Was ist FedRAMP? Autorisierung, Compliance und die Begriffe, auf die es wirklich ankommt
Drei Begriffe tauchen bei der Beschaffung föderaler Cloud-Dienste ständig auf: FedRAMP-autorisiert, FedRAMP-konform und FedRAMP-äquivalent. Sie klingen austauschbar. Sind sie aber nicht. Einer hat offiziellen föderalen Status, einer ist informell, und einer ist eine Marketingfloskel ohne offizielle Definition. Welcher davon auf Ihren Cloud-Anbieter zutrifft, entscheidet darüber, ob die Compliance-Lage Ihrer Organisation real ist – oder nur auf dem Papier existiert.
Dieser Leitfaden erklärt, was FedRAMP ist, wie die Autorisierung tatsächlich funktioniert, was sich durch die Programmreform 2026 geändert hat und wie Sie Anbieteraussagen einordnen – einschließlich der „Äquivalenz“-Behauptung, die zur folgenreichsten Unterscheidung in der föderalen Cloud-Beschaffung geworden ist.
Zusammenfassung
Kernaussage: FedRAMP ist das Autorisierungsframework der US-Bundesregierung für Cloud-Sicherheit. „FedRAMP-autorisiert“, „FedRAMP-konform“ und „FedRAMP-äquivalent“ klingen ähnlich, haben aber ein grundlegend unterschiedliches rechtliches und operatives Gewicht. Wer den Unterschied kennt, kann beurteilen, ob ein Cloud-Anbieter die Compliance-Anforderungen tatsächlich erfüllt – oder das nur behauptet.
Warum das wichtig ist: CMMC 2.0-Assessments nehmen an Fahrt auf. Die CISA-Direktive Binding Operational Directive 26-04 hat die Durchsetzung für zivile Bundesbehörden verschärft. Und FedRAMP selbst wurde im Mai 2026 mit CR26 grundlegend strukturell überarbeitet. Wenn Ihr Anbieter „FedRAMP-äquivalent“ sagt, müssen Sie genau verstehen, was das bedeutet – und was nicht –, bevor es als Lücke in einem Assessment auffällt.
Die wichtigsten Erkenntnisse
1. FedRAMP ist ein föderales Autorisierungsprogramm für Cloud-Sicherheit – keine Zertifizierung zur Selbstauskunft.
Das Federal Risk and Authorization Management Program verlangt eine unabhängige Prüfung durch eine akkreditierte Third Party Assessment Organization (3PAO), dokumentierte Sicherheitskontrollen sowie eine von einem föderalen Autorisierungsbeauftragten ausgestellte Authority to Operate (ATO). Der FedRAMP Marketplace führt drei offizielle Statusbezeichnungen: Authorized, In Process und Ready. Das sind die einzigen drei. „Equivalent“ taucht dort nicht auf.
2. „FedRAMP-autorisiert“ und „FedRAMP-konform“ sind nicht dasselbe.
Autorisiert bedeutet: Ein föderaler Autorisierungsbeauftragter hat eine unabhängige 3PAO-Prüfung geprüft und eine ATO ausgestellt – und der Dienst erscheint im FedRAMP Marketplace als „Authorized“. Konform ist informelle Sprache ohne föderale Definition. Ein Anbieter, der sich als „FedRAMP-konform“ bezeichnet, kann autorisiert sein – oder lediglich behaupten, dass seine Sicherheitspraktiken den FedRAMP-Anforderungen ähneln. Die einzige Möglichkeit zur Überprüfung ist ein direkter Blick in den Marketplace.
3. „FedRAMP-äquivalent“ ist ein Marketingbegriff, kein föderaler Status.
Der Begriff ist in NIST 800-53 nicht definiert, hat keinen Platz im FedRAMP-Autorisierungsprozess und erscheint nicht im FedRAMP Marketplace. Ein DoD-Memo vom Januar 2024 stellte klar, dass selbst eine legitime Äquivalenzbehauptung eine 100-prozentige Umsetzung der FedRAMP-Moderate-Kontrollen erfordert, geprüft durch eine akkreditierte 3PAO – ein Standard, den die meisten Anbieter, die den Begriff verwenden, nicht erfüllen. Wenn ein Anbieter Äquivalenz behauptet, wird die Compliance-Arbeit, die er sich erspart hat, zu Ihrer Compliance-Lücke.
4. CR26, gestartet im Mai 2026, strukturiert die FedRAMP-Autorisierungsstufen neu.
Die bekannten Stufen Low/Moderate/High werden durch ein System mit Buchstabenklassen ersetzt. Klasse C entspricht der bisherigen Stufe Moderate – der Stufe, die die meisten Workloads von Bundesbehörden sowie Systeme mit Controlled Unclassified Information (CUI) abdeckt. Klasse D entspricht der bisherigen Stufe High. Anforderungen werden nun als maschinenlesbare MUSS/DARF-NICHT-Aussagen veröffentlicht statt als Fließtext-Dokumente – das beseitigt Interpretationsunterschiede zwischen Prüfern und Anbietern.
5. Eine FedRAMP-autorisierte Plattform überträgt dokumentierte Kontroll-Vererbung. Eine „äquivalente“ Plattform tut das nicht.
Wenn Ihr Cloud-Anbieter tatsächlich FedRAMP-autorisiert ist, bestätigt Ihr Prüfer Kontrollen, die bereits ein unabhängiger föderaler Prüfer verifiziert hat. Ihr Compliance-Aufwand sinkt messbar. Behauptet ein Anbieter dagegen nur Äquivalenz, gibt es keine 3PAO-Prüfung, auf die man sich berufen kann, keine Behördenprüfung und keinen Marketplace-Eintrag – die Compliance-Arbeit, die sich der Anbieter erspart hat, muss nun Ihr Team leisten.
Was FedRAMP ist – und warum es existiert
FedRAMP wurde 2011 vom Office of Management and Budget im Rahmen der „Cloud First“-Strategie der US-Bundesregierung eingeführt. Das gelöste Problem war real: Jede Bundesbehörde führte ihre eigenen Cloud-Sicherheitsprüfungen unabhängig durch, was zu widersprüchlichen Ergebnissen und doppeltem Aufwand über hunderte Beschaffungsentscheidungen hinweg führte.
Das Prinzip „einmal autorisieren, vielfach nutzen“ änderte das. Ein Cloud-Anbieter, der einmal geprüft und autorisiert wurde, konnte von jeder Bundesbehörde genutzt werden, ohne erneut vollständig geprüft zu werden. Jeder Cloud-Dienst, der föderale Daten speichert, verarbeitet oder überträgt, fällt unter die Zuständigkeit von FedRAMP – einschließlich Diensten, die von Rüstungsunternehmen genutzt werden, die Covered Defense Information gemäß DFARS 252.204-7012 verarbeiten.
Wie die FedRAMP-Autorisierung tatsächlich abläuft
Die Autorisierung durchläuft vier Phasen.
Vorbereitung. Der Cloud-Service-Anbieter dokumentiert seine Sicherheitslage in einem System Security Plan (SSP), erfasst alle Systemkomponenten und bildet die Umsetzung der Sicherheitskontrollen ab.
Prüfung. Eine akkreditierte 3PAO – unabhängig vom Anbieter und föderal anerkannt – führt eine vollständige Bewertung der Sicherheitskontrollen des Anbieters gegenüber der jeweiligen FedRAMP-Baseline durch. Die Prüfung mündet in einen Security Assessment Report, der Feststellungen, Lücken und Ergebnisse der Kontrollvalidierung dokumentiert.
Autorisierung. Das Prüfpaket geht an einen föderalen Autorisierungsbeauftragten, der es prüft und eine Authority to Operate ausstellt. Dieser Schritt macht die Autorisierung real – nicht der Anbieter trifft die Entscheidung, sondern eine Bundesbehörde.
