Cyber-Bedrohungen durch Quantencomputer: Was ist ein Crypto Center of Excellence?

Cybersicherheitsexperten sind sich einig, dass mit dem Aufkommen des Quantencomputers eine neue Ära der Kryptographie anbricht. Die Quanteninformatik macht kontinuierlich Fortschritte, und Gartner [1] schätzt, dass sie bis 2029 in der Lage sein wird, bestehende kryptografische Systeme so weit zu schwächen, dass sie nicht mehr sicher verwendet werden können.
Von   Armin Simon   |  Regional Director for Encryption Solutions Deutschland bei Thales   |  Thales
6. Dezember 2022

Die NIST hat die folgenden vier Verfahren ausgewählt, um aktuelle Algorithmen abzulösen und gegen quantensichere auszutauschen, hierbei handelt es sich um:
·       CRYSTALS-KYBER (Schlüsselherstellung) und CRYSTALS-Dilithium (digitale Signaturen) wurden beide wegen ihrer hohen Sicherheit und hervorragenden Performance ausgewählt.
·       FALCON wird ebenfalls vom NIST standardisiert werden, da es Anwendungsfälle geben kann, für die CRYSTALS-Dilithium-Signaturen zu groß sind.
·       SPHINCS+ wird ebenfalls standardisiert werden, um zu vermeiden, dass man sich bei Signaturen nur auf gitterbasierender Kryptographie verlässt.
In den USA haben bereits zahlreiche US-Bundesbehörden damit begonnen, sich diesem Risiko zu widmen. Im vergangenen Mai gab US-Präsident Joe Biden ein Memorandum zur nationalen Sicherheit heraus, in dem er die Strategie der Regierung zur Bewältigung der von Quantencomputern ausgehenden Bedrohungen darlegte. Im Juli 2022 verabschiedete der Kongress den Quantum Computing Cybersecurity Preparedness Act, das die US-Behörden gesetzlich dazu verpflichtet, ihre Cybersicherheit zu verbessern, um sich auf die Bedrohungen durch Quantencomputer vorzubereiten. Das Department of Homeland Security (DHS) und das National Institute of Standards and Technology (NIST) haben eine Arbeitsgruppe gegründet, um Unternehmen beim Schutz ihrer Daten und Systeme zu unterstützen: das „National Cybersecurity Center of Excellence (NCCoE) in the Migration to Post-Quantum Cryptography Project Consortium“.

Reibungsloser Übergang

Da der Prozess zur Entwicklung von neuen Post-Quantum-Kryptographie-Standards von der NIST in Gang gesetzt wurde, sollten Unternehmen nun eine Bestandsaufnahme ihrer aktuellen kryptographischen Systeme und der geschützten Daten vornehmen sowie die Prioritäten für die Umstellung ihrer Systeme definieren. Diese frühzeitigen Vorbereitungen werden einen nahtlosen und effizienten Übergang gewährleisten, sobald die neuen Post-Quantum-Kryptographie-Standards verfügbar sind.
DHS und NIST haben die folgenden sechs Schritte definiert, um Krypto-Teams bei der Umsetzung zu unterstützten:

1.              Organisationen sollten ein Inventar der sensibelsten und wichtigsten Datensätze erstellen, die über einen längeren Zeitraum gesichert werden müssen. Anhand dieser Informationen lassen sich Analysen durchführen, welche Daten zukünftig Gefahr laufen, durch einen kryptografisch relevanten Quantencomputer entschlüsselt zu werden.
2.              Um einen nahtlosen Übergang in der Zukunft zu gewährleisten, sollten Organisationen auch eine Bestandsaufnahme aller Systeme durchführen, die Krypto-Technologie einsetzen.
3.              Die Unternehmen sollten prüfen, welche Vorschriften in der Beschaffung, Cybersicherheit und Datensicherheit aktualisiert werden müssen, um den Anforderungen der Post-Quantum-Zeit gerecht zu werden.
4.              Anhand der Inventarlisten sollten Unternehmen feststellen, wo und aus welchem Grund Public-Key-Kryptografie eingesetzt wird und diese Systeme dann als quantenanfällig kennzeichnen.
5.              Priorisierung der kryptografischen Umstellung auf der Grundlage der Unternehmensbereiche, Ziele und Anforderungen des Unternehmens.
6.              Unternehmen sollten anhand der Inventarisierungs- und Priorisierungsdaten einen Umstellungsplan für ihre Systeme entwerfen.

