Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > CMMC Compliance > FIPS 140-3 für CMMC-Compliance: Sicherung von Bundesinformationen mit moderner Kryptografie
FIPS 140-3 für CMMC-Compliance

FIPS 140-3 für CMMC-Compliance: Sicherung von Bundesinformationen mit moderner Kryptografie

von Danielle Barbour updated März 19, 2025 CMMC Compliance
Lesezeit: 12 Minuten

FIPS 140-3 ist ein entscheidender Standard in der modernen Kryptografie, der die Sicherheit und Integrität kryptografischer Module gewährleistet. Er setzt strenge Anforderungen an Hardware und Software und hält strikte Cybersecurity-Standards ein. Dieser kryptografische Standard ist entscheidend für den Schutz sensibler Informationen in verschiedenen Sektoren, einschließlich Regierung und Verteidigung.

Für Unternehmen, die die Cybersecurity Maturity Model Certification (CMMC) anstreben, ist FIPS 140-3 unverzichtbar. Er stimmt mit den CMMC-Anforderungen überein und stellt sicher, dass Organisationen robuste Verschlüsselungspraktiken zur Sicherung von kontrollierten, nicht klassifizierten Informationen (CUI) implementieren. Die Einführung von FIPS 140-3 unterstützt nicht nur die CMMC-Compliance, sondern verbessert auch die allgemeine Cybersecurity-Position, reduziert Schwachstellen und stärkt das Vertrauen der Stakeholder.

Müssen Sie CMMC-konform sein? Hier ist Ihre vollständige CMMC-Compliance-Checkliste.

In diesem Blogbeitrag werden wir das FIPS 140-3-Framework untersuchen, seine Bedeutung für Verteidigungsauftragnehmer in der Defense Industrial Base (DIB) und wie man diesen kryptografischen Standard implementiert und aufrechterhält, um CUI zu schützen und die CMMC-Compliance zu gewährleisten.

CMMC 2.0 Compliance Fahrplan für DoD Auftragnehmer

Jetzt lesen

Was ist FIPS 140-3?

Federal Information Processing Standards (FIPS) sind Sicherheitsstandards für die Cybersecurity-Compliance im Bundes- und Verteidigungsbereich, die sich speziell auf Datenverschlüsselung konzentrieren. Ebenso ist FIPS 140-3 (Federal Information Processing Standards Publication 140-3) ein Sicherheitsstandard, der vom National Institute of Standards and Technology (NIST) entwickelt wurde und Anforderungen an kryptografische Module festlegt, die zum Schutz sensibler, aber nicht klassifizierter Informationen verwendet werden. Veröffentlicht am 22. März 2019, ersetzt FIPS 140-3 den vorherigen Standard FIPS 140-2 und stimmt mit dem internationalen Standard ISO/IEC 19790:2012(E) überein, wobei Änderungen durch das Cryptographic Module Validation Program (CMVP) erlaubt sind.

Im Gegensatz zu seinem Vorgänger FIPS 140-2, der die Anforderungen an kryptografische Module direkt enthielt, verweist FIPS 140-3 auf die Standards ISO/IEC 19790:2012 und ISO/IEC 24759:2017. Dies stellt eine bedeutende Änderung im Managementansatz dar, indem es eine Angleichung an internationale Standards schafft, während die Autorität zur Durchführung spezifischer Änderungen zur Erfüllung der Sicherheitsanforderungen der US-Regierung beibehalten wird.

FIPS 140-3 gilt für alle US-Bundesbehörden, die kryptografiebasierte Sicherheitssysteme verwenden, um sensible Informationen in Computer- und Telekommunikationssystemen zu schützen, wie im Information Technology Management Reform Act von 1996 und dem Federal Information Security Management Act von 2002 definiert. Alle Bundesministerien und -behörden müssen diesen Standard verwenden, wenn sie kryptografische Module entwerfen und implementieren, die sie selbst betreiben oder die für sie im Rahmen eines Vertrags betrieben werden. Der Standard erstreckt sich auch auf private und kommerzielle Organisationen, die ihn übernehmen möchten, insbesondere solche, die mit Bundesbehörden interagieren oder in regulierten Branchen tätig sind.

