Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Nur 48 Cloud-Services verfügen über eine FedRAMP-High-Zertifizierung – Behörden geraten zunehmend unter Druck

Nur 48 Cloud-Services verfügen über eine FedRAMP-High-Zertifizierung – Behörden geraten zunehmend unter Druck

von Danielle Barbour updated März 17, 2026 Regulatorische Compliance
Lesezeit: 9 Minuten

Der Mangel an FedRAMP-High-zertifizierten Cloud-Services ist kein abstraktes Compliance-Problem. Er stellt ein Beschaffungshemmnis dar, das Bundesbehörden dazu zwingt, bei ihren sensibelsten Daten Sicherheitskompromisse einzugehen.

Wichtige Erkenntnisse

  1. FedRAMP-High-Anforderungen und Marktlücke. FedRAMP High verlangt 421 Sicherheitskontrollen – fast 30 % mehr als FedRAMP Moderate – und nur 48 Cloud-Service-Angebote sind auf diesem Niveau vollständig autorisiert. Im FedRAMP Marketplace waren Anfang 2025 etwa 80 Cloud-Services auf High-Impact-Level gelistet, weniger als die Hälfte davon mit voller Autorisierung. Bundesbehörden gaben 2024 11 Milliarden US-Dollar für Cloud-Services aus, wobei Systeme mit hohem Schutzbedarf rund 40 % der Ausgaben ausmachten. Die Lücke zwischen Nachfrage und Angebot auf diesem Niveau zwingt Behörden dazu, Plattformen zu nutzen, die nicht die Sicherheitsanforderungen für ihre sensibelsten Daten erfüllen.
  2. FedRAMP High In Process Status: Meilenstein in der Umsetzung. Der Status „FedRAMP High In Process“ ist kein Ziel, sondern ein Umsetzungsschritt, der eine aktive Überprüfung durch eine Bundesbehörde und eine unabhängige Drittpartei-Bewertung signalisiert. Der FedRAMP-Autorisierungsprozess durchläuft drei Phasen: Ready, In Process und Authorized. „In Process“ bedeutet, dass der Cloud-Service-Provider aktiv auf die Autorisierung mit einem Bundesbehörden-Sponsor hinarbeitet und die 3PAO-Bewertung läuft oder abgeschlossen ist. Organisationen, die Anbieter evaluieren, sollten verstehen, dass diese Bezeichnung geprüfte Sicherheitsfunktionen unter aktiver Bundesprüfung repräsentiert – und kein Marketing-Label ist.
  3. CMMC-Level-2-Bereitschaft und FedRAMP-High-Kontrollvererbung. Nur 46 % der Unternehmen im Defense Industrial Base (DIB) halten sich für CMMC-Level-2-zertifizierungsbereit, und FedRAMP-High-Kontrollen entsprechen direkt den NIST-800-171-Praktiken, die CMMC zugrunde liegen. Eine Kiteworks- und Coalfire-Umfrage unter 209 DIB-Organisationen ergab, dass 57 % keine NIST-800-171-Gapanalyse abgeschlossen haben und 62 % unzureichende Governance-Kontrollen besitzen. Der CyberSheath 2025 State of the DIB Report stellte fest, dass nur 1 % der Rüstungsauftragnehmer sich vollständig auf CMMC-Audits vorbereitet fühlen. Die FedRAMP-High-Kontrollvererbung kann für diese Organisationen die Compliance-Zeitleisten um 50 % oder mehr verkürzen.
  4. Beschleunigte Bedrohungslage und Compliance-Herausforderungen. Die Bedrohungslage entwickelt sich schneller, als die meisten Compliance-Programme mithalten können: KI-gestützte Angriffe von Gegnern stiegen im Jahresvergleich um 89 %, und 82 % der Erkennungen sind inzwischen malwarefrei. Der CrowdStrike 2026 Global Threat Report dokumentierte einen Anstieg cloudbezogener Angriffe um 37 %, wobei 35 % auf den Missbrauch gültiger Konten zurückzuführen sind. Gleichzeitig ergab der 2026 World Economic Forum Global Cybersecurity Outlook, dass 65 % der Großunternehmen Schwachstellen bei Drittparteien und in der Lieferkette als größte Hürde für Cyber-Resilienz sehen. Allgemeine Cloud-Tools mit Moderate-Autorisierung wurden nicht für diese Bedrohungslage entwickelt.
  5. FedRAMP-High-validierte Plattformen und Multi-Framework-Compliance. Eine Plattform, die etwa 90 % der CMMC-Level-2-Praktiken direkt in einer FedRAMP-High-validierten Architektur bereitstellt, verändert die Compliance-Berechnung für Rüstungsauftragnehmer, Bundesbehörden und regulierte Unternehmen gleichermaßen. Laut dem Kiteworks 2025 Data Forms Survey Report verlangen 75 % der Regierungsbefragten FedRAMP für ihre Daten-Workflows und 69 % nutzen FIPS-140-3-validierte kryptografische Module. Wenn die Kontrollvererbung eines einzigen Anbieters CMMC, HIPAA, PCI DSS, DFARS und ISO 27001 abdeckt, wird das Multi-Framework-Compliance-Problem zu einer Architekturentscheidung statt zu einem mehrjährigen Programm für jedes einzelne Framework.

Das FedRAMP-Programm klassifiziert Cloud-Services in drei Impact-Levels – Low, Moderate und High – basierend auf den potenziellen Folgen eines Sicherheitsvorfalls. FedRAMP High verlangt 421 Sicherheitskontrollen gemäß NIST SP 800-53 Rev 5, fast 30 % mehr als die 325 Kontrollen des Moderate-Baselines. Diese zusätzlichen Kontrollen adressieren erweiterte Verschlüsselungsanforderungen, physische Zugangsbeschränkungen, Personalüberprüfungen und verstärktes kontinuierliches Monitoring. Sie existieren, weil die Daten auf diesem Niveau – nationale Sicherheitsoperationen, Koordination von Strafverfolgungsbehörden, Notfalldienste, Gesundheitsdaten, Finanzinfrastruktur – keinen Kompromiss dulden.

Doch Anfang 2025 listete der FedRAMP Marketplace etwa 80 Cloud-Service-Angebote auf High-Impact-Level. Nur 48 davon hatten eine vollständige Autorisierung. Im Vergleich zu 11 Milliarden US-Dollar an Bundes-Cloud-Ausgaben 2024, wobei Systeme mit hohem Schutzbedarf rund 40 % der Ausgaben ausmachten, wird das Ungleichgewicht deutlich. Behörden greifen auf allgemeine Produktivitäts-Tools auf Moderate-Level zurück, weil für viele Use Cases High-zertifizierte Optionen schlicht fehlen.

Was FedRAMP High In Process wirklich bedeutet – und warum es kein Marketing-Label ist

Verwirrung über FedRAMP-Statusbezeichnungen ist am Markt weit verbreitet. Anbieter verwenden „pursuing FedRAMP“ oder „FedRAMP-ready“ oft ungenau, weshalb es wichtig ist, die genaue Bedeutung von „In Process“ zu verstehen.

Der FedRAMP-Compliance-Autorisierungsprozess umfasst drei klar definierte Phasen. FedRAMP Ready bedeutet, dass eine zertifizierte Third Party Assessment Organization (3PAO) die Unterlagen des Anbieters geprüft hat und das FedRAMP Program Management Office den Readiness Report genehmigt hat. FedRAMP In Process heißt, der Anbieter arbeitet aktiv mit einer Partnerbehörde an der Autorisierung – die Behörde prüft das vollständige Sicherheitspaket und die 3PAO führt die vollständige Sicherheitsbewertung durch oder hat sie abgeschlossen. FedRAMP Authorized bedeutet, die Bewertung ist abgeschlossen, die Behörde hat eine Authority to Operate (ATO) erteilt und der Anbieter geht ins kontinuierliche Monitoring über.

