„Brauchen quantensichere Kryptographie“

Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. ITWelt.at hat mit ihr über Quantencomputer gesprochen und was diese für die Sicherheitslage bedeuten. [...]

Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco
Wendy Nather, Head of Advisory CISOs bei Cisco, ist eine gefragte Vortragende. (c) Cisco

Wann wird heute noch sichere Verschlüsselung nicht mehr genügen, da Quantencomputer sie knacken können?

Wir wissen nicht, wann Quantencomputer das erforderliche Niveau erreichen werden – man kann Innovationen nicht nach einem Zeitplan entwickeln. Was wir jedoch tun können, ist zu versuchen, vorherzusagen, welche Maßnahmen wir ergreifen müssen, wenn diese Schwelle fast erreicht ist, um vorbereitet zu sein und diese Maßnahmen ergreifen zu können, wenn die Zeit gekommen ist.

Ist es nicht schon zu spät, wenn Cyberkriminelle jetzt schon verschlüsselte Passwörter speichern, um sie später, wenn die Technik reif ist, zu entschlüsseln („harvest now, decrypt later“)? Was kann man dagegen tun?

Da wir nicht wissen, wann bestimmte Meilensteine erreicht werden, ist es möglich, dass alle Daten, die die Angreifer bereits gesammelt haben, zu diesem Zeitpunkt veraltet und daher unbrauchbar sind. Die interessantesten Daten sind in der Regel dynamischer Natur. Die Ungewissheit und die Verzögerung geben uns auch Zeit, andere Abhilfemaßnahmen zu entwickeln, falls die Entschlüsselung die ursprünglichen Datenakteure gefährdet.

Was kann getan werden? Behörden, Finanzinstitute und andere Organisationen haben strenge langfristige Vertraulichkeitsanforderungen. Sie müssen auf quantensichere Kryptografie umsteigen, z. B. auf den aufkommenden Kyber-Standard oder – im Falle von VPN – auf IKEv2 Post-Quantum Preshared Keys (RFC 8784).

Bringen Quantencomputer auch einen Nutzen für die Unternehmenssicherheit?

Quantencomputer werden überall dort nützlich sein, wo wir sehr große und komplexe Daten haben. Denken Sie an biomedizinische Modellierung, Experimente auf atomarer Ebene, globale Populationen und umfangreiche Interaktionen zwischen KI-Systemen. Da wir jedes System sichern müssen, egal wie komplex es wird, und wir konkurrierende Risiken und Kontrollen abwägen müssen, wird uns Quantencomputing dabei helfen, mit der zunehmenden Komplexität Schritt zu halten.

Gibt es sicherheitstechnische Aspekte bezüglich Quantencomputer, die derzeit noch zu wenig Beachtung finden?

Das hört sich jetzt nicht nach Sicherheit an, ist es aber doch. Wir müssen bereit sein, die zugrunde liegenden Technologien zu migrieren, um die Vorteile des Quantencomputings nutzen zu können, sobald es soweit ist. CIOs wissen, dass eine der größten Sicherheitsherausforderungen die Ausmusterung veralteter Technologien ist. So wie wir heute noch den Mainframe absichern müssen, werden wir einen langen Rattenschwanz von Infrastrukturen haben, die aus dem einen oder anderen Grund nicht einfach aktualisiert werden können, und wir müssen diese lange Reihe von Legacy-Technologien absichern, während wir uns gleichzeitig an die auf Quantencomputing basierenden Sicherheitstools anpassen.

Halten Sie eine stärkere Regulierung seitens der Politik für erforderlich, wenn es um Quantencomputer geht (wie das ja bereits für KI gefordert wird)?

Die Quanteninformatik steckt noch in den Kinderschuhen und Geschäftsanwendungen müssen noch auf breiter Basis entwickelt werden. Quantennetzwerke, eine Technologie, die viel schneller entwickelt wird als Quantencomputer, könnten die Eigenschaften von Quantenteilchen (z. B. Verschränkung) für Dinge wie die Verteilung von quantensicheren Verschlüsselungsschlüsseln nutzen. Es ist noch zu früh, um sagen zu können, ob eine spezifische Regulierung erforderlich ist. Erwähnenswert ist aber, dass es bereits einen bestehenden strengen Regulierungsrahmen in Bezug auf Exportkontrolle, Cybersicherheit, Datenschutz und geistiges Eigentum gibt, der möglicherweise bereits auch die gewünschten Anforderungen abdeckt.


Mehr Artikel

News

So werden Unternehmen autonom und resilient

Ein Unternehmen, in dem viele Prozesse automatisiert ablaufen, ohne menschliche Aufsicht, und das sich dabei kontinuierlich selbst optimiert? Fortgeschrittene KI und Automatisierungswerkzeuge liefern die dafür notwendige technische Grundlage, doch die Umsetzung ist in der Regel mit einigen Herausforderungen verbunden. […]

News

Grundlegende Metriken der Datenwiederherstellung: RPO und RTO verständlich gemacht

Wenn es um die Geschäftskontinuität geht, stechen zwei Schlüsselmetriken hervor: Recovery Point Objective (RPO) und Recovery Time Objective (RTO). Oft werden diese verwechselt oder die Diskussion dreht sich um RPO versus RTO. Beide Metriken sind jedoch für die Entwicklung effektiver Datenschutzstrategien und die Minimierung von Unterbrechungen und Datenverlusten unerlässlich. […]

Drohnen, die autonom und ohne GPS navigieren können, wären in der Lage kritische Infrastruktur wie Brücken oder Strommasten selbstständig zu inspizieren. (c) Fikri Rasyid / unsplash
News

Wie Drohnen autonom fliegen lernen 

Von wirklich selbstständigen Robotern, die durch eine komplexe und sich verändernde Umwelt navigieren können, sind wir noch weit entfernt. Neue Ansätze mit KI bieten eine Chance, diese Vorstellung ein Stück weit Realität werden zu lassen. Jan Steinbrener experimentiert an der Universität Klagenfurt mit Drohnen, die genau das versuchen. […]

Christina Decker, Director Strategic Channels Europe bei Trend Micro (c) Trend Micro
Kommentar

Wie der Channel die tickende Zeitbombe „Compliance-Risiko“ entschärfen kann

Cybersicherheitsregulatoren hatten ein geschäftiges Jahr 2024. Zuerst kam die NIS2-Richtlinie, deren Umsetzungsfrist Mitte Oktober ablief. Nur wenige Monate später trat in der gesamten EU der lang erwartete Digital Operational Resilience Act (DORA) in Kraft. Beide Regelwerke wurden dringend benötigt, haben aber auch enormen Druck auf Unternehmen in der Region ausgeübt. Besonders KMU spüren diesen Druck. […]

Kommentar

Cyber Dominance: Digitale Abhängigkeit ist das neue Geschäftsrisiko

Bei Cyber Dominance geht es um die Fähigkeit von Herstellern digitaler Produkte, auch nach dem Kauf dauerhaft Zugriff auf Systeme und Informationen ihrer Kunden zu behalten. Eine Form der Kontrolle, die tief in technische Infrastrukturen eingreift – oft unbemerkt und ungefragt. Diese Art der digitalen Abhängigkeit ist längst Realität – und sie ist eines der größten unterschätzten Geschäftsrisiken unserer Zeit. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*