerbehebung – die für die Patch-Zeitleisten von BOD 26-04 am relevantesten sind – werden vom 3PAO geprüft und im kontinuierlichen Monitoring-Paket dokumentiert. Ein Anbieter, der behauptet, „FedRAMP Moderate Standards zu erfüllen“, hat keine dieser Kontrollen unabhängig prüfen lassen.

ABAC und Audit-Logs sind zwei weitere Kontrollbereiche, in denen der Unterschied zwischen Zertifizierung und Äquivalenzanspruch direkte operative Folgen für FCEB-Behörden hat. Zertifizierte Plattformen führen Audit-Logs in Formaten und mit Aufbewahrungsfristen, die den Bundesvorgaben entsprechen. ABAC-Implementierungen werden gegen die Zugriffskontroll-Baseline geprüft. Das sind keine Dokumentationsübungen – es handelt sich um operative Kontrollprüfungen, die von Dritten unabhängig verifiziert wurden. Äquivalenzansprüche können diese Verifikation nicht ersetzen, und die Audit-Anforderungen von BOD 26-04 machen diese Lücke relevant.

Der Äquivalenzmarkt und wie er entstand

Die Kategorie „FedRAMP-Äquivalenz“ entstand, weil die FedRAMP-Zertifizierung teuer und zeitaufwändig ist. Eine vollständige FedRAMP Moderate Authorization dauert in der Regel 12 bis 24 Monate und kostet mehrere Millionen Dollar für Prüfung, Behebung und Dokumentation. Viele Cloud Service Provider – insbesondere kleinere Anbieter und solche ohne dedizierte Bundespraxis – fanden es einfacher, ihre Sicherheitslage als FedRAMP-äquivalent zu positionieren, ohne den Zertifizierungsprozess zu durchlaufen.

Der FedRAMP Marketplace veröffentlicht die offizielle Liste der zertifizierten Services, Services im Prozess und Services mit FedRAMP Ready-Status. „FedRAMP Ready“ bedeutet, dass ein 3PAO bestätigt hat, dass die Sicherheitsfunktionen des Anbieters den FedRAMP-Anforderungen entsprechen und der Anbieter voraussichtlich die Zertifizierung erreichen wird – es ist eine Marktreife-Bestätigung, keine Zertifizierung. Services, die in keiner dieser Kategorien im offiziellen Marketplace erscheinen, haben keinen offiziellen FedRAMP-Status, unabhängig davon, was ihre Marketingmaterialien behaupten.

Das Problem für FCEB-Behörden ist, dass Beschaffungsprozesse diese Unterscheidung nicht immer erkennen. Ein Beschaffungsbeauftragter, der die Zero Trust Architecture-Dokumentation und Sicherheitsatteste eines Anbieters prüft, hat möglicherweise nicht die Kapazität, für jeden Cloud-Service den Marketplace-Status zu verifizieren. Äquivalenzansprüche sind darauf ausgelegt, diese Prüfung zu bestehen. Sie sind so formuliert, dass sie wie Zertifizierungsansprüche klingen, ohne es zu sein.

Mehrere Marktdynamiken haben dieses Muster über die Jahre verstärkt. Erstens: Der FedRAMP-Zertifizierungsstau – zeitweise reichte die Warteschlange für die Joint Authorization Board-Prüfung über Jahre – setzte Behörden unter Druck, nicht-zertifizierte Lösungen zu akzeptieren, während Anbieter auf die Zertifizierung warteten. Einige Anbieter nutzten diese Wartezeit, um Beziehungen zu Behörden auf Basis von Äquivalenzansprüchen aufzubauen, und ließen diese Beziehungen nach Wegfall des Zertifizierungsstaus weiterlaufen, anstatt den Zertifizierungsprozess abzuschließen. Zweitens: Die Komplexität des Bundesbeschaffungssystems schafft Spielraum für mehrdeutige Aussagen. RFP-Formulierungen, die „FedRAMP-Compliance“ verlangen, können mit einem Äquivalenzanspruch beantwortet werden, wenn der Beschaffungsbeauftragte nicht weiß, dass er den Marketplace prüfen muss. Drittens: Einige Äquivalenzansprüche werden von detaillierter Sicherheitsdokumentation begleitet – SOC 2 Type II-Berichte, ISO 27001-Zertifikate, Penetrationstestergebnisse – die den Anschein von Strenge erwecken, ohne die spezifischen Anforderungen des FedRAMP-Programms zu erfüllen.

Keine dieser Dokumentationen ersetzt die FedRAMP-Zertifizierung. SOC 2 bewertet Kontrollen im Hinblick auf die Servicezusagen und Systemanforderungen des Anbieters, nicht den FedRAMP-Kontrollbaseline. ISO 27001 ist ein Standard für Informationssicherheitsmanagementsysteme mit anderem Umfang und anderen Kontrollanforderungen. Penetrationstestergebnisse, die nicht von einem akkreditierten 3PAO nach FedRAMP-Vorgaben durchgeführt wurden, sind nicht gleichwertig mit FedRAMP-Penetrationstests. Die FedRAMP Moderate Equivalency-Argumentation einiger Anbieter ändert daran nichts – Äquivalenzansprüche auf Basis alternativer Compliance-Frameworks haben weiterhin keinen Status im FedRAMP-Programm und liefern auch nicht das kontinuierliche Monitoring, das BOD 26-04 verlangt.

BOD 26-04 ändert die operativen Konsequenzen der Äquivalenzlücke. Patch-Zeitleisten, die für FCEB-Behörden verpflichtend sind, werden auch für die Cloud-Services verpflichtend, auf die diese Behörden angewiesen sind. Eine Behörde kann die Patch-Anforderungen von BOD 26-04 nicht erfüllen, wenn ihr Cloud-Anbieter keine Patch-Geschwindigkeit innerhalb der geforderten Fristen nachweisen kann. Ein Anbieter mit Äquivalenzanspruch hat sich zu diesen Fristen nicht verpflichtet. Ein FedRAMP-zertifizierter Anbieter schon – und kann mit dokumentierten Nachweisen belegen, dass er die operativen Prozesse zur Einhaltung dieser Anforderungen pflegt.

Wie BOD 26-04 die Bundesbeschaffung verändert

Die Binding Operational Directives der CISA gelten für FCEB-Behörden und schaffen operative Verpflichtungen, die sich auf den Technologie-Stack der Behörde auswirken. Eine FCEB-Behörde, die eine BOD 26-04-Anforderung zur Behebung einer bekannten Schwachstelle erhält, kann diese nicht auf einem System beheben, das von einem Cloud-Anbieter betrieben wird, der kein kontinuierliches Monitoring und Patch-Management nachweisen kann.

Der CISA-Katalog bekannter Schwachstellen – der die BOD-Patch-Zeitleisten vorgibt – enthält Schwachstellen in weit verbreiteter Unternehmenssoftware, darunter File-Transfer- und Collaboration-Plattformen. Im Juni 2026 wurde eine kritische Schwachstelle in SolarWinds Serv-U MFT in den KEV-Katalog aufgenommen, mit bestätigter aktiver Ausnutzung. FCEB-Behörden, die eine Secure MFT– oder Kiteworks Secure Email-Plattform nutzen, müssen sicherstellen, dass ihr Anbieter die BOD-vorgegebenen Patch-Zeitleisten erfüllen kann.

Für FedRAMP-zertifizierte Anbieter ist die Antwort im kontinuierlichen Monitoring-Paket dokumentiert. Die Audit-Logs von Schwachstellenscans, Patch-Einspielungen und Plänen zur Behebung sind ein aktueller Nachweis, den die autorisierenden Stellen der Behörde prüfen. Für Anbieter mit Äquivalenzanspruch ist die Antwort das, was der Anbieter auf eine Anfrage der Behörde liefert.

