Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Warum FIPS 140-3-Verschlüsselung für den Datenzugriff von KI-Agents wichtig ist

Warum FIPS 140-3-Verschlüsselung für den Datenzugriff von KI-Agents wichtig ist

von Bob Ertl updated März 25, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Die meisten Unternehmen, die KI-Agents mit regulierten Daten einsetzen, gehen davon aus, dass sie das Thema Verschlüsselung abgedeckt haben. Die API-Aufrufe nutzen TLS. Die Daten im ruhenden Zustand sind mit AES-256 verschlüsselt. Der Anbieter des Modells hat eine Sicherheitsseite, auf der Verschlüsselung erwähnt wird. Das Häkchen ist gesetzt.

Das reicht nicht. Zumindest nicht für Compliance-Zwecke. CMMC SC.3.177 verlangt FIPS-validierte Kryptografie – nicht einfach starke Kryptografie, sondern validierte Kryptografie. Die HIPAA-Änderungen der Security Rule für 2025 machen die Verschlüsselung von ePHI verpflichtend und fordern validierte kryptografische Module. FedRAMP Moderate verlangt FIPS 140-validierte Verschlüsselung in allen Bereichen. Die Anforderung lautet nicht „verwenden Sie AES-256″, sondern „verwenden Sie ein kryptografisches Modul, das von NIST für die korrekte Implementierung von AES-256 validiert wurde“. Das ist ein Unterschied – und genau in dieser Lücke scheitern derzeit viele KI-Agent-Deployments.

In diesem Beitrag erfahren Sie, was FIPS 140-3-Validierung tatsächlich bedeutet, an welchen Stellen KI-Agent-Datenpfade Verschlüsselungslücken in ansonsten konformen Umgebungen verursachen und warum validierte Verschlüsselung an jedem Punkt der Agent-Pipeline das dritte grundlegende Governance-Prinzip ist – nach authentifizierter Identität und ABAC-Policy –, das regulierte KI-Deployments benötigen.

Executive Summary

Kernaussage: FIPS 140-3-Validierung ist kein Maßstab für die Stärke der Verschlüsselung. Sie ist eine Zertifizierung, dass ein spezifisches kryptografisches Modul – eine Softwarebibliothek, ein Hardwaregerät oder eine Firmware-Komponente – von einem akkreditierten Labor getestet und von NIST validiert wurde, um genehmigte kryptografische Algorithmen unter definierten Betriebsbedingungen korrekt zu implementieren. Ein KI-Agent-Datenpfad, der nicht validiertes AES-256 verwendet, ist nicht FIPS-konform. Ein KI-Agent-Datenpfad, der FIPS 140-3-validierte Module an jedem Übertragungs- und Speicherpunkt einsetzt, ist es.

Warum das wichtig ist: KI-Agent-Inferenzpipelines führen zahlreiche Übertragungs- und Speicherpunkte ein, die die meisten Unternehmen nicht auf FIPS-Validierung geprüft haben: API-Gateways, Modell-Hosting-Umgebungen, Vektordatenbanken, temporäre Inferenz-Caches, Ausgabekanäle. Jeder davon ist eine potenzielle Verschlüsselungslücke. Für Rüstungsunternehmen ist dies ein CMMC-SC.3.177-Befund. Für Gesundheitsorganisationen ein Mangel an der HIPAA Security Rule. Für Bundesauftragnehmer insgesamt ein Compliance-Verstoß gegen FISMA und FedRAMP. Die erforderliche Prüfung ist einfach – aber die meisten Unternehmen haben sie für ihre KI-Infrastruktur nicht durchgeführt.

