„Brauchen quantensichere Kryptographie“

Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. ITWelt.at hat mit ihr über Quantencomputer gesprochen und was diese für die Sicherheitslage bedeuten. [...]

Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco
Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco

Wann wird heute noch sichere Verschlüsselung nicht mehr genügen, da Quantencomputer sie knacken können?

Wir wissen nicht, wann Quantencomputer das erforderliche Niveau erreichen werden – man kann Innovationen nicht nach einem Zeitplan entwickeln. Was wir jedoch tun können, ist zu versuchen, vorherzusagen, welche Maßnahmen wir ergreifen müssen, wenn diese Schwelle fast erreicht ist, um vorbereitet zu sein und diese Maßnahmen ergreifen zu können, wenn die Zeit gekommen ist.

Ist es nicht schon zu spät, wenn Cyberkriminelle jetzt schon verschlüsselte Passwörter speichern, um sie später, wenn die Technik reif ist, zu entschlüsseln („harvest now, decrypt later“)? Was kann man dagegen tun?

Da wir nicht wissen, wann bestimmte Meilensteine erreicht werden, ist es möglich, dass alle Daten, die die Angreifer bereits gesammelt haben, zu diesem Zeitpunkt veraltet und daher unbrauchbar sind. Die interessantesten Daten sind in der Regel dynamischer Natur. Die Ungewissheit und die Verzögerung geben uns auch Zeit, andere Abhilfemaßnahmen zu entwickeln, falls die Entschlüsselung die ursprünglichen Datenakteure gefährdet.

Was kann getan werden? Behörden, Finanzinstitute und andere Organisationen haben strenge langfristige Vertraulichkeitsanforderungen. Sie müssen auf quantensichere Kryptografie umsteigen, z. B. auf den aufkommenden Kyber-Standard oder – im Falle von VPN – auf IKEv2 Post-Quantum Preshared Keys (RFC 8784).

Bringen Quantencomputer auch einen Nutzen für die Unternehmenssicherheit?

Quantencomputer werden überall dort nützlich sein, wo wir sehr große und komplexe Daten haben. Denken Sie an biomedizinische Modellierung, Experimente auf atomarer Ebene, globale Populationen und umfangreiche Interaktionen zwischen KI-Systemen. Da wir jedes System sichern müssen, egal wie komplex es wird, und wir konkurrierende Risiken und Kontrollen abwägen müssen, wird uns Quantencomputing dabei helfen, mit der zunehmenden Komplexität Schritt zu halten.

Gibt es sicherheitstechnische Aspekte bezüglich Quantencomputer, die derzeit noch zu wenig Beachtung finden?

Das hört sich jetzt nicht nach Sicherheit an, ist es aber doch. Wir müssen bereit sein, die zugrunde liegenden Technologien zu migrieren, um die Vorteile des Quantencomputings nutzen zu können, sobald es soweit ist. CIOs wissen, dass eine der größten Sicherheitsherausforderungen die Ausmusterung veralteter Technologien ist. So wie wir heute noch den Mainframe absichern müssen, werden wir einen langen Rattenschwanz von Infrastrukturen haben, die aus dem einen oder anderen Grund nicht einfach aktualisiert werden können, und wir müssen diese lange Reihe von Legacy-Technologien absichern, während wir uns gleichzeitig an die auf Quantencomputing basierenden Sicherheitstools anpassen.

Halten Sie eine stärkere Regulierung seitens der Politik für erforderlich, wenn es um Quantencomputer geht (wie das ja bereits für KI gefordert wird)?

Die Quanteninformatik steckt noch in den Kinderschuhen und Geschäftsanwendungen müssen noch auf breiter Basis entwickelt werden. Quantennetzwerke, eine Technologie, die viel schneller entwickelt wird als Quantencomputer, könnten die Eigenschaften von Quantenteilchen (z. B. Verschränkung) für Dinge wie die Verteilung von quantensicheren Verschlüsselungsschlüsseln nutzen. Es ist noch zu früh, um sagen zu können, ob eine spezifische Regulierung erforderlich ist. Erwähnenswert ist aber, dass es bereits einen bestehenden strengen Regulierungsrahmen in Bezug auf Exportkontrolle, Cybersicherheit, Datenschutz und geistiges Eigentum gibt, der möglicherweise bereits auch die gewünschten Anforderungen abdeckt.


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*