Die Beschaffungsimplikation ist klar: FedRAMP-Compliance – tatsächliche Zertifizierung, nicht behauptete Äquivalenz – ist jetzt die technisch belastbare Grundlage für FCEB-Cloud-Beschaffung in einer BOD 26-04-Umgebung. Behörden, die sich bislang auf Äquivalenzansprüche verlassen haben, sollten ihr Cloud-Service-Portfolio mit dem offiziellen FedRAMP Marketplace abgleichen und Services ohne offizielle Zertifizierung identifizieren.

Das operative Risiko aus nicht verifizierten Äquivalenzansprüchen geht über Patch-Zeitleisten hinaus. BOD 26-04 verstärkt auch die Anforderungen an kontinuierliche Autorisierung – das heißt, FCEB-Behörden müssen sicherstellen, dass ihre Cloud-Services während des gesamten Service-Lebenszyklus zertifiziert bleiben, nicht nur bei der Erstbeschaffung. Ein Äquivalenzanspruch bei Vertragsabschluss bietet keinen Mechanismus zur erneuten Überprüfung. FedRAMP-Zertifizierung hingegen verlangt kontinuierliche Monitoring-Nachweise. Wenn sich die Sicherheitslage eines FedRAMP-zertifizierten Anbieters verschlechtert, wird dies im kontinuierlichen Monitoring sichtbar. Wenn sich die Sicherheitslage eines Anbieters mit Äquivalenzanspruch verschlechtert, hat die Behörde keinen unabhängigen Mechanismus, dies zu erkennen.

Bundesprüfer und Inspektoren haben begonnen, den Zertifizierungsstatus von Cloud-Services in ihre Überprüfungen der Sicherheitsprogramme von Behörden einzubeziehen. Feststellungen, dass eine Behörde kritische Operationen auf nicht-zertifizierten Cloud-Services betreibt – Services, die auf keiner offiziellen Liste stehen und keine überprüfbare Verpflichtung zu Bundesstandards eingegangen sind – schaffen Audit-Risiken, die Behörden-CISOs und autorisierende Stellen zunehmend nicht mehr akzeptieren. Die Kombination aus Audit-Risiko, BOD-Durchsetzung und wachsendem KEV-Katalog stärkt die Argumente für verifizierte FedRAMP-Zertifizierung deutlich gegenüber dem Stand vor zwei Jahren.

CMMC 2.0 Compliance und FedRAMP-Zertifizierung bedienen unterschiedliche Frameworks und Kundengruppen – aber sie teilen ein Prinzip: Unabhängige Überprüfung von Sicherheitskontrollen unterscheidet eine Verpflichtung von einer Behauptung. Für FCEB-Behörden ist FedRAMP-Zertifizierung diese unabhängige Überprüfung. Sie ist das einzige Dokument, das belegt, dass ein Cloud-Anbieter den Bundesstandard erfüllt, diese Bewertung unabhängig prüfen ließ und diese Position unter laufender Aufsicht hält.

Die Lücke beim kontinuierlichen Monitoring

Der operativ wichtigste Unterschied zwischen FedRAMP-Zertifizierung und behaupteter Äquivalenz ist nicht die Erstprüfung. Es ist die Infrastruktur für kontinuierliches Monitoring, die die Zertifizierung verlangt und die bei Äquivalenzansprüchen völlig fehlt.

Die Anforderungen an kontinuierliches Monitoring bei FedRAMP schreiben vor, dass zertifizierte CSPs eine laufende Inventarisierung der implementierten Sicherheitskontrollen pflegen, Schwachstellen durch regelmäßige Scans identifizieren und dokumentieren, monatliche Berichte zur Überprüfung durch die Behörde erstellen und ihre Pläne zur Behebung in festgelegten Intervallen aktualisieren. Das schafft einen auditierbaren Nachweis der Sicherheitslage des Anbieters über die Zeit – nicht nur zum Zeitpunkt der Prüfung.

