Was sind die Anforderungen für die FIPS Compliance, und wie hängen FIPS, NIST und FISMA zusammen? Wir haben alle wichtigen Punkte für einen vollständigen Überblick über FIPS zusammengefasst.

Was bedeutet FIPS? FIPS steht für Federal Information Processing Standards und ist ein Programm, das vom NIST (National Institute of Standards and Technology) und dem US-Handelsministerium überwacht wird und bestimmte Sicherheitsstandards für Daten und Verschlüsselung vorschreibt.

Was versteht man unter FIPS und warum sind sie wichtig für die Cybersicherheit?

Federal Information Processing Standards (FIPS) sind Sicherheitsstandards zur Gewährleistung der Compliance im Bereich der Cybersicherheit bei den US-Bundesbehörden und im Verteidigungsbereich, wobei der Schwerpunkt auf der Datenverschlüsselung liegt.

Die Verschlüsselung ist ein notwendiger Bestandteil fast aller heute implementierten Compliance-Frameworks für die Cybersicherheit, und das gilt auch für US-Behörden und ihre Auftragnehmer. Die Verschlüsselung schützt Daten im ruhenden Zustand oder bei der Übertragung vor unbefugter Einsichtnahme und dient als eines der wichtigsten Bollwerke gegen Datendiebstahl.

Unternehmen, die Verschlüsselung einsetzen, sollten keine veralteten oder kompromittierten Algorithmen verwenden, die die Daten nicht ausreichend schützen. Zur Unterstützung einer modernen, effektiven Verschlüsselung für geschützte Daten, die von Regierungsbehörden und selbst privaten Unternehmen verwendet werden, hat die US-Regierung diese Standards zur öffentlichen Verwendung freigegeben. Sie konzentrieren sich auf verschiedene Themenbereiche, vor allem Verschlüsselung und Kryptografie, und werden vom National Institute of Standards and Technology (NIST) überwacht. Diese Vorgaben dienen vor allem dazu, Lücken bei den Verschlüsselungsstandards zu schließen, wenn es für eine bestimmte Anwendung keine akzeptablen Industriestandards gibt.

Sind diese Vorschriften für staatliche Behörden immer einzuhalten? Nicht unbedingt. Einige US-Compliance-Standards enthalten keine Verfahrensstandards, während andere mehrere enthalten können. Außerdem können diese Standards von jedermann verwendet werden, und oft übernehmen private Unternehmen diese Standards über ihre eigenen Branchenanforderungen hinaus.

Welche sind die aktuellen FIPS-Standards?

Gegenwärtig sind mehrere aktualisierte FIPS in Gebrauch. Diese FIPS decken verschiedene Verschlüsselungsstandards ab und können zusammen oder einzeln zur Untermauerung von Verschlüsselungsstandards oder als Teil größerer Compliance-Frameworks verwendet werden.

Zu den derzeit praktisch angewandten FIPS gehören die folgenden:

FIPS 140-2

FIPS 140-2 wurde erstmals 2001 veröffentlicht und ist vielleicht eine der am weitesten verbreiteten Implementierungen kryptografischer Kontrollen. Der Standard definiert adäquate Kryptografiestufen für den Schutz von Behördendaten und stellt sicher, dass die von privaten Unternehmen hergestellten kryptografischen Module diese Sicherheitsstufen erfüllen können. Darüber hinaus gliedert FIPS 140-2 die kryptografische Sicherheit in vier verschiedene Stufen mit jeweils zunehmenden Datenschutz-, Datenisolierungs- und Verwaltungskontrollen. Dieser Standard bezieht sich nicht auf bestimmte Verschlüsselungsalgorithmen. Doch aufgrund der sich ständig weiterentwickelnden Sicherheitsanforderungen muss ein geeigneter Verschlüsselungsalgorithmus die Kriterien des Dokuments erfüllen. Derzeit entsprechen AES-128, AES-192 und AES-256 den Standards.

Häufig wird in Dokumenten auf die Einhaltung von FIPS 140-2 verwiesen. Dies bezieht sich nicht darauf, dass ein Unternehmen die Vorschriften einhält, sondern vielmehr auf die Kryptografie, die ein Unternehmen als Teil seiner Produkte oder Systeme implementiert hat.

Vor kurzem wurde FIPS 140-3 verabschiedet. Allerdings wird FIPS 140-2 noch immer in Behörden implementiert, so dass es nach wie vor der Standard ist, auf den die meisten Compliance-Dokumente verweisen.

FIPS 180-4

FIPS 180-4, ursprünglich 2008 veröffentlicht und im Jahr 2015 aktualisiert, legt geeignete Hash-Algorithmen zur Entwicklung von Message Digests fest. In der Kryptografie ist ein “Digest” eine alphanumerische Zeichenfolge, die durch Hashing einer Information erstellt wird. Dieser Digest ist einzigartig für den betreffenden Inhalt und ändert sich nur, wenn sich der Kerninhalt ändert. Digests sind für die Gewährleistung der Integrität der übertragenen Informationen von entscheidender Bedeutung.

FIPS 186-4

Der 2013 veröffentlichte Standard FIPS 186-4 definiert eine Reihe von Algorithmen zur Entwicklung digitaler Signaturen. Ähnlich wie beim Hashing können digitale Signaturen dabei helfen, zu belegen, dass die Daten nicht verändert wurden. Darüber hinaus können Signaturen auch verwendet werden, um die Identität des Absenders zu überprüfen. In dieser Veröffentlichung werden Signatur-Algorithmen definiert, die drei Techniken verwenden: Digital Security Algorithm (DSA), Elliptic Curve Digital Signature Algorithm (ECDSA), und Rivest-Shamir-Adleman (RSA).

