Lesezeit ca. 5 Min.
arrow_back

Interview: »Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten«


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 10/2019 vom 30.09.2019

Kommerziell nutzbare Quantencomputer stehen vor der Tür. Firmen wie Google und IBM arbeiten fieberhaft an ihren Superrechnern und steigern die Zahl an Qubits in immer größeren Schritten. Doch gefährden Quantencomputer die bisherigen Verschlüsselungssysteme, da sie bislang nicht zu brechende Verfahren knacken können. Was das für Unternehmen bedeutet und wie sie vorsorgen sollten, erläuterte Malte Pollmann, Chief Strategy Officer bei der Utimaco GmbH, im Interview mit IT-Administrator.


Artikelbild für den Artikel "Interview: »Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten«" aus der Ausgabe 10/2019 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 10/2019

Malte Pollmann


IT-Administrator:Auf welchem Stand der Entwicklung befinden sich Quantencomputer?
Malte Pollmann : Die ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2019 von News. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News
Titelbild der Ausgabe 10/2019 von Praxiswissen für Administratoren: Intensive Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Praxiswissen für Administratoren: Intensive Sicherheit
Mehr Lesetipps
Blättern im Magazin
News
Vorheriger Artikel
News
Praxiswissen für Administratoren: Intensive Sicherheit
Nächster Artikel
Praxiswissen für Administratoren: Intensive Sicherheit
Mehr Lesetipps

IT-Administrator:Auf welchem Stand der Entwicklung befinden sich Quantencomputer?
Malte Pollmann : Die Quantencomputer-Technologie entwickelt sich rasant. Forscher und Entwickler arbeiten intensiv daran, die Quantenbits, kurz Qubits, in ausreichender Zahl herzustellen, zu kontrollieren und miteinander zu verschalten. Diese supraleitenden Schaltkreise müssen bisher enorm heruntergekühlt und vor Erschütterungen sowie Strahlung geschützt werden, um funktional zu sein. Die dafür verantwortlichen Quanteneffekte – Superposition und Kohärenz – lassen die Rechenleistung exponentiell ansteigen, da Qubits die einzelnen Schritte hochkomplexer Aufgaben parallel und somit wahnsinnig schnell rechnen können. Gerade tut sich bei der Verbesserung der Fehlerkorrektur viel, wodurch die Systeme stabiler arbeiten – und ihr Potenzial besser nutzbar wird.

Wann werden diese Systeme kommerziell in breiterem Rahmen einsatzfähig sein?
Auch an dieser Stelle streiten die Experten – fünf, zehn Jahre oder länger stehen im Raum. Viele Player wie IBM, Microsoft, Google, Novarion und D-Wave arbeiten an der Marktreife, wofür Quantenprozessoren und -Algorithmen zusammenspielen müssen. So hat D-Wave zwar unvorstellbare 2000 Qubits realisiert, die jedoch zum Lösen eines maßgeschneiderten Problems zusammengeschaltet wurden. Den anderen Weg in Richtung universeller Quantenrechner gehen beispielsweise IBM und Intel, die zwei Prototypen mit 50 beziehungsweise 49 Qubits entwickelt haben. Beide übertrifft Googles Bristlecone, ein 72-Qubit-Prozessor. Die ersten Quantencomputer werden nicht zuletzt aus Preisgründen vor allem über die Cloud zugänglich sein. Leider werden diese Cloudinstallationen auch Hacker anlocken, solche Systeme zu missbrauchen, um klassische kryptografische Schlüssel zu brechen und damit auf bisher sicher verschlüsselte Daten zuzugreifen.

Worin genau liegen die Gefahren, die Quantencomputer für heutige Verschlüsselung darstellen?
Es ist ja nicht die Frage ob, sondern wann die Quantenrechner unsere aktuellen kryptografischen Algorithmen brechen werden. Das renommierte National Institute of Standards and Technology geht davon aus, dass Quantencomputer dies innerhalb des nächsten Jahrzehntes schaffen. Das klingt für mich gerade angesichts der letzten Bekanntmachungen sehr plausibel. Schauen wir uns die symmetrischen Verfahren wie 3DES, AES oder Blowfish an. Sie alle sorgen für Sicherheit, indem sie einen enorm langen Schlüssel verwenden. Für einen Brute-Force-Angriff fehlte bis dato die nötige Rechenleistung. Diese bringen Quantencomputer mit. Sind Hash-Funktionen das Ziel, zum Beispiel SHA256, RIPEMD und Whirlpool, beschleunigt der Grover-Algorithmus die Angriffsgeschwindigkeit so enorm, dass zwei Eingaben mit der gleichen Ausgabe gefunden werden könnten. Die für die Sicherheit grundlegende Annahme, dass sich Eingabedaten nicht aus den Ausgabedaten berechnen lassen, wäre nicht mehr haltbar. Ein ähnliches Spiel zeigt sich bei RSA, DSA, Diffie-Hellman und ECC, den asymmetrischen Verfahren, bei denen der Shor-Algorithmus die Verschlüsselung aushebeln wird.

Was bedeutet das dann für Unternehmen, die ihre Daten und ihren Datenverkehr bisher klassisch verschlüsseln?
Denken wir nur an IoT-Umgebungen, die heute entstehen und für einen Betrieb von zehn bis 15 Jahren ausgelegt werden. Die Migration von aktuell sicheren kryptografischen Algorithmen hin zu quantensicheren Algorithmen sowie ein paralleler Hybridbetrieb kann in der Praxis sehr langwierig, teuer oder sogar unmöglich sein. Deshalb hat die Infrastruktur eines Unternehmens den Anspruch zu erfüllen, auch in der Post-Quanten-Ära effektiv zu bleiben. Wir sprechen hier von Krypto-Agiltät, also die Migrationsfähigkeit auf ein alternatives, kryptografisches Primitiv und einen alternativen Algo - rithmus. Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten. Unsere Utimaco Hardware-Sicherheitsmodule mit dem Software Development Kit beispielsweise sind für das Implementieren künftiger quantensicherer Algorithmen geeignet – und werden daher auch von Vorreitern in der Industrie und Wissenschaft bereits für Post-Quanten-Kryptografie, kurz PQC, eingesetzt.

Findet hier in ersten Organisationen ein Umdenken statt oder gibt es noch kein Bewusstsein?
Die Awareness steigt und es gibt bereits jetzt die Early Adopters. So haben große Unternehmen und bestimmte Industrien wie Halbleiter oder die Automobilbranche erkannt, dass sie krypto-agile Lösungen benötigen. Gespräche mit unseren Kunden und Technologiepartnern vermitteln ein sehr gemischtes Bild. Zum Kreis derer, für die eine Quantenrechner-Attacke in Zukunft gefährlich wäre, zählen praktisch alle. Aber maximal zehn Prozent der Unternehmen, die betroffen sein könnten, sind sich dessen bewusst. Die erste Frage, die Unternehmen sich jetzt stellen sollten, lautet: An welchen Stellen setzen wir überall Verschlüsselungstechnologie ein? Fast alle kritischen Infrastrukturen, alle Großunternehmen und drei Viertel der KMU in Deutschland tun das, wie eine BMWi-Studie aus dem vergangenen Jahr zeigt. Unternehmen sind gut beraten, sich frühzeitig mit den Herausforderungen der Umstellung auf PQC zu beschäftigen.



»Zum Kreis derer, für die eine Quantenrechner-Attacke in Zukunft gefährlich wäre, zählen praktisch alle.«


Wie können Organisationen denn ermitteln, welche Risiken auf sie zukommen? Wie lässt sich die individuelle Timeline errechnen?
Wenn wir davon ausgehen, dass in den kommenden zehn Jahren Quantenrechner existieren werden, die klassische Kryptografie brechen können, kommt zur Dringlichkeit noch die Planungs- und Umstellungszeit. Große Infrastrukturen benötigen teilweise Jahre für die vollständige Umstellung auf Krypto-Agilität. In der Industrie vergehen vom Design über Marktreife bis zur Produktmigration schnell mehr als fünf Jahre. Deshalb ist das Risiko für Produkte, die heute entwickelt werden, als hoch einzuschätzen. Zu bedenken ist auch die rückwirkende Datensicherheit. Hier gilt es abzuwägen, wie lange gesetzliche Aufbewahrungszeiten sind und wie geschäftskritisch Daten in zehn Jahren sein werden, die ein Unternehmen heute verschlüsselt speichert.

Was macht eine zukunftssichere Kryptostrategie für Unternehmen aus?
In Bezug auf Quantencomputer empfehle ich Unternehmen: Sie sollten ihr Risikopotential analysieren, bewerten und frühzeitig beginnen, verfügbare Maßnahmen und Tools mit ihren Systemen zu testen. Dazu empfehlen Einrichtungen wie das Global Risk Institute, ein "Quantum Risk Assessment" durchzuführen. Auf diese Weise verstehen Unternehmen besser, wie sich Krypto-Agiltät und quantensichere Algorithmen auswirken. Verständlich wird zudem, wie groß der Anpassungsbedarf ist. Wer Verschlüsselungslösungen von einem Drittanbieter einsetzt, sollte diesem schon heute auf den Zahn fühlen und intensiv nach dessen PQC-Strategie fragen.

Wie gehen Security- und Kryptografie-Experten insgesamt mit der drohenden Gefahr durch Quantencomputer um?
Bewusst, vorausschauend und angemessen, so meine Erfahrung. Anders geht es auch nicht. Beim Y2K, dem Millennium-Bug, haben wir gesehen, wohin es führt, eine Hysterie zu schüren: Zu einem Glaubwürdigkeitsverlust, weil nichts von den prophezeiten Untergangsszenarien eingetreten ist. Anderseits sollte uns die DSGVO lehren, wie schwer das Umstellen der eigenen IT fällt, wenn man die Relevanz und Konsequenzen eines Themas erst spät erkennt.

Kommen wir zu den positiven Effekten: Wie profitieren die verschiedenen Wirtschaftsbereiche von der Rechenleistung der Quantenrechner?
Die signifikante Steigerung der Rechenleistung bedeutet mehr Analyse- und Verarbeitungskapazität für große Datenmengen – und damit neue Erkenntnisse, Anwendungsfelder und Geschäftsmodelle. Quantensysteme sind prädestiniert, in Zukunft Berechnungen durchzuführen, die eine große Zahl von Kombinationsmöglichkeiten enthalten. Beispiele dafür sind das Simulieren von Verkehrsoder Finanzströmen. Komplexe Aufgaben stellen sich auch in der Pharmazie, in der Lebensmittel- und Materialforschung und Logistik. Nicht zu vergessen das weite Feld der künstlichen Intelligenz, in dem Quantenrechner neuronale Netze trainieren können. Im Fall der Verschlüsselung zeigt sich jedoch, wie zwiespältig moderne Technologie sein kann. Hier werden Quanteneffekte für einen abhörsicheren Schlüsselaustausch sorgen. Dem steht das Kompromittieren von Krypto-Algorithmen gegenüber, auf das wir uns vorbereiten müssen.

Vielen Dank für das Gespräch!