Für eine FCEB-Behörde, die auf eine BOD 26-04-Anforderung reagiert, ist dieses Monitoring-Paket der Nachweis. Es belegt, dass die Patch-Management-Prozesse des Cloud-Anbieters real, dokumentiert und überprüfbar sind. Es ermöglicht dem autorisierenden Beamten der Behörde zu bewerten, ob die Zusagen zur Behebungszeit glaubwürdig sind. Und es liefert die Dokumentation, die Bundesprüfer und Inspektoren bei der Überprüfung der Cloud-Sicherheitslage einer Behörde erwarten.

Anbieter mit Äquivalenzanspruch verfügen über kein kontinuierliches Monitoring-Paket, weil sie keine Zertifizierung aufrechterhalten. Alle Sicherheitsdokumente, die sie vorlegen, sind intern erstellt, von keiner unabhängigen Instanz geprüft und unterliegen keiner laufenden Überprüfung. Das ist ein grundlegend anderes Risikoprofil als zertifizierte Services – und die Zeitleisten von BOD 26-04 machen diesen Unterschied konkret.

Die Lücke beim kontinuierlichen Monitoring hat praktische Auswirkungen über BOD 26-04 hinaus. Data-Governance-Pflichten, CUI-Handhabung und ITAR-Compliance-Frameworks hängen alle davon ab, dass eine Behörde nachweisen kann, dass die Plattformen für sensible CUI und exportkontrollierte Daten unter verifizierten Sicherheitskontrollen betrieben werden. FedRAMP-Zertifizierung – mit ihrer Infrastruktur für kontinuierliches Monitoring – liefert diesen Nachweis. Äquivalenzansprüche tun das nicht. Wenn das eigene Data-Governance-Programm einer Behörde verlangt, nachzuvollziehen, wohin sensible Daten fließen und welche Sicherheitskontrollen diese Datenflüsse regeln, reicht „unser Anbieter behauptet Äquivalenz“ als Antwort nicht aus. Programme zur Datenklassifizierung, die festlegen, wo sensible Regierungsdaten liegen, sind Voraussetzung dafür, dass FedRAMP-zertifizierte Plattformen jeden Datenfluss absichern, der dieses Schutzniveau erfordert.

Die Infrastruktur für kontinuierliches Monitoring unterstützt auch die Anforderungen der Zero Trust Architecture, die FCEB-Behörden im Rahmen der bundesweiten Zero Trust-Strategie umsetzen. Zero Trust verlangt kontinuierliche Überprüfung von Geräte- und Anwenderstatus – was voraussetzt, dass die zugrunde liegende Cloud-Plattform aktuelle Sicherheitskontrollen, dokumentierte Konfigurationen und einen in Echtzeit validierten Sicherheitsstatus pflegt. Die Architektur für kontinuierliches Monitoring bei FedRAMP ist mit Zero Trust-Prinzipien abgestimmt – eine punktuelle Selbstbewertung zur Äquivalenz kann das nicht ersetzen.

Kiteworks verfügt über FedRAMP-Compliance auf dem Moderate-Level – eine tatsächliche Authorization to Operate, keine behauptete Äquivalenz. Kiteworks besitzt außerdem die CMMC Level 2-Zertifizierung für den CMMC-Bereich (DIB-Kunden) und bietet damit eine parallel unabhängig geprüfte Sicherheitslage für das separate DoD-Compliance-Framework. Die FedRAMP Moderate Authorization bedeutet, dass Kiteworks die Infrastruktur für kontinuierliches Monitoring, Patch-Management-Dokumentation und unabhängige Prüfungsnachweise pflegt, die BOD 26-04 verlangt. FCEB-Behörden, die Content-Exchange-Plattformen evaluieren – Secure MFT, Kiteworks Secure Email und Kiteworks Secure File Sharing – können den Zertifizierungsstatus von Kiteworks direkt im FedRAMP Marketplace prüfen, nicht in den Marketingmaterialien des Anbieters. Die Private Data Network-Architektur, die diesen Funktionen zugrunde liegt, ist dieselbe unabhängig geprüfte Infrastruktur, die FedRAMP-konforme Zugriffskontrollen und Audit-Logging über alle Kommunikationskanäle hinweg bereitstellt.

