FIPS, BSI & Common Criteria - was sich dahinter verbirgt

In der High-Tech-Welt der Informationstechnologie und bei den strengen staatlichen Datenschutzgesetzen kommt heutzutage nichts anderes in Frage, als wichtige sensible Daten nur auf einem perfekten, hochsicheren Datenträger zu schützen.

Möglicherweise haben Sie bereits von Kanguru-Produkten gehört, die nach FIPS 140-2 und Common Criteria EAL 2+ zertifiziert sind, und sich gefragt, was es damit auf sich hat. Als Hersteller von hochsicheren Datenspeichern nimmt Kanguru die Datensicherheit sehr ernst und hält sich an die strengen staatlichen Regelungen. Denn Kanguru ist stets darauf bedacht zu gewährleisten, dass seine Kunden und Käufer nur sichere IT-Produkte erhalten, die gesetzeskonform sind und sich in der Praxis am besten bewährt haben.

FIPS und Common Criteria sind derzeit die maßgeblichen Standards für Sicherheitsprodukte in der Informationstechnologie. Die Tiefe und Komplexität ihrer verschiedenen Ebenen können für manche Anwender allerdings verwirrend sein. Sie fragen sich, was genau diese maßgeblichen Standards bedeuten, was den Unterschied zwischen ihnen ausmacht und wie wichtig sie sind. Dieses White Paper veranschaulicht die Bestimmungen von FIPS und Common Criteria und zeigt, wie Kanguru sie umsetzt, um seine Kunden mit erstklassigen Produkten auszustatten.

Reicht FIPS 140-2 aus?

FIPS 140-2 – Federal Information Processing Standard 140-2 – ist ein Regelwerk von Sicherheitsanforderungen für kyptographische Module. FIPS 140-2 wird vom CMVP (Cryptographic Module Validation Program) kontrolliert, einer gemeinsamen Initiative der US-amerikanischen mit der kanadischen Regierung. CMVP ist eine Partnerschaft, die von der amerikanischen NIST und der kanadischen CSEC initiiert wurde. Es gibt vier aufeinander aufbauende Sicherheitsstufen (Level 1 - 4) sowie spezifische Zertifizierungen innerhalb von FIPS (FIPS 197 etc.). Auf jeder Stufe wird eine höhere Konzentration der von der Bundesregierung definierten Kriterien erreicht, die vom Grad der notwendigen Sicherheit und der erforderlichen Qualitätsprüfungen abhängen.

Die Aufmerksamkeit richtet sich dabei auf Grunddesign und Dokumentation, physische Sicherheitsmaßnahmen, kryptographische Algorithmen und modulare Schnittstellen sowie weitere Aspekte. Das National Institute of Standards and Technology (NIST) überprüft seine FIPS-Standards alle fünf Jahre. Das Communications Security Establishment (CSE) der kanadischen Regierung hat diese Standards übernommen, so wie auch viele weitere Länder und Institutionen.

Kanguru erfüllt die Sicherheitsanforderungen von FIPS 140-2 für kryptographische Module und steht somit für international anerkannte Sicherheit und Qualität, auf die sich Kunden aus Regierung und Wirtschaft verlassen können. Anspruchsvolle Prüfungen sowie gründliche Tests und Analysen haben ergeben, dass Kangurus zertifizierte Produkte die Qualitätsstandards für Datensicherheit eindeutig erfüllen.

Während die erste Stufe von FIPS gewöhnlich auf Software oder sehr rudimentäre Hardware-Module angewandt wird, erfüllt und übertrifft Kanguru sogar die Anforderungen für die zweite, anspruchsvollere FIPS-Stufe, die vornehmlich auf Hardware ausgerichtet ist, so dass Kanguru seinen Kunden äußerst stabile und anwenderfreundliche Sicherheitsprodukte anbieten kann.

Aus diesem Grund benötigt die Defender Serie von Kanguru keine Software-Installation, denn die Verschlüsselung ist direkt in die Hardware integriert. Trotz der richtigen Zielsetzung des Evaluierungsprozesses handelt es sich bei FIPS um eine reine Prüfung kryptographischer Module. Daher besteht immer noch die Möglichkeit, dass ein von FIPS zertifiziertes Produkt durch andere Komponenten oder das Zusammenwirken mit einer anderen Komponente innerhalb des gesamten Produktsets eine Sicherheitslücke darstellt. Aus diesem Grund hat Kanguru, der Experte auf diesem Gebiet, seinen Standard eine Stufe höher gesetzt und deckt zusätzlich die Anforderungen der Common Criteria ab.

Common Criteria & BSI-Zertifizierung

Für die Sicherheitsevaluierung von Informationstechnologie sind die Common Criteria ein weiterer Akkreditierungsprozess, der von über 24 Ländern in der Vereinbarung CCRA (Common Criteria Recognition Agreement) anerkannt ist. Mit der National Information Assurance Partnership (NIAP), einer Abteilung des Verteidigungsministeriums, decken die Common Criteria einen viel weiteren Überprüfungsprozess des gesamten Produktdesigns und der Funktionsfähigkeit ab als FIPS, indem sie das Produkt von der Konzeption bis hin zum fertigen Produkt und seiner Verwendung erfassen.

Sie betrachten die komplette Software, Hardware und Firmware eines Gerätes sowie seinen gesamten Entwicklungsprozess von der Entstehung bis zu seiner kommerziellen Verwertung. Schließlich wird nahezu jeder Aspekt und Prozess eines Sicherheitsproduktes hinsichtlich Design, Entwicklung, Veröffentlichung und Unterstützung gründlich überprüft.

Die Evaluierung nach Common Criteria kann ein sehr kosten- und zeitintensiver Prozess sein, aber das Ergebnis ist ein außergewöhnlich robustes und sicheres Produkt. Der komplexe Bewertungsprozess involviert mehrere Labortests und Kontrollen durch behördlich autorisierte Institutionen, die sicherstellen, dass bestimmte Sicherheits- und Funktionalitätsstandards eingehalten werden. Ähnlich wie bei FIPS gibt es mehrere Stufen, die abhängig vom Grad der Komplexität, Sicherheit und Funktionsfähigkeit erreicht werden können. Innerhalb eines Bewertungsrahmens von Stufe 1 (sicher) bis Stufe 7 (höchste nationale Sicherheitsstufe) schreibt Common Criteria den Produkten ihren Sicherheitsstandard zu.

Die sicheren mobilen Speichergeräte von Kanguru übertreffen alle anderen auf dem Markt, indem sie die Anforderungen der Ebene EAL 2+ der Common Criteria erfüllen.

Bei der Entwicklung von hochsicheren Geräten kommt es auf eine umfassende Überprüfung an sowie darauf, die höchsten Standards in der Datensicherheit zu erfüllen. Kangurus Defender Elite sowie weitere Produkte aus der Defender-Serie befinden sich derzeit im Bewertungsprozess „Evaluation Assurance Level 2“ (EAL 2). Das bedeutet, dass das Produktportfolio von Kanguru den Schutzbestimmungen eines zertifizierenden Landes gerecht wird (BSI-Zertifizierung). Die fortlaufende Überprüfung gewährleistet zudem, dass die Prozesse, die Kanguru zur Entwicklung, zum Design und zum Betrieb der Produkte einsetzt, fehlerfrei und sicher sind.
Vorteile von Kanguru USB-Sticks

Weitere Informationen

Kanguru Übersicht


Vorteile

Vergleichstabelle

Datenblätter/Handbücher

Videos

Screenshots

FAQ

Knowledge Base


Händlerregistrierung


Muster bestellen (Shop)


Softwareupdates


Jetzt Sticks ONLINE im Shop kaufen:


Weitere Kanguru Produkte:

   Normale USB-Sticks 
   (Mit Schreibschutz)

   Sichere USB-Sticks
   (Hardwareverschlüsselt)

   Duplikatoren