Bedrohung durch Post Quantum Computing

Das Entrust Cybersecurity Institute hat die Ergebnisse einer weltweiten Umfrage zum Thema Post-Quantum-Kryptographie veröffentlicht.

Hierin wird analysiert, inwieweit Unternehmen auf die Bedrohungen durch Quantum Computing vorbereitet sind und auf eine quantensichere Verschlüsselung umstellen.

Post-Quantum-Kryptographie

Die „Post-Quantum-Bedrohung“ besteht darin, dass Quantencomputer innerhalb des nächsten Jahrzehnts in der Lage sein werden, die herkömmliche Kryptographie mit öffentlichen Schlüsseln zu knacken. Und sie rückt näher: Laut Global Risk Institute werden Quantencomputer die Cybersicherheit bereits im Jahr 2027 gefährden.

Erst kürzlich wurden die ersten drei finalen Post-Quantum-Verschlüsselungsstandards durch das NIST veröffentlicht. Diese enthalten Nutzungs- und Implementierungsrichtlinien für Quantenkryptographie. Um sich auf die Migration vorzubereiten, müssen Unternehmen jedoch wissen, welche kryptographischen Ressourcen und Algorithmen sie besitzen und wo diese sich befinden. Ein vollständiges und klares Inventar aller kryptographischen Ressourcen (Schlüssel, Zertifikate, Geheimnisse und Algorithmen) ist eine zwingende Voraussetzung für eine erfolgreiche Migration hin zu einer quantensicheren Infrastruktur. Ebenso wichtig ist Krypto-Agilität, also die Fähigkeit eines Systems, eine Alternative zur ursprünglichen Verschlüsselungsmethode ohne wesentliche Änderungen der Systeminfrastruktur zu übernehmen.

Entrust 2024 PKI and Post Quantum Trends Study

Entrusts Studie präsentiert die Ergebnisse einer vom Ponemon Institute durchgeführten Umfrage unter IT-Sicherheitsexperten aus Deutschland, Großbritannien, Kanada, den USA, den Vereinigten Arabischen Emiraten, Australien/Neuseeland, Japan, Singapur und dem Nahen Osten. Im Vergleich zu den Vorjahren zeigen diese neuen Daten eine deutliche Verschiebung hin zu einem stärkeren Bewusstsein für Post Quantum Computing und die Bedrohungen, die es für moderne Unternehmen darstellt.

Gleichzeitig wird jedoch deutlich, dass die meisten Unternehmen noch nicht auf die Transition zu einer Post-Quantum-Kryptographie vorbereitet sind, was sie anfällig für potenzielle Angriffe macht. Als Hauptursachen werden mangelnde Ausbildung, Fähigkeiten und Technologien genannt.

„Es gibt eine Verschiebung in der Branche in Bezug auf die Post-Quantum-Bereitschaft“, erklärt Samantha Mabey, Director of Digital Solutions Marketing bei Entrust. „Während bisher die reale Bedrohung durch Post Quantum noch teilweise angezweifelt wurde, drehen sich die Fragen jetzt darum, was genau getan werden muss – und wie.“

Zu den wichtigsten Ergebnissen der Studie gehören:

• Das Bewusstsein für die Notwendigkeit der Post-Quantum-Kryptographie nimmt zu, aber die Umsetzung hinkt hinterher: Während 61% der weltweit Befragten planen, innerhalb der nächsten fünf Jahre auf Post-Quantum-Kryptographie zu migrieren, bereitet sich weniger als die Hälfte der Unternehmen (41%) derzeit aktiv auf den Übergang vor.
• Um sich auf die Quantenbedrohung vorzubereiten, nehmen nur 38% eine Bestandsaufnahme ihrer kryptographischen Ressourcen vor und/oder stellen sicher, dass ihre Infrastruktur kryptoagil ist.
• Der Überblick über ihre kryptographischen Bestände ist eines der größten Probleme für Unternehmen, die sich auf die Post-Quantum-Kryptographie vorbereiten möchten: Auch wenn 44% angaben, sich auf den Aufbau einer Krypto-Strategie zu konzentrieren, halten sich 43% für nicht in der Lage, ihre Krypto-Assets zu inventarisieren. Letzteres ist die größte Sorge in allen neun befragten Ländern, wenn es um Vorbereitungen für den Übergang auf die Post-Quantum-Kryptographie geht. Gleichzeitig gaben 38% der Befragten an, nicht über die richtigen Technologien zu verfügen, um die dafür erforderliche Rechenleistung zu unterstützen.
• Unter den Unternehmen, die sich für eine Migration entschieden haben, ist der richtige Weg noch ungewiss: Während 36% der Unternehmen weltweit die Transition hin zu reiner Post-Quantum-Kryptographie befürworten, tendiert ein erheblicher Anteil zu einem hybriden Ansatz (31%) oder zu ersten internen Tests von Post-Quantum-Kryptographie (26%).

„Unternehmen wissen mittlerweile um die Bedrohung durch Post Quantum, aber es mangelt ihnen an Transparenz, Fähigkeiten und Rechenleistung für die Realisierung einer effektiven Abwehrstrategie. Dies macht eine kritische Lücke zwischen Bewusstsein und Handeln deutlich – während die Risiken immer näher kommen. Die aktive Aufnahme dieser Pläne, die Verbesserung der Transparenz kryptographischer Ressourcen und die Vorbereitung ihrer Teams auf eine quantensichere Zukunft werden im Jahr 2025 ein wichtiger Schwerpunkt für Unternehmen sein“, so Mabey.

Weltweiter Vergleich

Weniger als die Hälfte der Unternehmen weltweit (41%) bereiten sich derzeit aktiv auf Post Quantum vor, wobei die Spanne von einem Höchstwert von 48% in den USA bis zu nur 34% im Nahen Osten reicht. Deutschland rangiert mit 45% dicht hinter den USA und Kanada (47%). 27% der Unternehmen haben die potenziellen Auswirkungen der Quantenbedrohung noch nicht einmal in Betracht gezogen und 9% der Befragten wissen nicht, was sie in Bezug auf PQ überhaupt tun sollten. In Deutschland spiegeln sich diese Ergebnisse mit 38% und 5% wider.

Die Mehrheit der CISOs ist sich bewusst, dass Post Quantum am Horizont auftaucht: 61% der Unternehmen weltweit planen, innerhalb der nächsten fünf Jahre auf Post-Quantum-Kryptographie umzustellen. Fast ein Drittel (31%) hat jedoch keine derartigen Pläne. Dieser Trend ist in den untersuchten Ländern relativ einheitlich, wobei in den USA mit 70% und Deutschland mit 68% die meisten Migrationsabsichten erkennbar sind.

(cm/Entrust)