IT-Notfall

FIPS-Zertifizierung

Die FIPS-Zertifizierung (Federal Information Processing Standard) bezieht sich auf die Sicherheitsstandards und -richtlinien, die vom National Institute of Standards and Technology (NIST) der USA festgelegt wurden, um die Sicherheitsanforderungen für Informationssysteme und Softwareprodukte zu definieren. Insbesondere betrifft dies den Bereich der Kryptographie, wo die FIPS 140-2 und der neuere FIPS 140-3 Standard eine entscheidende Rolle spielen. Diese Zertifizierung stellt sicher, dass die eingesetzte Kryptografie den Anforderungen der US-Bundesregierung entspricht, um die Vertraulichkeit, Integrität und Authentizität von Daten zu gewährleisten. FIPS-zertifizierte Produkte werden sowohl in Regierungsbehörden, der kritischen Infrastruktur als auch in der Privatwirtschaft eingesetzt, um Sicherheitslücken in der IT-Infrastruktur zu vermeiden.

Produkte, die für den Einsatz in sicherheitskritischen Bereichen wie Regierungsbehörden, Militär oder Gesundheitswesen entwickelt wurden, sind häufig FIPS-zertifiziert. Die Prüfinstanzen, die diese Zertifizierungen ausstellen, sind akkreditierte Laboratorien, die von NIST anerkannt sind, um die Konformität mit den FIPS-Standards zu überprüfen. Hierzu gehören spezialisierte Organisationen wie das Cryptographic Module Validation Program (CMVP), das die Prüfung und Validierung von Kryptografiemodulen übernimmt.

Anwendungsbereich

Die FIPS-Zertifizierung wird vor allem in der US-amerikanischen Regierung und in Bereichen, die mit ihr zusammenarbeiten, angewendet. Dazu gehören Bundesbehörden, militärische Einrichtungen sowie Unternehmen, die mit vertraulichen Regierungsdaten umgehen, etwa in der Finanz- oder Gesundheitsbranche. Auch internationale Organisationen, die mit US-amerikanischen Behörden zusammenarbeiten, setzen oft auf FIPS-zertifizierte Produkte. FIPS-Zertifizierung ist besonders relevant in sicherheitskritischen Bereichen, in denen Datenintegrität und Datenschutz eine hohe Priorität haben. Unternehmen, die in diesen Bereichen tätig sind, müssen oft sicherstellen, dass ihre Systeme den FIPS-Standards entsprechen, um Verträge mit der US-Regierung oder anderen Organisationen einzugehen. Auch wenn die Zertifizierung selbst nicht immer gesetzlich vorgeschrieben ist, kann sie für viele Organisationen eine Voraussetzung für die Teilnahme an bestimmten Projekten oder Ausschreibungen darstellen. Die FIPS-Zertifizierung ist in erster Linie in den USA relevant, aber auch international anerkannt, insbesondere in Ländern, die mit den USA in sicherheitskritischen Bereichen zusammenarbeiten. Die Zertifizierung selbst ist freiwillig, kann jedoch in vielen Fällen als notwendige Maßnahme angesehen werden, um den Zugang zu öffentlichen Aufträgen oder partnerschaftlichen Projekten sicherzustellen.

Prüfspezifika und Gültigkeit

Bevor eine Zertifizierung stattfinden kann, sind vorbereitende Maßnahmen erforderlich:
  • Identifikation der relevanten Sicherheitsstufe
    • Zunächst wird die erforderliche Sicherheitsstufe für das Produkt bestimmt, basierend auf den spezifischen Anforderungen und dem Risiko, das es abdeckt. Das Spektrum reicht von Level 1 bis 4.
  • Bereitstellung der technischen Dokumentation
    • Alle relevanten technischen Dokumente, wie etwa Systemarchitekturen und Sicherheitskonfigurationen, müssen dem Prüflabor zur Verfügung gestellt werden, um die Zertifizierung zu unterstützen.
  • Durchführung interner Sicherheitsbewertungen
    • Bevor die offizielle Prüfung stattfindet, führt das Unternehmen interne Bewertungen durch, um potenzielle Schwachstellen im Produkt zu identifizieren und zu beheben.
Erfolgt die Evaluierung wird nach folgendem Schema die Prüfung vollzogen:
  1. Definition der Sicherheitsanforderungen
    2. Die Sicherheitsanforderungen werden klar nach der relevanten Sicherheitsstufe festgelegt, um sicherzustellen, dass das Produkt alle relevanten Anforderungen hinsichtlich Kryptographie und Systemintegrität erfüllt.
  2. Sicherheitsprüfung durch ein akkreditiertes Testlabor
    3. Ein akkreditiertes Testlabor führt dann eine umfassende Sicherheitsprüfung des Produkts durch, um zu überprüfen, ob es den festgelegten FIPS-Standards entspricht.
  3. Bewertung durch das CMVP
    4. Das CMVP bewertet die Prüfungsergebnisse und stellt sicher, dass die Implementierung der Kryptographie den FIPS-Vorgaben entspricht.
  4. Erstellung des Prüfberichts und Ausstellung des Zertifikats
    5. Nach Abschluss der Prüfung wird ein Prüfbericht erstellt, der die Ergebnisse dokumentiert, und bei erfolgreicher Validierung wird das Zertifikat ausgestellt. Die Gültigkeit eines FIPS-Zertifikats ist auf fünf Jahre begrenzt und unterliegt regelmäßigen Audits und Überprüfungen. Während der Gültigkeit müssen Unternehmen nachweisen, dass das Produkt weiterhin den Anforderungen der NIST entspricht, insbesondere bei Updates oder Änderungen an der Systemarchitektur. Produkte, die keine fortlaufende Unterstützung für neue Sicherheitsprotokolle bieten, müssen möglicherweise rezertifiziert werden, wenn sich die Anforderungen oder Standards ändern. Die Aufrechterhaltung des Zertifikats erfordert eine kontinuierliche Überwachung der Sicherheitsstandards. Um die Gültigkeit zu bewahren, müssen Unternehmen nach jeder Änderung des Systems sicherstellen, dass die Produkte weiterhin den FIPS-Anforderungen entsprechen. Regelmäßige Sicherheitsüberprüfungen und -tests sind erforderlich, um das Zertifikat aufrechtzuerhalten. Im Fall von wichtigen Änderungen oder Aktualisierungen der Technologie kann eine Rezertifizierung notwendig werden, um sicherzustellen, dass alle Standards und Sicherheitsmaßnahmen auf dem neuesten Stand sind.
Hier geht es zur Liste der Produktzertifikate

Marktplatz IT-Sicherheit: weitere Angebote

Beiträge IT-Sicherheit
newspaper - news - icon
News
IT-Sicherheit-News
artikel paper - artikel - icon
Artikel
IT-Sicherheit-Artikel
Sprechblasen - Blog - Icon
Blog
IT-Sicherheit-Blogeinträge
Büroklammer - Whitepaper - Icon
Whitepaper
IT-Sicherheit-Whitepaper
ITS-Couch
ITS-Couch-Sofa-Icon
Markplatz Formate
Experten sehen & hören
its-couch-podcast-icon
IT-Sicherheit-Podcast
IT-Sicherheit zum hören
its-couch-video-icon
Livestream IT-Sicherheit
Events & Material
Ratgeber IT-Sicherheit
Glühbirne - Ratgeber - Icon
Cyber-Risyk-Check
Hilfestellungen IT-Sicherheit
Dokument mit Stern - Studien - Icon
IT-Sicherheitsstudien
IT-Sicherheit-Studien
Glossar Cyber-Sicherheit - Glossar - Icon
Glossar
Glossar Cyber-Sicherheit
Buch - Icon
Vorlesung Cyber-Sicherheit
Lehrbuch “Cyber-Sicherheit”
IT-Gesetze Icon
IT-Sicherheitsgesetze
Aktueller Gesetzesrahmen
Forum IT-Sicherheit
Datenschutz - Icon
Datenschutz
Diskussionsforum
Penetrationstests - Icon
Penetrationstests
Diskussionsforum
NIS2
NIS2
Diskussionsforum
markplatz_illustration_firstidea_standdertechnik
Stand der Technik
Diskussionsforum
IT Supply-Chain-Security Icon
IT-Supply Chain Security
Diskussionsforum
IT-Sicherheitstools
secaware_lightbulb
Interaktive Awareness-Schulung
Selbstlernangebot IT-Sicherheit
Zahnräder - Tools - Icon
Tools für IT-Sicherheitschecks
Tools zu verschiedenen Aspekten
Interaktive Listen
IT-Notfall
IT-Notfall
Kontaktdaten von IT-Sicherheitsanbietern
Penetrationstests - Icon
Penetrationstests
Kontaktdaten von IT-Sicherheitsanbietern
markplatz_illustration_beauftragtertest
Informationssicherheitsbeauftragter (ISB)
Kontaktdaten von IT-Sicherheitsanbietern
SOC - Icon
Security Operations Center (SOC)
Kontaktdaten von IT-Sicherheitsanbietern
Datenschutzbeauftragter-Icon
Der Datenschutzbeauftragte
Kontaktdaten von IT-Sicherheitsanbietern
it-sicherherheitsrecht waage
IT-Sicherheitsrecht
Juristische Beratung
Zertifikate IT-Sicherheit
Personenzertifikate - Icon
Personenzertifikate
Interaktive Liste
Unternehmenszertifikate - Icon
Unternehmenszertifikate
Interaktive Liste
Veranstaltungen
Anbieterverzeichnis
Skip to content