Das Konzept des Crypto Center of Excellence

Für eine erfolgreiche Post-Quantum-Strategie müssen CISOs und andere IT-Sicherheitsverantwortliche die Unterstützung durch andere Geschäftsbereiche erhalten. Eine hochmoderne Ausrüstung ist ohne die richtigen Mitarbeiter und Verfahren wirkungslos. Es ist wichtig, dass andere Teams die Grundlagen der quantensicheren Kryptografie verstehen, damit das IT-Sicherheitsteam nicht allein für die Absicherung der digitalen Organisation verantwortlich ist.
Laut den Analysten von Gartner [2] besteht die erfolgreichste Strategie zur Verwaltung und Steuerung des Einsatzes von Kryptografie darin, ein zentrales Team mit dem erforderlichen Wissen aufzubauen, das die entsprechenden Richtlinien für das Unternehmen formuliert. Hierbei kommt das Konzept des Cryptographic Center of Excellence (CCoE) zum Tragen. Die Verantwortlichen für Sicherheit und Risikomanagement sind es zwar gewohnt, Entscheidungen dieser Art zu treffen, aber ein mangelhaftes Management dieser Maßnahmen kann kostspielige und unvorhergesehene Auswirkungen haben.
Die CCoE-Mission kann in Bezug auf Personen, Prozesse und Technologie wie folgt definiert werden. Es geht darum, die Mitarbeiterinnen und Mitarbeiter in den Geschäftseinheiten aufzuklären und vorzubereiten. Darüber hinaus sollten Initiativen eingeleitet werden, die andere Geschäftsbereiche ermuntern und die Anforderungen, Zeitrahmen und Bedürfnisse der Organisationsabteilung bekannt gemacht werden, damit sie in die Post-Quantum-Übergangsstrategie eingebunden werden können. Beim Thema Technologie geht es um eine Bewertung der Sicherheitsaspekte jedes einzelnen Geschäftsbereichs sowie Compliance- und Krypto-Anforderungen.

Fazit

Krypto-Agilität ist eine wesentliche Komponente von CCoE. Hierbei handelt es sich um eine Vorgehensweise, die die Widerstandsfähigkeit eines Unternehmens gegenüber Krypto-Bedrohungen verstärkt. Sie erlaubt es Unternehmen schnell auf einen Angriff oder eine Schwachstelle mit geringster Dienstunterbrechung zu reagieren und die Systeme wiederherzustellen. In der Post-Quantum-Ära ist Krypto-Agilität von entscheidender Bedeutung, wenn Unternehmen sich vor Quantenangriffen auf Krypto-Algorithmen schützen müssen. Die Post-Quantum-Ära mag noch einige Zeit entfernt sein, dennoch können Unternehmen durch Krypto-Agilität bereits jetzt dazu beitragen, teure Folgekosten in der Zukunft zu vermeiden.

Quellen

[1] Gartner, Preparing for the Quantum World with Crypto-Agility, September 2nd, 2022
[2] Gartner, Preparing for the Quantum World with Crypto-Agility, September 2nd, 2022

Armin Simon ist seit 2011 bei Thales (ehemals Gemalto SafeNet) beschäftigt und verantwortet als Regional Sales Director den Bereich Identity & Data Protection in Deutschland. Der ausgebildete Informatiker startete seine Karriere als Systems Engineer und ist seit 1997 in der Industrie tätig.

Um einen Kommentar zu hinterlassen müssen sie Autor sein, oder mit Ihrem LinkedIn Account eingeloggt sein.

33460

share

Artikel teilen

Top Artikel

Ähnliche Artikel