FIPS 197

FIPS 197 definiert den Advanced Encryption Standard (AES). AES verwendet symmetrische Blockchiffrierverfahren zur Verschlüsselung mit der Möglichkeit, kryptografische Schlüssel verschiedener Größen (128, 192 und 256 Bit) zu erzeugen. Größere kryptografische Schlüssel entsprechen komplexeren Verschlüsselungsstandards. Die AES-Verschlüsselungsstandards gelten als FIPS 140-2-konform und sind für viele Anforderungen des privatwirtschaftlichen Sektors mehr als geeignet.

FIPS 198-1

FIPS 198-1 wurde 2008 veröffentlicht und definiert eine Hash-Schlüssel-Authentifizierungsmethode, bei der gemeinsam genutzte geheime Schlüssel, so genannte Message Authentication Codes, zusammen mit kryptografischen Hash-Funktionen, so genannten Hash Message Authentication Codes, verwendet werden.

FIPS 199

FIPS 199 ist eine Veröffentlichung aus dem Jahr 2004, in der definiert wird, wie IT-Experten und Verantwortliche für Technologie die Systeme der US-Bundesbehörden auf der Grundlage ihrer jeweiligen Anforderungen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit organisieren sollten. Die Sicherheitsstufen (Impact Levels) definieren, wie kritisch die in diesen Systemen enthaltenen Informationen sind und wie schädlich der Verlust dieser Daten für die Behörden und Bürger wäre. FIPS 199 unterteilt die Bedeutung von Informationssystemen in geringe, mäßige und schwerwiegende Auswirkungsgrade mit jeweils steigenden Sicherheitsanforderungen. Andere Frameworks, namentlich FedRAMP, stützen sich auf FIPS 199 für ihre eigenen Compliance- und Security Level-Bestimmungen.

FIPS 200

FIPS 200 ist eine Veröffentlichung aus dem Jahr 2006, die SP 800-26 ablöste und die Mindestsicherheitsanforderungen für US-Behörden im Rahmen des Information Technology Management Reform Act von 1996 (FISMA) definiert. Zusammen mit NIST SP 800-53 dient der Standard als Eckpfeiler für die nationale Cybersicherheit, einschließlich des Cybersecurity Framework (CSF) und des Risk Management Framework.

FIPS 201-2

FIPS 201-2 wurde 2013 veröffentlicht und umfasst eine Reihe von Standards zur Überprüfung der Identitäten von US-Bundesbediensteten und Auftragnehmern. Identifizierung und Authentifizierung sind anspruchsvolle Verfahren, und dieses Dokument enthält Anforderungen für Verfahren wie physische Identifizierung, biometrische Authentifizierung und Identitätsnachweis. Es enthält auch Standards (oder verweist auf externe Standards) für Verfahren wie die Sicherung von Authentifizierungsdaten.

FIPS 202

FIPS 202 definiert Secure Hash Algorithm 3 für Hashing, digitale Signaturen und andere kryptografische Anwendungen. Dieser Hash-Algorithmus ergänzt die in FIPS 180-4 beschriebenen Secure Hash Algorithmen, um eine starke Authentifizierung und Integritätssicherung von Informationen zu unterstützen.

Diese Regeln sind nicht in Stein gemeißelt. Da sich die Technologie weiterentwickelt und neue Sicherheitsanforderungen entstehen, werden Standards oft zurückgezogen, überarbeitet und durch modernere Standards ersetzt. So wurde z. B. FIPS 46-3 (Data Encryption Standard) 2005 zurückgezogen, weil er nicht mehr den Mindestanforderungen an die Sicherheit der Bundesbehörden entsprach. Wenn einzelne Veröffentlichungen zurückgezogen werden, werden in der Regel neue hinzugefügt, um die Mängel zu beseitigen.

Was sind die FIPS Compliance-Anforderungen?

Tatsächlich kann die Einhaltung gesetzlicher Vorgaben viele verschiedene Aspekte umfassen, die sich im Laufe der Zeit ändern können. In den meisten Fällen beziehen sich Compliance-Rahmenwerke mit spezifischen Verschlüsselungsstandards auf eine Veröffentlichung. So enthalten beispielsweise fast alle behördlichen Compliance-Standards eine oder mehrere Anforderungen (oft FIPS 140-2 und einige auch FIPS 199), um die verschiedenen Stufen der Compliance zu definieren.

Die Einhaltung gesetzlicher Vorgaben bezieht sich oft nur auf bestimmte Teile eines Compliance-Framework. So kann sich ein Unternehmen vielleicht nicht selbst um die Compliance kümmern müssen, aber es kann nach Technologieanbietern oder Produkten suchen, die bestimmte Spezifikationen einhalten. Ein Unternehmen, das in einer Branche tätig ist, die bestimmte Arten der Verschlüsselung vorschreibt, kann beispielsweise FIPS 140-2-konforme Produkte und Dienste erwerben und verwenden.

FIPS Compliance und konforme Technologie im Auge behalten

FIPS ist nicht nur für Regierungsbehörden bestimmt. Die in diesen Dokumenten beschriebenen Techniken und Technologien sind auch für private Unternehmen von Nutzen. Viele entscheiden sich dafür, die Richtlinien zu befolgen, um ihren Kunden eine starke Technologie oder IT-Infrastruktur zum Schutz der Kundendaten anzubieten.

Erfahren Sie mehr über Kiteworks und die FIPS Compliance. Wenn Sie mehr darüber wissen möchten, inwiefern Kiteworks FIPS-konform ist und umfassende Verwaltungsfunktionen für Inhalte bietet, die innerhalb Ihres Unternehmens und über die Unternehmensgrenzen hinaus übertragen werden, vereinbaren Sie einen Termin für eine Demo.

 

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Teilen
Twittern
Teilen
Explore Kiteworks