Was ist das und warum sollten Sie jetzt mit der Planung beginnen?

By | December 21, 2023

John BrüggemannCISSP, Beratungsunternehmen (CISO) für CBTS und OnX, beide sind MSPs und MSSPs.

Wenn ich mit Kunden über ihre Cybersicherheitsprogramme und strategischen Pläne spreche, bin ich überrascht, dass nicht mehr Kunden nach Post-Quanten-Kryptographie (PQC) fragen. Ich habe dies gegenüber CIOs und CISOs erwähnt, und die meisten CIOs sind sich der PQC nicht bewusst und wissen nicht, warum sie es auf ihrer Agenda haben sollten. Die meisten CISOs wissen das, aber viele haben noch nicht mit der Planung begonnen.

Quantencomputer sind da, aber sie befinden sich hauptsächlich im Labor – wo sie arbeiten – und sind noch nicht in sinnvoller Weise für den allgemeinen Gebrauch verfügbar. Ein Merkmal von Quantencomputern besteht darin, dass sie theoretisch problemlos unsere aktuellen asymmetrischen Verschlüsselungsalgorithmen wie RSA und Elliptische Kurvenkryptographie (ECC) knacken können, die täglich zum Schutz privater Schlüssel und anderer sensibler Daten verwendet werden, die über das Internet übertragen werden.

Wie David Birch in einem Forbes-Artikel vom August 2023 erläuterte, wird die Netzwerkverschlüsselung von Bitcoin mindestens ein Jahrzehnt lang nicht mit einem Quantencomputer gebrochen. Quantenüberlegenheit ist jedoch keine Science-Fiction.

Im November 2022 veröffentlichte das Office of Management and Budget (OMB) ein Memo, in dem die Schritte dargelegt werden, die Leiter von Bundesbehörden und -behörden ergreifen sollten, um sich auf PQC und Zero Trust vorzubereiten. Wenn die Bundesregierung diese bedeutenden Schritte in Richtung PQC unternimmt, sollten Sie das auch tun. Andernfalls könnten Sie Ihr Unternehmen erheblichen zusätzlichen Risiken aussetzen.

Einige Leute, die dies lesen, denken vielleicht, dass sie jetzt keine Pläne für eine PQC-Welt machen müssen und dass sie noch ein paar Jahre warten können. Wenn Sie das sind, fragen Sie sich: Verwenden Sie SHA-1 als Hashing-Algorithmus? Ich hoffe nicht, denn dies ist seit etwa 2005 unsicher.

Möglicherweise sind Ihre Server noch für die Verwendung von TLS 1.0 konfiguriert. Ich habe Dutzende Schwachstellenscans von verschiedenen Kunden gesehen, bei denen TLS 1.0 oder 1.1 im Einsatz und in der Produktion ist. TLS 1.0 und 1.1 weisen bekannte Schwachstellen auf, und einige Unternehmen nutzen diese unsicheren Technologien schon seit Jahren, wohlwissend, dass die Verschlüsselung gebrochen werden kann.

Wenn ich in Produktionsumgebungen seit Jahren veraltete und anfällige Sicherheitstechnologie sehe, ist das ein klarer Hinweis darauf, wie lange viele Unternehmen brauchen, um Sicherheitsprotokolle und -tools zu aktualisieren.

Einige denken möglicherweise auch, dass es einen Ersatz für schwache oder anfällige Algorithmen geben wird. Leider ist dies nicht der Fall. NIST stellte in einem Whitepaper fest, dass „es mehrere Kandidatenklassen für die Post-Quanten-Kryptographie gibt.“ Leider gibt es in jeder Klasse mindestens eine Anforderung für eine sichere Implementierung, die einen sofortigen Ersatz unangemessen macht.“

Es besteht auch die Versuchung, darauf zu warten, dass sich die Technologie so schnell weiterentwickelt, dass Sie darauf warten können, neue Technologien „just in time“ zum Schutz sensibler Daten bereitzustellen. Wer sich für die Strategie des Abwartens entscheidet, geht in die Irre. Diese Strategie setzt Sie und Ihr Unternehmen dem Risiko einer schnellen, ungeplanten und ungeplanten Neumontage zum Schutz kritischer Geschäftsdaten aus.

Für dieses Projekt gibt es keinen „Einfach“-Button. Der Wechsel zu PQC wird einige Zeit in Anspruch nehmen und Sie müssen jetzt damit beginnen. Was hast du zu tun? Welche Schritte sollten Sie befolgen?

• Organisieren Sie sich und identifizieren Sie eine Person, die für das PQC-Programm Ihrer Organisation verantwortlich ist. Dies könnte Ihr CISO oder ein anderer Technologieleiter in Ihrem Unternehmen sein, oder Sie könnten nach einem vertrauenswürdigen Anbieterpartner suchen, der Sie bei diesem Projekt unterstützt.

• Überprüfen Sie Ihren Softwarebestand, einschließlich SaaS-Anwendungen und intern entwickelter geschäftskritischer Anwendungen, und stellen Sie fest, ob die verwendete Verschlüsselung anfällig für quantenbasierte Angriffe ist.

• Überprüfen Sie Ihren Datenbestand, einschließlich der in Cloud-Speicherlösungen gespeicherten Daten, und stellen Sie fest, ob Ihre gespeicherten Daten anfällig für quantenbasierte Angriffe sind. Wenn Sie über keinen Datenbestand verfügen, stellen Sie ein Team zusammen und beginnen Sie mit der Überprüfung Ihres Softwarebestands.

• Fügen Sie allen neuen Softwaresystemen oder SaaS-Verträgen quantenresistente Verschlüsselungsalgorithmen hinzu, um sicherzustellen, dass die Produkte, die Sie heute kaufen, diesen zukünftigen Angriffen standhalten können. Top-Softwareunternehmen werden PQC als Teil ihrer Roadmap und Strategie haben. Wenn Ihr aktueller Anbieter keinen Plan hat, suchen Sie nach einem neuen Anbieter.

• Gestalten Sie Ihre Netzwerkinfrastruktur und Anwendungen für kryptografische Agilität. Gestalten Sie bei der Überprüfung Ihrer Umgebung Flexibilität in Ihrem Netzwerk, um den Austausch kryptografischer Lösungen zu ermöglichen. Es ist möglich, dass die verbleibenden drei NIST-Algorithmen aufgrund von Schwachstellen oder anderen Schwachstellen aktualisiert oder ersetzt werden müssen, bleiben Sie also flexibel.

Die PQC-Migration wird ein großes Projekt sein, dessen Durchführung Zeit und Ressourcen erfordert. Dafür müssen Sie ein Budget bereitstellen, und obwohl es unmöglich erscheint, ähnelt es für diejenigen, die sich daran erinnern, eher dem Jahr-2000-Problem.

Während ich mit Unternehmen über PQC spreche, war das Interesse gering. Obwohl sie das Risiko für alte Verschlüsselungsalgorithmen erkennen, sehen sie Quantencomputing nicht als ein Risiko, das jetzt angegangen werden muss. Ich verstehe zwar das Zögern, eine andere Aufgabe zu übernehmen, aber jetzt ist es an der Zeit, anzufangen.

Die oben beschriebenen Schritte sind wichtig, aber möglich. Sie halten Ihr Unternehmen auf Erfolgskurs und begrenzen das Risiko für Ihr Unternehmen durch diese drohende Bedrohung.


Der Forbes Technology Council ist eine Community nur auf Einladung für erstklassige CIOs, CTOs und Technologiemanager. Bin ich qualifiziert?


Leave a Reply

Your email address will not be published. Required fields are marked *