Mitarbeiter von US-Gerichten müssen auf Dutzende von Systemen und Anwendungen zugreifen, um ihre Aufgaben zu erfüllen. Diese Mitarbeiter können auch Zugriff auf personenbezogene Daten (PII) haben,
Der Begriff „ITAR-Compliance“ ist eine Fehlbenennung. Im Gegensatz zu FedRAMP und anderen Compliance-Frameworks gibt es keinen formalen „ITAR-Compliance“- oder „ITAR-Zertifizierungs“-Prozess. Organisationen, die unter ITAR fallen, sollten die Vorschriften kennen, die für sie gelten, und interne Richtlinien und Kontrollen einrichten, um technische ITAR-Daten zu schützen.
Wir wollen uns anschauen, worum es bei ITAR geht und wie die Cybersicherheits-Suite von Keeper Sie bei der Beachtung dieser Compliance unterstützt.
Was ist ITAR-Compliance?
Die Verordnung über den internationalen Waffenverkehr (ITAR) regelt die US-Importe und -Exporte von Weltraum- und Verteidigungsartikeln und -diensten, wie auf der US-Munitionsliste (USML) beschrieben. Neben Space-Shuttles und Torpedos enthält das USML auch, was ITAR als „technische Daten“ bezeichnet: Dinge wie Pläne, Diagramme, Fotos und andere Dokumentation, die zum Bau von Space-Shuttles, Torpedos und anderer Militär- und Weltraumhardware verwendet werden.
Aus Sicht der Cybersicherheit und IT-Compliance verlangt ITAR von Unternehmen die Gewährleistung, dass nur „US-Personen“ auf technische Daten zugreifen können. Es ist wichtig zu beachten, dass sich der Ausdruck „US-Personen“, wie ITAR ihn definiert, nicht ausschließlich auf US-Bürger oder Personen mit ständigem Wohnsitz in den USA bezieht, sondern auch auf Organisationen, die geschäftlich in den USA tätig sind, sowie auf Bundes-, Landes- und regionale Behörden.
In der Regel umfasst die ITAR-Compliance in Bezug auf technische Daten die Gewährleistung, dass sich alle Rechenzentren in den USA befinden und ausschließlich von US-Personen verwaltet werden. Darüber hinaus müssen Organisationen sicherstellen, dass nur US-Personen auf technische Daten zugreifen können.
Welche Organisationen müssen ITAR befolgen?
Organisationen, die Produkte oder Dienstleistungen an das Verteidigungsministerium der Vereinigten Staaten (DoD) verkaufen – oder an Unternehmen verkaufen, die dies tun –, müssen die ITAR-Vorschriften einhalten. Das bedeutet, dass alle Organisationen in der DoD-Lieferkette ITAR-konform sein müssen, angefangen bei Hauptauftragnehmern bis hin zu den kleineren Lieferanten, einschließlich Großhändler, Distributoren und IT-Dienstleister.
Keeper Security Government Cloud (KSGC) ist ITAR-konform
Als Anbieter von FedRAMP-In-Process-Cloud-Diensten (Moderate Impact Level) und als erster und einziger Password Manager, der auf dem FedRAMP-Marktplatz gelistet ist, ist Keeper in der Lage, Organisationen bei der ITAR-Compliance zu unterstützen.
Gehostet auf AWS GovCloud
Keeper Security Government Cloud (KSGC), die FedRAMP-Umgebung von Keeper, wird auf AWS GovCloud gehostet, die nur Rechenzentren in den USA verwendet, auf die nur US-Personen zugreifen können. Alle in AWS GovCloud gespeicherten Daten werden sowohl während der Übertragung als auch im Ruhezustand verschlüsselt.
Plattform in den USA entworfen, verwaltet und unterstützt von US-Personen
Alle Keeper-Software-Engineers und DevOps-Mitarbeiter, die an KSGC arbeiten, sind US-Personen, der gesamte KSGC-Quellcode wird in den USA entwickelt und der Zugriff auf die KSGC-Umgebung ist streng auf Keeper-Mitarbeiter beschränkt, die US-Personen sind.
Darüber hinaus verfügt KSGC über engagierte Kundenerfolg- und Kundensupport-Teams mit Sitz in den USA, die im sicheren Umgang mit ITAR-gesteuerten technischen Daten geschult wurden.
Granulare Berechtigungskontrollen
Die bestbewertete Passwortverwaltungslösung von Keeper gibt IT-Administratoren nicht nur die vollständige Kontrolle über die Passwortnutzung von Mitarbeitern, sondern bietet auch granulare rollenbasierte Zugriffskontrollen (RBAC) mit Zugriffsbeschränkung auf die geringsten Rechte. Mit Keeper können Administratoren sicherstellen, dass nur US-Personen auf technische ITAR-Daten zugreifen und dass sie nur auf Daten zugreifen können, die sie berechtigt sind, einzusehen.
Zero-Knowledge-Sicherheitsarchitektur
Keeper ist ein Zero-Knowledge-Sicherheitsanbieter. Zero Knowledge ist eine Systemarchitektur, die höchste Sicherheit und Datenschutz garantiert, indem sie die folgenden Prinzipien befolgt:
1. Daten werden auf Geräteebene verschlüsselt und entschlüsselt (nicht auf dem Server).
2. Die Anwendung speichert keinen Klartextdaten (visuell lesbar).
3. Der Server erhält keine Daten als Klartext.
4. Kein Mitarbeiter oder Vermittler kann die unverschlüsselten Daten einsehen.
5. Die Schlüssel zur Entschlüsselung und Verschlüsselung werden aus dem Master-Passwort des Benutzers abgeleitet.
6. Die mehrschichtige Verschlüsselung bietet Zugriffskontrolle auf Benutzer-, Gruppen- und Admin-Ebene.
7. Die Weitergabe von Daten verwendet Kryptografie mit öffentlichen Schlüsseln für eine sichere Schlüsselverteilung.
Die Daten werden auf dem Gerät des Benutzers verschlüsselt, bevor sie übertragen und im digitalen Tresor von Keeper gespeichert werden. Wenn Daten mit einem anderen Gerät synchronisiert werden, bleiben die Daten verschlüsselt, bis sie auf dem anderen Gerät entschlüsselt werden.
Die Dateneinträge des Benutzers bleiben für die gesamte Zeit verschlüsselt – ab Abgang vom Gerät des Endnutzers, während der Übertragung über das Internet bis zur Speicherung im Keeper-Tresor. Das bedeutet, dass niemand – nicht einmal die eigenen Mitarbeiter von Keeper – die Daten entschlüsseln können, die unsere Benutzer in ihren Keeper-Tresoren speichern. Die Daten können ausschließlich auf dem Endnutzergerät mit dem Master-Passwort entschlüsselt werden.
Die Verschlüsselungsmethode, die Keeper verwendet, ist ein bekannter, vertrauenswürdiger Algorithmus namens AES (Advanced Encryption Standard) mit einer 256-Bit-Schlüssellänge. Keeper verwendet PBKDF2 mit HMAC-SHA256, um das Master-Passwort des Benutzers in einen kryptografischen 256-Bit-Schlüssel mit mindestens 1.000 Runden zu konvertieren. Jeder Benutzer hat einen 2048-Bit-RSA-Schlüssel für die sichere Freigabe von Dateneinträgen.
Zero-Trust-Zugriffsrichtlinien
Keeper ermöglicht es IT-Administratoren, umfassende Passwortsicherheit organisationsweit durchzusetzen, was die Benutzer- und Geräteüberprüfung im Kern des Zero-Trust-Sicherheitsmodells unterstützt. Dies beinhaltet die Verwendung starker, eindeutiger Passwörter für jedes Konto und Multi-Faktor-Authentifizierung (MFA) in allen Konten, die sie unterstützen.
Robuste Compliance-Audits & Berichterstattung
KSGC erzeugt einen rückverfolgbaren, elektronischen Audit-Trail aller durchgeführten Aktionen oder Daten, die in der Umgebung eingegeben werden. Einsatz von Keeper Erweitertes Berichterstattungs- und Warnmodul (ARAM) IT- und Sicherheitsadministratoren können auch Echtzeit-E-Mail-, SMS-Text oder Webhooks-Benachrichtigungen über ungewöhnliches oder potenziell riskantes Verhalten erhalten, Echtzeit-Ereignisdaten automatisch in eine externe Tabelle oder SIEM-Lösung einspeisen und benutzerdefinierte, zeitbasierte Berichte für die interne Verwendung, Compliance-Audits oder beides erstellen.
Möchten Sie mehr darüber erfahren, wie Keeper Security Government Cloud Ihrem Unternehmen helfen kann, ITAR-Anforderungen zu erfüllen? Besuchen Sie die KCM-Produktseite oder wenden Sie sich noch heute an unser Team.