Es ist wie ein modernes Space Race: In mehreren Ländern arbeiten Unternehmen mit Hochdruck daran, den leistungsstärksten Quantencomputer zu entwickeln – darunter die USA und China, und auch die EU mischt kräftig mit. Quantencomputer, die dank Qubits in einem Wahnsinnstempo mehrere Berechnungen parallel durchführen, wären ein massiver Durchbruch hinsichtlich Rechenleistung – jedoch nicht nur zum Guten.
Von Tiho Saric, Senior Sales Director bei Gigamon.
Quanten-Algorithmen wären dann auch in der Lage, gängige Verschlüsselungen in Nullkommanichts zu knacken. Derzeitige Krypto-Verfahren wie die asymmetrische Kryptografie würden somit obsolet werden, sobald superschnelle Quantencomputer für ein breiteres Publikum erschwinglich sind. Das stellt natürlich ein enormes Risiko für digitale Infrastrukturen und Daten dar. Experten schätzen, dass die Technologie bis 2030 das erwartete Leistungsniveau erreichen könnte.
Cyber-Kriminelle leisten allerdings heute schon fleißig Vorarbeit. Ihre Idee: „Harvest now, decrypt later“. Sprich: Mithilfe von Phishing-Attacken oder über andere Schwachstellen verschaffen sie sich Zugang zu Unternehmensnetzwerken. Im Zuge dessen sammeln sie massenweise verschlüsselte Daten und warten, bis Quantencomputer für sie verfügbar sind, um sie dann zu entschlüsseln.
Traditionelle Sicherheitsmaßnahmen allein greifen schon lange nicht mehr und werden auch in Sachen Quantum Computing nicht viel nützen. Eine Möglichkeit, das Risiko einzudämmen und Daten effektiv zu schützen, wären quantensichere Algorithmen und Verschlüsselungsverfahren. Doch diese stecken ebenfalls noch in den Kinderschuhen.
Umso wichtiger ist es, proaktiv in eine dynamische, anpassungsfähige Sicherheitsinfrastruktur zu investieren. Diese dient einerseits als Schutz vor „Harvest now, decrypt later“-Angriffen, andererseits bildet sie die Grundlage für die Sicherheit im Quanten-Zeitalter. Dabei nehmen die folgenden drei Maßnahmen eine zentrale Rolle ein:
1. Eine Zero-Trust-Architektur aufbauen
Bei diesem Identity-and-Access-Management-Ansatz ist es aus mit dem Vertrauensvorschuss. Alle Systeme, Geräte und Nutzer, die sich mit dem Netzwerk verbinden wollen, gelten grundsätzlich als nicht vertrauenswürdig und müssen ihre Authentizität verifizieren. Mittels Segmentierung und dynamischen Routings können Sicherheitsteams Netzwerkpfade managen sowie Zugangsprivilegien in Echtzeit vergeben. Nutzer und Geräte erhalten nur dann Zugriff auf Komponenten, wenn diese für ihre Arbeit relevant sind. Ein solches Vorgehen schränkt die Kompromittierungsmöglichkeiten durch unautorisierte Dritte enorm ein.
2. Ein hohes Sichtbarkeitsniveau gewährleisten
Im Cybersecurity-Alltag gilt: Was man nicht sieht, kann man nicht schützen. Sogenannte Blind Spots wie lateraler und verschlüsselter Datenverkehr machen es Cyber-Kriminellen extrem einfach, ungesehen ins Netzwerk einzudringen, um dort Malware zu platzieren und Daten zu stehlen. Herkömmliche Monitoring- und Sicherheits-Lösungen allein garantieren jedoch keinen vollständigen Einblick in die Aktivitäten innerhalb des Netzwerks, sodass diese Blind Spots meist auch unentdeckt bleiben.
Im Gegensatz dazu sorgt eine Deep-Observability-Lösung für Sichtbarkeit bis hinunter auf Netzwerkebene. Sie befindet sich zwischen Netzwerk und Sicherheits-Tools und analysiert sämtliche Traffic-Daten – und zwar über physische, virtuelle und Cloud-Umgebungen hinweg. Diese Informationen spielt sie den Sicherheits-Tools zu, wodurch Teams Anomalien und akute Bedrohungen effizienter identifizieren und entsprechend reagieren können. Zudem dient Deep Observability als Fundament für eine Zero-Trust-Architektur, da Sicherheitsteams einen transparenten Überblick über alle Daten, Anwendungen sowie Identitäten und Geräte gewinnen.
3. Gemeinsam Sicherheitsstandards schaffen
Die Umsetzung von Cybersecurity-Regulierungen und Compliance-Richtlinien braucht Zeit. Oftmals gründen diese auf einem veralteten Konzept von Sicherheitskontrollen, was Unternehmen unbeabsichtigt daran hindert, sich fortschrittlichen Bedrohungen erfolgreich zu stellen. Deshalb muss sich der Druck verschieben: von den Branchen, die von der drohenden Tech-Welle betroffen sein werden, hin zur Politik. Gemeinsam müssen Unternehmen auf die Dringlichkeit der Situation beharren. Denn noch ist Zeit, sich auf die Verschiebung in der Bedrohungslandschaft durch Quantum Computing vorzubereiten.