Was Unternehmen jetzt tun sollten, um der Gefährdung ihrer Daten entgegenzuwirken

Die Erwartungen an Quantencomputer sind hoch. Experten erhoffen sich damit Probleme lösen zu können, die aktuelle Computer schlicht überfordern. Sei es beim maschinellen Lernen, in der medizinischen Forschung oder der Teilchenphysik – von Quantencomputern wird Großes erwartet.

Aber der prognostizierte Leistungssprung birgt auch Gefahren. So gilt es als nahezu sicher, dass Quantencomputer in der Lage sein werden, selbst die anspruchsvollsten Verschlüsselungsalgorithmen von heute zu knacken. Das könnte innerhalb von ein paar Jahren passieren, oder noch zwei Jahrzehnte entfernt sein – in jedem Fall wird diese Entwicklung in relativ naher Zukunft aber ernste Sicherheitsprobleme mit sich bringen.

Quantencomputing wird die traditionelle Kryptografie obsolet machen

Je früher Unternehmen damit anfangen, sich mit den Risiken des Quantencomputings für ihre herkömmlichen Verschlüsselungssysteme (und damit ihre geschäftskritischen Daten) zu beschäftigen, desto besser. Auch Regierungen befassen sich aktuell mit diesem Thema. So ist in den USA am 1. Januar 2021 der National Defense Authorization Act in Kraft getreten. Er beinhaltet einen Auftrag an das US-Verteidigungsministerium, eine detaillierte Bewertung der Bedrohungen für kritische nationale Sicherheitssysteme durch Quantencomputer durchzuführen.

Digitale Welt Magazin sprach mit Xavier Coemelck, Regional Vice President of Sales & Services bei Entrust, darüber, wie sich Quantencomputing bald auf die Datensicherheit in Unternehmen auswirken könnte und welche Schritte jetzt unternommen werden müssen, um entgegenzusteuern.

Digitale Welt Magazin: Wie weit sind wir Ihrer Meinung nach davon entfernt, dass Quantencomputing die Verschlüsselung im privaten Sektor herausfordert?

Xavier Coemelck: Hierfür gibt es keine präzise Antwort, nur verschiedene Prognosen von Mathematikern und Sicherheitsexperten. Aber sobald man einen Zeitrahmen von 10 plus x Jahren ins Visier nimmt, ist sich die Mehrheit der Experten ziemlich einig – dann werden Quantencomputer voraussichtlich eine echte Bedrohung für die Kryptosysteme von Unternehmen und Regierungen.

Wir versuchen unsere Kunden jedoch davon zu überzeugen, dass es wichtig ist, sich bereits jetzt auf dieses Problem zu konzentrieren. In der Vergangenheit hat es oft sehr lange gedauert, bis Unternehmen ihre Kryptosysteme auf modernere Standards umgestellt haben. Wir müssen daher mit längerfristigen Prozessen rechnen. Ich denke zurück an SHA oder den Übergang von RSA zu elliptischen Kurven. Das hat 20, 30 Jahre gedauert von der Etablierung der Standards bis hin zu den erforderlichen Änderungen der Richtlinien und der Technologie. Unternehmen haben sich da durchgekämpft. Es war kein einfacher Übergang.

Digitale Welt Magazin: SHA-1 war sehr viel länger im Einsatz, als es ratsam gewesen wäre. Das war geradezu eine lächerlich lange Zeitspanne.

Xavier Coemelck: Mit dieser Art von Zeitspanne im Hinterkopf ist es daher wichtig, rechtzeitig ein Problembewusstsein zu schaffen. Es gibt immer noch Unternehmen, die SHA-1 nutzen. Solche veralteten Systeme sind jetzt nur noch sehr schwer zu ändern. Es ist eine einfache Kalkulation: Wenn wir mit 10 Jahren rechnen, bevor die Risiken durch Quantencomputing eintreten und wir 20 Jahre zu deren Entschärfung benötigen, dann haben wir ein Problem.

Digitale Welt Magazin: Womit sollten wir daher jetzt beginnen?

Xavier Coemelck: Es gibt mehrere Schritte, mit denen Unternehmen und Institutionen ab sofort starten sollten. Der erste ist die Aufklärung. Als Sicherheitsexperte in einem Unternehmen oder allgemein als Verantwortlicher für die Informations- oder Datensicherheit ist es jetzt an der Zeit, sich über das Thema zu informieren und zu wissen, was auf dem Spiel steht.

Es gibt eine Menge Experten-Informationen über die zu erwartenden Bedrohungen. Diese müssen veröffentlicht und frei zugänglich gemacht werden, um ebendiese Gefahren zu vermeiden. Das NIST (National Institute of Standards and Technology in den USA) veröffentlicht zum Beispiel bereits eine Menge relevanter Informationen. Gleichzeitig sollten wir aus der Vergangenheit lernen, von SHA-1 bis zur elliptischen Kurve – unter Einbeziehung dessen, was gut lief und wo die Probleme lagen. Das ist die Art von Ausbildung, die nun passieren muss.

Der zweite Schritt besteht darin, zu verstehen, wo genau sich Krypto in der eigenen Organisation befindet. Wo sind die Schlüssel, wo die Zertifikate, wo findet Krypto statt? Hier geht es um Analyse und Inventarisierung. Das ist nicht so einfach wie es klingt, denn Krypto und Schlüssel landen überall in einer Organisation.

Hier können jedoch fortschrittliche Technologien helfen, diese Art von Inventar zu erstellen und herauszufinden, wo Krypto innerhalb eines Unternehmens stattfindet und wo sich die Schlüssel befinden. Das kann ein komplizierter Prozess sein, der einige Zeit in Anspruch nimmt – aber genau deshalb muss damit nun begonnen werden.

Zu den kritischsten Orten innerhalb moderner Unternehmen gehören veraltete Systeme, die gar nicht mehr auf dem neuesten Stand gehalten werden können – hier raten wir unseren Kunden zuerst hinzusehen. Hier werden die ersten Probleme auftauchen.

Aus meiner Sicht wäre dann der dritte Schritt, über seine Daten nachzudenken. Wer die Risiken für seine Daten durch Quantencomputing beurteilen möchte, benötigt ein klares Bild über seine wertvollsten Geschäftsgeheimnisse und geschäftskritischen Informationen. Welche Daten müssen für eine lange Zeit sicher aufbewahrt werden? Im Falle von Banken, Finanz- oder Regierungsinstitutionen und Behörden gibt es in der Regel eine Menge Informationen, die über lange Zeiträume sicher sein müssen. Und das sind für mich die ersten Datensätze, die durch Post-Quantum-Computing bedroht sind.

Der vierte Schritt ist die Zusammenarbeit mit den Technologieanbietern, auf die sich ein Unternehmen in Bezug auf Daten- und Identitätssicherheit verlässt. Denken Sie über Proof of Concepts nach, über Prototyping, über frühe Zugriffsmöglichkeiten auf neue Entwicklungen – damit Unternehmen sich vorstellen können, wie ihre Systeme zukünftig aussehen werden. Was bedeutet Post-Quantum-Krypto (PQC) für das jeweilige Unternehmen? Was wird nicht mehr funktionieren? Das sollte in enger Zusammenarbeit erarbeitet werden.

Digitale Welt Magazin: Beginnen Ihre Kunden bereits damit, diese Schritte zu unternehmen, um sich auf Post-Quantum-Krypto vorzubereiten?

Xavier Coemelck: Wir befinden uns noch in einer frühen Phase, in der hauptsächlich diejenigen Kunden mit der Auseinandersetzung starten, die versuchen, in Sachen Sicherheit ganz vorne mit dabei zu sein. Das gilt vor allem für Unternehmen aus der Finanzbranche und unsere Regierungskunden. Sie wissen um den Wert ihrer sensiblen Daten, die über lange Zeiträume gesichert werden müssen. Daher sind sie auch am meisten an allen aktuellen Diskussionen rund um den Schutz ihrer Daten interessiert. Mit diesen Kunden erarbeiten wir unter anderem bereits Proof of Concepts.

Mein Anliegen wäre aber, dass sich alle Unternehmen damit auseinandersetzen. Die Gefahr im Zusammenhang mit Quantencomputing betrifft jede Organisation. Krypto ist überall. Schlüssel sind überall. Jedes Unternehmen muss Transaktionen sichern und seine Daten schützen. Und seinen Kunden, Mitarbeitern und Partnern jetzt und auch in Zukunft vertrauenswürdige Identitäten und Prozesse garantieren.