Praktische Schritte für FCEB-Behörden zur Überprüfung der Cloud-Zertifizierung

Die Lücke zwischen FedRAMP-Zertifizierung und Äquivalenzansprüchen ist in den Unterlagen der Anbieter nicht immer sichtbar. Beschaffungsteams, die diese Lücke vor einem BOD 26-04-Audit schließen wollen, können eine klare Reihe von Überprüfungsschritten anwenden.

Der erste Schritt ist die direkte Überprüfung im Marketplace. Jeder Cloud-Service mit offiziellem FedRAMP-Status – Authorized, In Process oder Ready – erscheint auf marketplace.fedramp.gov. Behörden sollten prüfen, ob das Angebot des Anbieters unter der Kategorie Authorized gelistet ist, nicht nur In Process oder Ready, und ob das Impact-Level (Low, Moderate oder High) zu den zu verarbeitenden Daten passt. Ein Anbieter mit FedRAMP Moderate Authorization ist nicht für das High Impact Level zugelassen. Ein Anbieter, der nur als In Process gelistet ist, verfügt noch nicht über eine Zertifizierung, die die FedRAMP-Anforderungen erfüllt.

Der zweite Schritt ist die Anforderung des Zertifizierungsschreibens. Das Zertifizierungsschreiben nennt den autorisierenden Beamten – entweder das Joint Authorization Board für ein P-ATO oder einen benannten Behördenvertreter für ein Agency ATO – sowie das Ausstellungsdatum. Ein Anbieter, der kein Zertifizierungsschreiben einer Bundesbehörde vorlegen kann, besitzt keine FedRAMP-Zertifizierung, unabhängig davon, was seine Marketingmaterialien behaupten.

Der dritte Schritt ist die Überprüfung des kontinuierlichen Monitoring-Status. Speziell für BOD 26-04-Compliance sollten Behörden das aktuelle POA&M und die aktuelle Zusammenfassung des Schwachstellenscans des Anbieters anfordern. Diese Dokumente zeigen die aktuelle Schwachstellenmanagement-Lage – welche Findings offen sind, wie die Behebungszeitleisten aussehen und ob der Anbieter diese einhält. Ein Anbieter, der kein aktuelles POA&M vorlegen kann, hat die Monitoring-Pflichten der FedRAMP-Zertifizierung nicht erfüllt – unabhängig von der Äquivalenzfrage.

Der vierte Schritt ist die Überprüfung des Zertifizierungsumfangs. FedRAMP-Zertifizierungen gelten für spezifische Systeme und Service-Angebote. Ein Anbieter mit einer FedRAMP-zertifizierten Plattform, der ein separates Produkt oder einen Service außerhalb des zertifizierten Systemumfangs anbietet, hat seine Zertifizierung nicht auf dieses Angebot ausgeweitet. Behörden sollten sicherstellen, dass der konkret zu beschaffende Service im zertifizierten Systemumfang des Anbieters enthalten ist.

Der fünfte Schritt ist die vertragliche Verpflichtung zur Aufrechterhaltung des kontinuierlichen Monitorings. FedRAMP-Zertifizierung ist nicht dauerhaft – sie verlangt laufende Compliance mit Monitoring-Pflichten. Behörden sollten vertraglich festlegen, dass der Anbieter den FedRAMP-Status während der gesamten Vertragslaufzeit aufrechterhält, die Behörde bei Aussetzung oder Entzug informiert und Monitoring-Nachweise gemäß FedRAMP-Zeitplan an die autorisierende Stelle liefert. Die Anwendung von Supply-Chain-Risikomanagement auf den Zertifizierungsstatus des Cloud-Anbieters – inklusive regelmäßiger Überprüfung im Marketplace – stellt sicher, dass keine schleichende Äquivalenzdrift während der Vertragslaufzeit entsteht.

Diese Schritte sind kein bürokratischer Aufwand. Sie bilden die operative Grundlage dafür, dass eine Behörde BOD 26-04-Compliance nachweisen kann, wenn Prüfer fragen, ob die Cloud-Services im Behördenumfeld ordnungsgemäß zertifiziert sind. Audit-Logs, Monitoring-Aufzeichnungen und Zertifizierungsdokumente sind die Nachweise, die diese Frage beantworten – und FedRAMP-Zertifizierung ist das einzige Framework, das diese Nachweise unter unabhängiger Aufsicht liefert.

Erfahren Sie mehr darüber, wie die FedRAMP Moderate Authorization die BOD 26-04-Compliance-Anforderungen für FCEB-Behörden adressiert – vereinbaren Sie noch heute eine individuelle Demo.

Häufig gestellte Fragen

Das FedRAMP-Programm erkennt drei offizielle Kategorien an. FedRAMP Authorized bedeutet, dass ein Cloud-Service entweder eine Provisional Authorization to Operate vom Joint Authorization Board (P-ATO) oder eine Agency Authorization to Operate (ATO) von einer Bundesbehörde erhalten hat – nach einer vollständigen Sicherheitsprüfung durch eine akkreditierte Third Party Assessment Organization. FedRAMP Ready bedeutet, dass ein 3PAO die Bereitschaft des Anbieters zur Zertifizierung bestätigt hat und das FedRAMP PMO den Service als voraussichtlich zertifizierungsfähig einstuft – es ist eine Marktreife-Bestätigung, keine Zertifizierung. Beide Kategorien erscheinen im offiziellen FedRAMP Marketplace. „FedRAMP Equivalent“ hat keinen offiziellen Status. Es ist keine FedRAMP-Programmbezeichnung, sondern eine Marketingaussage von Anbietern, die den Zertifizierungsprozess nicht abgeschlossen haben. Anbieter mit Äquivalenzanspruch haben keine 3PAO-Prüfung durchlaufen, keine Zertifizierung einer Bundesbehörde, kein kontinuierliches Monitoring-Paket und keinen Status im FedRAMP Marketplace. Für FCEB-Behörden ist diese Unterscheidung unter BOD 26-04 entscheidend, denn die Patch-Geschwindigkeit und Monitoring-Dokumentation, die BOD-Compliance verlangt, existieren nur für zertifizierte Anbieter. FedRAMP-Compliance für Content-Exchange-Plattformen bedeutet tatsächliche Zertifizierung, im Marketplace überprüfbar. Wer FedRAMP Moderate Equivalency-Ansprüche prüft, muss wissen: Kein alternatives Compliance-Framework – SOC 2, ISO 27001 oder NIST-Selbstattestierung – ersetzt die unabhängige Prüfung und kontinuierliche Kontrolle des FedRAMP-Programms. Organisationen sollten auch die FedRAMP-Programmübersicht prüfen, um zu verstehen, wie die Zertifizierungsstufen zur Datensensitivität und zum Risikoprofil der Behörde passen.

