Federal Information Processing Standard 140-2

US-Sicherheitsbehörde zertifiziert Schweizer Softwareunternehmen

Uhr | Aktualisiert

Totemo hat für ihre unternehmensweite Online-Kommunikation die FIPS-Zertifizierung erhalten.

Die Küsnachter Totemo AG kann sich freuen: Sie hat für ihr kryptografisches Modul die Federal Information Processing Standard-Zertifizierung 140-2 erhalten (FIPS). Das Modul soll sensible Informationen bei der Datenübertragung schützen und verschlüsselt, entschlüsselt oder verifiziert Schlüssel und Signaturen.

Das zertifizierte Modul ist Kernstück der Totemo Security Platform (TSP). Die kryptografischen Funktionen der beiden Sicherheitslösungen, die auf dieser Plattform laufen, erfüllen somit die Sicherheitsstandards für Software der US-amerikanischen und kanadischen Behörden.

Laut Marcel Mock, Chief Technology Officer bei Totemo, ist das Unternehmen in seinem Umfeld der einzige Schweizer Anbieter, der die FIPS-Zertifizierung erhalten hat. Zumindest habe die Konkurrenz die Zertifizierung noch nicht durchgeführt. Zur Konkurrenz zählt Mock unter anderem Privasphere, Seppmail oder Swiss Sign, ein Tochterunternehmen der Schweizerischen Post, mit ihrem Produkt Incamail.

Quellcode unter der Lupe

Totemo habe sich den Entscheid für die Zertifizierung gut überlegt, so Mock. Schliesslich werde ein Teil des Quellcodes der Software (das Modul, das für alle kryptographischen Operationen und Funktionen zuständig ist) unter die Lupe genommen. Der finanzielle Aufwand sei zudem nicht unbedeutend.

Genaue Zahlen konnte Mock nicht nennen, da die Kosten vielschichtig und der Aufwand für interne Ressourcen, spezifische Tests und eine Dokumentation nur ein Teil der Gesamtausgaben seien.

Erschliessung neuer Märkte

Nun, da das Unternehmen sein Ziel erreicht und die Zertifizierung erhalten hat, zeigt sich Mock zufrieden und ist überzeugt davon, dass die Kunden von Totemo davon profitieren werden: "Man legt gegenüber der Zertifizierungsbehörde alles offen und die Kunden können sich mit gutem Gewissen zurücklehnen."

Die Zertifizierung habe "ziemlich genau 13 Monate" gedauert. Darin enthalten sei eine Wartezeit von etwa einem halben Jahr, da die zuständige Behörde viele Anträge abarbeiten muss. Die Auszeichnung helfe bei der Erschliessung amerikanischer Märkte. In den USA komme man um eine solche Validierung nicht herum, erklärt Mock.

Sobald Totemo den Quellcode des kryptographischen Moduls ändert, muss eine Re-Zertifizierung gemacht werden. Dieses entspricht laut Mock etwa 15 Prozent des gesamten Quellcodes. Eine solche Re-Zertifizierung dürfte aber nicht häufig nötig sein. Denn die Algorithmen, die die Kryptographie betreffen, müssten normalerweise nicht so oft geändert werden, so Mock.

Zertifizierung auf Level 1

FIPS wird in vier verschiedenen Sicherheitslevels vergeben. Da es sich beim kryptografischen Modul von Totemo um eine Software handelt, hat das Unternehmen die Zertifizierung auf Level 1 erhalten. Bei allen anderen höheren Sicherheitslevels (2, 3 und 4) müsste auch die Sicherheits-Hardware mitzertifiziert werden.

Die Totemo AG ist ein Schweizer Softwareunternehmen, das Secure-Messaging-, Secure-Managed-File-Transfer‐ und Secure-Mobile-Messaging‐Lösungen für Unternehmen und Behörden anbietet.