FIPS 140 Sicherheitsstufen

Die FIPS 140 Sicherheitsstufen definieren eine Reihe von Kriterien, die kryptografische Module erfüllen müssen, um den Datenschutz zu gewährleisten. Diese Stufen reichen von 1 bis 4, mit zunehmender Komplexität und Sicherheitsstandards. Jede Stufe bietet einen unterschiedlichen Grad an Sicherheit und berücksichtigt verschiedene kryptografische Bedürfnisse und Anwendungen sowohl im Regierungs- als auch im kommerziellen Sektor.

Um die CMMC-Compliance zu erreichen, ist das Verständnis der Nuancen von FIPS 140-3 unerlässlich, da es ein umfassendes Framework bietet, mit dem Organisationen robuste kryptografische Maßnahmen implementieren können. Stufe 1 könnte für grundlegende Anwendungen ausreichen, aber sensiblere Operationen erfordern oft den erweiterten Schutz, der in den Stufen 3 oder 4 zu finden ist. Die Sicherstellung, dass Ihre kryptografischen Module diesen Standards entsprechen, unterstützt nicht nur die Datenintegrität, sondern stimmt auch mit den strengen Anforderungen von FIPS 140-3 für die CMMC-Compliance überein, die in der heutigen sich entwickelnden Cybersecurity-Landschaft entscheidend ist.

Warum FIPS 140-3 wichtig ist

FIPS 140-3 schafft ein standardisiertes Framework zur Bewertung der Sicherheit kryptografischer Implementierungen und legt Mindestanforderungen fest, die Sicherheit beim Schutz sensibler Informationen gewährleisten. Es bietet einen gemeinsamen Maßstab, den Anbieter einhalten können und den Regierungsbehörden verlangen können, um Konsistenz über verschiedene Produkte und Systeme hinweg sicherzustellen. Durch die Angleichung der US-Standards an internationale Sicherheitsvorgaben hilft FIPS 140-3 auch Organisationen, die global tätig sind, Anforderungen in verschiedenen Rechtsordnungen zu erfüllen.

Laut NIST und dem Canadian Centre for Cyber Security wird nicht validierte Kryptografie als kein Schutz für Informationen angesehen – gleichbedeutend mit Klartext. Diese deutliche Einschätzung unterstreicht, warum die Verwendung validierter kryptografischer Module für Systeme, die mit sensiblen Informationen umgehen, entscheidend ist. Wenn eine Behörde angibt, dass Informationen kryptografisch geschützt werden müssen, ist eine Validierung nach FIPS 140-2 oder FIPS 140-3 erforderlich, um sicherzustellen, dass kryptografische Implementierungen den festgelegten Sicherheitsstandards entsprechen.

Wichtige Erkenntnisse

  1. FIPS 140-3 ist entscheidend für die Bundes-Sicherheits-Compliance

    FIPS 140-3 legt kritische Sicherheitsanforderungen für kryptografische Module fest, die sensible Informationen schützen, wobei nicht validierte Kryptografie von NIST offiziell als gleichbedeutend mit Klartext angesehen wird.

  2. CMMC 2.0 und FIPS 140-3 sind miteinander verbunden

    Verteidigungsauftragnehmer, die mit kontrollierten, nicht klassifizierten Informationen (CUI) umgehen, müssen bis 2028 die CMMC Level 2-Compliance erreichen, die FIPS-validierte Kryptografieanforderungen umfasst, mit spezifischen Auswirkungen auf die Bewertung, wenn sie nicht implementiert werden.

  3. Vier Sicherheitsstufen bieten flexible Implementierung

    Organisationen können aus vier zunehmend strengen Sicherheitsstufen basierend auf ihrem spezifischen Risikoprofil und der Sensibilität der Informationen, die sie schützen, wählen und so Sicherheitsbedürfnisse mit betrieblichen Anforderungen in Einklang bringen.

  4. Der Übergangszeitraum ist entscheidend

    Da FIPS 140-2 validierte Module nur bis zum 21. September 2026 akzeptiert werden, müssen Organisationen ihre Umstellung auf FIPS 140-3 validierte Module planen, um Compliance aufrechtzuerhalten und Sicherheitslücken zu vermeiden.

  5. Validierte Lösungen wie Kiteworks vereinfachen die Compliance

    Die FIPS 140-3 Validierung von Kiteworks (Zertifikat #4724) zeigt, wie die Implementierung validierter kryptografischer Module mit Funktionen wie doppelter Verschlüsselung Organisationen helfen kann, die Bundes-Sicherheitsstandards zu erfüllen und gleichzeitig sensible Informationen zu schützen.

Wichtige Merkmale und Komponenten von FIPS 140-3

FIPS 140-3 definiert vier zunehmende, qualitative Sicherheitsstufen (Stufe 1 bis Stufe 4), die ein breites Spektrum potenzieller Anwendungen und Umgebungen abdecken. Stufe 1 bietet grundlegende Sicherheitsanforderungen für ein kryptografisches Modul, während Stufe 4 das höchste Sicherheitsniveau mit erweitertem physischen Schutz und Widerstand gegen Umweltangriffe bietet. Diese gestaffelten Stufen ermöglichen es Organisationen, das geeignete Sicherheitsniveau basierend auf ihrem spezifischen Risikoprofil und der Sensibilität der zu schützenden Informationen auszuwählen.

Der Standard behandelt elf zentrale Sicherheitsbereiche: Spezifikation des kryptografischen Moduls; Schnittstellen des kryptografischen Moduls; Rollen, Dienste und Authentifizierung; Software-/Firmware-Sicherheit; Betriebsumgebung; physische Sicherheit; nicht-invasive Sicherheit; Verwaltung sensibler Sicherheitsparameter; Selbsttests; Lebenszyklus-Garantie; und Abwehr anderer Angriffe. Eine bemerkenswerte Ergänzung in FIPS 140-3 im Vergleich zu FIPS 140-2 ist die Einführung nicht-invasiver physischer Sicherheitsanforderungen, die Bedrohungen wie Seitenkanalangriffe adressieren, die versuchen, sensible Informationen durch Analyse physikalischer Merkmale wie Stromverbrauch oder elektromagnetische Emissionen zu extrahieren.

Das FIPS 140-3-Framework besteht aus mehreren wichtigen Dokumenten, die zusammenarbeiten, um den vollständigen Satz von Anforderungen zu definieren. FIPS 140-3 selbst ist der oberste Standard, der auf die ISO/IEC-Standards verweist. ISO/IEC 19790:2012 spezifiziert die Sicherheitsanforderungen für kryptografische Module, während ISO/IEC 24759:2017 die Testanforderungen bereitstellt. NIST hat auch die SP 800-140-Serie von Special Publications veröffentlicht, die die ISO/IEC-Anforderungen modifizieren oder ergänzen, um den Bedürfnissen der US-Regierung gerecht zu werden. Zusätzliche Dokumente umfassen Implementierungsleitlinien, die Interpretationen und Klarstellungen bieten, und das CMVP Management Manual, das Programmverfahren beschreibt.

Was ist das Cryptographic Module Validation Program (CMVP)

Das CMVP ist eine gemeinsame Initiative zwischen NIST und dem Canadian Centre for Cyber Security, die kryptografische Module gegen die Anforderungen von FIPS 140-3 validiert. Dieser Validierungsprozess bietet die Gewissheit, dass Module genehmigte Sicherheitsfunktionen korrekt implementieren und alle Sicherheitsanforderungen erfüllen. Module, die den Validierungsprozess erfolgreich abschließen, erhalten ein Zertifikat und werden auf der CMVP-Website gelistet.

Das CMVP begann am 22. September 2020 mit der Validierung kryptografischer Module nach FIPS 140-3. Es gibt eine Übergangszeit, in der FIPS 140-2 validierte Module bis zum 21. September 2026 weiterhin akzeptiert werden. Nach diesem Datum werden FIPS 140-2 validierte Module auf die Historische Liste verschoben und dürfen nur in bestehenden Systemen verwendet werden.

Der Validierungsprozess umfasst Tests durch akkreditierte Labore, die über entsprechende National Voluntary Laboratory Accreditation Program (NVLAP)-Zertifikate verfügen. Diese Labore führen Tests gegen die Anforderungen durch und erstellen Einreichungspakete, die das CMVP überprüft. Diese unabhängigen Tests und Validierungen bieten Glaubwürdigkeit und Gewissheit, dass Module die erforderlichen Sicherheitsstandards erfüllen.

Erfordert CMMC FIPS?

Das Cybersecurity Maturity Model Certification (CMMC)-Framework betont den Schutz sensibler Informationen innerhalb der Defense Industrial Base. Eine häufig gestellte Frage lautet: Erfordert CMMC die Federal Information Processing Standards (FIPS)? Während CMMC robuste Sicherheitsprotokolle priorisiert, stimmt es dort, wo anwendbar, mit FIPS überein, um die Einhaltung der Bundesrichtlinien zur effektiven Sicherung nicht klassifizierter Bundesinformationen zu gewährleisten.

Um die CMMC-Compliance mit einem Fokus auf kryptografische Sicherheit zu erreichen, sollten Organisationen die Einführung des FIPS 140-3-Standards in Betracht ziehen. Dieser Standard spielt eine entscheidende Rolle bei der Zertifizierung, dass kryptografische Module strengen Tests unterzogen wurden und spezifische Sicherheitsanforderungen erfüllen. Durch die Integration von FIPS 140-3 in ihre Cybersecurity-Strategien können Unternehmen die Integrität ihrer Datenschutzmechanismen verbessern. Dies stimmt nicht nur mit den Erwartungen der Regierung überein, sondern stärkt auch die allgemeine Cybersecurity-Position, die für die CMMC-Compliance unerlässlich ist. Die Ausrichtung an FIPS 140-3 zeigt ein Engagement für die Einhaltung der höchsten Sicherheitsprotokolle.

FIPS 140 zertifizierte Verschlüsselung für die CMMC 2.0-Ausrichtung

Um die CMMC 2.0-Compliance zu erreichen, müssen Organisationen FIPS 140 zertifizierte Verschlüsselungsmethoden verwenden, um den Datenschutz und die Cybersecurity-Resilienz sicherzustellen. Diese kryptografischen Standards fördern robuste Sicherheitsmaßnahmen, die sensible Informationen vor potenziellen Bedrohungen schützen. Die Ausrichtung an diesen Standards erfüllt nicht nur Compliance-Verpflichtungen, sondern verbessert auch die allgemeine Datensicherheitsposition.

Die Einführung von FIPS 140-3 für die CMMC-Compliance ist entscheidend, da sie eine verifizierte Grundlage für Verschlüsselungspraktiken bietet und sicherstellt, dass alle kryptografischen Komponenten strenge Sicherheitsmaßstäbe erfüllen. Diese Ausrichtung ist für Auftragnehmer und Organisationen, die mit dem Verteidigungsministerium zusammenarbeiten, unverzichtbar, da sie sicherstellt, dass ihre Sicherheitsmaßnahmen sowohl effektiv als auch aktuell sind. Durch die Integration von FIPS 140-3 zertifizierten Lösungen erfüllen Organisationen nicht nur Compliance-Anforderungen, sondern gewinnen auch einen Wettbewerbsvorteil durch gestärkte Cybersecurity-Verteidigungen.

CMMC 2.0 und FIPS 140-3: Die kritische Verbindung

Die Cybersecurity Maturity Model Certification (CMMC) ist das Rahmenwerk des Verteidigungsministeriums, das darauf abzielt, Cybersecurity-Standards für Verteidigungsauftragnehmer durchzusetzen, die mit sensiblen Daten umgehen. Die FIPS 140-3-Validierung spielt eine entscheidende Rolle innerhalb dieses Rahmens, insbesondere für Organisationen, die die CMMC-Compliance erreichen müssen.

CMMC 2.0 hat das vorherige Modell in drei verschiedene Zertifizierungsstufen vereinfacht:

  1. Stufe 1 (Grundlegend): CMMC Stufe 1 erfordert 15 grundlegende Schutzpraktiken für Federal Contract Information (FCI) und erlaubt eine jährliche Selbsteinschätzung.
  2. Stufe 2 (Fortgeschritten): CMMC Stufe 2 verlangt alle 110 Sicherheitsanforderungen aus NIST SP 800-171 Rev. 2 zum Schutz von kontrollierten, nicht klassifizierten Informationen (CUI). Diese Stufe erfordert dreijährliche Bewertungen durch zertifizierte Drittanbieter-Bewertungsorganisationen (C3PAOs) und eine jährliche Selbstbescheinigung.
  3. Stufe 3 (Experte): CMMC Stufe 3 baut auf Stufe 2 auf, indem 24 zusätzliche Anforderungen aus NIST SP 800-172 für den erweiterten Schutz von Hochprioritätsprogrammen integriert werden und von der Regierung geführte Bewertungen beinhaltet.

Die FIPS 140-3-Validierung ist ein kritischer Bestandteil der CMMC Stufe 2-Compliance, die für Organisationen erforderlich ist, die mit CUI umgehen. Laut den Richtlinien des Verteidigungsministeriums müssen Organisationen bis 2028 die Stufe 2-Compliance erreichen, wobei die Durchsetzung schrittweise ab 2025 beginnt.

Die Integration von FIPS 140-3 in CMMC wird in der Bewertungsmethodik deutlich. Wie im DoD Assessment Methodology beschrieben, verwendet CMMC Stufe 2 ein Bewertungssystem basierend auf den 110 Sicherheitsanforderungen aus NIST SP 800-171 Rev. 2. Jede Anforderung wird mit 1, 3 oder 5 Punkten bewertet, mit einer maximalen Punktzahl von 110 und einer Mindestpunktzahl von 88 zum Bestehen.

Erfahren Sie den Unterschied zwischen CMMC 1.0 und 2.0.

Speziell für Kryptografieanforderungen besagen die Bewertungsrichtlinien:

  • 5 Punkte werden abgezogen, wenn keine Kryptografie eingesetzt wird
  • 3 Punkte werden abgezogen, wenn Kryptografie eingesetzt wird, aber nicht FIPS-validiert ist

Dieser Bewertungsansatz unterstreicht die Bedeutung der FIPS-Validierung innerhalb des CMMC-Rahmens, erkennt jedoch auch die Herausforderungen der Implementierung an, indem er Teilgutschriften für Organisationen zulässt, die nicht validierte Kryptografie als Zwischenschritt implementiert haben.

Im Gegensatz zu früheren Bundesanforderungen, die hauptsächlich Regierungsbehörden und deren direkte Auftragnehmer betrafen, erweitert CMMC die FIPS 140-Anforderungen auf etwa 250.000 Unternehmen der Defense Industrial Base (DIB). Diese erhebliche Erweiterung des Umfangs schafft sowohl Herausforderungen als auch Chancen für Organisationen in der Verteidigungs-Lieferkette.

Für viele kleinere Verteidigungsauftragnehmer mit begrenzten Cybersecurity-Ressourcen stellt die Implementierung von FIPS 140-3 validierter Kryptografie ein erhebliches Hindernis dar. Die traditionelle FIPS 140-Zertifizierung kann bis zu zwei Jahre dauern und erfordert die Zusammenarbeit mit akkreditierten Laboren und NIST, was die Ressourcen kleinerer Organisationen belasten kann.

Wie FIPS 140-3 die Sicherheit und Compliance verbessert

FIPS 140-3 verbessert die Sicherheit von Organisationen, indem es die Verwendung starker, validierter kryptografischer Algorithmen sicherstellt und Sicherheitskontrollen über verschiedene Produkte und Anbieter hinweg standardisiert. Es erzwingt die ordnungsgemäße Verwaltung von Verschlüsselungsschlüsseln und anderen sensiblen Sicherheitsparametern, verlangt die Integritätsüberprüfung durch Selbsttests und bietet Anforderungen für physischen Schutz basierend auf der gewählten Sicherheitsstufe.

Aus Compliance-Sicht unterstützt FIPS 140-3 Organisationen dabei, verschiedene Vorschriften zu erfüllen, die den Schutz sensibler Daten erfordern. Es ist direkt für Bundesbehörden unter dem Federal Information Security Management Act (FISMA) erforderlich. Organisationen in regulierten Sektoren wie Gesundheitswesen, Finanzen und Regierung, die mit sensiblen Informationen umgehen oder mit Bundesbehörden interagieren, müssen oft FIPS-Standards einhalten, um ihre regulatorischen Verpflichtungen zu erfüllen.

Die Verwendung von FIPS 140-3 validierten Modulen bietet den Nachweis der gebotenen Sorgfalt bei der Implementierung geeigneter Sicherheitskontrollen, was Organisationen helfen kann, die Einhaltung umfassenderer Sicherheitsanforderungen und Datenschutzvorschriften nachzuweisen. Diese Validierung bietet einen anerkannten Maßstab, den Prüfer und Regulierungsbehörden als Beweis für eine ordnungsgemäße kryptografische Implementierung akzeptieren.

Risiken der Nichtverwendung von FIPS 140-3 validierter Kryptografie

Organisationen, die keine FIPS 140-3 validierte Kryptografie verwenden, stehen vor mehreren erheblichen Risiken. Aus regulatorischer Sicht sind Bundesbehörden und deren Auftragnehmer verpflichtet, validierte Kryptografie zu verwenden. Die Nichteinhaltung kann zu gescheiterten Audits, potenziellen Strafen und dem Verlust der Fähigkeit führen, mit Regierungsstellen Geschäfte zu machen.

Die Sicherheitsrisiken sind ebenso wichtig. Nicht validierte Kryptografie kann Implementierungsfehler oder Schwachstellen enthalten, die zu Datenschutzverletzungen oder der Kompromittierung sensibler Informationen führen könnten. Wie NIST ausdrücklich feststellt, wird nicht validierte Kryptografie als kein Schutz angesehen – gleichbedeutend mit Klartext. Das bedeutet, dass Organisationen, die sich auf nicht validierte Kryptografie verlassen, glauben könnten, Daten zu schützen, während sie aus Compliance-Sicht dies nicht tun.

Finanzielle Risiken umfassen die Kosten im Zusammenhang mit Datenschutzverletzungen, regulatorischen Geldstrafen und Abhilfemaßnahmen, wenn Sicherheitsvorfälle aufgrund kryptografischer Schwächen auftreten. Es gibt auch Reputationsrisiken, da Sicherheitsfehler das öffentliche Vertrauen und das Kundenvertrauen schädigen können. Für Organisationen, die mit Regierungskunden oder in regulierten Branchen arbeiten, kann der Verlust von Geschäftsmöglichkeiten aufgrund von Nichteinhaltung erhebliche finanzielle Auswirkungen haben.

Rechtliche Risiken steigen, wenn Organisationen es versäumen, erforderliche Sicherheitsstandards zu implementieren. Im Falle einer Datenschutzverletzung könnte die Nichtverwendung validierter Kryptografie als Versäumnis angesehen werden, angemessene Sicherheitsmaßnahmen zu implementieren, was die Haftung in rechtlichen Verfahren potenziell erhöht. Dies wird besonders problematisch, wenn Organisationen behauptet haben, Daten zu schützen, aber nicht validierte kryptografische Implementierungen verwendet haben.

2024 Kiteworks Bericht zur Sicherheit und Compliance bei der Kommunikation sensibler Inhalte

Best Practices für die Implementierung und Aufrechterhaltung von FIPS 140-3

FIPS 140-3 ist ein kritischer Maßstab für kryptografische Sicherheit in Regierungs- und regulierten Branchen. Die ordnungsgemäße Implementierung dieser Standards gewährleistet den Schutz sensibler Informationen und die Einhaltung der Bundesanforderungen, insbesondere für Organisationen, die kontrollierte, nicht klassifizierte Informationen (CUI) im Rahmen von CMMC-Frameworks handhaben.

Die folgenden Best Practices führen Organisationen durch den komplexen Prozess der Implementierung, Überprüfung und Aufrechterhaltung von FIPS 140-3 validierten kryptografischen Modulen über Systeme hinweg, um sensible Daten zu sichern und strenge regulatorische Anforderungen zu erfüllen.

    1. Inventarisierung der Kryptografiemodule

    Bei der Implementierung von FIPS 140-3 sollten Organisationen mit einer gründlichen Inventarisierung der in ihren Systemen verwendeten kryptografischen Module beginnen und feststellen, welche basierend auf den von ihnen geschützten Daten FIPS 140-3 validiert werden müssen. Diese Bewertung sollte sowohl Hardware- als auch Softwarekomponenten umfassen, die kryptografische Funktionen implementieren. Speziell für die CMMC-Compliance sollten Organisationen:

    • Eine CUI-Grenzanalyse durchführen: Datenflüsse, die CUI betreffen, identifizieren und von nicht-CUI-Systemen trennen, um die Implementierung von FIPS 140-validierter Kryptografie angemessen zu planen.
    • Eine Lückenbewertung durchführen: Aktuelle kryptografische Praktiken mit den Anforderungen von NIST SP 800-171 vergleichen und Mängel identifizieren, insbesondere mit Fokus auf veraltete Verschlüsselungsprotokolle, die möglicherweise ersetzt werden müssen.
    • FIPS 140-validierte Kryptografie implementieren: Nicht konforme Verschlüsselungstools durch FIPS 140-3-zertifizierte Lösungen ersetzen. Dies kann den Kauf validierter Produkte oder die Zusammenarbeit mit Anbietern umfassen, um sicherzustellen, dass ihre Lösungen den FIPS-Anforderungen entsprechen.
    • Sich auf die Bewertung vorbereiten: System Security Plans (SSPs) entwickeln, die klar dokumentieren, wie kryptografische Anforderungen erfüllt werden, Schein-Audits durchführen, um die Bereitschaft zu testen, und bereit sein, die ordnungsgemäße Implementierung während C3PAO-Bewertungen nachzuweisen.
    • Subunternehmer verwalten: Sicherstellen, dass alle Drittanbieter, die CUI handhaben, gleichwertige FIPS-Standards erfüllen, da der Hauptauftragnehmer letztendlich dafür verantwortlich ist, die Compliance in der gesamten Lieferkette sicherzustellen.

    2. Validierungsstatus kryptografischer Produkte überprüfen

    Organisationen sollten den Validierungsstatus kryptografischer Produkte überprüfen, indem sie die CMVP-Validierungslisten direkt überprüfen, anstatt sich ausschließlich auf die Angaben der Anbieter zu verlassen. Das CMVP führt eine aktuelle Liste validierter Module mit ihren Zertifikatsnummern und Validierungsdetails. Achten Sie auf tatsächliche Zertifikatsnummern, da NIST vor irreführenden Marketingaussagen über die FIPS-Compliance warnt.

    3. Das geeignete Sicherheitsniveau auswählen

    Das geeignete Sicherheitsniveau basiert auf der Risikobewertung und der Sensibilität der zu schützenden Informationen. Nicht alle Systeme erfordern die höchsten Sicherheitsstufen, und es kann Leistungs- oder Kostenimplikationen für Implementierungen auf höherem Niveau geben. Wählen Sie das Niveau, das die Sicherheitsbedürfnisse angemessen mit den betrieblichen Anforderungen in Einklang bringt.

    4. Die ordnungsgemäße Konfiguration validierter Module aufrechterhalten

    Sicherstellen, dass validierte Module im FIPS-zugelassenen Modus betrieben werden. Viele kryptografische Module haben sowohl FIPS-zugelassene als auch nicht zugelassene Betriebsmodi, und die Verwendung in nicht zugelassenen Modi negiert die Vorteile der Validierung. Dies umfasst die Sicherstellung, dass nur zugelassene Algorithmen und Schlüssellängen verwendet werden.

    5. Kryptografische Schlüsselverwaltungspraxen entwickeln und implementieren, die mit FIPS-Anforderungen und NIST-Richtlinien übereinstimmen

    Die ordnungsgemäße Verwaltung kryptografischer Schlüssel während ihres gesamten Lebenszyklus ist entscheidend für die Aufrechterhaltung der Sicherheit kryptografischer Systeme. Dies umfasst die sichere Erzeugung, Speicherung, Verteilung, Verwendung und Zerstörung von Schlüsseln.

