4 Minuten Lesezeit 6 Februar 2024
Im Inneren des Quantenlabors, Weitwinkelaufnahme in der Mitte

Warum es neue Standards für eine sichere Kommunikation braucht

Jan Rosam
Von Jan Rosam

Financial Services Consulting Capital Markets & Emerging Technology Leader; Brexit & IBOR Transition Leader, EY Consulting GmbH I Deutschland

Transformations- und Technologiespezialist im Kapitalmarkt. Sein Herz schlägt für neue Technologien, Codierung und Mathematik. Vater von zwei Kindern, Segler und Gravel-Biker.

4 Minuten Lesezeit 6 Februar 2024
Verwandte Themen Analytics und Big Data Consulting Cybersecurity Digitalisierung Disruptiver Wandel
Gefällt mir

Weitere Materialien

Post-Quantum Security sollten Unternehmen in ihr aktuelles Risikomanagement integrieren.

Überblick

  • Die Einführung von Quantencomputern erfordert eine verstärkte Sicherheit in der Kommunikation, insbesondere für asymmetrische Verschlüsselungsverfahren.
  • Die empfohlenen Maßnahmen umfassen hybride Verschlüsselungsverfahren, Krypto-Agilität und den Schutz langfristig gültiger Signaturschlüssel. 
  • EY bietet einen umfassenden Ansatz zur Krypto-Agilität, um Sicherheitslücken in der Post-Quantum-Kryptografie zu minimieren.

Post-Quantum Security gewinnt im Bereich der sicheren Kommunikation immer mehr an Bedeutung. Denn Quantencomputer stellen zunehmend eine ernst zu nehmende Bedrohung für etablierte kryptografische Verfahren dar. Schon im Jahr 2019 verkündete Google den Durchbruch zur sogenannten Quantum Supremacy. Damals war es erstmals gelungen, einen Quantencomputer zur Lösung einer komplexen Aufgabe einzusetzen, für die ein herkömmlicher Computer Jahre benötigt hätte – und das mit nur 54 Qubits, der elementaren Informationseinheit eines Quantencomputers. Ende letzten Jahres gab IBM bekannt, dass mittlerweile die Konstruktion eines Systems mit 433 Qubits gelungen sei.

Vor allem asymmetrische Verschlüsselungsverfahren, wie sie in der Public-Key-Kryptografie genutzt werden, sind von den neuen Quantencomputern bedroht. Denn mithilfe von Quantenalgorithmen wie Shor’s Algorithm ist es für Quantencomputer spielend leicht möglich, das der Public-Key-Kryptografie zugrunde liegende mathematische Problem der Faktorisierung großer Zahlen zu lösen.

In einer aktuellen Umfrage des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gaben 40 Prozent der befragten Unternehmen an, dass sie den Zeitpunkt, zu dem sie eigentlich auf quantensichere Verfahren migrieren müssten, voraussichtlich um mehr als fünf Jahre verfehlen werden. Über 60 Prozent der befragten Unternehmen gaben zudem an, dass sie Post-Quantum -Sicherheit nicht in ihrem aktuellen Risikomanagement berücksichtigen.

Die Ergebnisse zeigen deutlich, dass noch immer viele Unternehmen in Deutschland nicht die Dringlichkeit des Themas erkannt haben. Auf die Frage, was Investitionsentscheidungen in diese Richtung begünstigen würde, gaben 89 Prozent der befragten Unternehmen entsprechende Vorgaben durch anerkannte Standards an.

Sicherheitslücken

60 %

der vom BSI befragten Unternehmen gaben an, dass sie Post-Quantum Security nicht in ihrem aktuellen Risikomanagement berücksichtigen.

2016 begann das National Institute of Standards and Technology (NIST) in den USA die Arbeit an der Standardisierung von Post-Quantum-Kryptografie-Verfahren. Anfang 2023 wurden drei erste Verfahren veröffentlicht, die sich derzeit in der „Public Review and Comment“-Phase befinden. Die nächste Standardisierungskonferenz ist für April 2024 geplant. Mit einer Finalisierung und Veröffentlichung der NIST-Standards zur Post-Quantum-Kryptografie ist in absehbarer Zeit zu rechnen.

Zeitplan NIST-Standards zur Post-Quantum-Kryptografie

Das National Cyber Security Center in Großbritannien hat bereits angekündigt, sich den Empfehlungen des NIST anzuschließen. In Deutschland orientiert sich das BSI ebenfalls stark an diesen Empfehlungen, verweist aber gleichzeitig auf den ISO-Standardisierungsprozess der EU. Dieser läuft bereits auf Hochtouren und soll Ende 2024 zur Verfügung stehen.

Als erstes praktisches Beispiel für die Anwendung von Post-Quantum Security ist das Projekt Leap der Schweizer Bank for International Settlements (BIS) in Kooperation mit der Banque de France und der Deutschen Bundesbank hervorzuheben. Das Projekt dient dazu, eine lückenlose Vertrauenskette für Zentralbankanwendungen zu schaffen. Hierzu wurde ein quantensicherer Kommunikationskanal zwischen der deutschen und der französischen Zentralbank eingerichtet, der künftig als Vorbild für andere quantensichere Kommunikationsprojekte in der Finanzbranche dienen soll.

Bis es jedoch so weit ist, dass Verfahren für Post-Quantum-Kryptografie flächendeckend eingesetzt werden können, wird es noch etwas dauern. Doch schon heute sollte man die Empfehlungen des BSI ernst nehmen. Dieses stuft vor allem drei Maßnahmen als besonders wichtig ein.

  1. Zuallererst empfiehlt das BSI die Verwendung hybrider Verschlüsselungsverfahren. Damit ist das Augmentieren bestehender asymmetrischer Protokolle mit einer zusätzlichen Schicht symmetrischer Verschlüsselungsverfahren gemeint, die sehr resistent gegenüber Quantencomputern sind. 

  2. Des Weiteren wird die Implementierung von Krypto-Agilität empfohlen. Durch eine unkomplizierte Austauschbarkeit der verwendeten kryptografischen Verfahren hält man sich die Option frei, schnell auf neueste Erkenntnisse auf dem Gebiet der Post-Quantum-Kryptografie reagieren zu können. 

  3. Schließlich empfiehlt das BSI noch den besonderen Schutz lange gültiger Signaturschlüssel. Denn schon heute verbirgt sich hinter „Harvest now, decrypt later“ der Trend, erlangte verschlüsselte oder signierte Daten zu speichern, in der Hoffnung, sie zu einem späteren Zeitpunkt entschlüsseln beziehungsweise manipulieren zu können. Vor allem langlebige Daten, zum Beispiel Finanztransaktionsdaten oder entscheidungsrelevante Firmenkommunikation, sind hierdurch gefährdet.

Es wird keine universelle Antwort auf die Herausforderungen der Post-Quantum Security geben. Darüber hinaus muss bei der Einführung neuer Standards eine Vielzahl von Abhängigkeiten berücksichtigt werden. Die Migration auf quantensichere Technologien wird also keine einfache Aufgabe werden. Deshalb ist es wichtig, bereits heute geeignete Maßnahmen zu ergreifen, um sich auf die neue Ära der Kryptografie vorzubereiten und so die Sicherheit verschlüsselter Daten auch in Zukunft zu gewährleisten.

So unterstützen wir Sie

Technologietransformation

Wir verfolgen einen integrierten Ansatz, um Unternehmen auf der ganzen Welt beim Schutz und Aufbau robuster Technologiedienstleistungen und -infrastrukturen zu unterstützen.

Mehr lesen

  • So kann EY Ihnen helfen

    EY bietet Ihnen einen umfassenden zweigleisigen Ansatz zur Krypto-Agilität zur Bewältigung der Herausforderungen der Post-Quantum Security an:

    • Auf der einen Seite stellt Ihnen EY Dienstleistungen zur Verfügung, die darauf abzielen, das Bewusstsein für Post-Quantum-Kryptographie im gesamten Unternehmen zu erhöhen, IT- und Cybersicherheitsrichtlinien entsprechend anzupassen und Anforderungen an die Quantensicherheit von Grund auf in neue Entwicklungen zu integrieren.
    • Auf der anderen Seite bietet EY Ihnen umfassende Unterstützung bei der Identifizierung von Systemen und Prozessen, die anfällig für quantenbasierte Angriffe sind. Zudem hilft EY Ihnen, ein Gesamtrisikobild zu erstellen, um diese Schwachstellen richtig einschätzen und priorisieren zu können.

    Zusätzlich zu den genannten Services unterstützt EY Sie dabei, eine detaillierte Roadmap – inklusive Kostenschätzungen und pragmatischer Schritte – zu entwickeln, um die Sicherheitslücken im Bereich der Post-Quanten-Kryptografie wirksam anzugehen und zu minimieren

  • Co-Autor: Christoph Capellaro

    Christoph Capellaro ist Director im Bereich Financial Services. Er berät seit mehr als 20 Jahren Unternehmen zu aktuellen Herausforderungen im Bereich Cybersecurity und zu regulatorischen Anforderungen an Banken und Versicherungen. Als Mathematiker kennt er den theoretischen Hintergrund aktuell eingesetzter kryptographischer Verfahren und der Risiken, die diese bzgl. Quantencomputer ausgesetzt sind.

Fazit

Die Einführung von Post-Quantum-Security-Maßnahmen erfordert eine sorgfältige Analyse und eine ganzheitliche Planung unter Berücksichtigung von Technik, Prozessen und Menschen. Unternehmen sollten nicht warten, bis es zu spät ist, sondern umgehend handeln. Eine neue Ära der sicheren Kommunikation steht bevor – und es ist Zeit, sich darauf vorzubereiten.

Über diesen Artikel

Jan Rosam
Von Jan Rosam

Financial Services Consulting Capital Markets & Emerging Technology Leader; Brexit & IBOR Transition Leader, EY Consulting GmbH I Deutschland

Transformations- und Technologiespezialist im Kapitalmarkt. Sein Herz schlägt für neue Technologien, Codierung und Mathematik. Vater von zwei Kindern, Segler und Gravel-Biker.

Verwandte Themen Analytics und Big Data Consulting Cybersecurity Digitalisierung Disruptiver Wandel
Gefällt mir