Zum Hauptinhalt springen
Blackberry-Logo
Hintergrund des Helden

FIPS-Konformität

Die Federal Information Processing Standards (FIPS) sind vom National Institute of Standards and Technology (NIST) veröffentlichte Standards, die von Bundesbehörden sowie Organisationen, die mit Bundesinformationen umgehen, verwendet werden. Diese Standards konzentrieren sich insbesondere auf kryptografische Module zum Schutz sensibler, aber nicht klassifizierter Daten. Die Verwendung von FIPS legt gemeinsame Kriterien zur Bewertung von Technologien durch unabhängige Tests und anerkannte Validierungsverfahren fest.

Die Einhaltung der FIPS-Standards bedeutet, dass ein kryptografisches Modul eine unabhängige Bewertung anhand spezifischer FIPS-Veröffentlichungen bestanden hat – insbesondere derjenigen aus der FIPS 140-Reihe. Die Validierung bestätigt, dass Verschlüsselung, Schlüsselverwaltung, Authentifizierung und damit verbundene Sicherheitsfunktionen korrekt und auf dem erforderlichen Sicherheitsniveau implementiert sind. Obwohl FIPS mehrere Themenbereiche abdeckt, ist die FIPS 140-Validierung das am häufigsten herangezogene Konformitätszeichen für Produkte im Bereich der Informationssicherheit. 

Warum die Einhaltung der FIPS-Vorschriften unerlässlich ist

Validierte kryptografische Module bieten Sicherheit hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Umgebungen mit erhöhtem Risiko. Der Einsatz von Lösungen, die erfolgreich FIPS-Tests durchlaufen haben, minimiert das Risiko von Sicherheitslücken und unterstützt eine starke Verschlüsselung, eine robuste Schlüsselverwaltung und einen zuverlässigen Schutz für gespeicherte und übertragene Daten.

Relevanz für Politik und Beschaffung

Für US-Bundesbehörden und Auftragnehmer ist die Einhaltung der FIPS-Vorschriften nicht nur eine politische Vorgabe, sondern auch eine Voraussetzung für Beschaffungsprozesse. Bei der Verarbeitung sensibler, aber nicht klassifizierter Daten wird der Einsatz von FIPS-validierten Modulen erwartet, was sich sowohl auf Beschaffungs- als auch auf allgemeine Systembewilligungsentscheidungen auswirkt.

Die Nichteinhaltung dieser Anforderungen kann zu Vertragsrisiken, verzögerten oder verweigerten Systemzulassungen und technischen Schwachstellen führen, die die Sicherheitsziele gefährden könnten. Außerhalb der Bundesregierung wird die FIPS-Validierung von vielen Organisationen als Best Practice für das Risikomanagement und zur Erfüllung von Kunden- und regulatorischen Anforderungen eingesetzt.

Beziehung zu FedRAMP und umfassenderen Rahmenwerken

Die FIPS-Konformität ist eng mit anderen Rahmenwerken der US-Regierung verbunden. Beispielsweise erfordern Cloud-Service-Autorisierungen durch FedRAMP eine FIPS-validierte Verschlüsselung in Übereinstimmung mit den Kontrollgrundlagen von NIST SP 800-53. In ähnlicher Weise beziehen sich Konformitätsrahmenwerke in den Bereichen Strafverfolgung, Gesundheitswesen, öffentliche Sicherheit und staatliche Anforderungen häufig auf FIPS und die damit verbundenen kryptografischen Standards oder sind mit diesen abgestimmt.

Wer benötigt FIPS-validierte Kryptografie?

Die Verwendung von FIPS-validierten Kryptografiemodulen ist für Organisationen vorgeschrieben, die Informationen des Bundes speichern, verarbeiten oder übertragen. Dazu gehören:

  • Bundesbehörden und ihre direkten Auftragnehmer.

  • Subunternehmer und Lieferanten in Lieferketten des Bundes.

  • Technologieunternehmen mit Kunden aus dem öffentlichen Sektor.

  • Cloud-Dienstleister, die eine staatliche Genehmigung beantragen.

Neben der Bundesregierung verlangen auch Branchen mit strengen Sicherheitsanforderungen, darunter Verteidigung, öffentliche Sicherheit, Versorgungsunternehmen, Gesundheitswesen und Finanzwesen, häufig die Einhaltung der FIPS-Standards, um Risikomanagement- oder vertragliche Anforderungen zu erfüllen.

Schritte zur Erreichung und Aufrechterhaltung der FIPS-Konformität

Die FIPS-Validierung erfordert einen methodischen Prozess, bei dem technische Bewertungen mit strengen betrieblichen Kontrollen kombiniert werden. Ein typischer Fahrplan beginnt mit einer umfassenden Bewertung und führt über eine kontinuierliche Überwachung bis hin zum Lebenszyklusmanagement.

Kernmaßnahmen zur Einhaltung der Vorschriften

  • Erfassen Sie alleverwendeten kryptografischen Moduleund dokumentieren Sie dabei die Versionsnummern und den aktuellen Validierungsstatus.

  • Bewerten Sie die Anforderungen anhand von FIPS 140-3 und stellen Sie sicher, dass die Referenzarchitektur zugelassene Algorithmen, eine sichere Verwaltung des Schlüssel-Lebenszyklus und dokumentierte Abhängigkeiten umfasst.

  • Ersetzen oder aktualisieren Sie nicht validierte Module nachBedarf und stellen Sie sicher, dass die Konfigurationen auf zugelassene Modi beschränkt sind.

  • Aktualisieren Sie interne Richtlinien, um die Beschaffung und Verwendung validierter Kryptografie für sensible Informationen vorzuschreiben.

  • Schulungdes technischen Personals in der ordnungsgemäßen Verwendung zugelassener Algorithmen, der sicheren Implementierung und bewährten Verfahren für den Betrieb.

  • Einrichtung von Überwachungssystemenfür Modulversionen, den Status von Validierungszertifikaten und relevante NIST- oder CMVP-Bulletins.

Der Validierungsprozess

  • Die FIPS-Validierung wird durch CMVP verwaltet, eine Zusammenarbeit zwischen NIST und dem Canadian Centre for Cyber Security (CCCS). Anbieter reichen Module für Labortests ein, wobei nach erfolgreicher Bewertung Zertifikate von NIST/CCCS ausgestellt werden. Es obliegt den implementierenden Organisationen, sicherzustellen, dass die validierte Konfiguration mit der in der Produktion verwendeten übereinstimmt.

  • Die Validierung umfasst die Erfüllung der entsprechenden Anforderungen für die jeweilige Sicherheitsstufe und den jeweiligen Modultyp, einschließlich Software, Firmware oder Hardware. Dazu gehören in der Regel die Erfüllung von Rollen- und Dienstkontrollen, Selbsttestroutinen, starke Schutzmaßnahmen für Schlüssel und Anleitungen zur betrieblichen Nutzung. Um die Konformität aufrechtzuerhalten, sind kontinuierliche Anstrengungen erforderlich, darunter die Überwachung von Herstellerhinweisen, die Verfolgung des Ablaufs von Zertifikaten und die Planung von Technologie-Aktualisierungen.

Praktische Tipps zur Einhaltung von Vorschriften

  • Konfigurieren Sie Systeme so, dass sie nur zugelassene Algorithmen und Modi verwenden, um Abweichungen im Laufe der Zeit zu verhindern.

  • Konsolidieren Sie kryptografische Dienste, wo immer dies möglich ist, um Komplexität und Risiken zu reduzieren.

  • Führen Sie detaillierte Aufzeichnungenüber Validierungsdokumente und Bereitstellungsnachweise.

  • Integrieren Sie FIPS -Konformitätsprüfungen inSoftwareentwicklungs- und Bereitstellungspipelines.

  • Testen Sie Systemänderungen in kontrollierten Umgebungen, um die fortlaufende Konformität nach Upgrades oder Patches sicherzustellen.

Die Rolle von Technologiepartnern und Plattformen

Technologieanbieter und Plattformanbieter können eine entscheidende Rolle bei der Optimierung der FIPS-Konformität für ihre Kunden spielen, in der Regel durch:

  • Integration von FIPS-validierten Modulen in ihre Lösungen für den Datenschutz.

  • Bereitstellung klarer Unterlagen und Validierungszertifikate zur Unterstützung bei Audits.

  • Aktivierung von Kontrollen zur Durchsetzung der Verwendung zugelassener Kryptografie und validierter Konfigurationen.

  • Schaffung von Transparenz hinsichtlich des Modulstatus für eine effektive Überwachung.

  • Bereitstellung von Best-Practice-Leitlinien für die Bereitstellung und das Betriebsmanagement.

Die Auswahl der Technologiepartner und Plattformen sollte sich an nachgewiesenen CMVP-Listings, der Unterstützung aktueller FIPS-Veröffentlichungen und der Verpflichtung zur kontinuierlichen Compliance durch Updates und Lebenszyklusmanagement orientieren.

Die 5 besten Plattformen für FIPS-Konformität

Organisationen, die FIPS-Konformität anstreben, benötigen Technologiepartner und Plattformen, die validierte kryptografische Module, Dokumentation und Flexibilität bei der Bereitstellung bieten, die für Regierungs- und kritische Infrastrukturumgebungen geeignet sind. Die folgenden fünf Plattformen sind für ihre robuste Unterstützung von FIPS-konformer Sicherheit bekannt:

Microsoft Azure für Behörden

Bietet dedizierte Cloud-Services für US-Behörden mit FIPS 140-2-validierten Kryptografiemodulen für Rechenleistung, Speicher und Netzwerke, wodurch konforme Workloads in großem Maßstab ermöglicht werden.

Amazon Web Services (AWS) GovCloud

Bietet eine FedRAMP-autorisierte Umgebung mit FIPS 140-2-validierten Endpunkten für wichtige Sicherheitsdienste wie Speicher, Datenbanken und Verschlüsselung, wodurch die Compliance für Workloads auf Bundesebene vereinfacht wird.

Google Cloud Platform (GCP) – Gesicherte Workloads

Bietet eine sichere Cloud-Infrastruktur, einschließlich FIPS-validierter Verschlüsselung und Compliance-Kontrollen, die auf den öffentlichen Sektor und regulierte Kunden zugeschnitten ist.

Cisco Secure Firewall und VPN-Lösungen 

Integrieren Sie FIPS 140-2- und FIPS 140-3-validierte Kryptografiemodule für sichere lokale und hybride Netzwerkumgebungen, die die Compliance für Behörden und Infrastrukturanbieter unterstützen.

Sichere Kommunikation mit BlackBerry 

Ermöglicht sichere Kommunikation auf Regierungsebene unter staatlicher Kontrolle mit validierter Kryptografie für die Verwaltung mobiler Geräte, sichere Sprach- und Textkommunikation sowie Notfallmaßnahmen über alle Endpunkte hinweg.

Erste Schritte auf dem Weg zur Compliance

Beginnen Sie mit einer umfassenden Bestandsaufnahme aller in Ihrem Unternehmen verwendeten kryptografischen Module und Konfigurationen. Überprüfen Sie den Status der Validierungszertifikate, der geltenden Versionen und der Betriebsmodi anhand der CMVP-Liste. Priorisieren Sie die Korrektur oder den Austausch nicht validierter Module und integrieren Sie Konformitätsprüfungen in die Arbeitsabläufe für Beschaffung, Entwicklung und Bereitstellung. Es sollte eine kontinuierliche Überwachung implementiert werden, um eine fortlaufende Validierung bei technologischen Änderungen, Software-Updates und sich ändernden Anforderungen sicherzustellen.

Ein systematischer Ansatz zur Einhaltung der FIPS-Vorschriften kann dazu beitragen, Risiken zu reduzieren, die Einhaltung gesetzlicher Vorschriften und die Sicherheit der Kunden zu gewährleisten und eine wiederholbare Fähigkeit zum Schutz sensibler Informationen in kritischen Umgebungen zu etablieren.

BlackBerry für sichere Kommunikation

Zertifizierte Sicherheit. Vertrauenswürdige Behörde.

Die BlackBerry Secure Communications-Lösungen sind von den weltweit strengsten Sicherheitsbehörden für Ihre geschäftskritischen Abläufe zertifiziert.

Entdecken Sie die Zertifizierungen für sichere Kommunikation von BlackBerry

Häufig gestellte Fragen

Ist die Einhaltung der FIPS-Vorschriften obligatorisch?

Die Verwendung von FIPS-validierten Kryptografiemodulen ist für US-Bundesbehörden bei der Verwaltung sensibler, aber nicht klassifizierter Daten vorgeschrieben. Die Anforderungen gelten in der Regel auch für Auftragnehmer und Lieferanten aufgrund von Vertrags- oder Programmklauseln und sind in anderen Bereichen mit hohen Sicherheitsanforderungen weit verbreitet.

Welche Publikationen sind unter FIPS enthalten?

Zu den wichtigsten FIPS-Standards gehören FIPS 140 (Kryptografiemodule), FIPS 180 (sicheres Hashing), FIPS 197 (Verschlüsselung) und FIPS 201 (Identität), die alle vom NIST veröffentlicht und gepflegt werden.

Wie koordiniert sich FIPS mit anderen Compliance-Rahmenwerken?

Die FIPS-Standards bilden die Grundlage für Anforderungen in zahlreichen Rahmenwerken, darunter FedRAMP, CJIS, HIPAA (in Verbindung mit Bundesprogrammen) und Vorschriften der Bundesstaaten, und legen zugelassene Kryptografie- und Betriebssicherheitspraktiken fest.

Welche Arten von Compliance-Verpflichtungen gibt es?

FIPS-Verpflichtungen fallen je nach Umfeld und Risikoprofil unter regulatorische (gesetzlich vorgeschriebene), vertragliche (mit Kunden oder Partnern vereinbarte) und interne (Unternehmensrichtlinien) Bereiche.