wichtige Erkenntnisse

  1. FIPS 140-3-Validierung ist eine Modulzertifizierung, keine Algorithmusspezifikation. Die Frage ist nicht „Verwendet dieses System AES-256?“, sondern „Erscheint das kryptografische Modul, das AES-256 in diesem System implementiert, auf der NIST Cryptographic Module Validation Program-Liste?“ Nicht validierte Implementierungen genehmigter Algorithmen erfüllen die FIPS-Anforderungen nicht.
  2. KI-Inferenzpipelines haben mehrere Übertragungs- und Speicherpunkte, die jeweils separat bewertet werden müssen. Die TLS-Verbindung von der Anwendung zum API-Gateway. Die Verbindung vom Gateway zum Modellhost. Der temporäre Arbeitsspeicher des Modells. Die Vektordatenbank. Der Ausgabecache. Die FIPS-Validierung auf Anwendungsebene bestätigt nicht die Validierung aller nachgelagerten Komponenten.
  3. Multi-Tenant-Cloud-KI-Infrastrukturen liefern standardmäßig selten FIPS-Validierungsnachweise. Allgemeine kommerzielle KI-Plattformen sind nicht darauf ausgelegt, die bundesweiten Anforderungen an kryptografische Validierung zu erfüllen. Unternehmen, die solche Plattformen für regulierte Daten-Workflows einsetzen, müssen gezielt FIPS-Modul-Validierungszertifikate anfordern – und werden oft feststellen, dass diese nicht vorliegen.
  4. FIPS 140-3 ersetzt FIPS 140-2 für neue Validierungen. NIST hat das Programm im September 2021 auf FIPS 140-3 umgestellt. Unternehmen und Anbieter, die sich weiterhin nur auf FIPS 140-2 beziehen, sollten prüfen, ob ihre Module nach dem aktuellen Standard revalidiert wurden. Neue Beschaffungen sollten explizit FIPS 140-3-Validierung verlangen.
  5. Validierte Verschlüsselung ist die Schicht, die den Rest des Governance-Stacks absichert. Authentifizierte Identität und ABAC-Policy verhindern unbefugten Zugriff. Validierte Verschlüsselung stellt sicher, dass Daten auch bei unbeabsichtigter Übertragung nicht lesbar sind. Die drei Kontrollen ergänzen sich – jede adressiert einen anderen Fehlermodus. Verschlüsselung ohne Zugriffskontrolle macht Daten für jeden zugänglich, der Zugriff erhält. Zugriffskontrolle ohne validierte Verschlüsselung lässt Daten während der Übertragung für Abhörende lesbar.

Was FIPS 140-3-Validierung tatsächlich bedeutet

Der Federal Information Processing Standard 140-3 ist ein US-Standard, der die Sicherheitsanforderungen für kryptografische Module zur Absicherung sensibler Informationen festlegt. Die Verwaltung erfolgt durch NIST im Rahmen des Cryptographic Module Validation Program (CMVP). Ein Modul erhält die Validierung, indem es von einem akkreditierten Drittanbieterlabor nach den Anforderungen des Standards getestet wird; NIST stellt das endgültige Validierungszertifikat aus.

Die Validierung umfasst vier Sicherheitsstufen – von Level 1 (grundlegende Anforderungen, reine Software-Implementierungen zulässig) bis Level 4 (höchste physische Sicherheit, manipulationssicher und -reaktiv). Für die meisten regulierten Unternehmensanwendungen – einschließlich Gesundheitswesen, Finanzdienstleistungen und Rüstungsaufträge – gilt FIPS 140-3 Level 1 als relevante Anforderung. Entscheidend ist: Jede FIPS-Validierung setzt voraus, dass das Modul tatsächlich getestet und zertifiziert wurde – nicht nur, dass genehmigte Algorithmen verwendet werden.

Was die Validierung bescheinigt: Das Modul implementiert den genehmigten Algorithmus korrekt. Die Schlüsselverwaltungsfunktionen sind korrekt umgesetzt. Die Selbsttests des Moduls funktionieren wie vorgeschrieben. Die Sicherheitsdokumentation des Moduls ist vollständig und korrekt. Was die Validierung nicht bescheinigt: Dass das System, das das Modul verwendet, insgesamt sicher ist. Ein FIPS-validiertes kryptografisches Modul in einem ansonsten schlecht gesicherten System bleibt ein schlecht gesichertes System – erfüllt aber die kryptografischen Anforderungen von CMMC, HIPAA, FedRAMP und NIST 800-171.

FIPS 140-2 vs. FIPS 140-3

NIST hat das CMVP im September 2021 offiziell auf FIPS 140-3 umgestellt; FIPS 140-2-Validierungen werden für neue Einreichungen nach September 2026 nicht mehr akzeptiert. Unternehmen sollten wissen, dass viele bestehende Anbieterzertifizierungen weiterhin auf FIPS 140-2 verweisen. Für aktuelle Beschaffungen und Compliance-Prüfungen gilt FIPS 140-3 als Standard – und diese Unterscheidung ist entscheidend, wenn Sie KI-Infrastruktur-Anbieter bewerten, deren Sicherheitsdokumentation sich auf den älteren Standard bezieht.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Wo KI-Agent-Pipelines Verschlüsselungslücken verursachen

Ein typischer KI-Agent-Datenpfad in einer regulierten Umgebung umfasst mehr Übertragungs- und Speicherpunkte, als die meisten Compliance-Prüfungen berücksichtigen. Jeder davon ist eine potenzielle FIPS-Validierungslücke – nicht unbedingt, weil Verschlüsselung fehlt, sondern weil das eingesetzte kryptografische Modul möglicherweise nicht validiert ist.

