FIPS 140-2

Die Normen für Cybersicherheit werden ständig weiterentwickelt, um die Sicherheit von Geräten und Daten zu gewährleisten. Der Standard FIPS 140-2 dient dem Schutz sensibler Daten in einer Reihe von Anwendungen.

Digi FIPS 140-2-Logo

Was ist FIPS 140-2?

FIPS steht für "Federal Information Processing Standard". Die aktuelle Version, FIPS 140-2, hat vier Sicherheitsstufen. Das National Institute of Standards and Technology (NIST) hat den FIPS-Standard entwickelt, um sensible Regierungsdaten vor Hackern zu schützen. FIPS 140-2 gilt für alle kryptografischen Hardware-, Software- und Firmware-Module, die Daten und Kommunikation verarbeiten.

Diagramm mit Anwendungsfällen für Digi-Produkte

Digi FIPS 140-2-LogoWenn Sie sicherstellen möchten, dass Sie stets die FIPS 140-Änderungen einhalten, sollten Sie bedenken, dass die gesamte Mobilfunk Suite von Digi durch ein einfaches Firmware-Update FIPS 140-2-validiert ist. Digi Remote Manager®. Da Digi die Implementierung von FIPS 140-2 vereinfacht hat, stellen wir nicht nur sicher, dass Ihre FIPS 140-Version aktuell bleibt, sondern unser stets aktueller Verschlüsselungsprozess macht die Implementierung einfach. Sie können einfach Ihre Firmware aktualisieren und Ihre Digi-Geräte erfüllen sofort FIPS 140-2 Level 1. Das war's. Vermeiden Sie es, sich mit teuren, aufwendigen und komplizierten Lösungen herumzuschlagen. Und falls Sie auf Ihrem Weg zu FIPS Unterstützung benötigen, Digi Professionelle Dienstleistungen kann helfen.

Digi hat die FIPS-Validierung für alle Digi-Geräte erhalten, die auf dem Digi Accelerated Linux-Betriebssystem (DAL OS) basieren, einschließlich:

Warum Sie FIPS 140-2 brauchen

Wenn Sie mit der US-amerikanischen oder kanadischen Regierung zusammenarbeiten und mit sensiblen oder geschützten Daten umgehen, müssen Ihre kryptografischen Module nach dem Standard FIPS 140-2 validiert sein. Der Federal Information Security Management Act (FISMA) verlangt von US-Regierungsbehörden, US-Regierungsauftragnehmern und Dritten, die für Bundesbehörden arbeiten, die Einhaltung des FIPS 140-2-Standards, um sensible Daten zu schützen. Tatsächlich muss jeder Auftragnehmer im Verteidigungsbereich, der mit Controlled Unclassified Information arbeitet, die FIPS-Validierungsanforderungen erfüllen und "kryptografische Mechanismen" zum Schutz der Vertraulichkeit einsetzen. Organisationen des privaten Sektors, die Vorschriften wie den Health Insurance Portability and Accountability Act (HIPAA) einhalten, müssen ebenfalls die FIPS 140-2-Validierung bestehen.

FIPS 140-2 dient als Maßstab für die Effektivität kryptografischer Hardware. Die FIPS 140-2-Validierung bedeutet, dass ein Produkt die strengen Anforderungen der US-amerikanischen und kanadischen Regierung erfüllt. Sie ist jedoch nicht nur für Regierungen gedacht. Staatliche und nichtstaatliche Stellen auf der ganzen Welt können von ihren Kommunikationsgeräten verlangen, dass sie FIPS 140-2 als Best-Practice-Benchmark für Cybersicherheit erfüllen. Da dieser einheitliche Standard einen außerordentlichen Datenschutz gegen immer raffiniertere Cyberangriffe bietet, stellt er eine messbare Möglichkeit dar, Geräte und Systeme gegen Bedrohungen zu schützen.

Die Nichteinhaltung von FIPS kann erhebliche finanzielle und rufschädigende Folgen haben. Für regulierte Branchen wie Regierungsbehörden und Finanzinstitute kann jede erhebliche Lücke bei der Einhaltung der Vorschriften bedeuten, dass diese Organisationen Geschäftseinbußen sowie zivil- oder strafrechtliche Strafen, Bußgelder und staatliche Prüfungen erleiden.

FIPS 140-2 Anwendungsfälle

Die Einhaltung von FIPS 140-2 gewährleistet die Datensicherheit für Anwendungen, die sensible, aber nicht klassifizierte Daten (SBU) übertragen und verwenden. Dieser Standard wurde ursprünglich für US-amerikanische und kanadische Regierungsbehörden entwickelt und von diesen übernommen, hat sich aber auch in anderen Branchen durchgesetzt, in denen Cybersicherheit und Datenschutz entscheidend sind.

Staatliche Agenturen
Staatliche Agenturen

Die Validierung nach FIPS 140-2 ist für alle Regierungsbehörden erforderlich, einschließlich des FBI, des Verteidigungsministeriums, der US-Grenzschutzbehörde und anderer Behörden, die mit kontrollierten, nicht klassifizierten Informationen (CUI) auf beliebigen Geräten umgehen. Der Zusatz zur International Traffic in Arms Regulation (ITAR) hebt beispielsweise die FIPS 140-2-Standards hervor, die für die Übertragung oder Speicherung von technischen Daten außerhalb der Vereinigten Staaten erforderlich sind.

Staatliche Auftragnehmer
Staatliche Auftragnehmer

Neben den US-Behörden müssen auch Auftragnehmer der Regierung FIPS 140-2-validierte Geräte verwenden, um sensible Daten zu verschlüsseln und vor immer raffinierteren Cyberangriffen zu schützen. Auftragnehmer des Verteidigungssektors müssen beispielsweise FIPS-validierte Kryptografie einsetzen, um die Vertraulichkeit von Controlled Unclassified Information auf allen Desktop- und Mobilgeräten zu schützen.

Öffentliche Sicherheit/Gesetzesvollzug
Öffentliche Sicherheit/Gesetzesvollzug

Organisationen der öffentlichen Sicherheit, die sensible Daten versenden, sind ein wichtiger Anwendungsfall für den Einsatz von FIPS 140-2-validierten Geräten. Insbesondere Strafverfolgungsbehörden müssen FIPS 140-2 bei der Handhabung aller drahtlos übertragenen Daten anwenden. Beamte und Mitarbeiter von Strafverfolgungsbehörden greifen auf das bundesweite Strafrechtsinformationssystem (Criminal Justice Information System, CJIS) zu, das die Verwendung von kontrollierten, nicht klassifizierten Informationen beinhaltet.

Finanzinstitutionen
Finanzinstitutionen

Die Norm FIPS 140-2 gilt für regulierte Branchen, die sensible Daten erfassen, speichern und übertragen. Dazu gehören staatliche Finanzbehörden wie das IRS und die Federal Reserve sowie viele Banken und Finanzdienstleister des privaten Sektors. Diese Organisationen nutzen die Anforderungen von FIPS 140-2, um sicherzustellen, dass ihre Daten und ihre Kommunikation den regulierten Sicherheitsstandards entsprechen.

Gesundheitswesen/Medizin
Gesundheitswesen/Medizin

Da im Gesundheitswesen tätige Personen mit sensiblen Patientendaten umgehen, wird die FIPS 140-2-Validierung zunehmend für Geräte und Software gefordert, die im Gesundheitswesen und in medizinischen Systemen eingesetzt werden. Die Einhaltung dieser Normen trägt dazu bei, elektronische Gesundheitsakten, medizinische Geräte und Kommunikationssysteme vor Cyber-Bedrohungen zu schützen und so die Privatsphäre der Patienten und die Integrität wichtiger Gesundheitsdaten zu gewährleisten.

Andere Industrien
Andere Industrien

Die Einhaltung von FIPS 140-2 ist ein Ziel für eine Reihe von Branchen, in denen Daten verschlüsselt werden müssen. Der FIPS 140-2-Standard bietet einen Maßstab, um sicherzustellen, dass die Konformität bestimmte Anforderungen erfüllt. Obwohl der Standard außerhalb von staatlichen, medizinischen und finanziellen Anwendungen nicht vorgeschrieben ist, kann er für die Datenverschlüsselung in der Fertigung, im Transportwesen, bei Versorgungsunternehmen, bei der Flughafenkontrolle und in anderen Anwendungsfällen verwendet werden.

FIPS 140-2 hat 4 ansteigende Sicherheitsstufen

Das NIST hat vier qualitative Sicherheitsstufen entwickelt, die im Folgenden zusammengefasst sind und ein breites Spektrum an möglichen Anwendungen und Umgebungen abdecken sollen

Sicherheitsstufe 1

Das kryptografische Modul muss wesentliche Sicherheitsfunktionen bieten. Stufe-1-Module sind in der Regel in Software implementiert und erfordern keine besonderen Hardwareschutzmaßnahmen.

Sicherheitsstufe 2

Stufe 2 erfordert zusätzlich manipulationssichere Beschichtungen oder Siegel, um physische Manipulationen oder unbefugten Zugriff auf das Modul zu erkennen. Stufe 2 erfordert außerdem eine rollenbasierte Authentifizierung.

Sicherheitsstufe 3

Zusätzlich zu manipulationssicheren Beschichtungen oder Siegeln erfordert Stufe 3 Mechanismen, die aktiv auf physische Manipulationsversuche reagieren. Level-3-Module benötigen außerdem ein physisch robustes Gehäuse.

Sicherheitsstufe 4

In Stufe 4 muss das kryptografische Modul Manipulationsversuche in Echtzeit erkennen und darauf reagieren, so dass das Modul bei Erkennen von Manipulationen möglicherweise unbrauchbar wird. Stufe 4 erfordert strenge physische Sicherheitsvorkehrungen einschließlich des Schutzes gegen Angriffe aus der Umgebung.

FIPS 140-3

Die Weiterentwicklung von FIPS umfasst nun FIPS 140-3. Es gibt nur wenige größere technische Änderungen, vor allem aber eine Umstellung von intern entwickelten Sicherheitsstandards auf eine Reihe von Standards, die von der internationalen Organisation ISO entwickelt und gepflegt werden. Digi hat sich verpflichtet, vor dem voraussichtlichen Auslaufen von FIPS 140-2 im September 2026 im Rahmen einer Firmware-Version auf FIPS 140-3 umzustellen.