E-Mail-Sicherheit

    Cybersecurity-Risiken des Quantencomputings

    Die heutige Verschlüsselung, die sensible Daten und Kommunikation schützt, wird von den ultrastarken Quantencomputern von morgen bedroht.

    04BLOG_1.jpg

    Wichtige Punkte

    • Beamte für Cybersicherheit warnen davor, dass Quantencomputing die heutigen grundlegenden Datenverschlüsselungstechniken untergraben könnte.
    • Den Unternehmen wird empfohlen, sich auf diesen technologischen Durchbruch vorzubereiten.
    • Quantensichere Kryptographie ist in der Entwicklung.
    • Krypto-Agilität kann einen neuen Weg bieten, die Post-Quantum-Kryptografie robuster zu machen.

    Verschiedenen Berichten zufolge ist das Quantencomputing noch Monate oder Jahre von der kommerziellen Einführung entfernt, aber die Cybersicherheitsgemeinschaft wartet nicht ab, um zu sehen, wie sich diese bahnbrechende Technologie auf die Datensicherheit auswirken wird.[1] Das National Institute of Standards and Technology (NIST) und das Department of Homeland Security haben bereits Alarm geschlagen: Quantenprozessoren werden in der Lage sein, die heute weit verbreitete Verschlüsselung mit öffentlichen Schlüsseln - die für herkömmliche Computer als praktisch unknackbar gilt - innerhalb von Sekunden zu entschlüsseln. 

    Gesetz zur Vorbereitung auf die Cybersicherheit im Quantencomputing

    Im Dezember unterzeichnete Präsident Biden den Quantum Computing Cybersecurity Preparedness Act. Das neue Gesetz verlangt von den Bundesbehörden, dass sie vorrangig "Post-Quantum-Kryptographie" einsetzen, definiert als "Verschlüsselung, die stark genug ist, um Angriffen von in der Zukunft entwickelten Quantencomputern zu widerstehen."[2]

    Q-Day

    Die Nationale Sicherheitsbehörde hat den Bundesbehörden und ihren Anbietern eine Frist bis 2035 gesetzt, um Post-Quantum-Algorithmen in kritischen Systemen, die für die nationale Sicherheit relevant sind, einzusetzen.[3] Der bevorstehende Durchbruch in der Datenverarbeitung, der als "Q-Day" bekannt ist, wird jedoch nicht nur für die Bundesbehörden ein Problem darstellen. Das Internet, einschließlich einiger Formen des elektronischen Geschäftsverkehrs, hängt in hohem Maße von der Verschlüsselung mit öffentlichen Schlüsseln ab, und die Bedenken gelten auch für den Schutz der Daten privater Unternehmen und die Cybersicherheit. 

    "Sobald der Zugang zu praktischen Quantencomputern möglich ist, werden alle öffentlichen Schlüsselalgorithmen und die dazugehörigen Protokolle für Kriminelle, Konkurrenten und andere Gegner angreifbar sein", warnte das NIST. Die Behörde forderte die Unternehmen auf, auf Post-Quantum-Kryptografie wie den Advanced Encryption Standard-256 (AES-256) umzusteigen, der derzeit als "quantensicher" gilt. Das NIST prüft auch neue kryptographische Algorithmen, die die Verschlüsselung mit öffentlichen Schlüsseln ersetzen sollen.[4]

    Cybersicherheit und Quantencomputer - Risikobewertung 

    Dr. Francis Gaffney, Senior Director - Threat Intelligence Engineering bei Mimecast, rät Unternehmen, sich auf dieses zukünftige Risiko auf verschiedene Weise vorzubereiten:[5]

    • Identifizierung ihrer Fälle von quantenanfälliger Kryptografie, wie z. B. mit öffentlichen Schlüsseln gesicherte Daten. Welche Vermögenswerte gibt es, wo werden sie aufbewahrt, und wie kann man sie schützen? 
    • Kennzeichnen Sie die Systeme, die Kryptographie mit öffentlichen Schlüsseln enthalten, als "quantenanfällig". Diese Prüfungen können viel Zeit in Anspruch nehmen und sollten in Anbetracht des Risikos lieber früher als später durchgeführt werden. 
    • Aktualisierung von Cyber-Response-Plänen oder Erstellung von Cybersicherheits-Handbüchern, um Bedrohungen im Zusammenhang mit Quantencomputern zu entschärfen.

    Jetzt ernten, später entschlüsseln?

    Auch wenn es sich wie ein Science-Fiction-Plot anhört, gehen einige Cybersicherheitsplaner von der Theorie aus, dass bösartige Akteure verschlüsselte Daten und entschlüsseln werden, wenn in Zukunft Quantencomputer verfügbar sind. Ein Artikel von Dark Reading weist darauf hin, dass diese Art von Angriff "langlebige Informationswerte" wie Bankdaten gefährden könnte.[6] 

    Angesichts dieser und anderer Risiken fordern einige Experten "Krypto-Agilität - die Fähigkeit, kryptografische Algorithmen und Implementierungen schnell neu zu konfigurieren". Viele glauben, dass eine Organisation wie NIST einen Konvertierungspfad für die heute mit öffentlichen Schlüsseln verschlüsselten Inhalte schaffen wird. Das NIST startet seinerseits eine Kampagne, um die Cybersicherheitsgemeinschaft über Risiken, bewährte Verfahren und Lösungen aufzuklären. In einem Whitepaper weist das NIST darauf hin, dass ein Heilmittel die Form eines hybriden Algorithmus annehmen könnte, der klassische quantenanfällige und quantenresistente öffentliche Schlüsselalgorithmen kombiniert.[7]

    Erschwerend kommt hinzu, dass niemand alle möglichen Schwachstellen kennt oder vorhersehen kann, obwohl umfangreiche Tests und Modellierungen durchgeführt werden. Und viele wichtige Fragen bleiben unbeantwortet: Könnten sensible Geschäftsunterlagen von heute schon morgen entschlüsselt werden? Wie wird sich diese Post-Quantum-Verschlüsselung auf das Cybersecurity-Risiko und die Versicherung auswirken? Wie schnell werden praktikable Lösungen zur Verfügung stehen? 

    Natürlich ist die Implementierung einer Verschlüsselungslösung nicht trivial. Heutzutage sind Milliarden von programmierbaren Computern möglicherweise nicht ausreichend gegen Quantenbedrohungen gewappnet. Und die Angelegenheit hat vor kurzem an Dringlichkeit gewonnen, nachdem unbestätigte Behauptungen laut wurden, dass China einen relativ leichten Quantencomputer verwendet hat, um die RSA-Verschlüsselung zu knacken, eine Art von Kryptographie mit öffentlichem Schlüssel, die weithin für E-Mail und andere Internetanwendungen verwendet wird.[8]

    Das Wichtigste über Quantencomputer und Cybersicherheit

    In einem Gespräch im Mimecast-Podcast Phishy Business sagte Duncan Jones, Leiter der Abteilung Cybersicherheit bei Cambridge Quantum: "Wir wissen, dass in 10 oder 15 Jahren der Zeitpunkt kommen wird, an dem die Verschlüsselungssysteme, auf die wir uns heute verlassen, mit Quantencomputern gebrochen werden könnten. Unsere Branche muss also jetzt Maßnahmen ergreifen, damit wir für diesen Moment gerüstet sind. Dr. Gaffney unterstrich diesen Punkt und empfahl, dass Unternehmen schon heute Technologie-Audits und andere Maßnahmen einleiten sollten, um eine Post-Quantum-Cybersicherheitsstrategie für morgen vorzubereiten. Wenn Sie einen tieferen Einblick in Quantencomputing und Cybersicherheit erhalten möchten, hören Sie sich die Podcast-Episode von Mimecast Phishy Business zu diesem Thema an. 


     

    [1] "Kommerzielle Quantencomputer Störung am Horizont," Insider Intelligence

    [2] H.R.7535 - Quantum Computing Cybersecurity Preparedness Act, U.S. Congress 

    [3] "NSA setzt 2035 als Frist für die Einführung von Post-Quantum-Kryptographie," FedScoop

    [4] "Was ist quantensichere Kryptographie und warum brauchen wir sie?", IBM

    [5] "Tipps zur Abschwächung des Risikos der Public-Key-Kryptografie in einer Welt der Quantencomputer," Help Net Security

    [6] "Crypto Agility: Die Lösung für das Unvermeidliche," Dark Reading

    [7] "Migration zur Post-Quantum-Kryptographie," National Institute of Science and Technology

    [8] "Hat China die Quantenschranke durchbrochen?", Forbes

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang