Risiko Quantencomputer

Noch steckt der Quantencomputer in den Kinderschuhen, bedroht aber schon heute die Sicherheit von Unternehmensdaten, warnt die Security Division von NTT - und gibt Handlungsempfehlungen.

Der Quantencomputer lässt sich derzeit nur mühsam im Labor betreiben und steht kommerziell wahrscheinlich erst in zehn oder zwanzig Jahren zur Verfügung. Doch einmal verfügbar, wird er sich nicht nur für Simulationen und andere Berechnungen nutzen lassen, sondern auch für Cyberangriffe. Unternehmen sollten darum schon heute damit beginnen, ihre Daten dagegen zu schützen. 

Tatsächlich haben viele, häufig kritische Daten, eine Lebensdauer, die sich über Jahrzehnte erstreckt: Transaktionsdaten von Banken zum Beispiel, Kundendaten von Versicherungen oder Entwicklungsdaten von Automobilherstellern. Viele Daten, die Unternehmen heute speichern, werden also vermutlich noch dann schützenswert sein, wenn Quantencomputer schon längst verbreitet sind. “Ihre Verschlüsselung ist dann aber wohl obsolet“, erklärt Frank Balow, Kryptografie-Spezialist und Director Consulting Identity and Key Management, CISSP bei der Security Division von NTT.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Bereit für die Post-Quanten-Ära?

Grund ist ein spezieller Algorithmus, der “Shor-Algorithmus”, der mithilfe des Quantencomputers in der Lage sein wird, komplexe asymmetrische Kryptosysteme innerhalb weniger Minuten zu knacken. Damit wären die Verschlüsselungsmaßnahmen von E-Commerce-Plattformen, Cloud-Angeboten, Electronic Banking, digitalen Signaturen, IoT-Systemen und allem, was sicher über das Internet übertragen oder in Unternehmen gespeichert werden soll, laut Barlow, von heute auf morgen praktisch wertlos.

Darauf müssen sich IT-Abteilungen vorbereiten und den Quantencomputer schon heute in ihre Strategie einbinden. Die wichtigste Frage: Wie können sie den Lifecycle von Daten, die aktuell erzeugt werden, auch noch in einigen Jahrzehnten vollständig absichern?

Balow empfiehlt folgende Vorgehensweisen:

1. Bewusstsein entwickeln: Unternehmen müssen begreifen, dass der Quantencomputer über kurz oder lang kommen wird, auch wenn er noch in den Kinderschuhen steckt. Anbieter und Organisationen wie Google, IBM, NTT, die Stanford University oder die NASA arbeiten mit riesigen Budgets daran, ihn aus den Forschungslaboratorien zu holen.
2. Projektteams zusammenstellen: Spezielle Projektteams können gewährleisten, dass das Bewusstsein über die Auswirkungen des Quantencomputers im Laufe der Zeit nicht abnimmt und versandet. Ihre Aufgabe ist es, dafür zu sorgen, dass das Thema Bestandteil der IT-Strategie bleibt. Außerdem sollten sie eine entsprechende Roadmap entwerfen. Interne Akteure wie IT- und IT-Sicherheitsverantwortliche, aber auch externe und spezialisierte Berater können dem Team angehören.
3. Auswirkung prüfen: Unternehmen sollten versuchen, die möglichen Auswirkungen auf die gesamte IT-Infrastruktur, aber auch auf einzelne Passwörter, Applikationen, Systeme und Daten zu antizipieren. Asymmetrische Public-Key-Verschlüsselungsverfahren, die auf der Primfaktorzerlegung beruhen, sind besonders gefährdet; symmetrische Verschlüsselungsverfahren wie AES weniger – allerdings nur bei großer Schlüssellänge, so Balow.
4. Data Lifecycle begutachten: Natürlich sind nicht alle erzeugten Daten unternehmenskritisch, noch zukunftsrelevant, deshalb muss eine Datenklassifizierung erfolgen. Dabei können folgende Fragen helfen: Welche Daten haben nur kurzfristig Bestand, welche sind noch in 20 Jahren schützenswert? Welche sind kritisch und müssen verschlüsselt und archiviert werden? Welche Daten können gelöscht werden?
5. HSM einsetzen: Eine wichtige Maßnahme ist der Einsatz von Hardware-Sicherheitsmodulen (HSM). Damit können beliebige Schlüssel gespeichert, verwaltet und transportiert werden. HSM sind mittlerweile auch in der Cloud als HSM-as-a-Service verfügbar und erste Anbieter haben die Verfügbarkeit von quantensicheren Modulen in Aussicht gestellt.
6. Kritischen Vorbereitungen treffen: Obwohl bereits an der Entwicklung und Standardisierung der Post-Quanten-Kryptografie und künftiger quantensicherer Schlüssel gearbeitet wird, sind quantensichere Schlüssel noch nicht kommerziell verfügbar. Es steht also eine Übergangszeit zwischen der Pre- und Post-Quanten-Ära an, in der Unternehmen ihre IT-Sicherheitsinfrastruktur vorbereiten müssen, um die künftigen Technologien implementieren zu können.
7. DSGVO-Konformität im Auge behalten: In Artikel 32 fordert die DSGVO eine Datensicherung nach dem “Stand der Technik“. DSGVO-Konformität ist vermutlich die geringste aller Sorgen, die Unternehmen haben werden, zumal nicht klar ist, was Stand der Technik tatsächlich bedeutet. Dennoch, rät Balow, sollten Unternehmen das Thema nicht aus den Augen verlieren.

Lesen Sie mehr zum Thema

Weitere Artikel zu NTT Security (Germany) GmbH

5G-Mobilfunknetz am Beispiel RWTH Aachen

„Ein Private-5G-Projekt ist immer Neuland“

Modern Workplace

„Quantentechnologien per se sind kein Allheilmittel“

Personalie

Alexandra Hiendlmeier zur Geschäftsführerin von NTT Data ernannt

NTT Global Network Report 2022

Network as a Service rückt in den Fokus

Ausbau weltweiter Kapazitäten

NTT eröffnet erstes Rechenzentrum in Spanien

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied