Überblick über FIPS-Compliance-Anforderungen
Was sind die Anforderungen für FIPS-Compliance und wie hängen FIPS, NIST und FISMA zusammen? Wir haben alle wichtigen Aspekte für einen vollständigen FIPS-Überblick zusammengefasst.
Wofür steht FIPS? FIPS steht für Federal Information Processing Standards – ein Programm unter der Aufsicht von NIST und dem Handelsministerium der USA, das spezifische Sicherheitsstandards für Daten und Verschlüsselung vorschreibt.
Was sind FIPS und warum sind sie für die Cybersicherheit wichtig?
Federal Information Processing Standards (FIPS) sind Sicherheitsstandards für die Einhaltung von Cybersecurity-Vorgaben im öffentlichen Sektor und im Verteidigungsbereich, mit besonderem Fokus auf Datenverschlüsselung.
Verschlüsselung ist ein notwendiger Bestandteil nahezu jedes Cybersecurity-Compliance-Frameworks, einschließlich des Cybersecurity Frameworks des National Institute of Standards and Technology (NIST CSF). Das gilt auch für Behörden und deren Auftragnehmer. Verschlüsselung, einschließlich E-Mail-Verschlüsselung, schützt Daten vor unbefugtem Zugriff – sowohl im ruhenden Zustand als auch während der Übertragung – und ist eine der wichtigsten Verteidigungslinien gegen Datendiebstahl.
Organisationen, die Verschlüsselung einsetzen, sollten keine veralteten oder kompromittierten Algorithmen verwenden, die Daten nicht mehr wirksam schützen. Um eine moderne, effektive Verschlüsselung für geschützte Daten bei Behörden und auch privaten Unternehmen zu gewährleisten, hat die US-Regierung diese Standards zur öffentlichen Nutzung bereitgestellt. Die Standards decken verschiedene Bereiche ab, insbesondere Verschlüsselung und Kryptografie, und werden vom National Institute of Standards and Technology (NIST) überwacht. Diese Vorgaben schließen Lücken bei Verschlüsselungsstandards, wenn es für bestimmte Anwendungen keine akzeptierten Industriestandards gibt.
Gelten diese Vorgaben immer für Behörden? Nicht zwingend. Manche Compliance-Standards für Behörden enthalten keine Verarbeitungsvorgaben, andere wiederum mehrere. Die Standards stehen zudem jedem zur Verfügung – viele private Unternehmen übernehmen sie zusätzlich zu ihren eigenen Compliance-Anforderungen.
Wie werden FIPS entwickelt und gepflegt?
Die Entwicklung und Pflege der Federal Information Processing Standards (FIPS) folgt einem strukturierten Lebenszyklus, der vom National Institute of Standards and Technology (NIST) unter der Aufsicht des US-Handelsministers gesteuert wird.
Der Prozess beginnt mit der Identifikation eines Bedarfs – meist ausgelöst durch Anforderungen von Behörden, neue Technologien oder sich wandelnde Bedrohungslagen. NIST veröffentlicht dann in der Regel einen Vorschlag oder Entwurf, für den eine öffentliche Kommentierungsphase eröffnet wird. Hierbei werden Rückmeldungen von Behörden, Industrie, Wissenschaft und Öffentlichkeit eingeholt.
Alle eingereichten Kommentare werden geprüft und NIST passt den Entwurf gegebenenfalls an. Nach Auswertung des Feedbacks und Sicherstellung, dass der Standard die Ziele erfüllt, veröffentlicht NIST die finale FIPS-Publikation. Diese Standards werden regelmäßig – meist alle fünf Jahre – überprüft, um ihre Aktualität und Wirksamkeit sicherzustellen.
Im Rahmen dieser Überprüfung kann NIST einen Standard bestätigen, überarbeiten oder zurückziehen. So wurde beispielsweise der Data Encryption Standard (DES), FIPS 46-3, wegen Schwachstellen zurückgezogen, während FIPS 140-2 aktuell durch das modernisierte FIPS 140-3 ersetzt wird, um internationale Standards wie ISO/IEC 19790 zu erfüllen und aktuellen kryptografischen Anforderungen gerecht zu werden.
Das Verständnis dieses Lebenszyklus ist für Unternehmen, die langfristige FIPS-Compliance anstreben, entscheidend, um Veränderungen frühzeitig zu erkennen und ihre Technologie-Roadmaps entsprechend zu planen.
Wer muss FIPS-konform sein?
Organisationen oder Unternehmen, die die Federal Information Processing Standards (FIPS) einhalten müssen, sind in der Regel solche, die vertrauliche oder sensible Daten verarbeiten. Dazu zählen Behörden, Institutionen mit staatlicher Förderung sowie Unternehmen, die branchenspezifische Vorgaben erfüllen müssen, wie etwa die Health Insurance Portability and Accountability Act (HIPAA). Auch andere Organisationen profitieren von FIPS-Compliance, etwa solche, die personenbezogene Informationen, Banken, Gesundheitseinrichtungen oder Finanzinstitute verarbeiten.
Was bedeutet es, FIPS-konform zu sein?
FIPS-Compliance bedeutet, dass ein Produkt alle erforderlichen Sicherheitsanforderungen der US-Regierung zum Schutz sensibler Informationen erfüllt. Um FIPS-konform zu sein, muss ein Produkt strenge Standards einhalten, umfangreiche Tests bestehen und von NIST zertifiziert werden.
Welche aktuellen FIPS-Standards gibt es?
Es gibt mehrere aktuelle FIPS-Standards, die heute angewendet werden. Sie betreffen unterschiedliche Verschlüsselungsstandards und können einzeln oder kombiniert eingesetzt werden, um Verschlüsselungsstandards zu stärken oder als Teil umfassenderer Compliance-Frameworks.
Zu den derzeit gängigen FIPS-Standards zählen unter anderem:
FIPS 140-2
Erstmals 2001 veröffentlicht, ist FIPS 140-2 einer der am weitesten verbreiteten Standards für kryptografische Kontrollen. Er definiert geeignete Kryptografie-Niveaus zum Schutz von Behördendaten und stellt sicher, dass kryptografische Module privater Unternehmen diese Anforderungen erfüllen. FIPS 140-2 unterteilt die kryptografische Sicherheit in vier Stufen mit jeweils zunehmender Vertraulichkeit, Datenisolation und Managementkontrollen. Der Standard legt keine konkreten Algorithmen fest, aber geeignete Algorithmen müssen die Kriterien des Dokuments erfüllen. Aktuell erfüllen AES-128, AES-192 und AES-256 diese Anforderungen.
Oft ist von FIPS 140-2-Compliance die Rede. Das bezieht sich nicht auf die Compliance einer Organisation, sondern auf die Kryptografie, die ein Unternehmen in seinen Produkten oder Systemen implementiert hat.
FIPS 140-3: Modernisierung der Validierung kryptografischer Module
FIPS 140-3 ist die neueste Weiterentwicklung der Standards zur Validierung kryptografischer Module und löst FIPS 140-2 ab. Das Hauptziel ist die stärkere Angleichung der US-Anforderungen an internationale Standards, insbesondere ISO/IEC 19790:2012.
Kiteworks bietet eine FIPS 140-3 Level 1 Validierung. Erfahren Sie mehr über Kiteworks und FIPS-validierte Verschlüsselung.
Wesentliche Änderungen gegenüber FIPS 140-2 sind angepasste Anforderungen auf allen Sicherheitsstufen, aktualisierte Authentifizierungsstandards und ein stärkerer Fokus auf nicht-invasive Angriffstests. FIPS 140-3 führt zudem das Konzept der „Algorithmus-Agilität“ ein, das Module dazu ermutigt, den Wechsel zu neuen kryptografischen Algorithmen zu unterstützen.
Die Übergangsphase ist in vollem Gange: NIST akzeptiert seit September 2021 keine neuen FIPS 140-2-Validierungsanträge mehr, bestehende FIPS 140-2-Zertifikate bleiben jedoch bis zu fünf Jahre ab Validierungsdatum gültig.
Organisationen, die neue Lösungen mit FIPS-konformer Verschlüsselung benötigen, sollten auf FIPS 140-3-validierte Module setzen. Wer noch FIPS 140-2-validierte Produkte nutzt, muss rechtzeitig auf FIPS 140-3-validierte Alternativen umstellen, bevor die jeweiligen 140-2-Zertifikate ablaufen, um FIPS-Compliance zu gewährleisten.
Wie wird man FIPS 140-2-konform?
Um FIPS 140-2-konform zu werden, müssen Unternehmen kryptografiebasierte Sicherheitsprodukte und -services einsetzen, die als konform mit den von NIST festgelegten Anforderungen validiert wurden. Das gilt sowohl für gekaufte Produkte und Services als auch für Eigenentwicklungen. Zusätzlich müssen Unternehmen wirksame Sicherheitsrichtlinien und -verfahren etablieren und ausschließlich zugelassene kryptografische Algorithmen und Schlüssel verwenden. Schließlich sind auch alle einschlägigen gesetzlichen Vorgaben und branchenspezifischen Gesetze einzuhalten.
Vor Kurzem wurde FIPS 140-3 genehmigt. Allerdings befindet sich die Umsetzung in Behörden noch in der Einführungsphase, weshalb FIPS 140-2 weiterhin der am häufigsten zitierte Standard in Compliance-Dokumenten ist.
FIPS 180-4
FIPS 180-4, ursprünglich 2008 veröffentlicht und zuletzt 2015 aktualisiert, legt geeignete Hash-Algorithmen zur Erstellung von Message-Digests fest. In der Kryptografie ist ein „Digest“ eine alphanumerische Zeichenfolge, die durch das Hashen einer Information entsteht. Dieser Digest ist eindeutig für den jeweiligen Inhalt und ändert sich nur, wenn sich der Kerninhalt ändert. Digests sind entscheidend für die Integrität übertragener Informationen.
FIPS 186-4
Veröffentlicht 2013, definiert FIPS 186-4 einen Algorithmus-Satz für digitale Signaturen. Ähnlich wie beim Hashing helfen digitale Signaturen, die Unverändertheit von Daten zu bestätigen. Zudem können sie zur Verifizierung der Identität des Absenders verwendet werden. Die Publikation beschreibt Signaturalgorithmen mit drei Techniken: Digital Security Algorithm (DSA), Elliptic Curve Digital Signature Algorithm (ECDSA) und Rivest–Shamir–Adleman (RSA).
FIPS 197
FIPS 197 definiert den Advanced Encryption Standard (AES). AES nutzt symmetrische Blockchiffren zur Verschlüsselung und ermöglicht kryptografische Schlüssel mit verschiedenen Längen (128, 192 und 256 Bit). Größere Schlüssel bedeuten komplexere Verschlüsselungsstandards. AES-Verschlüsselung gilt als FIPS 140-2-konform und ist für viele Compliance-Anforderungen im privaten Sektor mehr als ausreichend.
FIPS 198-1
2008 veröffentlicht, definiert FIPS 198-1 eine Authentifizierungsmethode für Hash-Schlüssel unter Verwendung gemeinsamer geheimer Schlüssel, sogenannte Message Authentication Codes, zusammen mit kryptografischen Hash-Funktionen (Hash Message Authentication Codes).
FIPS 199
FIPS 199 ist eine Veröffentlichung aus dem Jahr 2004, die festlegt, wie IT-Experten und Technologieverantwortliche Behördensysteme nach ihrem erforderlichen Maß an Vertraulichkeit, Integrität und Verfügbarkeit klassifizieren sollten. Die Auswirkungen definieren, wie kritisch die in diesen Systemen enthaltenen Informationen sind und wie schädlich ein Datenverlust für Behörden und Bürger wäre. FIPS 199 unterteilt Informationssysteme in niedrige, mittlere und hohe Auswirkungsstufen mit jeweils steigenden Sicherheitsanforderungen. Andere Frameworks, insbesondere FedRAMP, stützen sich für ihre eigenen Compliance- und Sicherheitsstufen auf FIPS 199.
FIPS 200
FIPS 200 ist eine Veröffentlichung aus dem Jahr 2006, die SP 800-26 abgelöst hat und Mindestanforderungen an die Sicherheit für Behörden gemäß Information Technology Management Reform Act von 1996 (FISMA) definiert. Zusammen mit NIST SP 800-53 bildet sie das Fundament der nationalen Cybersecurity, einschließlich Cybersecurity Framework (CSF) und Risk Management Framework.
FIPS 201-2
2013 veröffentlicht, ist FIPS 201-2 ein Standard zur Identitätsüberprüfung von Bundesbediensteten und Auftragnehmern. Identifikation und Authentifizierung sind anspruchsvolle Aufgaben; das Dokument enthält Anforderungen für physische Identifikation, biometrische Authentifizierung und Identitätsprüfung. Zudem werden Standards (oder Verweise auf externe Standards) für die Sicherung von Authentifizierungsdaten beschrieben.
FIPS 202
FIPS 202 definiert den Secure Hash Algorithm 3 für Hashing, digitale Signaturen und andere kryptografische Anwendungen. Dieser Hash-Algorithmus ergänzt die in FIPS 180-4 beschriebenen Secure Hash Algorithms, um eine starke Authentifizierung und Integrität von Informationen zu gewährleisten.
Diese Regeln sind nicht in Stein gemeißelt. Mit dem technologischen Fortschritt und neuen Sicherheitsherausforderungen werden Standards oft zurückgezogen, überarbeitet oder durch modernere ersetzt. So wurde FIPS 46-3 (Data Encryption Standard) 2005 zurückgezogen, da er die Mindestanforderungen für die Sicherheit im öffentlichen Sektor nicht mehr erfüllte. Für zurückgezogene Publikationen werden in der Regel neue Standards eingeführt, die die Lücken schließen.
Windows FIPS-Modus: Hinweise zur Implementierung
Windows bietet eine optionale Sicherheitseinstellung namens „FIPS-Modus“ oder formell „Systemkryptografie: Verwenden von FIPS-konformen Algorithmen für Verschlüsselung, Hashing und Signierung“.
Ist diese Option aktiviert – meist über Gruppenrichtlinie oder lokale Sicherheitsrichtlinie – beschränkt sie das Betriebssystem und zugehörige Komponenten auf die Verwendung ausschließlich FIPS 140-validierter kryptografischer Algorithmen.
Wichtig zu wissen: Die Aktivierung dieses Modus macht Windows nicht vollständig FIPS 140-zertifiziert, sondern stellt lediglich sicher, dass bestimmte kryptografische Operationen des Betriebssystems FIPS-validierte Module nutzen.
Ein häufiger Irrtum ist, diesen Modus mit vollständiger System-FIPS-Compliance gleichzusetzen. Die Aktivierung kann zudem zu Kompatibilitätsproblemen mit älteren Anwendungen führen, die nicht FIPS-zugelassene Algorithmen nutzen – was zu Ausfällen führen kann. Die Performance-Auswirkungen sind meist gering, können aber auftreten.
Organisationen, die den FIPS-Modus aktivieren möchten – insbesondere im Behördenumfeld oder in stark regulierten Branchen mit strengen FIPS-Anforderungen – sollten vor dem breiten Rollout umfassende Tests aller kritischen Anwendungen durchführen. Der Modus sollte primär nur aktiviert werden, wenn dies explizit durch Vertrag oder Regulierung gefordert ist, um unerwünschte Betriebsunterbrechungen zu vermeiden.
Was ist der Unterschied zwischen FIPS 140-2 und FIPS 197?
FIPS 140-2 ist der Standard für kryptografische Module, der von NIST festgelegt wurde. Er definiert die Sicherheitsanforderungen, die ein kryptografisches Modul erfüllen muss, um für bestimmte sichere Anwendungen zertifiziert zu werden. FIPS 197 hingegen ist der spezifische Standard für den Advanced Encryption Standard (AES) und legt die Vorgaben für die Verschlüsselung und Entschlüsselung elektronischer Daten mit dem AES-Algorithmus fest. FIPS 197 ist also ein Teilbereich von FIPS 140-2 und bezieht sich nur auf einen bestimmten Verschlüsselungsalgorithmus und dessen Parameter.
Was sind FIPS-Compliance-Anforderungen?
Tatsächlich kann Compliance vieles bedeuten – und diese Anforderungen ändern sich mit der Zeit. In der Regel beziehen sich Compliance-Frameworks mit spezifischen Verschlüsselungsstandards auf eine Publikation. Fast alle behördlichen Compliance-Standards enthalten eine oder mehrere Vorgaben (häufig FIPS 140-2, teils auch FIPS 199), um verschiedene Compliance-Stufen zu definieren.
Compliance bezieht sich oft nur auf bestimmte Teile eines Frameworks. Ein Unternehmen muss sich nicht zwangsläufig selbst um Compliance sorgen, kann aber nach Anbietern oder Produkten suchen, die bestimmte Vorgaben erfüllen. Beispielsweise kann ein Unternehmen, das bestimmte Verschlüsselungsarten benötigt, FIPS 140-2-konforme Produkte und Services erwerben und einsetzen.
FIPS-konform vs. FIPS-zertifiziert
FIPS-konform bedeutet, dass ein Produkt oder System die Anforderungen einer FIPS-Publikation erfüllt. Der Hersteller erklärt, dass sein Produkt oder System den FIPS-Standards entspricht. Für die Behauptung der FIPS-Compliance ist jedoch keine unabhängige Prüfung oder Verifizierung erforderlich.
FIPS-zertifiziert hingegen bedeutet, dass ein Produkt oder System eine unabhängige Prüfung und Verifizierung durch ein von NIST akkreditiertes Prüflabor durchlaufen hat. Wenn das Produkt oder System alle Anforderungen einer FIPS-Publikation erfüllt, kann es von NIST als konform zertifiziert werden. Die FIPS-Zertifizierung bietet somit ein höheres Maß an Sicherheit, dass ein Produkt oder System die FIPS-Standards tatsächlich erfüllt.
FIPS-Compliance und konforme Technologien berücksichtigen
FIPS ist nicht nur für Behörden relevant. Die in diesen Dokumenten beschriebenen Techniken und Technologien sind auch für private Unternehmen nützlich. Viele setzen die Richtlinien um, um ihren Kunden eine starke technologische Basis oder IT-Infrastruktur zum Schutz von Kundendaten zu bieten.
Erfahren Sie mehr über Kiteworks und FIPS-Compliance. Weitere Informationen darüber, wie Kiteworks FIPS-konform ist und umfassende Governance für Inhalte bietet, die in Ihr Unternehmen gelangen, es durchlaufen oder es verlassen, erhalten Sie in einer Demo.
Blogbeitrag:
