Startseite > Security > Hebel zur Vorbereitung auf Quantum Readiness

Interview mit DigiCert

Hebel zur Vorbereitung auf Quantum Readiness

15. Juli 2024, 7:32 Uhr | Interview: Diana Künstler

Amit Sinha, CEO von DigiCert

Durch Quantencomputing lassen sich bisherige Verschlüsselungsverfahren knacken, so dass die Risiken für die Daten- und Benutzersicherheit enorm steigen. Für Unternehmen ergibt sich somit ein erheblicher Aufgabenkatalog bei der Absicherung privater Daten. Im Interview mit DigiCert-CEO Amit Sinha.

connect professional: Was ist unter Post-Quanten-Kryptografie zu verstehen?

Amit Sinha: Post-Quanten-Kryptografie (Post Quantum Cryptography, PQC) bezeichnet kryptografische Algorithmen und Protokolle, die vor potenziellen Bedrohungen durch Quantencomputer geschützt sind. Quantencomputer, welche die Prinzipien der Quantenmechanik nutzen, verfügen über das Potenzial, viele der derzeit verwendeten kryptografischen Systeme wie RSA und ECC (Elliptic Curve Cryptography) zu knacken.

connect professional: Vor welchen Herausforderungen stehen Unternehmen im Quantenzeitalter bei der Absicherung von (privaten) Daten?

Sinha: Quantencomputer können Aufgaben lösen, die für klassische Rechner zu komplex sind. Durch Quantencomputing lassen sich bisher eingesetzte Verschlüsselungsverfahren knacken, so dass die Risiken für die Daten- und Benutzersicherheit enorm steigen. Mit dem Übergang ins Quantenzeitalter ergibt sich also für Unternehmen ein erheblicher Aufgabenkatalog bei der Absicherung privater Daten.

Neben dem Schutz von Verschlüsselungssystemen zählen die Entwicklung und Standardisierung kryptografischer Post-Quanten-Lösungen zu den zukünftigen Herausforderungen – sowie die Integration dieser Lösungen in die bestehende Infrastruktur, sicheres IT-Management bei der Schlüsselverteilung, die Gewährleistung der Einhaltung gesetzlicher Vorschriften und die Zuteilung der dafür erforderlichen IT-Ressourcen. Angesichts neuartiger Bedrohungen durch Quantum Computing ist die Bewältigung dieser Herausforderungen eine entscheidende Voraussetzung für die Aufrechterhaltung der Datensicherheit.

connect professional: Welches Potenzial liefern Quantentechnologien für die Erschließung neuer Geschäftsmodelle?

Sinha: Das revolutionäre Potenzial von Quantentechnologien betrifft mehrere Branchen, weil eine bisher unerreichte Rechenleistung, erhöhte Sicherheit und neue Funktionalität zur Verfügung stehen und weitere Innovationen nach sich ziehen. Neue Technologien werden sich permanent weiterentwickeln und Unternehmen einen Wettbewerbsvorteil im Markt verschaffen, wenn sie sich frühzeitig nutzen und integrieren lassen.

Die Einsatzszenarien in unterschiedlichen Branchen veranschaulichen das transformative Potenzial der neuen Geschäftsmodelle. So bedeutet die enorm hohe Rechenleistung von Quantencomputern, dass sich komplexe Berechnungen exponentiell schneller durchführen lassen als mit klassischen Rechnern. Das wiederum eröffnet ganz neue Möglichkeiten bei der Lösung umfangreicher Optimierungsprobleme – beispielsweise in der Logistik, Fertigung oder im Finanzwesen.

Nehmen wir das Beispiel Wirkstoffforschung: Hier lässt sich die Entdeckung neuer Medikamente und Materialien beschleunigen, indem molekulare Strukturen effizienter simuliert werden. Bei der Klimamodellierung wiederum sind bessere Prognosen möglich, was die Entwicklung verbesserter Strategien auf klimatische Veränderungen und Auswirkungen erlaubt.

Im Sicherheitsbereich sorgen quantengestütztes Machine Learning und fortschrittliche KI-Systeme für mehr Effizienz und Genauigkeit, um Predictive-Analytics-Lösungen, Risikomanagement und Betrugserkennung zu unterstützen. Und Innovationen im Gesundheitswesen durch Quantencomputing sowie Quantensensorik können das Gesundheitswesen über personalisierte Medizin und medizinische Bildverarbeitung grundlegend verändern, um ein letztes Beispiel zu nennen.

connect professional: Wie sieht es hinsichtlich der Quantenkryptografie aus? Gibt es in dem Umfeld bereits konkrete Vorgaben?

Sinha: Konkrete Vorgaben und Implementierungen sorgen in der Post-Quanten-Kryptografie aktuell für erhebliche Fortschritte. Bezogen auf Standards und Spezifikationen spielt das NIST (National Institute of Standards and Technology) als US-Bundesbehörde hier eine zentrale Rolle bei der Weiterentwicklung, um die Sicherheit kryptografischer Systeme vor zukünftigen Bedrohungen durch Quantencomputer zu gewährleisten. In Kürze werden für diese Zwecke erarbeitete, quantenresistente Kryptografiestandards freigegeben. Bereits im Jahr 2022 wurden¹ dafür vier Algorithmen für die Standardisierung ausgewählt: Kyber, Dilithium, Falcon und SPHINCS+.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Was Unternehmen tun können

connect professional: Welche Vorbereitungen sollten Organisationen generell bei der Einhaltung regulatorischer Anforderungen und Nutzung von Digital-Trust-Technologien treffen?

Sinha: Organisationen, die regulatorische Anforderungen einhalten und Digital-Trust-Technologien nutzen möchten, sollten mehrere wichtige Schritte vorbereiten. Das beginnt beim Verständnis der gesetzlichen Vorgaben in den jeweiligen Ländern. Dazu gehören Datenschutzgesetze wie die DSGVO, branchenspezifische Vorschriften und andere relevante Mandate. Führen Sie ein Compliance-Audit durch und bewerten Sie Ihre aktuellen Praktiken, Prozesse und Systeme, um nicht erfüllte Anforderungen identifizieren zu können.

Für den Schutz sensibler Daten müssen Organisationen robuste Cybersicherheitsmaßnahmen wie Verschlüsselung, Zugriffskontrollen, Intrusion-Detection-Systeme und regelmäßige Sicherheitsbewertungen implementieren. Digital-Trust-Technologien erfordern die Verwendung kryptografischer Protokolle inklusive Erzeugung oder Prüfung digitaler Signaturen sowie Identifizierungssysteme für den Schutz digitaler Transaktionen. Klare und umfassende Datenschutzrichtlinien beschreiben, wie personenbezogene Daten verarbeitet, gespeichert und weitergegeben werden sollen.

Data-Governance-Frameworks wiederum stellen die Verantwortlichkeit, Integrität und Compliance während des gesamten Datenlebenszyklus sicher. Außerdem sollten Organisationen branchenspezifische Rechts- und Compliance-Experten engagieren, um Rat und Expertise einholen sowie Risiken einordnen und sicherstellen zu können, damit ihre Strategien mit den gesetzlichen Anforderungen übereinstimmen. Eine umfassende IT-Compliance-Dokumentation mit Audit-Berichten, Risikobewertungen, Richtliniendokumenten und Schulungsaufzeichnungen dient abschließend als Nachweis für Compliance-Audits oder Untersuchungen.

connect professional: Wie lassen sich in öffentlichen und privaten PKI-Umgebungen die erforderliche Krypto-Agilität und Cloud-Sicherheit gewährleisten?

Sinha: Die Gewährleistung von Krypto-Agilität und Cloud-Sicherheit in öffentlichen und privaten PKI-Umgebungen erfordert einen umfassenden Ansatz, der verschiedene Aspekte der kryptografischen Agilität, Cloud-Infrastruktur und Sicherheitsverwaltung berücksichtigt. Sinnvolle Strategien beinhalten dabei die Verwendung standardbasierter Kryptografie, die Implementierung von Best Practices bei der Schlüsselverwaltung und Certificate Lifecycle Management.

Weitere Maßnahmen umfassen die Bereitstellung von Hardware-Sicherheitsmodulen (HSMs), die Sicherstellung von Interoperabilität und Kompatibilität sowie regelmäßige Aktualisierungen und Patches. Bei der Übertragung und Speicherung müssen Daten grundsätzlich im Unternehmen verschlüsselt werden. Durch Implementierung und regelmäßige Sicherheitsüberprüfung dieser Strategien können Unternehmen die Krypto-Agilität und Cloud-Sicherheit sowohl in öffentlichen als auch in privaten PKI-Umgebungen gewährleisten und so die Vertraulichkeit, Integrität und Verfügbarkeit kryptografischer Assets und Dienste gewährleisten.

Schutz von IoT-Geräten, DigiCerts Roadmap und der Channel-Aspekt

connect professional: Welche Auswirkungen haben Innovationen bei Quantencomputern auf den Schutz von IoT-Geräten?

Sinha: Technische Neuerungen von Quantencomputern haben das Potenzial, den Schutz von IoT-Geräten maßgeblich zu beeinflussen, vor allem in Hinblick auf die Auswirkungen für die kryptografische Sicherheit. Die steigende Leistungsfähigkeit von Quantencomputern führt zu einem wachsenden Gesamtrisiko, dass IoT-Kommunikationsprozesse kompromittiert werden.

Fortschritte beim Quantencomputing unterstreichen den dringenden Bedarf für quantenresistente Methoden. PQC-Algorithmen sind so konzipiert, dass sie Angriffen sowohl von klassischen als auch von Quantencomputern standhalten und bei IoT-Geräten damit auch im Quantenzeitalter eine langfristige Sicherheit bieten.

connect professional: Wie sieht DigiCerts Roadmap für dieses und kommendes Jahr aus? Inwiefern schließt sie das Thema Quantenkryptografie ein?

Sinha: DigiCert ermöglicht die Bereitstellung von Sicherheitslösungen, mit denen Unternehmen und Anwender die moderne und komplexe IT-Landschaft sicher gestalten können. Als Digital-Trust-Anbieter nutzen wir unser Know-how, um Innovationen voranzutreiben und neue Digital-Trust- und Sicherheitsstandards zu setzen. Aktuell gehen wir drei Herausforderungen mit potenziell großen Auswirkungen an:

Post-Quanten-Kryptografie,
IoT-Gerätesicherheit
und Content Provenance, also die Entwicklung von Standardspezifikationen zu Quelle und Herkunft von Medieninhalten.

Quantentechnologien können komplexe Lieferkettennetzwerke optimieren, einschließlich Routenoptimierung und Bestandsmanagement. Außerdem kann Quantencomputing zur Schaffung völlig neuer Geschäftsmodelle und Dienstleistungen beitragen. Darunter fällt Quantum-as-a-Service (QaaS) zur Bereitstellung eines Cloud-basierten Zugriffs auf Quantencomputing-Ressourcen für Unternehmen und Forscher. Auch Quantum Consulting, also spezialisierte Beratungsdienste, um Unternehmen bei der Integration von Quantentechnologien in ihrem Betrieb zu unterstützen, ist zu nennen.

connect professional: Welche Chancen ergeben sich mit diesem Thema für Channel-Partner?

Sinha: Quantencomputing bietet Vertriebspartnern mehrere Innovationsmöglichkeiten, um ihre Angebote zu differenzieren und von aufkommenden Markttrends zu profitieren. Einige wichtige Anwendungsbeispiele sind die Aus- und Weiterbildung, Beratungsdienstleistungen, technische Integration und Bereitstellung. Hinzu kommen die Entwicklung spezialisierter Quantenanwendungen, der Weiterverkauf von Quantencomputing-Lösungen und die Bereitstellung von Managed Quantum Services.

^{1 https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms}

Über DigiCert
Die Wurzeln des Unternehmens Als weltweit agierender Anbieter für Digital-Trust-Lösungen schützt DigiCert digitale Interaktionen von Unternehmen und Anwendern. DigiCert hat seinen Ursprung in den späten 1990er Jahren, wurde aber 2003 in Lehi, Utah, gegründet. Das Unternehmen verfolgt die Vision, sichere digitale Zertifikate bereitzustellen, um verschlüsselte Kommunikation und Vertrauen im Internet zu ermöglichen. Im Lauf der Jahre profitierte DigiCert nach eingenen Angaben von einem erhebliches Wachstum und erweiterte sein Produktportfolio um eine breite Palette von digitalen Identitäts- und Sicherheitslösungen. Dazu gehörten EV-Zertifikate (Extended Validation), Code-Signing-Zertifikate, sichere E-Mail-Lösungen und Zertifikatsmanagementplattformen.
Zielgruppe(n) & Märkte DigiCert verfolgt eine horizontale Marktstrategie, um den Kundenstamm zu erweitern, und verfügt aktuell über Zehntausende Kunden auf der ganzen Welt. DigiCert® ONE, die Plattform für digitale Vertrauensdienste, verschafft Organisationen zentrale Visibilität und Kontrolle über vertrauliche Kommunikationsprozesse in öffentlichen und privaten Anwendungsbereichen sowie Website-Schutz und sicheren Zugriff auf Unternehmenssysteme, Softwareprogramme, digitale Identitäten, Inhalte und Geräte. Aufgrund preisgekrönter Softwarelösungen und seiner branchenweiten Führungsposition bei der Erfüllung technischer Standards und Betriebsanforderungen ist DigiCert der bevorzugte Digital-Trust-Anbieter bei Unternehmen rund um die Welt.
Mitarbeiter & Standorte DigiCert beschäftigt weltweit mehr als 1.600 Mitarbeiter und ist in mehr als 180 Ländern tätig. Das Unternehmen hat seinen Hauptsitz im US-amerikanischen Lehi, Utah. In einem globalen Partnernetzwerk arbeitet der Digital-Trust-Anbieter mit zehntausenden Kunden zusammen, zu denen 80 Prozent der Fortune-500-Unternehmen zählen.
Technologie- & Vertriebspartner DigiCert arbeitet eng mit weltweit führenden Marken, Trendsettern, Vertriebspartnern und Normierungsgremien zusammen. Im Rahmen der Partnerschaft mit der Deutschen Telekom beispielsweise deckt das Unternehmen das ganze Spektrum einer Public-Key-Infrastruktur, vom Identitäts- und Zugriffsmanagement bis zu digitalen Zertifikaten und Hardware-Sicherheitslösungen für Smartphones, Computer und andere Geräte ab.