Die Unterscheidung ist entscheidend. „In Process“ ist kein Planungsstatus. Er signalisiert, dass Kontrollen implementiert und unabhängig durch eine 3PAO geprüft wurden und sich in aktiver Bundesprüfung befinden. Kiteworks Secure Gov Cloud erreichte im Februar 2025 nach unabhängiger Prüfung durch Coalfire Systems und Genehmigung durch das FedRAMP PMO den Status FedRAMP High Ready. Seitdem ist die Plattform im Status „In Process“, mit einer aktiven Bundesbehörde, die das Sicherheitspaket prüft. Diese Entwicklung baut auf fast neun Jahren kontinuierlicher FedRAMP-Moderate-Autorisierung auf, die seit Juni 2017 besteht.

Die Bedrohungslage, die FedRAMP High unverzichtbar macht

Das Argument für FedRAMP-High-Sicherheit ist nicht theoretisch. Die Bedrohungsdaten des letzten Jahres belegen dies in operativer Hinsicht.

Der CrowdStrike 2026 Global Threat Report dokumentierte einen Anstieg KI-gestützter Angriffe von Gegnern um 89 % im Jahresvergleich, wobei die durchschnittliche eCrime-Breakout-Zeit auf nur 29 Minuten sank. Cloud-bewusste Angriffe stiegen um 37 %, und 82 % aller Erkennungen waren malwarefrei – traditionelle signaturbasierte Abwehrmechanismen reichen also nicht mehr aus. Staatlich unterstützte Akteure, insbesondere China-nahe Gruppen, erhöhten die Angriffe auf Edge-Geräte um 38 %, indem sie gültige Zugangsdaten und native Tools nutzten, um sich in reguläre Abläufe einzufügen und sich Zugang zu sensiblen Daten zu verschaffen.

Für Behörden auf High-Impact-Level sind dies Gegner, die gezielt die Datentypen angreifen, für deren Schutz FedRAMP High entwickelt wurde. Der 2026 World Economic Forum Global Cybersecurity Outlook stellte fest, dass Ransomware weltweit die größte Sorge für CISOs bleibt, gefolgt von Störungen in der Lieferkette. Unter Großunternehmen nannten 65 % Schwachstellen bei Drittparteien und in der Lieferkette als größte Hürde für Cyber-Resilienz – ein Anstieg von 54 % im Jahr 2025. Wenn Behörden sensible Daten über fragmentierte Plattformen mit unterschiedlichen Autorisierungsstufen austauschen, wird jede Schnittstelle zur Angriffsfläche.

Die CMMC-Konvergenz: Warum FedRAMP-High-Vererbung ein Multiplikator für Rüstungsauftragnehmer ist

Die Bedeutung von FedRAMP High reicht weit über Bundesbehörden hinaus. Für die Defense Industrial Base ist es der stärkste Compliance-Beschleuniger.

CMMC Level 2 verlangt von Organisationen den Nachweis von 110 Sicherheitspraktiken gemäß NIST SP 800-171. Die 421 FedRAMP-High-Kontrollen stammen aus dem umfassenderen NIST SP 800-53 Rev 5 und entsprechen direkt den NIST-800-171-Anforderungen, die CMMC zugrunde liegen. Wenn ein Anbieter FedRAMP-High-Autorisierung erreicht, übernehmen seine Kunden diese validierten Kontrollen, anstatt jede einzeln aufzubauen und zu validieren. Diese Vererbung kann die Compliance-Zeitleiste um 50 % oder mehr verkürzen.

Die Readiness-Daten zeigen, wie dringend dieser Beschleuniger benötigt wird. Die Kiteworks- und Coalfire-Umfrage unter 209 DIB-Organisationen ergab, dass nur 46 % sich für CMMC-Level-2-zertifizierungsbereit halten. 57 % haben keine NIST-800-171-Gapanalyse durchgeführt. Und 62 % verfügen nicht über ausreichende Governance-Kontrollen. Der CyberSheath 2025 State of the DIB Report zeichnet ein noch düstereres Bild: Nur 1 % der Rüstungsauftragnehmer fühlen sich vollständig vorbereitet auf CMMC-Audits, ein Rückgang von 4 % im Jahr 2024. Der mittlere SPRS-Score liegt bei 60 – ganze 50 Punkte unter dem geforderten Wert von 110. Kritische Kontrollen sind weitgehend nicht implementiert: 79 % fehlt das Schwachstellenmanagement, 78 % das Patch-Management, 74 % DLP und 73 % haben keine MFA eingeführt.

Eine Plattform, die rund 90 % der CMMC-Level-2-Praktiken direkt bereitstellt und auf FedRAMP-High-validierten Kontrollen basiert, macht aus einem mehrjährigen Infrastrukturprojekt eine Architekturentscheidung.

Eine Implementierung, mehrere Frameworks: Das Argument für Compliance-Konvergenz

Die eigentliche Stärke einer FedRAMP-High-validierten Architektur liegt nicht nur in der FedRAMP-Compliance oder der CMMC-Beschleunigung. Es ist die kaskadierende Kontrollvererbung über alle Frameworks hinweg, denen eine Organisation unterliegt.

Organisationen stehen 2026 nicht vor einer einzigen regulatorischen Verpflichtung. Sie managen parallele Deadlines für CMMC 2.0 bei Verteidigungsaufträgen, HIPAA für Gesundheitsdaten, PCI DSS 4.0 für Zahlungsabwicklung, DORA für EU-Finanzdienstleistungen, NIS 2 für kritische Infrastrukturen und ISO 27001 als globalen Standard. Auf Kontroll-Ebene gibt es erhebliche Überschneidungen. Die für FedRAMP High validierte Verschlüsselungsarchitektur erfüllt gleichzeitig die Verschlüsselungsanforderungen von CMMC, die technischen Schutzmaßnahmen von HIPAA, die kryptografischen Vorgaben von PCI DSS und die Annex-A-Kontrollen von ISO 27001.

Laut dem Kiteworks 2025 Data Forms Survey Report verlangen Organisationen im High-Security-Segment – Regierung und Finanzdienstleistungen – FedRAMP, FIPS 140-3, CMMC 2.0, PCI DSS, regionsspezifische Datenresidenz, unveränderliche Audit-Trails und Ende-zu-Ende-Verschlüsselung. Für Anbieter ohne Zertifizierungen auf Regierungsniveau ist dieses Segment nicht zugänglich. Eine FedRAMP-High-validierte Plattform, die diese Kontrollen in einer einzigen Architektur vereint, beseitigt die Redundanz und Zeitverlängerung, die durch die separate Umsetzung jedes Frameworks entstehen.

Der FedRAMP-20x-Kontext: Warum Handeln jetzt wichtiger ist als Warten

Das FedRAMP-Programm selbst wird durch die FedRAMP-20x-Initiative modernisiert, und der Zeitplan hat entscheidende Auswirkungen auf Organisationen, die heute Cloud-Sicherheitsentscheidungen treffen.

Phase 1 von FedRAMP 20x wurde mit einem Low-Baseline-Pilot abgeschlossen, der eine Autorisierung in weniger als zwei Monaten demonstrierte. Phase 2, aktiv bis Q1 2026, umfasst einen Moderate-Pilot mit 13 Teilnehmern. Die breite Einführung für Low- und Moderate-Autorisierungen wird für Phase 3 (Q3–Q4 2026) erwartet. Der FedRAMP-20x-High-Baseline-Pilot wird jedoch erst für Q1–Q2 2027 erwartet, wobei der bisherige Rev5-Autorisierungspfad voraussichtlich in Q3–Q4 2027 ausläuft.

Organisationen, die auf den 20x-High-Pfad warten, stehen vor einer mehrjährigen Lücke bei hochsicheren Cloud-Fähigkeiten. Für Rüstungsauftragnehmer mit CMMC-Deadlines, Bundesbehörden mit geschäftskritischem Datenaustausch und regulierte Unternehmen mit Multi-Framework-Compliance ist jetzt der Zeitpunkt zum Handeln – nicht erst, wenn der 20x-High-Pilot startet.

Der Kiteworks-Ansatz: Zweckgebaute Architektur für das höchste Bundes-Sicherheitsniveau

Kiteworks passt kein allgemeines Cloud-Tool an Bundes-Sicherheitsanforderungen an. Die Architektur der Plattform wurde speziell für regulierten Datenaustausch entwickelt – und der Weg zur FedRAMP-High-Autorisierung spiegelt dieses Fundament wider.

Die Kiteworks Secure Gov Cloud implementiert Defense-in-Depth-Schutzmechanismen in einer gehärteten virtuellen Appliance: eingebettete Netzwerk-Firewall, Web Application Firewall (WAF), Intrusion Detection, doppelte Verschlüsselung im ruhenden Zustand mit separaten Schlüsseln auf Datei- und Festplattenebene, Single-Tenant-Isolierung zur Vermeidung von Cross-Tenant-Schwachstellen und FIPS-140-3-validierte kryptografische Module. Diese Funktionen sind in die Architektur integriert, nicht als Konfigurationen eines Produktivitätstools nachträglich hinzugefügt.

Das Besondere an diesem Ansatz ist die Vielfalt der Datenbewegungen, die unter einer einzigen Policy Engine, einem Audit-Log und einer Sicherheitsarchitektur gesteuert werden. Bundesbehörden tauschen sensible Daten per Secure Email, Filesharing, SFTP, Managed File Transfer, Web-Formulare, API-Integrationen und KI-gestützte Analysen aus. Kiteworks vereint alle Austauschmethoden unter einheitlichen FedRAMP-High-Kontrollen. Das Validierungsportfolio der Plattform umfasst FedRAMP Moderate Authorized seit Juni 2017, FedRAMP High In Process, SOC 2 Typ II zertifiziert, ISO 27001/27017/27018 validiert, IRAP-geprüft und FIPS 140-3 validiert. Für CMMC liefert Kiteworks rund 90 % der Level-2-Praktiken direkt.

Was Bundesbehörden, Rüstungsauftragnehmer und regulierte Unternehmen jetzt tun sollten

Erstens prüfen Sie Ihr aktuelles FedRAMP-Autorisierungsumfeld. Identifizieren Sie, welche Cloud-Services auf welchem Impact-Level autorisiert sind und wo geschäftskritische Daten über Plattformen mit nur Moderate- oder Low-Autorisierung laufen. Laut dem Kiteworks 2025 Data Forms Survey Report verlangen 75 % der Regierungsbefragten FedRAMP für ihre Daten-Workflows – wenn Ihre Austauschwerkzeuge diese Anforderung nicht erfüllen, besteht eine Architekturlücke.

Zweitens analysieren Sie die Überschneidungen Ihrer Compliance-Frameworks, bevor Sie Framework-spezifische Programme aufbauen. Organisationen, die CMMC, HIPAA, PCI DSS und ISO 27001 parallel verfolgen, sollten Kontrollüberschneidungen identifizieren und in Plattformen investieren, die mehrere Frameworks mit einer einzigen Implementierung abdecken. Die Daten von Kiteworks und Coalfire zeigen: Organisationen mit abgeschlossener Gapanalyse erzielen deutlich bessere Ergebnisse – 77 % folgen dokumentierten Verschlüsselungsstandards gegenüber 42 % ohne Analyse.

Drittens evaluieren Sie FedRAMP-High-In-Process-Anbieter jetzt – nicht erst nach vollständiger Autorisierung. Behörden und Auftragnehmer, die sich bereits in der In-Process-Phase engagieren, können ihre Architektur frühzeitig auf die Plattform ausrichten und sich einen First-Mover-Vorteil sichern. Wer auf die „Authorized“-Bezeichnung wartet, konkurriert mit allen anderen, die ebenfalls gewartet haben.

Viertens bewerten Sie Ihr CMMC-Timeline-Risiko. Liegt Ihr mittlerer SPRS-Score nahe dem Branchendurchschnitt von 60 und haben Sie keine Gapanalyse durchgeführt, dann setzt ein Zertifizierungszeitraum von 6–18 Monaten voraus, dass Sie jetzt mit validierten Kontrollen starten – nicht bei null. Die Vererbung von einem FedRAMP-High-zertifizierten Anbieter ist der schnellste Weg, die 50-Punkte-Lücke zu schließen.

Fünftens bündeln Sie Ihre Datenbewegungskanäle unter einheitlicher Governance. Der CrowdStrike 2026 Global Threat Report zeigt, dass 82 % der Erkennungen malwarefrei sind – Angreifer nutzen also Lücken zwischen Systemen. Jedes separate Tool für E-Mail, Filesharing, SFTP und MFT ist eine Schwachstelle in Ihrer Sicherheitsarchitektur.

Die Compliance-Uhr tickt weiter. CMMC-Anforderungen sind bereits in Verträgen. DORA wird seit Januar 2025 durchgesetzt. HIPAA-Strafen übersteigen jährlich 100 Millionen US-Dollar. Die Organisationen, die heute auf FedRAMP-High-Vererbung setzen, werden diejenigen sein, die wettbewerbsfähig bleiben, Aufträge gewinnen und die Sicherheitslage nachweisen, die Regulatoren und Kunden verlangen.

Häufig gestellte Fragen

Die FedRAMP-High-Autorisierung beschleunigt die CMMC-Level-2-Zertifizierung, weil die 421 FedRAMP-High-Kontrollen direkt auf die NIST-800-171-Praktiken abbilden, die CMMC zugrunde liegen. Hält Ihr Plattformanbieter die FedRAMP-High-Autorisierung, übernehmen Sie diese validierten Kontrollen, anstatt jede einzeln zu validieren. Laut der Kiteworks- und Coalfire-Umfrage halten sich nur 46 % der DIB-Organisationen für vorbereitet – und die Vererbung kann die Zeitleiste um 50 % oder mehr verkürzen.

FedRAMP High verlangt 421 Sicherheitskontrollen gegenüber 325 bei Moderate – ein Anstieg um fast 30 %, der erweiterte Verschlüsselung, physischen Zugang, Personalüberprüfung und verstärktes Monitoring abdeckt. Die High-Impact-Klassifizierung umfasst Daten, bei deren Kompromittierung schwerwiegende oder katastrophale Schäden drohen, etwa Strafverfolgung, Notfalldienste und nationale Sicherheit. Nur 48 Cloud-Services verfügen über eine vollständige High-Autorisierung.

Konsolidierte Governance für den Datenaustausch ist entscheidend, weil fragmentierte Plattformen Sicherheitslücken und Audit-Blindspots schaffen. Der CrowdStrike 2026 Global Threat Report zeigt, dass 82 % der Erkennungen malwarefrei sind – Angreifer nutzen also Schnittstellen zwischen Systemen. Eine einheitliche Plattform, die E-Mail, SFTP, MFT, Filesharing, Web-Formulare und APIs unter einer einzigen FedRAMP-High-Policy-Engine steuert, beseitigt diese Lücken mit einem Audit-Trail und einer Sicherheitsarchitektur.

Die FedRAMP-High-Kontrollvererbung reduziert die Multi-Framework-Compliance-Belastung erheblich, weil die 421 Kontrollen sich stark mit den Anforderungen von HIPAA, PCI DSS, CMMC, DFARS und ISO 27001 überschneiden. Verschlüsselung, Zugriffskontrollen und Audit-Logging, die für FedRAMP High validiert sind, erfüllen die Anforderungen all dieser Frameworks gleichzeitig. Eine Implementierung deckt mehrere Zertifizierungen ab und macht separate Programme überflüssig.

Das Warten auf FedRAMP 20x High ist riskant, weil der High-Baseline-Pilot erst für Q1–Q2 2027 erwartet wird. Der aktuelle Rev5-Autorisierungspfad bleibt mindestens bis Mitte 2027 aktiv. Organisationen mit CMMC-Deadlines, geschäftskritischem Datenaustausch oder laufenden Compliance-Programmen stehen vor einer mehrjährigen Lücke, wenn sie warten. Die Zusammenarbeit mit FedRAMP-High-In-Process-Anbietern ist der schnellere Weg zur Sicherheit.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks