Der Q-Day naht

Quantencomputer werden in nicht allzu ferner Zukunft in der Lage sein, gängige Verschlüsselungsmethoden auszuhebeln. Höchste Zeit sich vorzubereiten.

Quantum Computing verspricht eine nie dagewesene Rechenleistung. Doch dieser bahnbrechende technologische Fortschritt birgt auch Risiken für die Datensicherheit: Bereits jetzt greifen Cyberkriminelle Unmengen an Daten ab, die sie momentan noch nicht entschlüsseln können – und warten damit still und heimlich auf den Q-Day. Denn Quantenrechner können zukünftig einen Großteil der derzeit standardmäßig genutzten Public-Key-Kryptographieverfahren umgehen.

„Der richtige Zeitpunkt, um damit zu beginnen, ist jetzt“, sagt Dr. Francis Gaffney, Senior Director of Threat Intelligence bei Mimecast. „Der Q-Day mag noch einige Jahre entfernt sein – dennoch haben Cyberkriminelle schon längst damit begonnen, verschlüsselte Daten zu horten, um sie später zu dechiffrieren. Im Umkehrschluss bedeutet das, dass Unternehmen schnellstmöglich einen Plan aufstellen müssen, um ihre vertraulichen Daten weiter schützen zu können. Dazu gehört, bereit für eine Umstellung zu sein, sobald das NIST PQC-Standards herausgibt. Auch hier gilt es wieder, den Kriminellen nicht den Vorsprung zu lassen, den sie sich gerade zu erarbeiten versuchen.“

Höchste Zeit, sich vorzubereiten

Der ‚Q-Day‘ markiert den Zeitpunkt, ab dem Quantenrechner auf einer breiteren Ebene zur Verfügung stehen werden. Die Warnungen von Cybersecurity-Expert*innen bezüglich der Sicherheitsrisiken, die mit dem Q-Day einhergehen, stoßen bei den IT-Sicherheitsverantwortlichen vieler Unternehmen noch auf taube Ohren. Viel zu bequem ist die Ausflucht, dass dieser verhängnisvolle Tag erst in einigen Jahren eintreffen werde. Noch seien verschlüsselte Daten doch sicher – oder? Ja und nein. 

Wie unter anderem Mimecast bestätigt, sammeln und archivieren Cyberkriminelle schon heute verschlüsselte Daten, um sie später zu knacken, wenn die Quanten-Technik verfügbar ist. Und dieser Zeitpunkt könnte früher kommen, als zunächst angenommen: Anfang Juli diesen Jahres veröffentlichte das National Institute of Standards and Technology (NIST) die ersten 4 Kandidaten für die nächste Runde ihres Bestrebens, Post-Quantum-Kryptographie (PQC) zu standardisieren. Zwei kurz vor der Standardisierung stehende Verfahren konnten  kürzlich durch Quantencomputer geknackt werden – ein weiteres klares Zeichen für den Ernst der Lage. Unternehmen müssen daher so schnell wie möglich damit beginnen, eine Strategie für den PQC-Übergang zu entwickeln, um sensible Kunden- und Geschäftsdaten auch zukünftig sicher zu wissen.

Ein Fahrplan für den Q-Day 

Während das NIST weiter am Standardisierungsprozess der Post-Quantum-Kryptographie arbeitet, haben Expert*innen bei Mimecast einige Punkte zusammengetragen, anhand derer sich Unternehmen auf den Q-Day und die Implementierung von PQC vorbereiten können:

  • Unternehmen sollten eine Bestandsaufnahme der sensibelsten und kritischsten Datensätze machen, die über einen längeren Zeitraum gesichert werden müssen. Diese Analyse dient auch zur Ermittlung, welche Daten jetzt schon gefährdet sind und entschlüsselt werden können, sobald ein kryptografisch relevanter Quantencomputer verfügbar ist.
  • Unternehmen sollten alle Systeme ermitteln, die kryptografische Technologien für jegliche Funktionen nutzen, um einen reibungslosen Übergang zu Post-Quantum-Technologien zu ermöglichen.
  • IT-Sicherheitsbeauftragte sollten Beschaffungs-, Cybersecurity- und Datensicherheitsstandards protokollieren, die aktualisiert werden müssen, um den Post-Quantum-Anforderungen gerecht zu werden.
  • Anhand dieser Bestandsaufnahmen können die Unternehmen feststellen, wo und zu welchem Zweck Public-Key-Kryptographie verwendet wird und diese Systeme als ‚Quantum-anfällig‘ kennzeichnen.
Den Anfang machen

Automatisierter Cybersicherheit steht immer auch automatisierte Cyberkriminalität entgegen. Um in diesem Wettlauf überhaupt eine Chance zu haben, ist eine Priorisierung der Quantum-anfälligen Systeme für einen PQC-Übergang zwingend erforderlich. Diese hängt freilich für jedes Unternehmen individuell von unterschiedlichen Faktoren ab. Verantwortliche sollten sich Fragen stellen wie:

  • Was genau schützt dieses System, und wie lange müssen die Daten geschützt bleiben?
  • Mit welchen anderen Systemen kommuniziert es?
  • In welchem Umfang gibt das System Informationen an externe Stellen außerhalb der eigenen Organisation weiter?

Anhand der Bestandsaufnahme und der Priorisierung sollten die Unternehmen eine Strategie für die Systemumstellung nach der Veröffentlichung der neuen Post-Quantum-Kryptostandards entwickeln.