News
IT-Sicherheit-News
Zertifizierungen von Hardware-Sicherheitsmodulen
Hardware-Sicherheitsmodule müssen strenge Anforderungen erfüllen, um in bestimmten Märkten und Anwendungsbereichen zugelassen zu werden. Die wichtigsten Zertifizierungen in diesem Kontext sind:
FIPS 140-2 / FIPS 140-3
Die bedeutendste Zertifizierung für Hardware-Sicherheitsmodule ist FIPS 140-2, die von der US-Behörde National Institute of Standards and Technology (NIST) herausgegeben und vom Cryptographic Module Validation Program (CMVP) validiert wird. Der Standard definiert Mindestanforderungen an kryptografische Module für den Einsatz in US-Regierungsbehörden – wird aber auch weltweit seit vielen Jahren von Organisationen und Unternehmen gefordert. FIPS 140-2 unterscheidet vier Sicherheitsstufen (Level 1 bis Level 4), wobei Level 1 das niedrigste und Level 4 das höchste Sicherheitsniveau darstellt. Vor einigen Jahren wurde der Standard signifikant überarbeitet und als FIPS 140-3 verabschiedet. Diese überarbeitete Version orientiert sich an globalen Standards wie ISO/IEC 19790:2012 und stellt strengere Anforderungen als sein Vorgänger. Auch FIPS 140-3 unterteilt Sicherheitsanforderungen in vier Level. Seit dem 1. April 2022 werden neue Produktzertifizierungen nur noch nach dem FIPS 140-3 Standard durchgeführt. Bereits erteilte FIPS 140-2 Zertifikate bleiben noch bis maximal September 2026 gültig. Für Hardware-Sicherheitsmodule wird üblicherweise die Sicherheitsstufe Level 3 oder höher gefordert.
Common Criteria
Die Common Criteria for Information Technology Security Evaluation (CC) sind international anerkannte Standards zur Prüfung und Bewertung der Sicherheit von IT-Produkten. Sie definieren sogenannte Evaluation Assurance Level (EAL), die das Vertrauensniveau eines Produkts in sieben Stufen (EAL1 bis EAL7) beschreiben. Die Zertifizierung erfolgt durch akkreditierte Prüfstellen – in Deutschland beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für Hardware-Sicherheitsmodule wird üblicherweise die Prüftiefe EAL4 oder höher gefordert. BSI-Zulassungen für Verschlusssachen (VS) Verarbeitung
Für sicherheitskritische Anwendungen im deutschen Behördenumfeld führt das BSI spezielle Zulassungsverfahren für IT-Produkte durch. Dabei wird geprüft, ob Produkte geeignet sind, Verschlusssachen, d.h. geheimhaltungsbedürftige Informationen, sicher zu verarbeiten. Eine BSI-Zulassung ist Voraussetzung für den Einsatz entsprechender Produkte in Bundes- und Landesbehörden sowie in Unternehmen mit Geheimschutzpflichten, wenn diese eingestufte Informationen speichern, verarbeiten oder übertragen. Vergleichbare Zulassungen für die Verarbeitung eingestufter Informationen existieren auf Ebene der EU und der NATO.
Zertifizierungen für den digitalen Zahlungsverkehr
Darüber hinaus gibt es eine Reihe von weltweiten und regionalen Zertifizierungen für HSMs, die zur Verarbeitung von Zahlungstransaktionen eingesetzt werden, z.B. PCI-HSM der Payment Card Industry und die DK-Zertifizierung der Deutschen Kreditwirtschaft.
FIPS 140-2 / FIPS 140-3
Die bedeutendste Zertifizierung für Hardware-Sicherheitsmodule ist FIPS 140-2, die von der US-Behörde National Institute of Standards and Technology (NIST) herausgegeben und vom Cryptographic Module Validation Program (CMVP) validiert wird. Der Standard definiert Mindestanforderungen an kryptografische Module für den Einsatz in US-Regierungsbehörden – wird aber auch weltweit seit vielen Jahren von Organisationen und Unternehmen gefordert. FIPS 140-2 unterscheidet vier Sicherheitsstufen (Level 1 bis Level 4), wobei Level 1 das niedrigste und Level 4 das höchste Sicherheitsniveau darstellt. Vor einigen Jahren wurde der Standard signifikant überarbeitet und als FIPS 140-3 verabschiedet. Diese überarbeitete Version orientiert sich an globalen Standards wie ISO/IEC 19790:2012 und stellt strengere Anforderungen als sein Vorgänger. Auch FIPS 140-3 unterteilt Sicherheitsanforderungen in vier Level. Seit dem 1. April 2022 werden neue Produktzertifizierungen nur noch nach dem FIPS 140-3 Standard durchgeführt. Bereits erteilte FIPS 140-2 Zertifikate bleiben noch bis maximal September 2026 gültig. Für Hardware-Sicherheitsmodule wird üblicherweise die Sicherheitsstufe Level 3 oder höher gefordert.
Common Criteria
Die Common Criteria for Information Technology Security Evaluation (CC) sind international anerkannte Standards zur Prüfung und Bewertung der Sicherheit von IT-Produkten. Sie definieren sogenannte Evaluation Assurance Level (EAL), die das Vertrauensniveau eines Produkts in sieben Stufen (EAL1 bis EAL7) beschreiben. Die Zertifizierung erfolgt durch akkreditierte Prüfstellen – in Deutschland beispielsweise durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Für Hardware-Sicherheitsmodule wird üblicherweise die Prüftiefe EAL4 oder höher gefordert. BSI-Zulassungen für Verschlusssachen (VS) Verarbeitung
Für sicherheitskritische Anwendungen im deutschen Behördenumfeld führt das BSI spezielle Zulassungsverfahren für IT-Produkte durch. Dabei wird geprüft, ob Produkte geeignet sind, Verschlusssachen, d.h. geheimhaltungsbedürftige Informationen, sicher zu verarbeiten. Eine BSI-Zulassung ist Voraussetzung für den Einsatz entsprechender Produkte in Bundes- und Landesbehörden sowie in Unternehmen mit Geheimschutzpflichten, wenn diese eingestufte Informationen speichern, verarbeiten oder übertragen. Vergleichbare Zulassungen für die Verarbeitung eingestufter Informationen existieren auf Ebene der EU und der NATO.
Zertifizierungen für den digitalen Zahlungsverkehr
Darüber hinaus gibt es eine Reihe von weltweiten und regionalen Zertifizierungen für HSMs, die zur Verarbeitung von Zahlungstransaktionen eingesetzt werden, z.B. PCI-HSM der Payment Card Industry und die DK-Zertifizierung der Deutschen Kreditwirtschaft.
Marktplatz IT-Sicherheit: weitere Angebote
BEITRÄGE IT-SICHERHEIT
RATGEBER IT-SICHERHEIT
FORUM IT-SICHERHEIT
IT-COUCH
INTERAKTIVE LISTEN
IT-SICHERHEITSTOOLS
ZERTIFIKATE IT-SICHERHEIT
VERANSTALTUNGEN
ANBIETERVERZEICHNIS/IT-SICHERHEITSLÖSUNGEN