Zukunftsszenario Postquanten-Verschlüsselung: Quantensturm in einer Tasse?
17. Juli 2023
Bis Quantencomputer die heutigen Verschlüsselungen und Maschinenidentitäten geknackt haben, ist es noch ein Stück Weg, der zu gehen ist. Das soll nicht heißen, dass das Quantenrisiko nicht real ist. Allerdings ist die IT-Welt noch weit davon entfernt, einen Quantencomputer zu haben, der die digitale Welt zum Erliegen bringt.
Sobald es so weit ist, wird die Entscheidung über die neue Form des quantenresistenten Algorithmus getroffen werden. Dieser Algorithmus wird unser derzeitiges System der Verschlüsselung und der Maschinenidentität ablösen und in den internationalen Regierungen entwickelt werden. Die Aufgabe, diese Algorithmen dann in Clouds und Anwendungen zu integrieren, wird Silicon Valley übernehmen.
Durchschnittliche Unternehmen, dazu zählen auch große globale Banken und Verteidigungsorganisationen werden diese Algorithmen nicht neu entwickeln. Dennoch sollten sich alle auf das neue System einstellen, indem sie ihre Maschinenidentitäten ändern. Daher sollte sich ein Überblick über die vorhandenen Maschinenidentitäten verschafft werden, damit klar ist, wo und wie sie verwendet werden. Damit können die aktualisierten, quantenresistenten Versionen überspielt werden. Darauf sollten Unternehmen ihren Fokus legen.
Krypto ist kein Problem
Die Bedrohung der Verschlüsselung öffentlicher Schlüssel durch Quantencomputer ist real. Eines Tages werden Quantencomputer die mathematischen Probleme, auf denen die asymmetrische Kryptografie beruht, im Handumdrehen lösen. Die Art der Bedrohungen, die wir dadurch befürchten, betrifft nicht den Bereich der Datenverschlüsselung.
Stattdessen werden kryptografische Mittel, die unser System der Maschinenidentitäten sichern, wie SSH, TLS, SPIFFE, Code Signing und andere Arten von Identitäten die wahrscheinlichen Ziele sein. Wenn das passiert, was wahrscheinlich erst in Jahrzehnten der Fall sein wird, könnten Maschinenidentitäten leicht gefälscht werden. Das könnte auf den globalen Märkten für Chaos sorgen. Man könnte sich nicht mehr auf Software, Diensten und Hardware verlassen, der man völlig vertraut hat.
Selbst wenn das National Institute of Standards and Technology (NIST) mit der Veröffentlichung der ersten vier quantenresistenten Algorithmen eine Vorreiterrolle bei der Vorbereitung von Unternehmen auf eine Post-Quantum-Welt übernommen hat, ist es letztlich kein Krypto-Problem, über das sich Unternehmen Gedanken machen müssen. Es hat keinen Sinn, dass Unternehmen über die Vorteile des einen oder anderen Algorithmus diskutieren. Diese Entscheidung wird von jemandem getroffen, der in der digitalen Nahrungskette weit oben steht. Unabhängig von Ihrer Meinung wird der Algorithmus in das neue digitale Gefüge integriert werden.
Kein IT-Team wird anfangen, an Load Balancern, Cloud-Diensten und Webservern herumzubasteln. Das ist Aufgabe der Anbieter, die bei der Quantenmigration an vorderster Stelle stehen werden. Unternehmen müssen sich nicht um Details kümmern. Die gesamte Software, Dienste, Tools und Bibliotheken, die IT-Sicherheitsverantwortliche verwenden, werden ihnen eine einfache Migration ermöglichen – alles wird bereits integriert sein.
Quantum ist wahrscheinlich die geringste Sorge
Die jüngste Sonderveröffentlichung des NIST zu diesem Thema bestätigt das: „Es ist entscheidend, jetzt mit der Planung für den Ersatz von Hardware, Software und Diensten zu beginnen, die betroffene Algorithmen verwenden. So können Daten und Systeme vor zukünftigen quantencomputerbasierten Angriffen geschützt werden.“
Der beste Weg, um das umzusetzen, ist eine Echtzeit-Überwachung aller genutzten Maschinen. Dabei kann es sich um Hardware, Software oder Dienste handeln, aber auch um die mit ihnen verbundenen Identitäten, die in Zukunft möglicherweise ersetzt werden müssen. Dazu müssen sich IT-Sicherheitsverantwortliche die Fragen stellen wie habe ich einen Überblick über alle meine Anwendungen und Maschinenidentitäten. Wenn die Antwort auf die Frage ein Nein ist, haben sie es mit einem weitaus ernsteren und unmittelbareren Risiko zu tun.
Maschinenidentitäten sind für unsere globale digitale Wirtschaft von grundlegender Bedeutung. Wenn sie nicht richtig gepflegt werden, können sie gestohlen, gefälscht oder verfälscht werden, so dass ein Angreifer sich als legitimer Unternehmensrechner ausgeben kann und somit vertrauliche Daten erhält. So können in Firmennetzwerke missbraucht werden, um bösartige Aktivitäten zu verschleiern und einen berechtigten Zugang zu Daten und Systemen zu ermöglichen.
Wenn sie nicht ordnungsgemäß gesteuert werden, können sie auslaufen und ernsthafte Systemausfälle verursachen, die das Kundenerlebnis und den Geschäftsbetrieb erheblich beeinträchtigen. Genau diese Bedrohungen sind es, die Unternehmen auf der ganzen Welt derzeit zu schaffen machen. Mit Blick auf die Zukunft sind dies dieselben Maschinenidentitäten, die schließlich ausgetauscht werden müssen, sobald die Quantenentschlüsselung Realität wird. Wenn man sie jetzt schon besser versteht, wird die Migration zur Quantenverschlüsselung viel einfacher.
Heute richtig handeln, um morgen gerüstet zu sein
Auch wenn Quantencomputing noch weit entfernt ist, sollte es Teil der Risikoplanung eines Unternehmens sein. Die Verantwortung für die Verwaltung von Maschinenidentitäten und das Patchen von Software, um sie quantensicher zu machen, wird dabei eine zentrale Rolle spielen.
Dafür gibt es keinen besseren Weg als den über eine Kontrollebene. Eine Kontrollebene bietet eine automatisierte, kontinuierliche Sichtbarkeit und Kontrolle des gesamten Ökosystems der Unternehmensmaschinenidentität. So können Unternehmen Maschinenidentitäten automatisch widerrufen und aktualisieren, was dazu beiträgt, die digitale Transformation zu beschleunigen, Sicherheitsrisiken zu reduzieren und umsatzbeeinträchtigende Ausfälle im Zusammenhang mit Maschinenidentitäten zu vermeiden. Noch einfacher wird der Übergang zu einer Post-Quantum-Ära, wenn die Plattform Unternehmen in die Lage versetzt, neue Maschinenidentitäten zu identifizieren, zu widerrufen und neu auszugeben, die mit neuen quantenresistenten Algorithmen kompatibel sind.
Wenn der CEO fragt, was das Unternehmen mit seinen Post-Quantum-Sicherheitsbemühungen macht, konzentrieren sich IT-Sicherheitsverantwortliche auf das, was heute wichtig ist: die Vorbereitung durch die Automatisierung des Maschinenidentitätsmanagements und das Verständnis ihrer Anwendungen.
Kevin Bocek ist Vice President Ecosystem & Community bei Venafi.
