Der Verschlüsselungsstandard FIPS 140-3 und Anwendungsfälle

Für die Vereinigten Staaten dreht sich bei der Cybersicherheit alles um Widerstandsfähigkeit. Aus diesem Grund erstellt das US-amerikanische National Institute of Standards and Technology (NIST) Standards und Richtlinien, insbesondere für vernetzte Systeme, die von der Regierung und von Auftragnehmern der Regierung genutzt werden. Die Organisation verwaltet die Federal Information Processing Standards (FIPS). Die aktuelle Version ist FIPS 140-3. Die Strategie zielt darauf ab, kritische Infrastrukturen, den globalen Cyberspace und die US-Geheimdienste gegen Cyberangriffe zu stärken.

In einer Zeit, in der neue Technologien wie künstliche Intelligenz und Quantencomputing sowohl Chancen als auch Risiken mit sich bringen, kommt dem Standard FIPS 140-3 eine wichtige Rolle bei der Verbesserung der Cybersicherheit zu.

Dieser Cybersicherheitsstandard wird zwar von den Regierungen der USA und Kanadas verwendet, kann aber von jedermann übernommen werden. Dieser Artikel beschreibt den Zweck dieses Standards sowie wichtige Anwendungsfälle und empfiehlt FIPS-validierte Produkte, die Ihre Anforderungen unterstützen können.

Weiter zu:

• FIPS 140-3 – Überblick
• Anwendungsfälle für den kryptografischen Standard FIPS
• Arbeiten Sie mit einem vertrauenswürdigen Lösungsanbieter

FIPS 140-3 – Überblick

Das NIST hat den FIPS-140-Standard entwickelt, um sensible Regierungsdaten vor Hackern zu schützen. Die Organisation stellt Leitlinien zur Umsetzung von FIPS 140-3 bereit, um sicherzustellen, dass OEMs und andere Hersteller sowie Nutzer vernetzter Systeme, die mit sensiblen Daten umgehen, die Anforderungen vollständig verstehen und wissen, wie sie die Einhaltung dieser Anforderungen gewährleisten können. FIPS 140-3 deckt die gesamte kryptografische Hardware, Software und Firmware ab, die zugelassene Sicherheitsfunktionen implementiert.

Mit anderen Worten: Damit kryptografische Module den Anforderungen entsprechen, müssen sie die in der Norm beschriebenen Funktionen integrieren. Wenn Ihre kryptografischen Module die Validierungsanforderungen nicht erfüllen, können Sie Ihre Lösungen daher nicht an die Regierung verkaufen. Wenn Sie sich fragen, wie diese Anforderungen aussehen, finden Sie hier einen kurzen Überblick.

FIPS 140-3 umfasst vier Sicherheitsstufen mit steigendem Sicherheitsniveau, über die Sie in unserem technischen Überblick zu FIPS 140-3 mehr erfahren können.

Anwendungsfälle für den kryptografischen Standard FIPS

Die Gewährleistung, dass kryptografische Module (Hardware und Software) für die Kommunikation und Datenverarbeitung dem FIPS 140-3-Standard entsprechen, hilft sowohl Regierungsbehörden als auch Auftragnehmern der Regierung dabei, einen einheitlichen Rahmen für den Schutz von Daten, Betriebsabläufen und Vermögenswerten vor Cyberbedrohungen einzuhalten. Neben den vorgeschriebenen Regierungsanwendungen gibt es weitere Anwendungsfälle, darunter kritische Infrastruktur, Fertigung, Transportwesen und mehr. Im folgenden Abschnitt werden wir uns näher mit einigen Anwendungsfällen im Regierungsbereich und darüber hinaus befassen.

Anwendungen, bei denen eine FIPS-140-3-Validierung erforderlich ist

• Behörden und Auftragnehmer: Die US-Regierung ist einer der größten Nutzer und Erzeuger digitaler Daten. Datensicherheit ist von größter Bedeutung. Aus diesem Grund ist eine FIPS-140-3-Zertifizierung für alle Stellen vorgeschrieben, die mit „Controlled Unclassified Information“ (CUI) umgehen. Dazu gehören Hunderte von Behörden, darunter das FBI, das Verteidigungsministerium und die US-Grenzschutzbehörde, sowie alle Rüstungsunternehmen und sonstigen Dienstleister, die Verträge mit der Regierung abgeschlossen haben.
• Strafverfolgung: Strafverfolgungsbehörden nutzen das Criminal Justice Information System (CJIS), was bedeutet, dass sie auf hochsensible Informationen zugreifen. Aus diesem Grund sind Polizeibehörden verpflichtet, nach FIPS 140-3 validierte Geräte zu verwenden. Darüber hinaus nutzen sie Geräte wie automatische Kennzeichenlesegeräte (ALPRs) als Teil ihres Arsenals an Fahrzeugtechnologien, die Daten übertragen und austauschen. Die Einhaltung des FIPS 140-3-Standards gewährleistet die Sicherheit der ALPR-Daten während der Speicherung und Übertragung von Kennzeichendaten.
• Finanzdienstleistungen: Die Finanzbranche ist eine der am stärksten regulierten Branchen weltweit. Finanzinstitute, die Teil der US-Bundesregierung sind, darunter die IRS und die Federal Reserve, sind verpflichtet, nach FIPS 140-3 zertifizierte Geräte zu verwenden, um Finanzdaten vor Cyberbedrohungen zu schützen. Auch andere Finanzdienstleister und -institute übernehmen diesen Standard zunehmend als Maßstab für Cybersicherheit.
• Medizinische Einrichtungen: Ähnlich wie Finanzinstitute sind Einrichtungen, die der staatlichen Aufsicht unterliegen, verpflichtet, nach FIPS 140-3 validierte Geräte zu verwenden. Darüber hinaus müssen Einrichtungen, die die HIPAA-Vorschriften einhalten müssen, diesen Standard befolgen, und die meisten Einrichtungen im Gesundheitswesen müssen diese Vorschriften zum Schutz von Patientendaten einhalten. Die Risiken sind hoch. So wurde beispielsweise Quest Diagnostics Opfer eines Cyberdiebstahls, bei dem über 12 Millionen sensible Patientenakten gestohlen wurden, als Angreifer eine Zahlungswebseite eines Lieferanten hackten. Die Einhaltung von FIPS 140-3 kann Herstellern von Medizinprodukten und Anbietern von Gesundheitssoftware dabei helfen, sicherzustellen, dass ihre Verschlüsselungsmethoden sensible Patientendaten schützen und die Sicherheit der Medizinprodukte gewährleisten, von denen das Leben der Patienten abhängt.

Weitere Anwendungsbereiche, in denen die Einhaltung von FIPS 140-3 von Vorteil ist

Die Vorteile der FIPS 140-3-Konformität sind nicht zu unterschätzen, da jedes Unternehmen heutzutage angesichts der immer raffinierteren Angriffe von Hackern seine Cybersicherheit verstärken muss. FIPS 140-3 verringert das Angriffsprofil von Unternehmen, die alles von Verbraucherdaten bis hin zu Finanztransaktionen verarbeiten, erheblich

• Das Unternehmen Plasma Ruggedized Solutions bietet Schutzbeschichtungen sowie Verguss- und Verkapselungsdienstleistungen an, die speziell für die FIPS-Zertifizierung entwickelt wurden. Mit anderen Worten: Seine Produkte beschichten empfindliche Elektronik, um den Zugriff auf Daten zu verhindern, die auf den behandelten Leiterplattenbaugruppen gespeichert sind. Darüber hinaus bietet das Unternehmen sogar spezielle Maßnahmen an, die sicherstellen, dass sich das Produkt selbst zerstört, sobald es Manipulationen wie unbefugten Zugriff, Änderungen oder Reverse Engineering feststellt.
• Energie- und Versorgungsunternehmen: Die Energieinfrastruktur, einschließlich Gas-, Wasser- und Stromversorger, ist für alles, was wir tun, von zentraler Bedeutung. Sie ist für unsere Wirtschaft und unsere Lebensweise unverzichtbar. Außerdem ist sie eng mit Tausenden von Endpunkten vernetzt, darunter Stromerzeuger, Energieversorger und sogar intelligente Stromzähler. Deshalb müssen sie vor immer raffinierteren Cyberangriffen geschützt werden. Abgesehen von negativer Presse und Reputationsschäden können Hacker finanziellen Schaden anrichten und wertvolles geistiges Eigentum stehlen. So haben beispielsweise jüngste Cyberangriffe im Energiesektor die Fernsteuerung von Windparks lahmgelegt und zu Datenlecks bei sensiblen Kundendaten geführt. Die Abwehr von Cyberbedrohungen bedeutet, allen Endpunkten und Daten ein Höchstmaß an Schutz zu bieten. Versorgungsunternehmen, die ihre Widerstandsfähigkeit gegen Cyberangriffe stärken wollen, können für alle Verschlüsselungsmodule eine FIPS 140-3-Validierung erhalten.
• Cloud-Rechenzentren: Cloud-Dienstleister wie Google Cloud, IBM, AWS, Dell und Microsoft verwenden durchweg nach FIPS 140-3 validierte Verschlüsselung. Das bedeutet, dass sowohl übertragene als auch gespeicherte Daten mit einer nach FIPS validierten Verschlüsselung geschützt werden.
• Unbemannte Fahrzeuge: Unbemannte Fahrzeuge reichen von unbemannten Luftfahrzeugen wie Drohnen über unbemannte Unterwasserfahrzeuge bis hin zu selbstfahrenden Autos. Da Computersysteme praktisch den gesamten Betrieb unbemannter Fahrzeuge steuern, hat die Sicherung der übertragenen Daten und Informationen weiterhin höchste Priorität. DJI, ein Drohnen- und Robotikunternehmen, beantragte für einige seiner Drohnen die FIPS 140-3-Validierung. Laut DJI gewährleisten alle Drohnen mit der DJI Core Crypto Engine, dass Kunden „von vertrauenswürdigen, verbindlichen und weltweit anerkannten Sicherheitsstandards profitieren“. Viele DJI-Kunden vertreten die Bundesregierung oder arbeiten im Rahmen von Regierungsaufträgen, daher ist es sinnvoll, dass DJI die FIPS-Validierung für seine Produkte anstrebt.
• Autonome Fahrzeuge: Mit der Weiterentwicklung der Technologien für autonomes Fahren werden softwaregesteuerte, mit künstlicher Intelligenz ausgestattete Fahrzeuge für die Zukunft der Mobilität immer wichtiger. Da diese Fahrzeuge für einen sicheren Betrieb in hohem Maße auf Daten und Kommunikation angewiesen sind, stellt die Cybersicherheit nach wie vor ein enormes Risiko dar. Der vorläufige Abschlussbericht des US-Verkehrsministeriums aus dem Jahr 2022 mit dem Titel „Cybersecurity Best Practices for the Safety of Motor Vehicles“ nennt FIPS 140-3 als Mittel, um sicherzustellen, dass „kryptografische Verfahren für die beabsichtigte Anwendung aktuell und nicht veraltet sein sollten“.

Arbeiten Sie mit einem vertrauenswürdigen Lösungsanbieter

Auch wenn die Arbeit innerhalb der US-Bundesregierung oder als deren Lieferant die Einhaltung der FIPS 140-3-Anforderungen voraussetzt, kann jede Organisation, die ein hohes Maß an Cybersicherheitsschutz benötigt, diesen Standard übernehmen. Hier kann Digi helfen. Seit 1985 leistet Digi Pionierarbeit im Bereich der drahtlosen Kommunikation. Heute bietet Digi alles von sensorbasierten Lösungen und einer hochentwickelten Fernüberwachungsplattform bis hin zu professionellen Full-Service-Teams für Design, Implementierung und Zertifizierung. Wenn es um Cybersicherheit geht, sind Sie bei uns in guten Händen.

Digi-Lösungen unterstützen FIPS 140–2 auf der gesamten Geräteserie, die auf dem Betriebssystem „Digi Accelerated Linux“ (DAL OS) basiert:

 

• Digi EX, IX und TX Mobilfunk Router
• Digi Connect IT-Konsolenserver
• Digi Connect EZ Serielle Geräte- und Terminalserver
• Digi AnywhereUSB USB über IP

Die Verschlüsselung lässt sich ganz einfach implementieren. Digi Remote Manager, die cloudbasierte Lösung von Digi zur Überwachung und Verwaltung von Geräten, ermöglicht einen unkomplizierten Prozess, um Ihre Geräte auf dem neuesten Stand zu halten. Aktualisieren Sie einfach Ihre Firmware und aktivieren Sie FIPS. Das war’s schon. Lassen Sie sich nicht auf teure und komplizierte Lösungen ein. Dank des Ansatzes von Digi erhalten Ihre Systeme regelmäßig Updates – ganz einfach und ohne zusätzliche Kosten.

Nächste Schritte

• Möchten Sie mit einem Digi-Experten sprechen? Kontaktieren Sie uns
• Möchten Sie mehr von Digi hören? Melden Sie sich für unseren Newsletter an
• Oder kaufen Sie jetzt für Digi-Lösungen ein: Wie Sie kaufen