Unterschätztes Risiko: Quantencomputer können Verschlüsselung knacken

bei

Blockchain image by Davidstankiewicz is licensed under CC SA 4.0
Blockchain image by Davidstankiewicz is licensed under CC SA 4.0
 / 6. February. 2018

Die fortschreitende Digitalisierung, gesetzliche Vorgaben wie die EU-Datengrundschutzverordnung oder neue interne Prozesse – die Agenda von Entscheidern und IT-Verantwortlichen ist lang. Da ist es mehr als verständlich, Zukunftsthemen wie Quantum Computing genau dort hinzuverlagern – in die Zukunft. Aber Vorsicht: Sind die Supercomputer erst einmal für Cyberkriminielle verfügbar, könnte es für manche Schutzmaßnahme zu spät sein. Zukunftsfähige Lösungen, etwa in Form von Hardware-Sicherheitsmodulen (HSM), bieten Optionen für Post-Quantenkryptografie.

In den nächsten fünf bis fünfzehn Jahren, so schätzen Fachleute, werden Quantencomputer kommerziell verfügbar sein. Das ist zunächst eine gute Nachricht. Denn die enorme Rechenleistung eröffnet völlig neue Dimensionen, etwa im Umgang mit Big Data, bei der Bildanalyse oder auch beim Optimieren von Versorgungsnetzen.

Die Schattenseite ist allerdings, dass auch Hacker und Datenspione dieses Potenzial für ihre Zwecke missbrauchen werden – zum Beispiel um komplexe Verschlüsselungsverfahren zu knacken und auf verschlüsselte Daten zuzugreifen. Besonders gefährlich ist, dass dieser Zeitpunkt schon vor dem Masseneinsatz von Quantenrechnern eintreten könnte. Denn einmal geknackt, ist ein Algorithmus nicht mehr vertrauenswürdig und damit wertlos. Gefährdet sind in erster Linie asymmetrische Krypto-Systeme, so genannte Public-Key-Systeme. Der gängige Verschlüsselungsstandard kommt in unzähligen Anwendungen zum Einsatz, etwa in elektronischen Türschließanlagen, Smartphones, Sicherheitskameras und Sensoren der Haustechnik, Smart Watches, Smart Meter und intelligenten Unterhaltungselektronik-Systemen.

Aussitzen? Bloß nicht!

Zwar besteht noch keine unmittelbare Gefahr für Unternehmen und öffentliche Einrichtungen. Doch es wäre gefährlich, das Thema ganz unten auf der Liste der anstehenden IT-Aufgaben anzusiedeln. Im Gegenteil: Entscheider und IT-Sicherheitsverantwortliche sind gut beraten, sich schon heute auf das Zeitalter der Quantenrechner und der Post-Quantenkryptografie vorzubereiten.

Ein Grund: Der Lebenszyklus von Systemen und Produkten wie Maschinen, Fahrzeugen oder Satelliten beträgt oft zehn Jahre oder mehr. Im Rahmen von Industrie-4.0-Projekten werden diese Komponenten miteinander und mit IT-Systemen vernetzt und tauschen Daten aus. Verschlüsselung schützt solche Umgebungen vor Angriffen. Das bedeutet jedoch, dass bereits bei der Planung und Anschaffung von Verschlüsselungslösungen wie Hardware-Sicherheitsmodulen darauf zu achten ist, dass diese auch am Ende des Lebenszyklus der Systeme und Produkte noch sicher sind.

Das macht eine zukunftsfähige Lösung aus

Krypto-Experten empfehlen, bei der Auswahl einer Verschlüsselungslösung auf folgende Faktoren zu achten:

  1. Updates sollten auch im Feld funktionieren, etwa durch Nachladen von Firmware oder Scripts mit neuen Algorithmen. Auf diesem Weg lassen sich neue (Post-Quantum-) Verschlüsselungstechniken mit vertretbarem Aufwand implementieren, wichtige Zertifizierungen bleiben erhalten.
  2. Die Lösung sollte große Schlüssellängen unterstützen.
  3. Die Rechenleistung sollte großzügig ausgelegt sein, da sich ein Austausch von Hardware-Komponenten für die Verschlüsselung oft schwierig gestaltet.

Die Devise lautet also handeln. Unternehmen aller Größen und Branchen müssen sich mit den eigenen Risiken und post-quantenkryptografischen Technologien auseinanderzusetzen. Nur wer seine Risiken kennt, kann diese mit den jetzt verfügbaren Lösungen minimieren. Unabhängig davon, wann Quantencomputer verfügbar sein werden – die passende Sicherheitsstrategie muss jederzeit bereitstehen.

Der Autor: Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und seit 2011 CEO. Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV (Bertelsmann). Neben einem Master Abschluss in Physik an den Universitäten Paderborn und Kaiserslautern hat Malte Pollmann eine Ausbildung in General Management bei INSEAD in Fontainebleau genossen. Parallel zu seiner Arbeit bei Utimaco ist er auch im Aufsichtsrat der „International School of IT-Security“ isits AG, Bochum.

Vorheriger ArtikelCybersicherheit 2018: KI kämpft gegen KI
Nächster ArtikelAm Ende gewinnt immer der Kunde…