was bringt fips wirklich an datensicherheit?
DESCRIPTION
FIPS ist ein Standard, mit dem die Sicherheit von Datenträgern geprüft wird. Was bringt das wirklich? Was können Sie tun?TRANSCRIPT
Was ist FIPS und was bringt es?
8 Fakten zur Sicherheit von Datenträgern
Was ist FIPS?
• Federal Information Processing Standards Publication 140-2 [Quelle]
• Standard zur Prüfung der Sicherheit von Verschlüsselungsmodulen
• Auf dem Markt befinden sich
• USB-Sticks
• externe Festplatten
• Interne Festplatten
• Smartphones
FIPS – Security Level 1
• Einsatz verifizierter Algorithmen und Funktionen
• physikalische Sicherheit unbewertet
• System zum Betrieb ohne besondere Sicherung
FIPS – Security Level 2
• Versiegeltes Gerät
• Rollenkonzept für den Zugang
• System zum Betrieb entspricht
• Common Criteria“ (CC) Protection Profiles (PP) gemäß Anlage B
• System zum Betrieb ist funktional und strukturell getestet (EAL2)
FIPS – Security Level 3
• Widerstand bei unbefugtem Öffnen
• Sicherung des Rollenkonzeptes
• Trennung von Klartext- und Schlüssel-Operationen
• Vertrauenswürdiger Übertragungsweg (FTP_TRP.1)
• System zum Betrieb ist methodisch getestet und geprüft (EAL3)
FIPS – Security Level 4
• Komplette Verkapselung des Gehäuses
• Sichtbarmachung aller Zugriffsversuche
• Löschung der Klartext-Daten bei unberechtigtem Zugriff
• Schutz gegen Veränderungen der Umweltbedingungen
• System zum Betrieb ist methodisch entworfen, getestet und durchgesehen (EAL4)
FIPS – Testkatalog
• Spezifikation
• Schnittstellen und Anschlüsse
• Rollen, Dienste und Authentifikation
• Endlicher Automat
• Physische Sicherheit
• Betriebsumgebung
• Schlüsselverwaltung
• Elektromagnetische Strahlung
• Selbsttest
• Entwurfssicherheit
• Verminderung weiterer Angriffe
FIPS-Laufwerke – erfolgreich gehackt
• Oft durch ungenügende Implementierung
• Sicherheitsspezialisten hacken Memorystickshttp://www.golem.de/0912/72131.html
• Warm Replug http://derstandard.at/1356426457262/Hardwareverschluesselung-von-Festplatten-laesst-sich-oft-austricksen
Fazit
• Schutz ist nicht garantiert, abhängig von Implementierung
• FIPS-Stufe gemäß zu transportierenden Daten wählen
• Verwendung von FIPS-zertifizierten Geräten demonstriert Sorgfalt der IT-Leiter und Datenschutzbeauftragten
• Sicherheitsrichtlinien verwenden (oder erstellen )
• Mitarbeiter sensibilisieren
• Einhaltung kontrollieren
Für Fragen stehen wir zu Ihrer Verfügung
• Daleth-Datenschutzc/o Speech & Phone GmbH Bredereckstr. 412621 BerlinFon: 030-91685914www.daleth-datenschutz.de
• Daleth-Datenschutz ist ein Bereich der Speech & Phone
• Fotos: Techgalerie.de, Wikipedia, Gizmodo, Fotolia, Easydeal365, Duale Hochschule Heidenheim