Thought Leadership
Quantencomputing hat das Potenzial, eine der bahnbrechendsten Innovationen zu werden. Es könnte das Ende der asymmetrischen (Public-Key-)Kryptographie bedeuten.
Sie bildet die Grundlage für das System der Maschinenidentitäten (kryptographische Schlüssel und digitale Zertifikate), das für die Internetsicherheit verantwortlich ist. Das würde bedeuten, dass die Sicherheit und das Vertrauen in alle im Internet getätigten Geschäfte auf dem Spiel stehen.
Im Internet kursiert ein Meme über Quantenkryptografie. Je mehr Leute darüber reden, desto weniger machen es. So lässt sich die derzeitige Situation gut beschreiben. Die Post-Quanten-Kryptographie stellt eine Bedrohung für die Zukunft dar, jedoch ist unbekannt, wann sie eine Bedrohung werden kann. Sicherheitsexperten sollten jedoch darauf vorbereitet sein. Dabei taucht die Frage auf, ob man sich lieber heute darauf vorbereitet als morgen, doch dem ist nicht so. Aktuell gibt es kein Problem, das gelöst werden muss. Folglich existiert für Sicherheitsexperten auch kein Datum, auf das hingearbeitet werden muss. Um dennoch Sicherheitsbudgets Post-Quantum-Verschlüsselungen zu rechtfertigen, müssten Sicherheitsexperten einen Business Case für das Problem, das voraussichtlich im Jahr 2023 relevant wird, erstellen. Da das herausfordernd ist, müssen sie den Business Case für die aktuellen Cyberrisiken anfertigen.
Das ist besorgniserregend, da jedes Unternehmen Anwendungen mit Identitäten einsetzt, die wiederum einen hohen Geschäftswert haben. Das Risiko ist höher, dass jemand die Identität stiehlt und ihre Kunden schon heute angreift. Stattdessen investieren Unternehmen jedoch in Technologien, um einen Überblick über alle Anwendungen und Identitäten zu erhalten, die verwendet werden. Deshalb müssen Cybersicherheitsexperten diese Transparenz erhalten, damit sie die Automatisierung rund um die Identitäten, die ihr Unternehmen verwendet, vorantreiben können. Das würde bedeuten, dass sie in einer viel besseren Position sind, um auch auf zukünftige Ereignisse vorbereitet zu sein.
Empfehlungen der NIST
Als NIST bekannt gab, dass sie die ersten vier quantenresistenten kryptographischen Algorithmen CRYSTALS-Kyber-, CRYSTALS-Dilithium, FALCON und SPHINCS+ im Juli 2022 standardisiert haben, war das eine große Erleichterung für alle Krypto-Experten weltweit. In den ersten Richtlinien hat das Institut die Empfehlung veröffentlicht, Tools zu verwenden, um Folgendes durchzuführen:
- Anfällige Algorithmen, die in kryptografischem Code oder Abhängigkeiten während einer kontinuierlichen Integration/kontinuierlichen Entwicklungspipeline verwendet werden.
- Anfällige Algorithmen, die in Netzwerkprotokollen verwendet werden, wobei die Rückverfolgbarkeit zu bestimmten Systemen durch aktives Scannen und Aufzeichnung des Datenverkehrs ermöglicht wird.
- Anfällige Algorithmen, die in kryptografischen Anlagen auf Endbenutzersystemen und Servern verwendet werden, einschließlich Anwendungen und zugehörige Bibliotheken.
Das bedeutet, dass Cybersicherheitsexperten mit Entwicklerteams zusammenarbeiten müssen, um mit Hilfe automatisierter Tools herauszufinden, wo sich die kryptografischen Ressourcen und Bibliotheken innerhalb und außerhalb ihrer Organisation befinden. Unabhängig davon, ob es sich um einen Load Balancer, einen Webserver oder einen Cloud-Dienst handelt, ist die Organisation, die ihn nutzt, für die Aktualisierung der kryptografischen Ressourcen, d. h. der Maschinenidentitäten, verantwortlich.
Mit Tests beginnen, um vorbereitet zu sein
Bei Anwendungen für die neue Verschlüsselungsmethoden noch nicht verfügbar sind, gibt es bereits Prototypen, die getestet wurden. Für Maschinenidentitäten sind hybride Maschinenidentitätstypen wie ein hybrides Zertifikat vorhanden. In naher Zukunft wird es mehr Proof-of-Concepts geben, da immer mehr Unternehmen darüber nachdenken werden, ihre Post-Quantum-Readiness-Projekte zu starten. Eine gute Nachricht ist, dass diese Methoden inzwischen verfügbar sind. Motivierte Unternehmen aktualisieren ihre Anwendungen schon jetzt. Ein Beispiel dafür ist Open SSL, das so schnell wie möglich aktualisiert werden wird. Unternehmen, die vernetzte Geräte entwickeln, die einen Lebenszyklus von 10, 20 oder 30 Jahren oder sogar länger haben, fangen an, sich näher damit zu befassen, um sie in ihre Industrie 4.0-Strategien einzubauen.
Unternehmen sollten damit beginnen, einzelne Anwendungen auszuwählen und die Auswirkungen der neuen Algorithmen auf die Leistung zu untersuchen, mit größeren Maschinenidentitäten umzugehen und duale Prä- und Post-Quantum-Modi zu betreiben. Der letzte Punkt ist besonders wichtig, weil die Welt in den nächsten Jahrzehnten wahrscheinlich über einen hybriden Ansatz zur Quantensicherheit übergehen wird – ähnlich wie wir den Übergang zu Elektrofahrzeugen über Hybridautos gesehen haben. Eine Steuerungsebene zur Automatisierung der Verwaltung dieser Maschinenidentitäten wird für diesen Hybridmodus von entscheidender Bedeutung sein, da sie Aufschluss darüber gibt, welche Maschinenidentitäten in welchem Kontext verwendet werden und wie sie funktionieren.
Die Verwaltung von Maschinenidentitäten
Für die Verwaltung und Aktualisierung von Maschinenidentitäten sind hingegen die Unternehmen verantwortlich und werden es auch in Zukunft sein. Die Risiken, die mit dem Verlust des Überblicks über diese digitalen Schlüssel und Zertifikate verbunden sind, sind heute weitaus unmittelbarer und ausgeprägter als die Risiken im Zusammenhang mit quantengestützten Angriffen. Zudem steigen sie exponentiell. Einige Unternehmen verfügen über Hunderttausende dieser Maschinenidentitäten, die nicht nur mit physischen Geräten, sondern auch mit APIs, Diensten, Algorithmen, Code und Containern verbunden sind. Sie bilden heute die Grundlage der Verschlüsselung und stellen sicher, dass Maschinen sich gegenseitig authentifizieren und vertrauen können.
Was könnte also schief gehen? Angreifer könnte sie stehlen, um sich als legitimer Unternehmenscomputer ausgeben, um vertrauliche Daten zu erhalten. Außerdem können Unternehmensnetzwerke missbraucht werden, um böswillige Aktivitäten zu verbergen und privilegierten Zugang zu Daten und Systemen zu ermöglichen. Wenn sie nicht ordnungsgemäß verwaltet werden, können sie ablaufen und schwerwiegende Ausfälle verursachen, die das Kundenerlebnis erheblich beeinträchtigen.
Daher ist es von zentraler Bedeutung, dass IT-Sicherheitsverantwortliche wissen, welche Anwendungen sie verwenden und welchen Status alle ihre Maschinenidentitäten innerhalb dieser Anwendungen haben. Mit Blick auf die Zukunft sind dies dieselben Maschinenidentitäten, die schließlich ausgetauscht werden müssen, sobald die Quantenentschlüsselung Realität wird. Wenn man also jetzt ein tieferes Verständnis für sie entwickelt, wird die Migration zur Quantenverschlüsselung später viel einfacher.
Es gibt keinen geeigneteren Ansatz als eine Steuerungsebene. Eine Steuerungsebene bietet automatisierte, kontinuierliche Transparenz und Kontrolle über den gesamten Maschinenidentitätsbestand des Unternehmens, um die digitale Transformation zu beschleunigen, Sicherheitsvorfälle zu vermeiden und umsatzbeeinträchtigende Unterbrechungen zu reduzieren. Noch besser ist, dass dieselbe Plattform Unternehmen dabei hilft, den Übergang zu einer Post-Quantum-Ära zu erleichtern, indem sie Maschinenidentitäten aktualisiert, um sie an neue quantenresistente Algorithmen in Anwendungen anzupassen.
Fazit
Quanten Computing ist kein Zukunftsthema mehr. Jedoch ist sowohl die Gefahr als auch die Lösung des Problems noch ein Stück weit davon entfernt, dass die meisten Unternehmen es in ihre Risikoplanung einbeziehen können. Sobald es so weit ist, werden IT-Sicherheitsverantwortliche feststellen, dass ihre Anwendungsanbieter durch die Aktualisierung ihrer Algorithmen bereits einen Großteil der schweren Arbeit erledigt haben. Ihre Aufgabe wird es sein, die Identitäten zu verwalten und die Software zu patchen, um sie quantitativ sicher zu machen.
