US-Regierung definiert Anforderungen an Cloud-Dienstleister

Künftig will die US-Verwaltung Cloud-Dienste nur noch von solchen Anbietern nutzen, die ein Auditierungsverfahren durchlaufen haben und damit verknüpfte Sicherheitsstandards erfüllen. Das entsprechende "Federal Risk and Authorization Management Program" (FedRAMP) hat die General Services Administration (GSA) diese Woche vorgestellt. Die Verwaltungsbehörde will damit einheitliche Vorgaben für eine "sichere Cloud" aufstellen. Wer die Prüfung bestanden hat, darf allen Regierungseinrichtungen und dem öffentlichen Sektor seine Cloud-Dienste anbieten. Eine gesonderte Begutachtung durch einzelne Dienststellen soll entfallen. Die GSA erhofft sich davon auch Vorteile für kleinere IT-Firmen neben Platzhirschen wie Amazon, Google, Microsoft oder SAP.

"Der Schlüssel zur Sicherheit ist Einheitlichkeit", begründete Steven Van Roekel, Chief Information Officer (CIO) des Weißen Hauses, den Vorstoß gegenüber der "Washington Post". Für die zahlreichen Verwaltungseinheiten seien ähnlich wie in einem Unternehmen klare Vorgaben an IT-Dienstleistungen wichtig. Die Anforderungen umfassen rund 160 Punkte von allgemeinen Sicherheitseinstellungen über Spam-Filter bis hin zu Verschlüsselungsstandards. Die Webseite des Programms listet derzeit neun akkreditierte externe Zertifizierungspartner. Entstanden ist FedRAMP in enger Kooperation der GSA dem Pentagon, dem Department of Homeland Security (DHS), dem CIO-Rat des Bundes und dem technischen Geheimdienst NSA (National Security Agency).

Voll lauffähig ist das Programm noch nicht. Katie Lewin, GSA-Managerin für Cloud Computing, kündigte auf einer Konferenz in dieser Woche an, dass mit den ersten drei Zertifizierungen bis Ende des Jahres zu rechnen sei. Die volle Kapazität mit einem größeren Prüfvermögen werde fürs Frühjahr 2013 angestrebt. Konzerne wie SAP drängen derweil darauf, dass die Branche mit einem eigenen "Gold-Standard" für Datensicherheit, Verfügbarkeit, Vertrauenswürdigkeit und Integrität der wolkigen Dienste dem Gesetzgeber und Regierungen zuvorkommt.

US-Verwaltungsstellen sollen seit Ende 2010 möglichst viele Dienste in die Cloud verlagern, um Kosten zu sparen sowie die Datenverarbeitung sicherer und kostengünstiger zu machen. So hat das Landwirtschaftsministerium etwa jüngst seine E-Mail-Dienste, die bis vor Kurzem über 21 verschiedene Provider liefen, in einem Cloud-System von Microsoft zentralisiert. Zuvor hatte die GSA selbst die Verwaltung ihrer elektronischen Post in die Wolken verlagert. Die US-Luftfahrtbehörde FAA (Federal Aviation Administration) meldete zudem gerade, ihre 60.000 Angestellten mit Kommunikationsdiensten von Microsofts Office 365 ausstatten zu wollen. (ck)