Pipeline-Komponente Gefährdete Daten Typische Validierungslücke
Anwendung zu API-Gateway Regulierte Daten im Request-Payload des Agents TLS-Implementierung verwendet möglicherweise Standard-OpenSSL-Build, kein FIPS-validiertes Modul
API-Gateway zu Modellhost Prompt-Kontext inkl. regulierter Daten für die Inferenz Interner Cloud-Provider-Transit oft außerhalb des validierten Verschlüsselungsbereichs
Modell-Inferenzumgebung Regulierte Daten im Arbeitskontextfenster während der Inferenz GPU-Speicher und Inferenzlaufzeit haben typischerweise keinen FIPS-Validierungsstatus
Vektordatenbank (RAG) Eingebettete Repräsentationen regulierter Daten für die Suche Vektordatenbank-Verschlüsselung nutzt oft nicht validierte Bibliotheken
Temporärer Ausgabecache Agent-Ausgabe, die regulierte Daten enthält oder daraus abgeleitet ist Cache-Speicher häufig unverschlüsselt oder mit nicht validierter Verschlüsselung
Ausgabe-Übertragungskanal Endgültige Agent-Ausgabe an nachgelagerte Systeme oder Anwender Übertragung nutzt ggf. Standard-TLS ohne bestätigte FIPS-Modul-Validierung

Die praktische Folge: Ein Unternehmen, das auf Anwendungsebene FIPS 140-3-validierte Verschlüsselung einsetzt – also ein validiertes Modul für seinen primären Datenspeicher und die Kommunikation nutzt –, kann dennoch eine komplett nicht validierte Verschlüsselung in der darüberliegenden KI-Inferenzpipeline haben. Der FIPS-Validierungsstatus des primären Datenspeichers sagt nichts über die Validierung von API-Gateway, Modellhost, Vektordatenbank und Ausgabecache, die der KI-Agent verwendet.

Das Multi-Tenant-Cloud-Problem

Allgemeine kommerzielle KI-Plattformen – große LLM-APIs, KI-Orchestrierungsdienste, Vektordatenbank-Anbieter – sind für breite Unternehmensanwendung gebaut, nicht für die Einhaltung bundesweiter kryptografischer Validierung. Ihre Sicherheitsdokumentation erwähnt möglicherweise Verschlüsselung, verweist auf branchenübliche Algorithmen und enthält verschiedene Sicherheitszertifikate. Was sie in der Regel nicht enthalten, sind NIST-CMVP-Validierungszertifikate für die spezifischen kryptografischen Module, die in den Komponenten verwendet werden, die während der KI-Inferenz regulierte Daten verarbeiten.

Das ist eine strukturelle Lücke: Der kommerzielle KI-Markt wurde nicht für FIPS 140-3-Anforderungen konzipiert, und die meisten Anbieter pflegen keine CMVP-validierten Module als Standardfunktion ihrer Plattformen. Rüstungsunternehmen und Bundesbehörden haben dies für Primärsysteme gelöst, indem sie FedRAMP-autorisierte Cloud-Services und behördenspezifische Produktvarianten verlangen. Nur wenige haben diese Prüfung auf die KI-Inferenzebene ausgeweitet, die sie nun auf denselben Systemen einsetzen.

So bewerten und schließen Sie Verschlüsselungslücken bei KI-Agent-Deployments

1. Jede Verschlüsselungsgrenze im Agent-Datenpfad erfassen

Erstellen Sie eine vollständige Übersicht über jeden Punkt, an dem regulierte Daten im KI-Agent-Pipeline übertragen oder gespeichert werden: vom Ursprungsdatenspeicher über die Agent-Orchestrierungsschicht, das API-Gateway, die Modell-Hosting-Umgebung, alle Retrieval-Datenbanken, die Ausgabeverarbeitung bis zur finalen Auslieferung. Identifizieren Sie für jeden Punkt das kryptografische Modul, das die Verschlüsselung bereitstellt. Das ist nicht gleichbedeutend mit der Identifikation des Algorithmus – es geht um die spezifische Softwarebibliothek oder Hardware, die diesen Algorithmus implementiert.

