Mit proaktiven Maßnahmen in die Zukunft der Cybersicherheit investieren:: Warum Quantenkryptografie jetzt auf die Agenda gehört

Von Yaroslav Rosomakho, VP Field CTO bei Zscaler

Mit der Post-Quantum-Kryptographie steht eine neue Technologie in den Startlöchern, die IT-Teams zur Bekämpfung von Angriffen berücksichtigen müssen, um auf dem neuesten Stand zu bleiben. Die bevorstehende Kommerzialisierung des Quantencomputings und die damit verbundenen Auswirkungen auf die Kryptografie könnten neue, ernsthafte Gefahren für Cybersicherheitsteams mit sich bringen. Deshalb sollten sich Unternehmen bereits heute darauf einstellen, ihre Netzwerke und Daten zukunftsfähig abzusichern.

Das Quantenrisiko

Die Kernfunktion des Quantencomputings besteht in der Lösung mathematischer Probleme, die für herkömmliche Computer zu schwierig sind, wie etwa die Faktorisierung großer Zahlen. Diese Fähigkeit bedeutet aber auch, dass Quantencomputing in der Lage sein wird, viele moderne kryptografische Algorithmen zu knacken, die auf verschiedenen IT-Plattformen zur Verschlüsselung der Kommunikation, zur Sicherung von Daten oder zur Erstellung digitaler Signaturen allgegenwärtig sind. Quantencomputer, die eine Bedrohung für die moderne Kryptographie darstellen, sind noch nicht kommerziell verfügbar. Dennoch gehört die Post-Quanten-Kryptographie aus zwei Gründen auf die strategische Agenda von Organisationen.

Erstens gibt es das reale Potenzial für rückwirkende Angriffe. Kryptografische Technologien sind inzwischen so allgegenwärtig in Geschäftsprozesse integriert, dass die meisten Daten zur Risikominimierung sowohl im Ruhezustand als auch während der Übertragung digital verschlüsselt sind. Retrospektive Angriffe funktionieren nach dem Prinzip „heute ernten und später entschlüsseln“.

Das bedeutet, dass böswillige Akteure verschlüsselte Daten, die sie heute noch nicht mit herkömmlichen Computern knacken können, schon jetzt sammeln und speichern, bis genügend große Quantencomputer verfügbar sind, um das Entschlüsselungsproblem zu lösen. Auch wenn die Daten zu dem Zeitpunkt, an dem sie zugänglich sind, schon ein paar Jahre alt sind, können sie immer noch sensible Inhalte verbergen und Unternehmen, Mitarbeitenden und Kunden Schaden zufügen, wenn sie zeitversetzt offengelegt werden.

Der zweite Grund für die Besorgnis auf Vorstandsebene sollte der Umfang der nötigen Investitionen und der betriebliche Aufwand sein, der für die Aufrüstung oder den Ersatz älterer IT-Systeme erforderlich ist, die eine für Quantencomputer anfällige Verschlüsselung nutzen. Die Migration von Altsystemen auf neuere Versionen birgt Risiken, sowohl in finanzieller als auch in sicherheitstechnischer Hinsicht, die durch übereilte Maßnahmen noch vergrößert werden.

Bis heute gibt es keine Quantencomputer, die groß und leistungsfähig genug sind, um die herkömmliche Kryptografie zu knacken. Große Privatunternehmen und Regierungen investieren jedoch in erheblichem Umfang in diesem Bereich, sodass man davon ausgeht, dass dieser Durchbruch nur noch ein paar Jahre entfernt ist. Um die finanzielle Belastung zu verringern, sollten Unternehmen ihre Systeme im Vorfeld des kommerziellen Quantencomputings schrittweise aufrüsten, anstatt auf den Durchbruch zu warten und gezwungen zu sein, massiv in einen grundlegenden Neuaufbau zu investieren.

Der Zeitplan

Obwohl kein Konsens darüber besteht, wann kommerzielle Quantencomputer verfügbar sein werden, sind sich die meisten Wissenschaftler einig, dass dies frühestens in drei bis fünf Jahren der Fall sein wird. Behörden geben jedoch bereits heute Empfehlungen für Unternehmen ab, sich auf den Übergang zur Quantenverschlüsselung vorzubereiten. So hat beispielsweise die britische Cybersicherheitsbehörde – das National Cyber Security Centre (NCSC) – vor kurzem einen Leitfaden veröffentlicht, in dem Unternehmen aufgefordert werden, sich jetzt mit dem Übergang zu befassen.

Eine ähnliche Empfehlung für Deutschland haben auch das BSI und weitere europäische Behörden wie das französische ANSSI veröffentlicht. Somit lässt sich eine kontrollierte Umstellung ermöglichen, die das Risiko überstürzter Implementierungen und damit verbundener Sicherheitslücken verringert. In diesem Zusammenhang rief das NCSC Unternehmen dazu auf, in die Transparenz ihrer Infrastrukturen zu investieren, um den Überblick über bestehende Systeme zu erhalten und zu verstehen, was vor der Umstellung aufgerüstet werden muss.

Die Europäische Union arbeitet ebenfalls an Leitlinien für die Quantenverschlüsselung, und es ist zu erwarten, dass Branchenvorschriften wie NIS2 und DORA schon bald die Post-Quantum-Kryptografie als Teil ihrer grundlegenden Compliance-Maßnahmen erfassen werden. Vor diesem Hintergrund und obwohl alle Regierungsaussagen zum Thema Quantenverschlüsselung derzeit nur richtungsweisend und nicht verpflichtend sind, sollten CISOs und IT-Führungskräfte sicherstellen, dass das Thema so bald wie möglich auf die Tagesordnung des Vorstands rückt. Auf diese Weise lässt sich vermeiden, dass zu einem späteren Zeitpunkt Eile für die Einhaltung von Vorschriften entsteht und viel Zeit und Geld auf einmal investiert werden müssen, wenn Leitfäden zur Vorschrift werden.

Vorbereitungen treffen

Auch wenn die konkrete Bedrohung durch das Quantencomputing aus Sicht der Cybersicherheit noch einige Jahre entfernt sein mag, so sind die damit verbundenen Risiken doch bedeutend genug, um schon heute proaktive Maßnahmen zu rechtfertigen. Unternehmen sollten schon jetzt mit der Vorbereitung beginnen, indem sie ihre aktuellen Systeme verstehen und schrittweise Upgrades planen, um einen reibungslosen Übergang zur Post-Quantum-Kryptografie zu gewährleisten. Auf diese Weise können sie das Risiko nachträglicher Kompromittierung gestohlener Informationen mindern und die finanzielle und betriebliche Belastung durch überstürzte Implementierungen vermeiden.

Regierungen und Cybersicherheitsbehörden stellen jetzt schon Leitlinien zur Verfügung, um Unternehmen bei dieser Umstellung zu unterstützen. Es ist wichtig, dass CISOs und IT-Leiter diesem Thema Priorität einräumen und die Aufmerksamkeit ihrer Vorstände darauf lenken. Eine frühzeitige Vorbereitung wird nicht nur sensible Daten schützen, sondern auch Unternehmen in die Lage versetzen, ihren Wettbewerbsvorteil angesichts der Realität von Quantencomputing zu verteidigen.

Letztendlich liegt der Schlüssel zum zukünftigen Erfolg in der vorausschauenden Planung. Wenn sich Unternehmen schon heute mit dem Quantenrisiko befassen, lässt sich ihre Sicherheitsinfrastruktur angesichts der neuen technologischen Bedrohungen robust und widerstandsfähig aufstellen.