Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. IT WELT.at hat mit ihr über Quantencomputer gesprochen, und was das für die Sicherheitslage bedeutet. [...]
Quantencomputer stellen uns vor völlig neue Sicherheitsherausforderungen. Sie werden wahrscheinlich bald in der Lage sein, die Verschlüsselung in einer für Kriminelle interessant kurzen Zeit zu knacken. Wann werden Quantencomputer eine konkrete Bedrohung für die derzeit noch sichere Verschlüsselung darstellen?
Das Problem ist, dass wir wirklich nicht wissen, wann Quantencomputer das erforderliche Niveau erreichen werden; man kann Innovationen nicht nach einem Zeitplan entwickeln. Was wir jedoch tun können, ist zu versuchen, vorherzusagen, welche Maßnahmen wir ergreifen müssen, wenn diese Schwelle fast erreicht ist, um vorbereitet zu sein und diese Maßnahmen ergreifen zu können, wenn die Zeit gekommen ist.
Ist es für die Unternehmenssicherheit nicht schon zu spät, wenn Cyberkriminelle jetzt schon verschlüsselte Passwörter speichern, um sie später, wenn die Technik reif ist, zu entschlüsseln (“harvest now, decrypt later”)? Was kann man dagegen tun?
Da wir nicht wissen, wann bestimmte Meilensteine erreicht werden, ist es möglich, dass alle Daten, die die Angreifer bereits gesammelt haben, zu diesem Zeitpunkt veraltet und daher unbrauchbar sind. Die interessantesten Daten sind in der Regel dynamischer Natur. Die Ungewissheit und die Verzögerung geben uns auch Zeit, andere Abhilfemaßnahmen zu entwickeln, falls die Entschlüsselung die ursprünglichen Datenakteure gefährdet.
Was kann getan werden? Behörden, Finanzinstitute und andere Organisationen haben strenge langfristige Vertraulichkeitsanforderungen. Sie müssen auf quantensichere Kryptografie umsteigen, z. B. auf den aufkommenden Kyber-Standard oder – im Falle von VPN – auf IKEv2 Post-Quantum Preshared Keys (RFC 8784).
Werden Quantencomputer nicht nur eine Bedrohung darstellen, sondern auch für die Unternehmenssicherheit einen Nutzen bringen, und wenn ja, welchen?
Quantencomputer werden überall dort nützlich sein, wo wir sehr große und komplexe Daten haben. Denken Sie an biomedizinische Modellierung, Experimente auf atomarer Ebene, globale Populationen und umfangreiche Interaktionen zwischen KI-Systemen. Da wir jedes System sichern müssen, egal wie komplex es wird, und wir konkurrierende Risiken und Kontrollen abwägen müssen, wird uns Quantencomputing dabei helfen, mit der zunehmenden Komplexität in allen Bereichen Schritt zu halten.
Gibt es sicherheitstechnische Aspekte bezüglich Quantencomputer, die derzeit noch zu wenig Beachtung finden?
Das hört sich jetzt nicht nach Sicherheit an, ist es aber doch. Wir müssen bereit sein, die zugrundeliegenden Technologien zu migrieren, um die Vorteile des Quantencomputings nutzen zu können, sobald es soweit ist. Chief Information Security Officers (CISOs)wissen, dass eine der größten Sicherheitsherausforderungen die Ausmusterung veralteter Technologien ist. So wie wir heute noch den Mainframe absichern müssen, werden wir einen langen Rattenschwanz von Infrastrukturen haben, die aus dem einen oder anderen Grund nicht einfach aktualisiert werden können, und wir müssen diese lange Reihe von Legacy-Technologien absichern, während wir uns gleichzeitig an die auf Quantencomputing basierenden Sicherheitstools anpassen.
Halten Sie eine stärkere Regulierung seitens der Politik für erforderlich, wenn es um Quantencomputer geht (wie das ja bereits für KI gefordert wird)? Warum sind Sie für oder gegen eine Regulierung?
Die Quanteninformatik steckt noch in den Kinderschuhen und Geschäftsanwendungen müssen noch auf breiter Basis entwickelt werden. Angesichts der gesellschaftlichen und wirtschaftlichen Fortschritte, die das Quantencomputing in Bereichen wie Klimawandel, Gesundheit und Energie wahrscheinlich machen wird, konzentrieren sich die meisten Regierungen derzeit auf die Stärkung der Forschung und der Fähigkeiten, die erforderlich sind, um ihre Vorteile zu nutzen. Gleichzeitig wissen wir jedoch, dass Quantencomputer ebenso wie die künstliche Intelligenz das Potenzial haben, klassische Verschlüsselungsalgorithmen zu knacken. Dies wird jedoch erst möglich sein, wenn diese Computer in ausreichendem Umfang vorhanden sind. Quantennetzwerke, eine Technologie, die viel schneller entwickelt wird als Quantencomputer, könnten die Eigenschaften von Quantenteilchen (z. B. Verschränkung) für Dinge wie die Verteilung von quantensicheren Verschlüsselungsschlüsseln nutzen. Es scheint noch zu früh zu sein, um sagen zu können, ob eine spezifische Regulierung erforderlich ist. Es ist jedoch erwähnenswert, dass es bereits einen bestehenden strengen Regulierungsrahmen in Bezug auf Exportkontrolle, Cybersicherheit, Datenschutz und geistiges Eigentum gibt, der möglicherweise bereits auch die gewünschten Anforderungen abdeckt.
Wie bereitet sich Cisco in Bezug auf Sicherheit auf das Quantencomputerzeitalter vor?
Cisco hat proaktiv Standards für quantensichere Kryptografie entwickelt und eingesetzt, darunter IKEv2 Postquantum Preshared Keys (RFC 8784), Hash-basierte Signaturen (RFC 8554) für Software- und Firmware-Updates. Außerdem haben wir das Simple Key Import Protocol (SKIP) entwickelt, damit Lösungen von Drittanbietern wie Quantum Key Distribution (QKD) oder ausgereifte quantensichere Algorithmen wie McEliece-Verschlüsselung die in IKEv2 PPK verwendeten Schlüssel bereitstellen können. Wir beteiligen uns auch an Brancheninitiativen, die die nächste Generation von Standards entwickeln, wie die Open Quantum Safe (OQS) Alliance, IETF, NIST und NCCoE.
Be the first to comment