„Brauchen quantensichere Kryptographie“

Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. ITWelt.at hat mit ihr über Quantencomputer gesprochen und was diese für die Sicherheitslage bedeuten. [...]

Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco
Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco

Wann wird heute noch sichere Verschlüsselung nicht mehr genügen, da Quantencomputer sie knacken können?

Wir wissen nicht, wann Quantencomputer das erforderliche Niveau erreichen werden – man kann Innovationen nicht nach einem Zeitplan entwickeln. Was wir jedoch tun können, ist zu versuchen, vorherzusagen, welche Maßnahmen wir ergreifen müssen, wenn diese Schwelle fast erreicht ist, um vorbereitet zu sein und diese Maßnahmen ergreifen zu können, wenn die Zeit gekommen ist.

Ist es nicht schon zu spät, wenn Cyberkriminelle jetzt schon verschlüsselte Passwörter speichern, um sie später, wenn die Technik reif ist, zu entschlüsseln („harvest now, decrypt later“)? Was kann man dagegen tun?

Da wir nicht wissen, wann bestimmte Meilensteine erreicht werden, ist es möglich, dass alle Daten, die die Angreifer bereits gesammelt haben, zu diesem Zeitpunkt veraltet und daher unbrauchbar sind. Die interessantesten Daten sind in der Regel dynamischer Natur. Die Ungewissheit und die Verzögerung geben uns auch Zeit, andere Abhilfemaßnahmen zu entwickeln, falls die Entschlüsselung die ursprünglichen Datenakteure gefährdet.

Was kann getan werden? Behörden, Finanzinstitute und andere Organisationen haben strenge langfristige Vertraulichkeitsanforderungen. Sie müssen auf quantensichere Kryptografie umsteigen, z. B. auf den aufkommenden Kyber-Standard oder – im Falle von VPN – auf IKEv2 Post-Quantum Preshared Keys (RFC 8784).

Bringen Quantencomputer auch einen Nutzen für die Unternehmenssicherheit?

Quantencomputer werden überall dort nützlich sein, wo wir sehr große und komplexe Daten haben. Denken Sie an biomedizinische Modellierung, Experimente auf atomarer Ebene, globale Populationen und umfangreiche Interaktionen zwischen KI-Systemen. Da wir jedes System sichern müssen, egal wie komplex es wird, und wir konkurrierende Risiken und Kontrollen abwägen müssen, wird uns Quantencomputing dabei helfen, mit der zunehmenden Komplexität Schritt zu halten.

Gibt es sicherheitstechnische Aspekte bezüglich Quantencomputer, die derzeit noch zu wenig Beachtung finden?

Das hört sich jetzt nicht nach Sicherheit an, ist es aber doch. Wir müssen bereit sein, die zugrunde liegenden Technologien zu migrieren, um die Vorteile des Quantencomputings nutzen zu können, sobald es soweit ist. CIOs wissen, dass eine der größten Sicherheitsherausforderungen die Ausmusterung veralteter Technologien ist. So wie wir heute noch den Mainframe absichern müssen, werden wir einen langen Rattenschwanz von Infrastrukturen haben, die aus dem einen oder anderen Grund nicht einfach aktualisiert werden können, und wir müssen diese lange Reihe von Legacy-Technologien absichern, während wir uns gleichzeitig an die auf Quantencomputing basierenden Sicherheitstools anpassen.

Halten Sie eine stärkere Regulierung seitens der Politik für erforderlich, wenn es um Quantencomputer geht (wie das ja bereits für KI gefordert wird)?

Die Quanteninformatik steckt noch in den Kinderschuhen und Geschäftsanwendungen müssen noch auf breiter Basis entwickelt werden. Quantennetzwerke, eine Technologie, die viel schneller entwickelt wird als Quantencomputer, könnten die Eigenschaften von Quantenteilchen (z. B. Verschränkung) für Dinge wie die Verteilung von quantensicheren Verschlüsselungsschlüsseln nutzen. Es ist noch zu früh, um sagen zu können, ob eine spezifische Regulierung erforderlich ist. Erwähnenswert ist aber, dass es bereits einen bestehenden strengen Regulierungsrahmen in Bezug auf Exportkontrolle, Cybersicherheit, Datenschutz und geistiges Eigentum gibt, der möglicherweise bereits auch die gewünschten Anforderungen abdeckt.


Mehr Artikel

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*