Veröffentlicht am: 25. Januar 2024

Ein neues Memo des Verteidigungsministeriums (DoD) enthüllte, dass es die Sicherheitsanforderungen für Cloud-Anbieter auf FedRAMP-Ebene verschärft.

Historisch gesehen war unklar, was eine FedRAMP-Zertifizierung ausmacht und was sie beinhaltet. Vor der Einführung der neuen Regeln besagte die DFARS-Klausel, dass ein Drittanbieter sicherstellen sollte, dass seine Cloud-Dienstanbieter die FedRAMP-Anforderungen erfüllen.

Damals bedeuteten diese Anforderungen lediglich, dass die Dienstanbieter Regeln für die Datenaufbewahrung, Vorfallberichte und Zugriffsanforderungen befolgen mussten.

Obwohl dies immer noch ein wichtiger Schritt ist, konnte damit kein grundlegendes Maß an Sicherheitsanforderungen geschaffen werden, die Cloud-Dienstanbieter erfüllen müssen. Nach der Änderung der DFARS-Klausel wurde dieses Problem jedoch ausgeräumt.

Nun erfordert die FedRAMP-Zulassung ein Mindestmaß an Cybersicherheitsabwehrmaßnahmen. FedRAMP beauftragt ein Drittunternehmen, um zu bewerten, ob Anbieter die vorgegebenen Kriterien erfüllen.

„Um als FedRAMP-Moderate-Äquivalent zu gelten, müssen CSOs 100 % mit der neuesten FedRAMP-Moderate-Sicherheitskontrollbasislinie durch eine Bewertung erreichen, die von einer von FedRAMP anerkannten Third-Party-Assessment-Organisation (3PAO) durchgeführt wird“, heißt es in dem Memo.

Damit liegt der Ball sozusagen in den Händen der Cloud-Dienstleister. Wenn sie weiterhin mit dem Verteidigungsministerium zusammenarbeiten wollen, müssen sie ihre Cybersicherheit auf den neuesten Stand bringen. Unternehmen, die bei ihren Cybersicherheitspraktiken Abkürzungen nehmen, werden das Geschäft des Verteidigungsministeriums verlieren.

Es ist nicht vollständig bekannt, was das Verteidigungsministerium dazu veranlasst, seine Sicherheitsregeln zu verschärfen, aber es gibt einige Vermutungen. Datenschutzverletzungen und Hacks bei Cloud-Dienstanbietern haben im Laufe der Jahre stark zugenommen, insbesondere da der Aufstieg der KI dies einfacher denn je macht. Wenn ein Hacker Daten vom Dienstanbieter erhalten kann, kann er auch die Daten aller Auftragnehmer erhalten, mit denen er zusammenarbeitet.

Als Reaktion darauf haben US-Regierungsbehörden zusammengearbeitet, um sicherzustellen, dass Unternehmen die Richtlinien zu Mindestsicherheitsanforderungen einhalten.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.safetydetectives.com/news/department-of-defense-tightens-rules-on-cloud-security/