Wendy Nather ist Vorsitzende des CISO-Fachbeirats bei Cisco, unter anderem auch Board Member der RSA Conference und eine ausgewiesene Expertin in allen Security-Bereichen. ITWelt.at hat mit ihr über Quantencomputer gesprochen und was diese für die Sicherheitslage bedeuten. [...]
Wann wird heute noch sichere Verschlüsselung nicht mehr genügen, da Quantencomputer sie knacken können?
Wir wissen nicht, wann Quantencomputer das erforderliche Niveau erreichen werden – man kann Innovationen nicht nach einem Zeitplan entwickeln. Was wir jedoch tun können, ist zu versuchen, vorherzusagen, welche Maßnahmen wir ergreifen müssen, wenn diese Schwelle fast erreicht ist, um vorbereitet zu sein und diese Maßnahmen ergreifen zu können, wenn die Zeit gekommen ist.
Ist es nicht schon zu spät, wenn Cyberkriminelle jetzt schon verschlüsselte Passwörter speichern, um sie später, wenn die Technik reif ist, zu entschlüsseln („harvest now, decrypt later“)? Was kann man dagegen tun?
Da wir nicht wissen, wann bestimmte Meilensteine erreicht werden, ist es möglich, dass alle Daten, die die Angreifer bereits gesammelt haben, zu diesem Zeitpunkt veraltet und daher unbrauchbar sind. Die interessantesten Daten sind in der Regel dynamischer Natur. Die Ungewissheit und die Verzögerung geben uns auch Zeit, andere Abhilfemaßnahmen zu entwickeln, falls die Entschlüsselung die ursprünglichen Datenakteure gefährdet.
Was kann getan werden? Behörden, Finanzinstitute und andere Organisationen haben strenge langfristige Vertraulichkeitsanforderungen. Sie müssen auf quantensichere Kryptografie umsteigen, z. B. auf den aufkommenden Kyber-Standard oder – im Falle von VPN – auf IKEv2 Post-Quantum Preshared Keys (RFC 8784).
Bringen Quantencomputer auch einen Nutzen für die Unternehmenssicherheit?
Quantencomputer werden überall dort nützlich sein, wo wir sehr große und komplexe Daten haben. Denken Sie an biomedizinische Modellierung, Experimente auf atomarer Ebene, globale Populationen und umfangreiche Interaktionen zwischen KI-Systemen. Da wir jedes System sichern müssen, egal wie komplex es wird, und wir konkurrierende Risiken und Kontrollen abwägen müssen, wird uns Quantencomputing dabei helfen, mit der zunehmenden Komplexität Schritt zu halten.
Gibt es sicherheitstechnische Aspekte bezüglich Quantencomputer, die derzeit noch zu wenig Beachtung finden?
Das hört sich jetzt nicht nach Sicherheit an, ist es aber doch. Wir müssen bereit sein, die zugrunde liegenden Technologien zu migrieren, um die Vorteile des Quantencomputings nutzen zu können, sobald es soweit ist. CIOs wissen, dass eine der größten Sicherheitsherausforderungen die Ausmusterung veralteter Technologien ist. So wie wir heute noch den Mainframe absichern müssen, werden wir einen langen Rattenschwanz von Infrastrukturen haben, die aus dem einen oder anderen Grund nicht einfach aktualisiert werden können, und wir müssen diese lange Reihe von Legacy-Technologien absichern, während wir uns gleichzeitig an die auf Quantencomputing basierenden Sicherheitstools anpassen.
Halten Sie eine stärkere Regulierung seitens der Politik für erforderlich, wenn es um Quantencomputer geht (wie das ja bereits für KI gefordert wird)?
Die Quanteninformatik steckt noch in den Kinderschuhen und Geschäftsanwendungen müssen noch auf breiter Basis entwickelt werden. Quantennetzwerke, eine Technologie, die viel schneller entwickelt wird als Quantencomputer, könnten die Eigenschaften von Quantenteilchen (z. B. Verschränkung) für Dinge wie die Verteilung von quantensicheren Verschlüsselungsschlüsseln nutzen. Es ist noch zu früh, um sagen zu können, ob eine spezifische Regulierung erforderlich ist. Erwähnenswert ist aber, dass es bereits einen bestehenden strengen Regulierungsrahmen in Bezug auf Exportkontrolle, Cybersicherheit, Datenschutz und geistiges Eigentum gibt, der möglicherweise bereits auch die gewünschten Anforderungen abdeckt.
Be the first to comment