Im Inneren des Quantenlabors, Weitwinkelaufnahme in der MItte

Warum es neue Standards für eine sichere Kommunikation braucht

Post-Quantum Security sollten Unternehmen in ihr aktuelles Risikomanagement integrieren.


Überblick

  • Die Einführung von Quantencomputern erfordert eine verstärkte Sicherheit in der Kommunikation, insbesondere für asymmetrische Verschlüsselungsverfahren.
  • Die empfohlenen Maßnahmen umfassen hybride Verschlüsselungsverfahren, Krypto-Agilität und den Schutz langfristig gültiger Signaturschlüssel. 
  • EY bietet einen umfassenden Ansatz zur Krypto-Agilität, um Sicherheitslücken in der Post-Quantum-Kryptografie zu minimieren.

Post-Quantum Security gewinnt im Bereich der sicheren Kommunikation immer mehr an Bedeutung. Denn Quantencomputer stellen zunehmend eine ernst zu nehmende Bedrohung für etablierte kryptografische Verfahren dar. Schon im Jahr 2019 verkündete Google den Durchbruch zur sogenannten Quantum Supremacy. Damals war es erstmals gelungen, einen Quantencomputer zur Lösung einer komplexen Aufgabe einzusetzen, für die ein herkömmlicher Computer Jahre benötigt hätte – und das mit nur 54 Qubits, der elementaren Informationseinheit eines Quantencomputers. Ende letzten Jahres gab IBM bekannt, dass mittlerweile die Konstruktion eines Systems mit 433 Qubits gelungen sei.

Vor allem asymmetrische Verschlüsselungsverfahren, wie sie in der Public-Key-Kryptografie genutzt werden, sind von den neuen Quantencomputern bedroht. Denn mithilfe von Quantenalgorithmen wie Shor’s Algorithm ist es für Quantencomputer spielend leicht möglich, das der Public-Key-Kryptografie zugrunde liegende mathematische Problem der Faktorisierung großer Zahlen zu lösen.

In einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gaben 40 Prozent der befragten Unternehmen an, dass sie den Zeitpunkt, zu dem sie eigentlich auf quantensichere Verfahren migrieren müssten, voraussichtlich um mehr als fünf Jahre verfehlen werden. Über 60 Prozent der befragten Unternehmen gaben zudem an, dass sie Post-Quantum -Sicherheit nicht in ihrem aktuellen Risikomanagement berücksichtigen.

Die Ergebnisse zeigen deutlich, dass noch immer viele Unternehmen in Deutschland nicht die Dringlichkeit des Themas erkannt haben. Auf die Frage, was Investitionsentscheidungen in diese Richtung begünstigen würde, gaben 89 Prozent der befragten Unternehmen entsprechende Vorgaben durch anerkannte Standards an.

Sicherheitslücken
der vom BSI befragten Unternehmen gaben an, dass sie Post-Quantum Security nicht in ihrem aktuellen Risikomanagement berücksichtigen.

2016 begann das National Institute of Standards and Technology (NIST) in den USA die Arbeit an der Standardisierung von Post-Quantum-Kryptografie-Verfahren. Anfang 2023 wurden drei erste Verfahren veröffentlicht, die sich derzeit in der „Public Review and Comment“-Phase befinden. Die nächste Standardisierungskonferenz ist für April 2024 geplant. Mit einer Finalisierung und Veröffentlichung der NIST-Standards zur Post-Quantum-Kryptografie ist in absehbarer Zeit zu rechnen.

Zeitplan NIST-Standards zum Post-Quantum-Kriptographie

Das National Cyber Security Center in Großbritannien hat bereits angekündigt, sich den Empfehlungen des NIST anzuschließen. In Deutschland orientiert sich das BSI ebenfalls stark an diesen Empfehlungen, verweist aber gleichzeitig auf den ISO-Standardisierungsprozess der EU. Dieser läuft bereits auf Hochtouren und soll Ende 2024 zur Verfügung stehen.

 

Als erstes praktisches Beispiel für die Anwendung von Post-Quantum Security ist das Projekt Leap der Schweizer Bank for International Settlements (BIS) in Kooperation mit der Banque de France und der Deutschen Bundesbank hervorzuheben. Das Projekt dient dazu, eine lückenlose Vertrauenskette für Zentralbankanwendungen zu schaffen. Hierzu wurde ein quantensicherer Kommunikationskanal zwischen der deutschen und der französischen Zentralbank eingerichtet, der künftig als Vorbild für andere quantensichere Kommunikationsprojekte in der Finanzbranche dienen soll.

 

Bis es jedoch so weit ist, dass Verfahren für Post-Quantum-Kryptografie flächendeckend eingesetzt werden können, wird es noch etwas dauern. Doch schon heute sollte man die Empfehlungen des BSI ernst nehmen. Dieses stuft vor allem drei Maßnahmen als besonders wichtig ein.

  1. Zuallererst empfiehlt das BSI die Verwendung hybrider Verschlüsselungsverfahren. Damit ist das Augmentieren bestehender asymmetrischer Protokolle mit einer zusätzlichen Schicht symmetrischer Verschlüsselungsverfahren gemeint, die sehr resistent gegenüber Quantencomputern sind. 

  2. Des Weiteren wird die Implementierung von Krypto-Agilität empfohlen. Durch eine unkomplizierte Austauschbarkeit der verwendeten kryptografischen Verfahren hält man sich die Option frei, schnell auf neueste Erkenntnisse auf dem Gebiet der Post-Quantum-Kryptografie reagieren zu können. 

  3. Schließlich empfiehlt das BSI noch den besonderen Schutz lange gültiger Signaturschlüssel. Denn schon heute verbirgt sich hinter „Harvest now, decrypt later“ der Trend, erlangte verschlüsselte oder signierte Daten zu speichern, in der Hoffnung, sie zu einem späteren Zeitpunkt entschlüsseln beziehungsweise manipulieren zu können. Vor allem langlebige Daten, zum Beispiel Finanztransaktionsdaten oder entscheidungsrelevante Firmenkommunikation, sind hierdurch gefährdet.

Es wird keine universelle Antwort auf die Herausforderungen der Post-Quantum Security geben. Darüber hinaus muss bei der Einführung neuer Standards eine Vielzahl von Abhängigkeiten berücksichtigt werden. Die Migration auf quantensichere Technologien wird also keine einfache Aufgabe werden. Deshalb ist es wichtig, bereits heute geeignete Maßnahmen zu ergreifen, um sich auf die neue Ära der Kryptografie vorzubereiten und so die Sicherheit verschlüsselter Daten auch in Zukunft zu gewährleisten.

Fazit

Die Einführung von Post-Quantum-Security-Maßnahmen erfordert eine sorgfältige Analyse und eine ganzheitliche Planung unter Berücksichtigung von Technik, Prozessen und Menschen. Unternehmen sollten nicht warten, bis es zu spät ist, sondern umgehend handeln. Eine neue Ära der sicheren Kommunikation steht bevor – und es ist Zeit, sich darauf vorzubereiten.

Mehr zum Thema

    Über diesen Artikel