Überwachung. Die Autorisierung ist keine einmalige Errungenschaft. Autorisierte Anbieter reichen fortlaufend monatliche Schwachstellen-Scans, jährliche Penetrationstest-Ergebnisse und offene Plans of Action and Milestones (POA&Ms) bei den Autorisierungsbeauftragten ein. Diese kontinuierliche Überwachungshistorie ermöglicht es Behörden, die Sicherheitslage eines Anbieters jederzeit zu überprüfen – nicht nur zum Zeitpunkt der ursprünglichen Autorisierung.
Ein struktureller Hinweis, der wichtig ist: Das Joint Authorization Board (JAB), das zuvor behördenübergreifende Provisional ATOs ausstellte, wurde 2023 im Zuge der FedRAMP-Modernisierung ausgesetzt. Behördenspezifische ATOs sind heute der primäre Weg zur Autorisierung.
Die drei Begriffe, auf die es wirklich ankommt
Genau diese Unterscheidung wird in den meisten Beschaffungsgesprächen überflogen – und genau hier lauert das eigentliche Compliance-Risiko.
FedRAMP Authorized ist der einzige Begriff mit offiziellem föderalem Status. Er bedeutet: Eine 3PAO hat die Sicherheitskontrollen des Anbieters unabhängig validiert, ein föderaler Autorisierungsbeauftragter hat die Prüfung begutachtet und eine ATO ausgestellt, und der Dienst erscheint auf marketplace.fedramp.gov als „Authorized“. Die kontinuierliche Überwachung läuft fortlaufend, ist dokumentiert und berichtsfähig. Wenn eine Behörde oder ein Auftragnehmer Nachweise zur Sicherheitslage eines Anbieters benötigt – Patch-Zeitpläne, Ergebnisse von Schwachstellen-Scans, offene Feststellungen –, kann ein autorisierter Anbieter diese liefern.
FedRAMP Compliant ist informelle Sprache ohne offizielle föderale Definition. Manche Anbieter meinen damit, dass sie autorisiert sind. Andere meinen damit, dass ihr Sicherheitsprogramm den FedRAMP-Anforderungen ähnelt. Der Begriff selbst sagt Ihnen gar nichts. Sehen Sie „compliant“, prüfen Sie im Marketplace, ob „authorized“ dahintersteht.
FedRAMP Equivalent ist eine Marketingfloskel, die entstand, weil eine tatsächliche FedRAMP-Autorisierung teuer und zeitaufwendig ist – eine vollständige Moderate-Autorisierung erfordert in der Regel 12 bis 24 Monate und mehrere Millionen Dollar an Prüf-, Nachbesserungs- und Dokumentationskosten. Viele Anbieter, insbesondere kleinere ohne eigene Bundesbehörden-Praxis, fanden es einfacher, ihre Sicherheitslage als „äquivalent“ zu beschreiben, statt eine echte Autorisierung anzustreben. Der Begriff ist in NIST 800-53 nicht definiert, hat keinen Platz im FedRAMP-Autorisierungsprozess und erscheint nicht im Marketplace.
Ein DoD-Memo vom Januar 2024 griff dieses Problem direkt auf. Es stellte klar, dass selbst eine legitime Äquivalenzbehauptung – eine, die DFARS 7012 erfüllen würde – von einem Cloud-Service-Anbieter verlangt, 100 Prozent der aktuellen FedRAMP-Moderate-Sicherheitskontrollen umzusetzen, sich durch eine FedRAMP-anerkannte 3PAO prüfen zu lassen und einen vollständigen Nachweiskatalog vorzulegen, einschließlich SSP, SAP, SAR und POA&M. Eine echte Äquivalenz nach diesem Standard zu erreichen, ist oft komplizierter als eine tatsächliche FedRAMP-Moderate-Autorisierung zu erlangen, da es für die Äquivalenz keine standardisierten Prozesse gibt und eine individuelle Prüfung erforderlich ist. Die meisten Anbieter, die den Begriff verwenden, erfüllen keine dieser Anforderungen.
Die praktische Konsequenz: Behauptet ein Anbieter Äquivalenz, statt tatsächlich autorisiert zu sein, wird die Compliance-Arbeit, die er sich erspart hat, zu Ihrer Compliance-Arbeit. Es gibt keine 3PAO-Prüfung, auf die man sich berufen kann, keine Behördenprüfung, keine PMO-Freigabe und keinen Marketplace-Eintrag. Es gibt lediglich ein Whitepaper des Anbieters, das behauptet, die eigenen Kontrollen seien wahrscheinlich vergleichbar mit der FedRAMP-Moderate-Baseline. Dieses Wort – wahrscheinlich – leistet erstaunlich viel Arbeit für Ihre Compliance-Lage, sobald ein C3PAO-Prüfer im Raum sitzt.
Einen tieferen Einblick, wie sich das bei CMMC-Assessments und unter BOD 26-04 auswirkt, finden Sie in FedRAMP Equivalent vs. Authorized: What’s at Stake und Why Empty Claims of FedRAMP Equivalency Put CMMC Compliance at Risk.
Was CR26 an FedRAMP im Jahr 2026 verändert hat
FedRAMP hat die Consolidated Rules 2026 (CR26) am 4. Mai 2026 als öffentliche Vorschau veröffentlicht, die finale Version ist für Ende Juni geplant. Es handelt sich um die bedeutendste strukturelle Änderung des Programms seit seiner Gründung.
Die tiefgreifendste Änderung betrifft die Art, wie Anforderungen formuliert werden. FedRAMP war schon immer anforderungsbasiert, doch diese Anforderungen steckten in Word-Dateien, PDFs und Tabellen, die Prüfer und Anbieter unterschiedlich interpretierten – das führte zu Uneinheitlichkeit zwischen Prüfungen und verlängerte die Autorisierungszeiträume. CR26 ersetzt diesen Fließtext durch deklarative MUSS/DARF-NICHT-Aussagen, die als strukturierte, maschinenlesbare Daten auf GitHub veröffentlicht werden. Anforderungen sind jetzt versioniert und abfragbar; Prüfer und Anbieter können sich nicht mehr über ihre Bedeutung uneinig sein.
Auch die Stufenstruktur ändert sich. Low/Moderate/High wird durch die Klassen A bis D ersetzt. Klasse C ist die maßgebliche Stufe für die meisten föderalen Cloud-Einsätze – sie entspricht der bisherigen Stufe Moderate und deckt den Großteil der Systeme ab, die CUI verarbeiten, sowie Workloads ziviler Behörden. Klasse D entspricht der bisherigen Stufe High. Die Struktur ist additiv: Jede Klasse umfasst alle Kontrollen der vorherigen Klasse plus zusätzliche Anforderungen.
Für Organisationen mit bestehender FedRAMP-Moderate-Autorisierung ändern sich die Kontrollen nicht grundlegend – die Aufgabe besteht darin, die aktuelle SSP-Dokumentation auf die Klasse-C-Struktur zu übertragen. Für Organisationen, die Anbieter bewerten, entspricht „Class C authorized“ dem, was zuvor „FedRAMP Moderate Authorized“ hieß.
Eine bemerkenswerte Konsequenz: Der Begriff „FedRAMP-äquivalent“ wird unter CR26 noch bedeutungsloser. Im Klassensystem gibt es keinen Äquivalenzpfad. Der Marketplace listet weiterhin nur Authorized, In Process und Ready – und sonst nichts.
Ausführliche Details zu CR26 und den Auswirkungen auf Ihre Autorisierungs-Roadmap finden Sie unter FedRAMP CR26: What It Actually Means for Your Authorization.
Was die FedRAMP-Autorisierungsstufen für Ihre Organisation bedeuten
Die passende Autorisierungsstufe hängt von der Sensibilität der betroffenen Daten und den Auswirkungen ab, die eine Sicherheitsverletzung hätte.
FedRAMP Moderate (Klasse C) deckt die Mehrheit der föderalen Cloud-Anwendungsfälle ab – etwa 80 Prozent –, bei denen es um sensible, aber nicht klassifizierte Daten geht, deren Kompromittierung ernsthaften Schaden anrichten würde. Dazu zählen CUI, alltägliche Behördenakten, personenbezogene Daten sowie die meisten auftragnehmerseitigen Systeme, die Lieferkettendaten, Konstruktionspläne und Beschaffungsinformationen verarbeiten. Es ist zudem die Autorisierungsstufe, die DFARS 252.204-7012 für Cloud-Dienste vorschreibt, die Covered Defense Information verarbeiten, und die Basis, auf der CMMC 2.0 für Rüstungsunternehmen aufbaut.
FedRAMP High (Klasse D) ist den sensibelsten, nicht klassifizierten Daten der Regierung vorbehalten – Systemen, bei denen eine Kompromittierung zu Todesfällen, Bedrohungen der nationalen Sicherheit oder katastrophalen Schäden führen könnte. Dazu zählen Rettungsdienste, Erkenntnisse der Strafverfolgungsbehörden, ITAR-regulierte Waffenspezifikationen und Finanzsysteme auf nationaler Ebene.
Speziell für Rüstungsunternehmen gilt: DFARS 252.204-7012 verlangt, dass jeder Cloud-Dienst, der Covered Defense Information verarbeitet, die FedRAMP-Moderate-Anforderungen erfüllt. CMMC 2.0 erweitert dies um eine verpflichtende Prüfung durch Dritte. Wer einen Anbieter mit unverifizierten Äquivalenzbehauptungen nutzt, schafft eine Compliance-Lücke, die während des C3PAO-Assessments zutage tritt – und unter der Civil Cyber Fraud Initiative des DoD bergen falsche Angaben zur Cybersicherheit ein Risiko nach dem False Claims Act.
Für regulierte Organisationen der Privatwirtschaft – Gesundheitswesen, Finanzdienstleistungen, Rechtsbranche – ist FedRAMP Moderate auch ohne föderale Verpflichtung zu einem De-facto-Sicherheitsstandard geworden. Das Regime aus unabhängiger Prüfung und kontinuierlicher Überwachung bietet eine Absicherung, die keine Selbstauskunft ersetzen kann.
So überprüfen Sie den FedRAMP-Status eines Anbieters
Drei Schritte, in dieser Reihenfolge.
Prüfen Sie den Marketplace direkt. Gehen Sie auf marketplace.fedramp.gov. Suchen Sie nach dem Anbieter. Authorized, In Process und Ready sind die einzigen drei existierenden Kategorien. Erscheint der Dienst des Anbieters nicht unter Authorized, ist er nicht FedRAMP-autorisiert – unabhängig davon, was die Marketingmaterialien behaupten.
Bestätigen Sie das konkrete Serviceangebot, nicht nur den Firmennamen. Ein Anbieter kann für einen Dienst autorisiert sein, für einen anderen nicht. Der Marketplace-Eintrag nennt das konkrete Cloud-Serviceangebot, die Autorisierungsstufe, die autorisierende Behörde sowie das Autorisierungsdatum. Prüfen Sie, ob der von Ihnen bewertete Dienst tatsächlich der gelistete ist.
Fordern Sie die Prüfdokumentation an. Ein autorisierter Anbieter kann den Security Assessment Report, den aktuellen System Security Plan und sein Paket zur kontinuierlichen Überwachung vorlegen. Wer nur Äquivalenz behauptet, kann das in der Regel nicht. Zögert ein Anbieter, Dokumente vorzulegen, die eine 3PAO-Prüfung eigentlich hervorgebracht hätte, ist dieses Zögern aussagekräftig.
Wie Kiteworks FedRAMP umsetzt
Kiteworks verfügt über eine FedRAMP-Moderate-Autorisierung – unabhängig geprüft durch Coalfire und seit Juni 2017 kontinuierlich überwacht – und hat seit Februar 2025 für seine Secure Gov Cloud den Status FedRAMP High In Process erreicht.
Die Moderate-Autorisierung umfasst 325 Kontrollen nach NIST SP 800-53 Rev. 5 für CUI und Daten mit mittlerem Risiko über alle Austauschkanäle von Kiteworks hinweg: sichere E-Mail, sicheres Filesharing, Managed File Transfer, SFTP und sichere Datenformulare. Der Status Secure Gov Cloud High In Process umfasst 421 Kontrollen für hochsensible und kritische Daten – Rettungsdienste, Strafverfolgungsbehörden und ITAR-regulierte Verteidigungskommunikation.
Wesentliche Unterschiede über die reine Autorisierungsstufe hinaus: Kiteworks durchläuft ein strenges jährliches Audit von mehr als 300 Kontrollen, um die Autorisierung aufrechtzuerhalten. FIPS-140-3-validierte Verschlüsselung wird auf alle Daten im Ruhezustand und bei der Übertragung angewendet. Kundeneigene Verschlüsselungsschlüssel bedeuten, dass Kiteworks technisch nicht in der Lage ist, Kundendaten zu entschlüsseln. Und für Organisationen auf dem CMMC-Pfad verkleinert die Kontroll-Vererbung aus FedRAMP Moderate den Umfang des C3PAO-Assessments – unverifizierte Anbieterbehauptungen werden durch unabhängig dokumentierte Nachweise ersetzt.
Bei Kiteworks ist die Autorisierung kein einmaliger Meilenstein. Monatliches Schwachstellen-Scanning, kontinuierliche Überwachung und laufende Mitarbeiterzertifizierungen sind der betriebliche Regelfall, keine Ausnahme. Genau diese durchgängige Historie können Behörden und Auftragnehmer heranziehen, wenn sie die Sicherheitslage ihres Cloud-Anbieters nachweisen müssen – nicht nur zum Zeitpunkt der Beschaffung, sondern zu jedem Zeitpunkt während der Vertragslaufzeit.
Wie sich die FedRAMP-Autorisierung von Kiteworks auf Ihre spezifischen Compliance-Anforderungen anwenden lässt, erfahren Sie auf der Kiteworks-FedRAMP-Autorisierungsseite oder indem Sie eine individuelle Demo vereinbaren.
Häufig gestellte Fragen
„FedRAMP-autorisiert“ hat eine konkrete föderale Definition: Eine 3PAO hat den Cloud-Dienst unabhängig geprüft, ein föderaler Autorisierungsbeauftragter hat die Prüfung begutachtet und eine Authority to Operate ausgestellt, und der Dienst erscheint im FedRAMP Marketplace als „Authorized“. „FedRAMP-konform“ ist informelle Sprache ohne offizielle föderale Definition. Ein Anbieter, der sich als „FedRAMP-konform“ bezeichnet, kann autorisiert sein – oder lediglich behaupten, dass seine Sicherheitspraktiken mit den FedRAMP-Anforderungen übereinstimmen. Die einzige Möglichkeit zur Bestätigung ist die Prüfung des Status „Authorized“ auf marketplace.fedramp.gov. Ist der Dienst dort nicht gelistet, ist der Anbieter nicht FedRAMP-autorisiert – unabhängig von der verwendeten Sprache.
