Thought Leadership
Vor knapp zwei Monaten hat das National Institute of Standards and Technology (NIST) einen ersten Entwurf zu einem Thema vorgelegt, der Cybersicherheitsverantwortliche aller Unternehmen weltweit in den kommenden Jahren und Jahrzehnten intensiv beschäftigen wird. Sein Titel: Transition to Post-Quantum Cryptography Standards.
Seine Kernaussage: Viele derzeit zugelassene quantencomputeranfällige Verschlüsselungssysteme, wie RSA, ECDSA, EdDSA, DH und ECDH, werden vom NIST ab 2030 als veraltet eingestuft werden, ab 2035 nicht mehr zugelassen sein.
In praktisch allen sensiblen und gefährdeten Bereichen eines Unternehmens kommen heutzutage Verschlüsselungssysteme zum Einsatz: zur Absicherung der im Einsatz befindlichen Software, der digitalen Nutzer- und Maschinenidentitäten, der Netzwerke, des E-Mail- und des allgemeinen Datenverkehrs. Das Problem: Viele der hierbei genutzten Algorithmen basieren auf mathematischen Problemen, die von klassischen Computern nur schwer – mit langer Rechenzeit – von Quantencomputern aber relativ leicht – mit deutlich kürzerer Rechenzeit – gelöst werden können. Das Sicherheitsniveau des globalen digitalen Ökosystems – hiervon ist auszugehen – wird vom Auftauchen der ersten Quantencomputer mit ausreichend Qubits, stark in Mitleidenschaft gezogen werden – sofern es Unternehmen nicht gelingt, ‚rechtzeitig‘ eine Umstellung auf quantensichere Verschlüsselungsverfahren vorzunehmen.
Prozesse müssen eingeleitet werden
Was bedeute nun die Bekanntmachung des NIST (auch wenn es sich hier ‚nur‘ um einen ersten öffentlichen Entwurf handelt)? Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden. Die erforderlichen Prozesse müssen eingeleitet werden – nicht irgendwann, sondern jetzt. Der für die Umstellung zur Verfügung stehende Zeitraum scheint auf den ersten Blick lang. 9 Jahre. Die meisten Sicherheitsverantwortlichen, das zeigte auch wieder der diesjährige 2024 PKI & Digital Trust Report, gehen fälschlicherweise davon aus, ihre PQC-Umstellung in vier bis sechs Jahren bewältigen zu können. Wer jedoch schon einmal ein Verschlüsselungssystem umgestellt hat, weiß: der Prozess ist komplex und in aller Regel weitaus zeitaufwendiger. Erinnert sei hier nur an die zu Beginn dieses Jahrtausends vom NIST befürwortete Umstellung von SHA-1 auf SHA-2. In vielen Unternehmen hatte sie am Ende mehr als 12 Jahre in Anspruch genommen.
Sicherheitsverantwortliche und ihre Teams sollten deshalb jetzt mit ihrer Umstellung beginnen – und folgende Aufgaben in Angriff nehmen:
1. Erstellung eines Inventars sämtlicher von einer Umstellung betroffenen Assets und ihrer Zertifikate.
2. Modernisierung der PKI- und Signaturinfrastruktur sowie sämtlicher kryptografischen Bibliotheken, um die Umstellung auf die neuen NIST-standardisierten quantensicheren Algorithmen zu erleichtern.
3. Einsatz von PQC-Laboren, um die mit den neuen Algorithmen ausgestatteten quantensicheren Zertifikate vor ihrer Implementierung eingehend in einer PKI-Sandbox zu testen.
4. Implementierung und Anwendung von PKI/CLM-Lösungen mit leistungsstarken Automatisierungsfunktionen zur Verwaltung und massenhaften Umsetzung der Zertifikatsmigration – sei es durch Orchestrierung oder Protokolle.
Sämtlichen Sicherheitsverantwortlichen kann nur geraten werden, diese Maßnahmen möglichst frühzeitig in die Wege zu leiten. 9 Jahre sind keine lange Zeit. Und was häufig vergessen wird: Nicht wenige Cyberkriminelle sind den Verteidigern längst einen Schritt voraus. Schon heute stehlen sie unbemerkt von der Cybersicherheit massenweise verschlüsselte, sensible Daten und lagern sie ein. Sie können warten und tun es. Darauf, dass ihnen in zehn bis zwanzig Jahren die ersten Quantencomputer zur Verfügung stehen werden. Rückwirkend werden sie dann die entwendeten Daten – darunter mit hoher Wahrscheinlichkeit auch hochsensible Geschäftsdaten – in näheren Augenschein nehmen können. Sicherheitsbeauftragte tun deshalb gut daran, ihre PQC-Umstellung so früh wie möglich in die Wege zu leiten. Ganz wird sich der Schaden nicht verhindern lassen, eindämmen aber zumindest schon.
