Post-Quanten-Kryptographie: Studie offenbart Sicherheitsauswirkungen
In einer aktuellen Studie wurden die Sicherheitsmaßnahmen und -vorbereitungen eines Unternehmens in Bezug auf die Bedrohungen durch Post-Quanten-Computing untersucht. IT-Verantwortliche sind besorgt, ob sie rechtzeitig angemessene Vorbereitungen treffen können, da Hindernisse wie fehlende Zuständigkeiten, begrenzte Budgets und mangelnde Unterstützung seitens der Geschäftsleitung die Planung erschweren.
Quantencomputer nutzen die Prinzipien der Quantenmechanik, um Aufgaben zu bewältigen, die für herkömmliche Rechner zu komplex sind. Sie können hochkomplexe Berechnungen in kürzester Zeit durchführen und selbst Verschlüsselungsverfahren knacken, was erhebliche Risiken für die Sicherheit von Daten und Benutzern birgt. Post-Quanten-Kryptographie (PQC) ist ein Teilbereich der Kryptographie, der sich mit kryptografischen Methoden beschäftigt, die selbst für Quantencomputer praktisch unknackbar sind.
„Post-Quanten-Kryptographie ist ein technologischer Durchbruch, auf den sich IT-Verantwortliche jetzt vorbereiten müssen. Zukunftsorientierte Unternehmen, die in Krypto-Agilität investieren, stärken ihre Position für den Übergang zu quantensicheren Algorithmen, die voraussichtlich 2024 veröffentlicht werden“, so Amit Sinha, CEO von DigiCert, das die Studie durchgeführt hat.
Wichtige Ergebnisse der DigiCert-Studie:
- Von den befragten IT- und IT-Sicherheitsexperten in den USA, EMEA und im asiatisch-pazifischen Raum, die sich mit den Auswirkungen der Post-Quanten-Kryptographie auf ihre Unternehmen auseinandersetzen, gaben 61 Prozent an, dass ihre Organisationen sich bisher nicht mit diesen Auswirkungen beschäftigt haben.
- Fast die Hälfte der Befragten (49 Prozent) berichtete, dass die Geschäftsführung in ihren Unternehmen nur wenig (26 Prozent) oder überhaupt nicht (23 Prozent) über die Auswirkungen von Quantencomputing auf die Sicherheit informiert ist.
- Lediglich 30 Prozent der Befragten erklärten, dass ihre Unternehmen Budgets für die Vorbereitung auf Post-Quanten-Kryptographie zur Verfügung stellen.
- Rund 52 Prozent der Befragten gaben an, dass ihre Unternehmen derzeit eine Bestandsaufnahme der verwendeten Kryptographiemethoden und -verfahren durchführen.
Herausforderungen für Unternehmen
Zu den wichtigsten Erkenntnissen der Studie zählt, dass IT-Sicherheitsteams einen Spagat zwischen der vorausschauenden Abwehr von Cyberangriffen auf ihre Unternehmen und der gleichzeitigen Vorbereitung auf eine Zukunft nach Quantencomputing schaffen müssen. Nur etwa die Hälfte der Befragten (50 Prozent) empfand ihre Unternehmen als sehr effektiv bei der Risikominderung, der Identifikation von Schwachstellen und der Abwehr von Angriffen. Ransomware und der Diebstahl von Anmeldeinformationen wurden als häufigste Arten von Cyberangriffen genannt.
41 Prozent der Teilnehmer gaben an, dass ihre Unternehmen weniger als fünf Jahre Zeit haben, um sich erfolgreich vorzubereiten, jedoch fehlen Zeit, Geld und Fachwissen. Lediglich 30 Prozent der Befragten verfügten über spezielle Budgets für die Vorbereitung auf Post-Quanten-Kryptographie.
In Bezug auf die Merkmale und den Speicherort ihrer kryptografischen Schlüssel fehlt vielen Unternehmen die Transparenz. Nur etwas mehr als die Hälfte der Befragten (52 Prozent) bestätigte, dass in ihren Unternehmen eine Bestandsaufnahme der verwendeten Arten von Kryptographieschlüsseln und deren Speicherorte durchgeführt wird. Zudem priorisieren nur 39 Prozent der Befragten kryptografische Ressourcen, und lediglich 36 Prozent wissen, ob diese Daten lokal oder in der Cloud gespeichert sind.
Die meisten Unternehmen haben keine einheitliche, zentralisierte Krypto-Management-Strategie. Laut 61 Prozent der Befragten verfügen ihre Unternehmen lediglich über eine begrenzte Krypto-Management-Strategie, die auf bestimmte Anwendungen oder Anwendungsfälle beschränkt ist. Bei 25 Prozent der untersuchten Organisationen gibt es überhaupt keine solche Strategie.
Um ihre Informationen und IT-Infrastruktur zu schützen, müssen Unternehmen kryptografische Lösungen und Methoden effizienter einsetzen. Doch die Mehrheit der Befragten gab an, dass ihre Unternehmen Schwierigkeiten haben, bewährte Verfahren und Richtlinien durchzusetzen, auf Missbrauch von Zertifikaten und Schlüsseln zu reagieren, Algorithmusfehler zu korrigieren, Sicherheitsverletzungen zu beheben und unerwünschte Zertifikate zu verhindern.
Unternehmen erkennen, dass ihnen das nötige Fachwissen fehlt, um den Anforderungen der Post-Quanten-Ära aktiv zu begegnen. Daher betrachten 55 Prozent der Studienteilnehmer die Einstellung und Bindung qualifizierten Personals als höchste Priorität für die digitale Sicherheit. Für 51 Prozent ist die Erreichung von Krypto-Agilität, d.h. die Fähigkeit zur effizienten Anpassung von kryptografischen Algorithmen, Parametern, Prozessen und Technologien, entscheidend, um besser auf neue Protokolle, Standards und Sicherheitsbedrohungen reagieren zu können, einschließlich der Nutzung von Quantencomputing-Methoden.
Die Vorbereitung auf die Ära des Quantencomputings erfordert eine umfassende Strategie, die von der Unterstützung der Geschäftsleitung bis zur transparenten Verwaltung von kryptografischen Schlüsseln und IT-Assets reicht. Diese Strategie sollte im gesamten Unternehmen konsistent angewendet werden und klare Zuständigkeiten und Verantwortlichkeiten beinhalten.
Weitere Informationen zur Studie und ein kostenloses Exemplar gibt es hier.