Nein. Binding Operational Directives der CISA gelten ausschließlich für Behörden des Federal Civilian Executive Branch. Sie gelten nicht für DoD-Auftragnehmer, DIB-Organisationen oder Unternehmen, die unter CMMC reguliert sind. Die Compliance von DIB-Auftragnehmern wird durch das DoD geregelt und läuft über 32 CFR Part 170, das CMMC-Programm. Die relevante Patch-Management-Anforderung für CMMC 2.0 Compliance ist NIST 800-171 Rev 2, SI-2, die Organisationen, die CUI verarbeiten, verpflichtet, Systemfehler zu identifizieren, zu melden und zu beheben, sicherheitsrelevante Software-Updates innerhalb festgelegter Fristen zu installieren und Fehlerbehebung in das Konfigurationsmanagement einzubinden. Das praktische Ergebnis ist ähnlich – zeitnahes Patchen bekannter Schwachstellen ist in beiden Frameworks Pflicht – aber Instanz, Durchsetzung und Compliance-Dokumentation sind völlig getrennt. Organisationen sollten keine BOD 26-04-Compliance gegenüber DIB/CMMC-Kunden behaupten und keine BOD 26-04-Formulierungen in CMMC-Assessments verwenden. Für DIB-Kunden ist NIST 800-171 SI-2 maßgeblich. Für ITAR-Compliance-Anforderungen, die beide Bereiche betreffen, gilt die International Traffic in Arms Regulations – getrennt von BOD 26-04 und CMMC, wobei FedRAMP-zertifizierte Plattformen mit Data-Governance-Kontrollen über exportkontrollierte Inhalte sowohl FCEB- als auch ITAR-regulierte Kunden bedienen.

Der CISA-Katalog bekannter Schwachstellen ist die maßgebliche Quelle für Schwachstellen, die von CISA als aktiv ausgenutzt bestätigt wurden. Für FCEB-Behörden schafft BOD 26-04 verbindliche Patch-Zeitleisten, die an KEV-Katalogeinträge gekoppelt sind – Behörden müssen Schwachstellen aus dem Katalog innerhalb festgelegter Fristen beheben. Die praktische Folge für die Cloud-Beschaffung: Eine FCEB-Behörde kann ihre BOD-Patch-Pflichten für eine KEV-Katalog-Schwachstelle in einer Cloud-Plattform nur erfüllen, wenn ihr Cloud-Anbieter die Patch-Einspielung innerhalb derselben Fristen nachweisen kann. FedRAMP-zertifizierte Anbieter pflegen Monitoring-Pakete – inklusive Schwachstellenscan-Ergebnissen und Patch-Nachweisen – die die nötige Dokumentation für FCEB-Behörden liefern. Wenn eine Schwachstelle in den KEV-Katalog aufgenommen wird, wie die SolarWinds Serv-U MFT-Schwachstelle im Juni 2026, können FCEB-Behörden, die Secure MFT-Plattformen nutzen, den Patch-Status ihres Anbieters anhand des Monitoring-Nachweises prüfen. Die Audit-Logs von FedRAMP-zertifizierten CSPs liefern einen überprüfbaren Nachweis des Patch-Zeitpunkts – das ist der Nachweis, den BOD 26-04 verlangt. Anbieter mit Äquivalenzanspruch haben keine vergleichbare Dokumentation. Die Überprüfung des FedRAMP Marketplace auf FedRAMP-Compliance-Status vor einer KEV-Aufnahme ist besseres Risikomanagement, als auf eine BOD-Compliance-Lücke im Audit zu warten. Behörden sollten auch prüfen, dass FedRAMP High-Anforderungen für Systeme mit Polizei-, Rettungsdienst- oder anderen hochsensiblen Daten gelten – KEV-Patch-Zeitleisten gelten auf allen Ebenen.

FCEB-Beschaffungsteams sollten mit einer direkten Überprüfung im FedRAMP Marketplace auf marketplace.fedramp.gov beginnen. Der Marketplace listet alle FedRAMP Authorized Services (P-ATO und Agency ATO), Services In Process und Services mit FedRAMP Ready-Status. Jeder Anbieter, der einen FedRAMP-Status beansprucht, aber in keiner dieser Kategorien im Marketplace erscheint, macht eine inoffizielle Aussage ohne Bedeutung im Zertifizierungsprozess. Für zertifizierte Services sollten Beschaffungsteams das Zertifizierungsschreiben anfordern, das den autorisierenden Beamten und das Ausstellungsdatum nennt, sowie die aktuelle Monitoring-Zusammenfassung, die die Schwachstellenmanagement-Lage des Anbieters zeigt. Speziell für BOD 26-04-Compliance sollten Teams das aktuelle POA&M und die aktuellen Schwachstellenscan-Ergebnisse des Anbieters anfordern – beides Monitoring-Nachweise, die FedRAMP-zertifizierte Anbieter pflegen. Content-Exchange-Plattformen – Kiteworks Secure Email, Secure MFT, Kiteworks Secure File Sharing – sollten denselben Prüfstandard erfüllen wie jeder andere Cloud-Service. Beschaffungsteams sollten auch prüfen, dass die Zero Trust Architecture-Anforderungen der Behörde von der FedRAMP-zertifizierten Konfiguration der Plattform unterstützt werden – nicht nur durch Anbieterbehauptungen zur Zero Trust-Kompatibilität. ABAC-Implementierungen und Audit-Logs sollten gegen den FedRAMP-Zertifizierungsumfang geprüft werden, um sicherzustellen, dass sie im zertifizierten Systemumfang liegen. Eine Überprüfung des System Security Plans bestätigt die Umfangsdefinition und die dokumentierte Kontrollumsetzung des Anbieters.

Die FedRAMP-Zertifizierungsstufen spiegeln das Impact-Level der verarbeiteten Daten wider. FedRAMP Low gilt für Systeme, bei denen der Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit nur begrenzte Auswirkungen hätte. FedRAMP Moderate Authorization gilt für Systeme, bei denen die Auswirkungen schwerwiegend wären – darunter fallen die meisten operativen Behördendaten, personenbezogene Informationen, Finanzdaten und sensible, aber nicht klassifizierte Informationen. FedRAMP High gilt für Systeme, bei denen ein Verstoß schwerwiegende oder katastrophale Folgen hätte, z. B. bei Polizei-, Rettungsdienst- oder Finanzsystemdaten. Die meisten Content-Exchange-Plattformen, die FCEB-Behörden für Dokumentenaustausch, Dateitransfer und Kommunikation nutzen, arbeiten auf dem Moderate Impact Level. FedRAMP-Compliance auf Moderate bedeutet, dass die Plattform vom 3PAO gegen das vollständige Moderate-Baseline-Kontrollset – 325 Kontrollen – geprüft, von einer Bundesbehörde zertifiziert und kontinuierlich auf diesem Level überwacht wird. FedRAMP Moderate Authorization ist der relevante Standard für sichere Content-Exchange-Plattformen in FCEB-Umgebungen mit sensiblen, aber nicht klassifizierten Informationen, exportkontrollierten Daten und operativen Behördendaten. Zero Trust Architecture-Anforderungen, die Behörden im Rahmen der bundesweiten Zero Trust-Strategie umsetzen, sind ebenfalls auf die Moderate-Kontrollbaseline für Cloud-Services ausgerichtet. Data-Governance-Programme, die Behörden zur Nachverfolgung sensibler Datenflüsse verpflichten, sollten das FedRAMP-Impact-Level als Schwelle nutzen – Daten mit moderater Sensitivität erfordern eine Plattform, die mindestens auf Moderate-Level zertifiziert ist; Äquivalenzansprüche ersetzen diese Zertifizierung unabhängig vom behaupteten Impact-Level nicht.

Weitere Ressourcen

  • Blog-Beitrag
    CMMC-Compliance für kleine Unternehmen: Herausforderungen und Lösungen
  • Blog-Beitrag
    CMMC-Compliance-Leitfaden für DIB-Zulieferer
  • Blog-Beitrag
    CMMC-Audit-Anforderungen: Was Prüfer für Ihre CMMC-Bereitschaft sehen wollen
  • Leitfaden
    CMMC 2.0 Compliance-Mapping für die Kommunikation sensibler Inhalte
  • Blog-Beitrag
    Die wahren Kosten der CMMC-Compliance: Was Verteidigungsauftragnehmer einplanen müssen

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks