Das Quantenrätsel: Den nächsten großen Sprung schaffen

Phil Venables - Google Cloud,
Linkedin

Quanteninformatik nutzt zur Problemlösung leistungsstarke Maschinen, die herkömmliche Computer nicht bewältigen können, sagt Phil Venables von Google Cloud.

Wenn Quantencomputer leistungsfähig genug werden, könnten sie ein ernsthaftes Risiko für die Verschlüsselungssysteme darstellen, die unsere Online-Kommunikation und sensiblen Daten schützen. In den falschen Händen könnte die Quanteninformatik den Datenschutz und die Sicherheit der digitalen Kommunikation in allen Branchen gefährden.

Cyber-Akteure horten bereits jetzt verschlüsselte Daten und warten darauf, dass die Quantentechnologie ausgereift genug ist. Ein ausreichend leistungsfähiger Quantencomputer könnte die Geheimnisse dieser Daten entschlüsseln und offenlegen – beispielsweise geistiges Eigentum, Geschäftsgeheimnisse und vertrauliche Kommunikation – und damit den Lebensnerv vieler Unternehmen treffen.

Wie man das Quantenrisiko angeht

Glücklicherweise gibt es eine Lösung: die Post-Quanten-Kryptografie (PQC) setzt sich aus einer Reihe alternativer kryptografischer Systeme zusammen, die auf die Abwehr von Quantenangriffen ausgelegt sind. Google begann 2016 mit der Erprobung von PQC im Webbrowser Chrome und verwendet die Technik seit 2022 zum Schutz der eigenen internen Kommunikation.

Das US-amerikanische National Institute of Standards and Technology (NIST) hat im August 2024 die weltweit ersten quantensicheren kryptografischen Standards veröffentlicht und im November 2024 einen Übergangszeitplan mit Zieldaten für die Abschaffung einiger der heutigen Public-Key-Kryptosysteme bis 2030, spätestens aber bis 2035 vorgeschlagen. In Europa haben die Cybersicherheitsbehörden von 18 EU-Staaten im November 2024 eine gemeinsame Erklärung abgegeben, in der sie die Wirtschaft, Betreiber Kritischer Infrastruktur sowie die öffentliche Verwaltung dazu auffordern, den Übergang zur Post-Quanten-Kryptografie einzuleiten, und die dafür notwendigen Schritte skizzieren.

Auch wenn die Bedrohung durch Quantencomputer noch nicht unmittelbar bevorsteht, erwarten wir in verschiedenen Branchen neue Vorschriften und müssen daher einen Gang höher schalten. Konkret bedeutet dies, dass Sicherheitsverantwortliche die folgenden Schritte unternehmen sollten, um Risiken zu verringern, Cyber-Resilienz aufzubauen und sicherzustellen, dass ihr Unternehmen auf die Quanten-Ära vorbereitet ist.

Klarer Plan für quantensichere Cybersecurity

Die Umstellung auf PQC muss nicht auf einen Schlag erfolgen. Die Erfahrung hat gezeigt, dass kryptografische Migrationen Jahre dauern können. CISOs, CIOs und CTOs sollten gemeinsam einen Fahrplan für die Implementierung quantensicherer Kryptografie entwickeln. Dieser Plan sollte ein Gleichgewicht zwischen Kosten, Risiken und Nutzen herstellen und gleichzeitig sicherstellen, dass sich die neuen Algorithmen nahtlos in bestehende Systeme integrieren lassen.

Der Aufbau von Fachwissen ist entscheidend, um echte Fortschritte im Quantencomputing von übertriebenen Behauptungen unterscheiden zu können. Bleiben Sie auf dem Laufenden, indem Sie bewährte Praktiken der Branche, akademische Forschung und seriöse Quellen zu Rate ziehen.

Sensible Daten identifizieren und schützen

Sicherheitsverantwortliche sollten damit beginnen, die Daten und Systeme zu bewerten, die am stärksten durch Quanten-gestützte Bedrohungen gefährdet sind. Dazu gehören alle Systeme, die asymmetrische Verschlüsselung und Schlüsselaustausch verwenden, die anfällig für Angriffe nach dem Prinzip „Store now, decrypt later“ („Jetzt speichern, später entschlüsseln“) sind, sowie Systeme, die digitale Signaturen verwenden wie unter anderem Public-Key-Infrastruktur, Software- oder Firmware-Signaturen und Authentifizierungsmechanismen. Die von Google durchgeführte Analyse der Quanten-gestützen Bedrohungen kann als Beispiel dafür dienen, wie ermittelt werden kann, welche Änderungen zuerst adressiert werden sollten.

Systemweite Welleneffekte antizipieren

Die Umstellung auf Post-Quanten-Kryptografie kann sich auf andere Systeme auswirken. Größere kryptografische Signaturen können zum Beispiel erhebliche Aktualisierungen von Datenbanken, Software und Anwendungen notwendig machen. IT-Sicherheitsverantwortliche sollten sich diese Herausforderung ähnlich vorstellen wie das Jahr-2000-Problem, als strukturelle Änderungen zur Anpassung an neue Datenformate weitreichende Auswirkungen hatten. Werden diese Abhängigkeiten frühzeitig erkannt, können Unternehmen die Implementierung rationalisieren und Unterbrechungen vermeiden.

Wie das Unternehmen frühere Herausforderungen im Bereich der Kryptografie bewältigt hat, beispielsweise die Heartbleed-Schwachstelle und die Abschaffung des Algorithmus SHA1, gibt Sicherheitsverantwortlichen wichtige Informationen an die Hand. Wenn sie verstehen, was gut funktioniert hat und wo Verbesserungen erforderlich sind, können sie den Ansatz für die Einführung von PQC bestimmen. Mit dem Führungsteams können Tabletop-Übung durchgeführt werden, um die Komplexität der Migration kryptografischer Systeme zu simulieren und die notwendigen Schritte zu skizzieren.

 

Phil Venables

ist CISO von Google Cloud.