2. Für jedes Modul den CMVP-Validierungsstatus prüfen

Vergleichen Sie jedes identifizierte kryptografische Modul mit der NIST-CMVP-Liste der validierten Module, verfügbar unter csrc.nist.gov. Ein Modul, das nicht auf der Liste steht – oder dessen Validierung abgelaufen ist –, ist unabhängig vom implementierten Algorithmus nicht FIPS-konform. Fordern Sie bei Anbieter-Infrastruktur die CMVP-Zertifikatsnummer direkt an. Ein Anbieter, der für die Komponenten, die Ihre regulierten Daten verarbeiten, keine CMVP-Zertifikatsnummer liefern kann, bietet für diese Komponente keine FIPS-validierte Verschlüsselung.

3. Lücken und Maßnahmen dokumentieren

Dokumentieren Sie für jede Pipeline-Komponente, bei der validierte Verschlüsselung fehlt oder unbestätigt ist, die Lücke, die gefährdeten regulierten Daten und die zutreffende Compliance-Anforderung. Diese Dokumentation dient zwei Zwecken: Sie definiert den Maßnahmenplan zur Schließung der Lücken und belegt gegenüber Prüfern, dass das Unternehmen die erforderliche Risikoanalyse durchgeführt und einen Plan zur Behebung erstellt hat. Unternehmen im CMMC-Audit sollten diese Unterlagen bereithalten – sie werden regelmäßig als Nachweis angefordert.

4. FIPS 140-3-Validierung in KI-Anbieterverträgen verlangen

Ergänzen Sie KI-Anbieterverträge um FIPS 140-3-Modul-Validierungsanforderungen für jeden Anbieter, dessen Infrastruktur regulierte Daten verarbeitet. Die Anforderung sollte die Validierung jeder Komponente umfassen, nicht nur der primären Speicherschicht. Zudem sollten Anbieter verpflichtet werden, das Unternehmen zu informieren, wenn validierte Module aktualisiert, ersetzt oder der Validierungsstatus geändert wird – denn CMVP-Zertifikate sind versionsspezifisch und ein Software-Update kann eine frühere Zertifizierung ungültig machen.

So stellt Kiteworks FIPS 140-3-validierte Verschlüsselung für KI-Agent-Datenzugriffe bereit

Das Private Data Network von Kiteworks basiert auf FIPS 140-3-Level-1-validierter Verschlüsselung für alle Daten während der Übertragung und im ruhenden Zustand. Diese Validierung umfasst den gesamten Datenpfad, über den KI-Agent-Interaktionen mit regulierten Daten verarbeitet werden – nicht nur die primäre Speicherschicht, sondern jede Komponente der Governance-Architektur, die regulierte Daten verarbeitet.

Wenn ein KI-Agent über Kiteworks auf regulierte Daten zugreift, nutzt jeder Übertragungs- und Speicherprozess validierte kryptografische Module. Die gleiche validierte Verschlüsselung, die den Zugriff menschlicher Anwender auf regulierte Daten schützt, schützt automatisch auch den KI-Agent-Zugriff – denn die Governance-Schicht sitzt zwischen Agent und Daten, und jede Datenbewegung läuft über diese Schicht. Eine separate KI-spezifische Verschlüsselungsprüfung ist nicht erforderlich; die FIPS-Validierung gilt architekturbedingt auch für KI-Agent-Datenzugriffe.

Für Rüstungsunternehmen bedeutet das: SC.3.177 ist für KI-Agent-CUI-Interaktionen erfüllt und die CMVP-Zertifikatsdokumentation kann direkt an C3PAO-Prüfer übergeben werden. Für Gesundheitsorganisationen sind die verpflichtenden Verschlüsselungsanforderungen der HIPAA-Security-Rule-Änderungen 2025 für KI-Agent-PHI-Zugriffe erfüllt. Für Bundesauftragnehmer insgesamt gilt die FedRAMP-Moderate-Autorisierung der Kiteworks-Plattform auch für KI-Agent-Workflows, die darüber laufen.

Validierte Verschlüsselung ist nicht die sichtbarste Governance-Kontrolle für KI – sie arbeitet unter der Oberfläche jeder Datenbewegung. Aber sie ist die Schicht, die sicherstellt, dass authentifizierte Identität und ABAC-Policy nicht durch Daten, die während der Übertragung lesbar sind, ausgehebelt werden. Zusammen bilden die drei Kontrollen – Identität, Policy und validierte Verschlüsselung – den Governance-Stack, der jede KI-Agent-Interaktion mit regulierten Daten absichert. Erfahren Sie mehr über Kiteworks Compliant AI oder vereinbaren Sie eine Demo.

Häufig gestellte Fragen

CMMC SC.3.177 verlangt FIPS-validierte Kryptografie – konkret kryptografische Module, die auf der NIST-CMVP-Liste der validierten Module stehen. Die Nutzung von AES-256 in einer nicht validierten Implementierung erfüllt diese Anforderung nicht. Ein C3PAO-Prüfer wird nach CMVP-Zertifikatsnummern fragen, nicht nach Algorithmus-Beschreibungen. Kann Ihr KI-Infrastruktur-Anbieter für die Komponenten, die CUI verarbeiten, keine Zertifikate vorlegen, liegt ein SC.3.177-Befund vor – unabhängig von der Verschlüsselungsstärke.

Die Änderungen 2025 verlangen, dass ePHI während der Übertragung und im ruhenden Zustand mit validierten kryptografischen Modulen verschlüsselt wird – nicht nur mit starken Algorithmen. Für KI-Agent-Deployments bedeutet das: Jede Komponente der Inferenzpipeline, die PHI verarbeitet – API-Gateways, Modellhosts, Vektordatenbanken, Ausgabecaches – muss FIPS-validierte Verschlüsselung einsetzen. Die HIPAA-Security-Rule-Anforderung gilt für den gesamten Datenpfad, nicht nur für das primäre Speichersystem.

Fordern Sie für jedes kryptografische Modul, das der Anbieter in Komponenten zur Verarbeitung Ihrer regulierten Daten verwendet, die NIST-CMVP-Zertifikatsnummer an. Überprüfen Sie diese Nummer dann in der NIST-CMVP-Liste der validierten Module unter csrc.nist.gov. Ein Anbieter, der seine Verschlüsselung als „FIPS-konform“ oder „AES-256″ beschreibt, aber keine CMVP-Zertifikatsnummer liefert, hat keine FIPS 140-3-Validierung nachgewiesen. Die Zertifikatsnummer ist der einzige überprüfbare Nachweis für den Validierungsstatus.

Nicht automatisch. Die FedRAMP-Autorisierung gilt für den autorisierten Service-Perimeter. KI-Inferenzkomponenten – Orchestrierungsschicht, API-Gateways, Modellhosting, Vektordatenbanken –, die Sie auf einer FedRAMP-autoriserten Plattform ergänzen, sind nicht automatisch im Autorisierungsbereich enthalten, es sei denn, sie sind explizit eingeschlossen. Jede hinzugefügte Komponente benötigt eine eigene FIPS-Validierungsprüfung. Die FedRAMP-Autorisierung der zugrunde liegenden Plattform bildet eine solide Basis, ersetzt aber nicht die Validierung der darüberliegenden KI-Komponenten.

Die drei Kontrollen adressieren unterschiedliche Fehlerszenarien. Authentifizierte Identität und Delegationskette verhindern unbefugten Zugriff, indem sie sicherstellen, dass nur ordnungsgemäß autorisierte Agents auf regulierte Daten zugreifen können. ABAC-Policy stellt sicher, dass auch autorisierte Agents nur auf die Daten zugreifen, die sie für ihren aktuellen Workflow benötigen. Validierte Verschlüsselung sorgt dafür, dass abgefangene Daten während der Übertragung – sei es durch einen Angreifer im Netzwerk oder eine unautorisierte Komponente in der Inferenzpipeline – nicht lesbar sind. Jede Schicht schließt eine Lücke, die die anderen nicht abdecken. Zusammen bilden sie einen Governance-Stack, bei dem ein Ausfall in einer Schicht nicht das Gesamtsystem kompromittiert.

Weitere Ressourcen

  • Blog Post
    Zero‑Trust-Strategien für erschwinglichen KI-Datenschutz
  • Blog Post
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91 % der kleinen Unternehmen 2025 russisches Roulette mit der Datensicherheit spielen
  • Blog Post
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blog Post
    Regulierungsbehörden fragen nicht mehr, ob Sie eine KI-Policy haben. Sie wollen den Nachweis, dass sie funktioniert.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks