Am 14. April wird auch in diesem Jahr wieder der Weltquantentag begangen. Auch wenn derzeit noch diskutiert wird, wie schnell sich Quantencomputing durchsetzen wird, ist das Risiko real und der Zeitrahmen so knapp, dass es sich Unternehmen nicht mehr leisten können, abzuwarten. Was oft übersehen wird: es geht hier nicht nur um „Harvest now, decrypt later“, sondern um „Harvest now, forge later“.
Von Tiho Saric, Senior Sales Director bei Gigamon.
Wenn private Schlüssel kompromittiert werden, gerät die Integrität von Identitäten, Transaktionen und digitalen Signaturen in Gefahr. Damit steht nichts weniger als das Rückgrat der digitalen Moderne auf dem Spiel, das bisher ein Garant für Vertrauen und Risikoberechnung war. Dies wird sich auf Unternehmen in allen Branchen auswirken und sowohl Verbraucher als auch Unternehmen betreffen.
Wenn wir an das Jahr 1999 zurückdenken, als das Y2K-Problem näher rückte, war dieses Ereignis selbst ein Auslöser, der zu massiven Upgrades der technologischen Infrastruktur und zur Modernisierung des Tech-Stacks führte.
Damals waren die tatsächlichen Auswirkungen der Umstellung sehr gering und die umfassenden Maßnahmen wurden oft als überzogen dargestellt. Doch das war nicht der Fall, denn für viele Unternehmen war die Jahrtausendwende ein Anlass, ihre Tech-Stacks zu modernisieren, wovon ganze Branchen profitierten.
Wie beim Y2K-Problem geht es bei der potentiellen Bedrohung durch Quantenrechner nicht nur um das eigentliche Ereignis, sondern auch um das Ausmaß der erforderlichen Präventionsmaßnahmen. Da sich diese über Systeme, Anwendungen und eingebettete Technologien hinweg erstrecken, ist frühzeitiges Handeln entscheidend. Ein Vorteil der konkreter werdenden Bedrohungssituation ist, dass längst überfällige Modernisierungsmaßnahmen nun in den Fokus rücken.
In einer Gigamon-Umfrage geben beispielsweise 80 % der teilnehmenden deutschen Unternehmen an, dass sie besorgt über die Zunahme von „Harvest now, decrypt later“-Angriffen sind. Fast 9 von 10 (86 %) vertreten außerdem die Meinung, dass Einblicke in verschlüsselten Datenverkehr kritisch für die Vorbereitung auf Post-Quanten-Kryptografie (PQC) sind.*
Auch wenn ein klares Bewusstsein für die Bedrohung vorhanden ist, fehlt es bisher an echten Maßnahmen: Die meisten Unternehmen stützen sich noch auf eine begrenzte Anzahl veralteter kryptografischer Algorithmen, die bislang weitgehend unverändert geblieben sind, da Umstellungen kompliziert sind. Zur Vorbereitung sollten Unternehmen intern ein spezielles Team einrichten, ähnlich einem Kompetenzzentrum für Kryptografie.
Diese Spezialisten können dann erfassen, wo in ihren Umgebungen Kryptografie zum Einsatz kommt, Prioritäten setzen und die internen Kapazitäten aufbauen, um diese Upgrades zu verwalten und durchzuführen. Sobald dies geschehen ist, müssen Unternehmen ihre Umgebungen konstant überwachen, um sicherzustellen, dass keine anfällige Nicht-Post-Quanten-Kryptografie übersehen wurde oder sich wieder einschleicht.
Wenn diese Bemühungen zu echter kryptografischer Agilität führen, bei der Richtlinien und Algorithmen als Reaktion auf zukünftige Bedrohungen schnell ausgetauscht werden können, dann wird sich die Investition gelohnt haben, unabhängig davon, wie sich die Quantenbedrohung letztendlich entwickelt.
* Diese Zahlen stellen einen ersten Einblick in die Ergebnisse der Gigamon-Umfrage „2026 Hybrid Cloud Security Survey“ dar, an der mehr als 1.000 Sicherheits- und IT-Fachleute teilgenommen haben und die im Mai veröffentlicht wird.