    6. Planen Sie den Übergang von FIPS 140-2 zu FIPS 140-3

    Da FIPS 140-2 validierte Module nur bis zum 21. September 2026 akzeptiert werden, sollten Organisationen einen Übergangsplan entwickeln, um sicherzustellen, dass alle Systeme bis zu diesem Stichtag FIPS 140-3 validierte Module verwenden.

Kiteworks und FIPS 140-3 Compliance

Kiteworks hat die FIPS 140-3-Compliance durch die Implementierung des KeyPair FIPS Provider für OpenSSL 3 erreicht, der in den meisten Sicherheitsbereichen auf FIPS 140-3 Level 1 validiert wurde, mit bemerkenswerter Level 3-Compliance in der Lebenszyklus-Garantie (Zertifikat #4724). Dieses validierte kryptografische Modul verbessert das mehrschichtige Schutz-Framework von Kiteworks, das doppelte Verschlüsselung umfasst, bei der Dateien sowohl auf Datei- als auch auf Festplattenebene mit separaten Verschlüsselungsschlüsseln verschlüsselt werden.

Kiteworks verschlüsselt Daten im ruhenden Zustand standardmäßig mit AES-256-Verschlüsselung (mit AES-128 als Option) und nutzt TLS 1.3-Protokolle für die Verschlüsselung während der Übertragung.

Das Email Protection Gateway (EPG) der Plattform erweitert diesen Schutz mit S/MIME- und OpenPGP-Verschlüsselung für E-Mail-Nachrichten und Anhänge. Das KeyPair-kryptografische Modul arbeitet ausschließlich im zugelassenen Modus und unterstützt eine umfassende Suite von Algorithmen, darunter AES (CBC, GCM, CCM, KW), SHA (1, 2, 3), HMAC, RSA, DSA, ECDSA, EDDSA und verschiedene Schlüsselderivationsfunktionen – alle CAVP-zertifiziert.

Diese FIPS 140-3-Validierung bietet die Gewissheit, dass die kryptografische Implementierung von Kiteworks den von US-Bundesbehörden und Designated Information in Kanada geforderten Bundesstandards entspricht, was sie für Organisationen in regulierten Sektoren wie Gesundheitswesen, Finanzen und Regierung geeignet macht, die mit sensiblen Informationen umgehen oder mit Bundesbehörden interagieren.

Kiteworks unterstützt die CMMC 2.0-Compliance

Das Kiteworks Private Content Network, eine FIPS 140-2 Level validierte sichere Filesharing- und Dateitransferplattform, konsolidiert E-Mail, Filesharing, Web-Formulare, SFTP, Managed File Transfer und nächste Generation des digitalen Rechtemanagements, sodass Organisationen jede Datei kontrollieren, schützen und verfolgen, während sie in das Unternehmen ein- und ausgeht.

Kiteworks unterstützt fast 90% der CMMC 2.0 Level 2-Compliance-Kontrollen out of the box. Infolgedessen können DoD-Auftragnehmer und Subunternehmer ihren CMMC 2.0 Level 2-Akkreditierungsprozess beschleunigen, indem sie sicherstellen, dass sie die richtige Plattform für die Kommunikation sensibler Inhalte haben.

Kiteworks ermöglicht eine schnelle CMMC 2.0-Compliance mit Kernfunktionen und Merkmalen, einschließlich:

  • Zertifizierung mit wichtigen US-Regierungskompatibilitätsstandards und -anforderungen, einschließlich SSAE-16/SOC 2, NIST SP 800-171 und NIST SP 800-172
  • FIPS 140-2 Level 1-Validierung
  • FedRAMP autorisiert für Moderate Impact Level CUI
  • AES 256-Bit-Verschlüsselung für Daten im ruhenden Zustand, TLS 1.2 für Daten während der Übertragung und alleiniger Verschlüsselungsschlüsselbesitz

Um mehr über Kiteworks zu erfahren, vereinbaren Sie noch heute eine individuelle Demo.

Zusätzliche Ressourcen

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

まずは試してみませんか?

Kiteworksを利用すれば、規制コンプライアンスの確保やリスク管理を簡単かつ効果的に始められます。すでに多くの企業に我々のコンテンツ通信プラットフォームを安心して活用してもらっています。ぜひ、以下のオプションからご相談ください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks