Quantum Computing verspricht eine nie dagewesene Rechenleistung und wird ein neues Zeitalter der Informationsverarbeitung einläuten, so viel ist sicher. Doch dieser bahnbrechende technologische Fortschritt bringt nicht nur Vorteile mit sich. Er birgt auch ernstzunehmende Risiken für die Datensicherheit. Höchste Zeit sich vorzubereiten, sagt Dr. Francis Gaffney, Senior Director of Threat Intelligence bei Mimecast.
Bereits jetzt greifen Cyberkriminelle Unmengen an Daten ab, die sie momentan noch nicht entschlüsseln können – und warten damit still und heimlich auf den Q-Day. Denn Quantenrechner können zukünftig einen Großteil der derzeit standardmäßig genutzten Public-Key-Kryptographieverfahren umgehen.
Die Zeit, sich vorzubereiten, ist jetzt
Der sogenannte ‚Q-Day‘ markiert den Zeitpunkt, ab dem Quantenrechner auf einer breiteren Ebene zur Verfügung stehen werden. Die Warnungen von Cybersecurity-Expert:innen bezüglich der Sicherheitsrisiken, die mit dem Q-Day einhergehen, stoßen bei den IT-Sicherheitsverantwortlichen vieler Unternehmen noch auf taube Ohren.
Viel zu bequem ist die Ausflucht, dass dieser verhängnisvolle Tag erst in einigen Jahren eintreffen werde. Noch seien verschlüsselte Daten doch sicher – oder? Wie unter anderem die Spezialist:innen bei Mimecast bestätigen, sammeln und archivieren Cyberkriminelle schon heute verschlüsselte Daten, um sie später zu knacken, wenn die Quanten-Technik verfügbar ist.
Und dieser Zeitpunkt könnte früher kommen, als zunächst angenommen: Anfang Juli diesen Jahres veröffentlichte das National Institute of Standards and Technology (NIST) die ersten 4 Kandidaten für die nächste Runde ihres Bestrebens, Post-Quantum-Kryptographie (PQC) zu standardisieren.
Zwei kurz vor der Standardisierung stehende Verfahren konnten indes kürzlich durch Quantencomputer geknackt werden – ein weiteres klares Zeichen für den Ernst der Lage. Unternehmen müssen daher so schnell wie möglich damit beginnen, eine Strategie für den PQC-Übergang zu entwickeln, um sensible Kunden- und Geschäftsdaten auch zukünftig sicher zu wissen.
Ein Fahrplan, um dem Q-Day zuversichtlich entgegenzublicken
Während das NIST weiter am Standardisierungsprozess der Post-Quantum-Kryptographie arbeitet, haben die Expert:innen bei Mimecast einige Punkte zusammengetragen, anhand derer sich Unternehmen auf den Q-Day und die Implementierung von PQC vorbereiten können:
- Unternehmen sollten eine Bestandsaufnahme der sensibelsten und kritischsten Datensätze machen, die über einen längeren Zeitraum gesichert werden müssen. Diese Analyse dient auch zur Ermittlung, welche Daten jetzt schon gefährdet sind und entschlüsselt werden können, sobald ein kryptografisch relevanter Quantencomputer verfügbar ist.
- Unternehmen sollten alle Systeme ermitteln, die kryptografische Technologien für jegliche Funktionen nutzen, um einen reibungslosen Übergang zu Post-Quantum-Technologien zu ermöglichen.
- IT-Sicherheitsbeauftragte sollten Beschaffungs-, Cybersecurity- und Datensicherheitsstandards protokollieren, die aktualisiert werden müssen, um den Post-Quantum-Anforderungen gerecht zu werden.
- Anhand dieser Bestandsaufnahmen können die Unternehmen feststellen, wo und zu welchem Zweck Public-Key-Kryptographie verwendet wird und diese Systeme als ‚Quantum-anfällig‘ kennzeichnen.
Den Anfang machen
Automatisierter Cybersicherheit steht immer auch automatisierte Cyberkriminalität entgegen. Um in diesem Wettlauf überhaupt eine Chance zu haben, ist eine Priorisierung der Quantum-anfälligen Systeme für einen PQC-Übergang zwingend erforderlich. Diese hängt freilich für jedes Unternehmen individuell von unterschiedlichen Faktoren ab. Verantwortliche sollten sich Fragen stellen wie:
- Was genau schützt dieses System, und wie lange müssen die Daten geschützt bleiben?
- Mit welchen anderen Systemen kommuniziert es?
- In welchem Umfang gibt das System Informationen an externe Stellen außerhalb der eigenen Organisation weiter?
Anhand der Bestandsaufnahme und der Priorisierung sollten die Unternehmen eine Strategie für die Systemumstellung nach der Veröffentlichung der neuen Post-Quantum-Kryptostandards entwickeln.