„FedRAMP-äquivalent“ ist ein Marketingbegriff ohne Bedeutung im föderalen Autorisierungsprozess. Er ist in NIST 800-53 nicht definiert, hat keinen Platz im FedRAMP-Autorisierungsprozess und erscheint nicht im FedRAMP Marketplace. Der Begriff entstand, weil eine tatsächliche FedRAMP-Moderate-Autorisierung in der Regel 12 bis 24 Monate und mehrere Millionen Dollar erfordert – eine Hürde, die viele kleinere Anbieter umgingen, indem sie ihre Sicherheitslage als „äquivalent“ beschrieben. Ein DoD-Memo vom Januar 2024 stellte klar, dass selbst eine legitime Äquivalenzbehauptung nach DFARS 7012 eine 100-prozentige Umsetzung der FedRAMP-Moderate-Kontrollen voraussetzt, geprüft durch eine FedRAMP-anerkannte 3PAO – eine Messlatte, die die meisten Anbieter, die den Begriff verwenden, nicht erreichen. Für Rüstungsunternehmen, die eine unverifizierte „äquivalente“ Plattform für CUI nutzen, tritt die Compliance-Lücke während des C3PAO-Assessments zutage. Eine vollständige Aufschlüsselung finden Sie unter FedRAMP Moderate Equivalency: Overview, Requirements and Limitations.
Die im Mai 2026 gestarteten Consolidated Rules 2026 (CR26) von FedRAMP ersetzten die Stufenstruktur Low/Moderate/High durch ein System mit Buchstabenklassen: Klasse A bis Klasse D. Klasse C ist die maßgebliche Stufe für die meisten föderalen Cloud-Einsätze und entspricht der bisherigen Stufe Moderate. Klasse D entspricht der bisherigen Stufe High. CR26 ersetzte zudem die Fließtext-Compliance-Dokumentation durch maschinenlesbare MUSS/DARF-NICHT-Anforderungen, veröffentlicht auf GitHub, wodurch Interpretationsunterschiede zwischen Prüfern und Anbietern entfallen. Für Organisationen mit bestehender Moderate-Autorisierung ändern sich die zugrunde liegenden Kontrollen nicht wesentlich – die Aufgabe besteht darin, die aktuelle Dokumentation auf die Klasse-C-Struktur zu übertragen. Weitere Details finden Sie unter FedRAMP CR26: What It Actually Means for Your Authorization.
Rüstungsunternehmen müssen selbst keine FedRAMP-Autorisierung erlangen, aber DFARS 252.204-7012 verlangt, dass jeder Cloud-Dienst, den sie zum Speichern, Verarbeiten oder Übertragen von Covered Defense Information nutzen, die FedRAMP-Moderate-Anforderungen erfüllt – entweder durch eine tatsächliche FedRAMP-Moderate-Autorisierung oder durch echte Äquivalenz gemäß der Definition im DoD-Memo vom Januar 2024. CMMC 2.0 baut auf dieser Anforderung auf und ergänzt sie um eine verpflichtende Prüfung durch Dritte über C3PAOs. Die Nutzung einer FedRAMP-Moderate-autorisierten Plattform ist der sauberere Weg: unabhängig validierte Kontrollen übertragen sich per dokumentierter Vererbung auf Ihr Compliance-Programm und verkleinern den Umfang des C3PAO-Assessments. Die Nutzung einer unverifizierten „äquivalenten“ Plattform schafft eine Lücke, die Prüfer erkennen werden. Mehr dazu, wie die Vererbung von Autorisierungen in der Praxis funktioniert, finden Sie unter Kiteworks CMMC compliance.
Gehen Sie auf marketplace.fedramp.gov und suchen Sie nach dem Dienst des Anbieters. Der Marketplace listet drei offizielle Kategorien – Authorized, In Process und Ready. Authorized ist der einzige Status, der bedeutet, dass ein föderaler Autorisierungsbeauftragter eine ATO ausgestellt hat. Bestätigen Sie, dass das konkrete Serviceangebot, das Sie bewerten, auch tatsächlich das gelistete ist – nicht nur der Firmenname. Fragen Sie den Anbieter anschließend nach dem Security Assessment Report und dem aktuellen System Security Plan – ein autorisierter Anbieter kann beides vorlegen. Kann oder will ein Anbieter keine 3PAO-Prüfdokumentation bereitstellen, ist das ein Signal, das man ernst nehmen sollte.