Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Education Center
    2. Vorschriften, Standards und Compliance

Was ist FIPS? Wie werden Sie FIPS-konform?

Geschrieben vonDivyansh Dwivedi 5 Minuten
Inhaltsverzeichnis

Die Sicherheit sensibler Daten, wie z. B. personenbezogener Daten (PII), in jeder Phase ihres Lebenszyklus ist eine wichtige Aufgabe für jedes Unternehmen. Um diesen Prozess zu vereinfachen, wurden Standards, Vorschriften und Best Practices zum besseren Schutz von Daten entwickelt. Der Federal Information Protection Standard (FIPS) ist einer dieser Standards. Diese Standards wurden von der Nationales Institut für Wissenschaft und Technologie (NIST) um Regierungsdaten zu schützen und sicherzustellen, dass diejenigen, die mit der Regierung zusammenarbeiten, bestimmte Sicherheitsstandards einhalten, bevor sie auf die Daten zugreifen können. FIPS hat eine Reihe von Standards veröffentlicht, dieser Artikel befasst sich jedoch mit FIPS 140-2.

Was ist FIPS 140-2?

FIPS 140-2 ist ein Standard für kryptografische Module, die von Unternehmen zur Verschlüsselung ruhender und übertragener Daten eingesetzt werden. Um die Einhaltung kryptografischer Standards zu gewährleisten, schreibt FIPS 140-2 die Verwendung FIPS-140-2-konformer Algorithmen für die Datenverschlüsselung vor. FIPS 140-2 kennt vier Sicherheitsstufen, wobei Stufe 1 die geringste und Stufe 4 die höchste Sicherheit bietet.

  • FIPS 140-2 Stufe 1 – Stufe 1 hat die einfachsten Anforderungen. Sie erfordert produktionsreife Ausrüstung und mindestens einen getesteten Verschlüsselungsalgorithmus. Dieser muss funktionsfähig und gemäß ISO 140-2 validiert sein, d. h. er wurde strengen Tests unterzogen und für die Verwendung zugelassen.
  • FIPS 140-2 Stufe 2 – Stufe 2 legt die Anforderungen etwas höher und verlangt zusätzlich zu allen Anforderungen von Stufe 1 rollenbasierte Authentifizierung und manipulationssichere physische Geräte. Außerdem muss das Betriebssystem gemäß Common Criteria auf Stufe EAL2 ausgeführt werden.
  • FIPS 140-2 Stufe 3 FIPS 140-2 Level 3 ist die von den meisten Organisationen eingehaltene Sicherheitsstufe, da sie Sicherheit bietet, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Diese Stufe umfasst alle Anforderungen von Level 2 und ergänzt sie um manipulationssichere Geräte, die Trennung logischer und physischer Schnittstellen, über die kritische Sicherheitsparameter in das System gelangen oder es verlassen, sowie identitätsbasierte Authentifizierung. Private Schlüssel, die das System verlassen oder in das System gelangen, müssen zudem vor ihrer Übertragung mit FIPS 140-2-konformen Algorithmen wie AES, 3DES, RSA, DSA, ECDSA usw. verschlüsselt werden.
  • FIPS 140-2 Stufe 4 Die höchste Sicherheitsstufe von FIPS 140-2 erfüllt dieselben Anforderungen wie Stufe 3 und verlangt, dass das konforme Gerät manipulationssicher ist und seine Inhalte bei bestimmten Umweltangriffen gelöscht werden können. Ein weiterer Schwerpunkt von FIPS 140-2 Stufe 4 liegt darin, dass die vom kryptografischen Modul verwendeten Betriebssysteme sicherer sein müssen als bei früheren Stufen. Bei der Nutzung eines Systems durch mehrere Benutzer gelten für das Betriebssystem noch höhere Sicherheitsanforderungen.

Anpassbare HSM-Lösungen

Holen Sie sich hochsichere HSM-Lösungen und -Dienste zum Schutz Ihrer kryptografischen Schlüssel.

Demo buchen

Warum ist die FIPS 140-2-Konformität wichtig?

Einer der vielen Gründe für die FIPS-Konformität ist die staatliche Anforderung, dass alle mit ihnen zusammenarbeitenden Organisationen FIPS 140-2-konform sein müssen. Diese Anforderung stellt sicher, dass von Drittorganisationen verarbeitete Regierungsdaten sicher und mit dem erforderlichen Maß an Vertraulichkeit, Integrität und Authentizität gespeichert und verschlüsselt werden. Unternehmen, die kryptografische Module wie nCipher oder Thales entwickeln möchten, müssen FIPS-konform werden, wenn sie möchten, dass die große Mehrheit der Unternehmen, insbesondere der Regierung, ihre Geräte nutzt. Viele Organisationen haben die FIPS-140-2-Konformität entwickelt, da sie dadurch ihre Organisation und ihre Dienste sicherer und vertrauenswürdiger erscheinen lassen.

Ein weiterer Grund für die FIPS-Konformität sind die strengen Tests, die die Anforderungen von FIPS 140-2 bestätigen. Die Anforderungen für jede Stufe von FIPS 140-2 wurden nach verschiedenen Tests auf Vertraulichkeit, Integrität, Nichtabstreitbarkeit und Authentizität ausgewählt. Da die Regierung über einige der sensibelsten Informationen des Landes verfügt, müssen die von ihr genutzten Geräte, Dienste und anderen Produkte jederzeit höchste Sicherheitsstandards erfüllen. Die Nutzung von Diensten oder Software ohne diese geprüften Methoden kann zu massiven Sicherheitsverletzungen führen und so allen Bürgern des Landes Probleme bereiten.

Wer muss FIPS-konform sein?

Die wichtigsten Organisationen, die FIPS 140-2-konform sein müssen, sind Bundesbehörden, die sensible Daten wie personenbezogene Daten sammeln, speichern, weitergeben, übertragen oder verbreiten. Alle Bundesbehörden, ihre Auftragnehmer und Dienstleister müssen ebenfalls FIPS-konform sein. Darüber hinaus müssen alle in einer Bundesumgebung eingesetzten Systeme FIPS 140-2-konform sein. Dies gilt auch für die Verschlüsselungssysteme von Cloud-Service-Provider (CSPs), Computerlösungen, Software und andere verwandte Systeme. Das bedeutet, dass nur FIPS-konforme Dienste, Geräte und Software für die Nutzung durch die Bundesregierung in Betracht gezogen werden können. Dies ist einer der Gründe, warum so viele Technologieunternehmen sicherstellen möchten, dass sie FIPS 140-2-konform sind.

Die Einhaltung von FIPS gilt weltweit als eine der besten Möglichkeiten, die Sicherheit kryptografischer Module zu gewährleisten. Viele Organisationen folgen FIPS, um sicherzustellen, dass ihre eigene Sicherheit mit der Sicherheit der Regierung Schritt hält. Viele andere Organisationen nutzen FIPS 140-2 konform, um ihre Produkte und Dienstleistungen nicht nur in den USA, sondern auch international zu vertreiben. Da FIPS weltweit anerkannt ist, gilt jedes FIPS-konforme Unternehmen als vertrauenswürdiger Anbieter von Dienstleistungen, Produkten und Software. Einige Branchen, wie z. B. die Fertigung, das Gesundheitswesen und der Finanzsektor sowie lokale Behörden, verlangen ebenfalls FIPS 140-2-Konformität.

Windows FIPS-Modus

Der Windows FIPS-Modus ist eine Konfigurationseinstellung in Windows-Betriebssystemen, die die Verwendung von FIPS 140-2-verifizierten kryptografischen Methoden erfordert. Wenn diese Option aktiviert ist, wird sichergestellt, dass bei Ver- und Entschlüsselungsverfahren nur autorisierte kryptografische Methoden und Schlüssellängen verwendet werden.

Was ist der FIPS-Code?

Ein FIPS-Code ist ein numerischer Code, der geografische Gebiete in den USA eindeutig identifiziert. Die Anzahl der Ziffern in FIPS-Codes variiert je nach geografischer Ebene. FIPS-Codes auf Bundesstaatsebene bestehen aus zwei Ziffern, FIPS-Codes auf County-Ebene aus fünf Ziffern, wobei die ersten beiden Ziffern den FIPS-Code des jeweiligen Bundesstaates darstellen. Beispiel: Der FIPS-Code 06071 steht für Kalifornien (-06) und San Bernardino County (-071).

Entdecken

Weitere Themen