Bereits Kunde? Jetzt einloggen.
Lesezeit ca. 5 Min.

Interview: »Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten«


IT Administrator - epaper ⋅ Ausgabe 10/2019 vom 30.09.2019

Kommerziell nutzbare Quantencomputer stehen vor der Tür. Firmen wie Google und IBM arbeiten fieberhaft an ihren Superrechnern und steigern die Zahl an Qubits in immer größeren Schritten. Doch gefährden Quantencomputer die bisherigen Verschlüsselungssysteme, da sie bislang nicht zu brechende Verfahren knacken können. Was das für Unternehmen bedeutet und wie sie vorsorgen sollten, erläuterte Malte Pollmann, Chief Strategy Officer bei der Utimaco GmbH, im Interview mit IT-Administrator.


Artikelbild für den Artikel "Interview: »Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten«" aus der Ausgabe 10/2019 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 10/2019

Malte Pollmann


IT-Administrator:Auf welchem Stand der Entwicklung befinden sich Quantencomputer?
Malte Pollmann : Die ...

Weiterlesen
epaper-Einzelheft 8,99€
NEWS 14 Tage gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 10/2019 von News. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
News
Titelbild der Ausgabe 10/2019 von Praxiswissen für Administratoren: Intensive Sicherheit. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Praxiswissen für Administratoren: Intensive Sicherheit
Titelbild der Ausgabe 10/2019 von Airlock WAF: Sicherheitsinspektor. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Airlock WAF: Sicherheitsinspektor
Titelbild der Ausgabe 10/2019 von Crashtest Security Suite: Simulierte Angriffe. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Crashtest Security Suite: Simulierte Angriffe
Titelbild der Ausgabe 10/2019 von ERNW SecTools DirectoryRanger 1.5: Auf Patrouille. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
ERNW SecTools DirectoryRanger 1.5: Auf Patrouille
Titelbild der Ausgabe 10/2019 von Secucloud Secuscaler Firewall-as-a-Service: Einfache Handhabung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Secucloud Secuscaler Firewall-as-a-Service: Einfache Handhabung
Vorheriger Artikel
News
aus dieser Ausgabe
Nächster Artikel Praxiswissen für Administratoren: Intensive Sicherheit
aus dieser Ausgabe

IT-Administrator:Auf welchem Stand der Entwicklung befinden sich Quantencomputer?
Malte Pollmann : Die Quantencomputer-Technologie entwickelt sich rasant. Forscher und Entwickler arbeiten intensiv daran, die Quantenbits, kurz Qubits, in ausreichender Zahl herzustellen, zu kontrollieren und miteinander zu verschalten. Diese supraleitenden Schaltkreise müssen bisher enorm heruntergekühlt und vor Erschütterungen sowie Strahlung geschützt werden, um funktional zu sein. Die dafür verantwortlichen Quanteneffekte – Superposition und Kohärenz – lassen die Rechenleistung exponentiell ansteigen, da Qubits die einzelnen Schritte hochkomplexer Aufgaben parallel und somit wahnsinnig schnell rechnen können. Gerade tut sich bei der Verbesserung der Fehlerkorrektur viel, wodurch die Systeme stabiler arbeiten – und ihr Potenzial besser nutzbar wird.

Wann werden diese Systeme kommerziell in breiterem Rahmen einsatzfähig sein?
Auch an dieser Stelle streiten die Experten – fünf, zehn Jahre oder länger stehen im Raum. Viele Player wie IBM, Microsoft, Google, Novarion und D-Wave arbeiten an der Marktreife, wofür Quantenprozessoren und -Algorithmen zusammenspielen müssen. So hat D-Wave zwar unvorstellbare 2000 Qubits realisiert, die jedoch zum Lösen eines maßgeschneiderten Problems zusammengeschaltet wurden. Den anderen Weg in Richtung universeller Quantenrechner gehen beispielsweise IBM und Intel, die zwei Prototypen mit 50 beziehungsweise 49 Qubits entwickelt haben. Beide übertrifft Googles Bristlecone, ein 72-Qubit-Prozessor. Die ersten Quantencomputer werden nicht zuletzt aus Preisgründen vor allem über die Cloud zugänglich sein. Leider werden diese Cloudinstallationen auch Hacker anlocken, solche Systeme zu missbrauchen, um klassische kryptografische Schlüssel zu brechen und damit auf bisher sicher verschlüsselte Daten zuzugreifen.

Worin genau liegen die Gefahren, die Quantencomputer für heutige Verschlüsselung darstellen?
Es ist ja nicht die Frage ob, sondern wann die Quantenrechner unsere aktuellen kryptografischen Algorithmen brechen werden. Das renommierte National Institute of Standards and Technology geht davon aus, dass Quantencomputer dies innerhalb des nächsten Jahrzehntes schaffen. Das klingt für mich gerade angesichts der letzten Bekanntmachungen sehr plausibel. Schauen wir uns die symmetrischen Verfahren wie 3DES, AES oder Blowfish an. Sie alle sorgen für Sicherheit, indem sie einen enorm langen Schlüssel verwenden. Für einen Brute-Force-Angriff fehlte bis dato die nötige Rechenleistung. Diese bringen Quantencomputer mit. Sind Hash-Funktionen das Ziel, zum Beispiel SHA256, RIPEMD und Whirlpool, beschleunigt der Grover-Algorithmus die Angriffsgeschwindigkeit so enorm, dass zwei Eingaben mit der gleichen Ausgabe gefunden werden könnten. Die für die Sicherheit grundlegende Annahme, dass sich Eingabedaten nicht aus den Ausgabedaten berechnen lassen, wäre nicht mehr haltbar. Ein ähnliches Spiel zeigt sich bei RSA, DSA, Diffie-Hellman und ECC, den asymmetrischen Verfahren, bei denen der Shor-Algorithmus die Verschlüsselung aushebeln wird.

Was bedeutet das dann für Unternehmen, die ihre Daten und ihren Datenverkehr bisher klassisch verschlüsseln?
Denken wir nur an IoT-Umgebungen, die heute entstehen und für einen Betrieb von zehn bis 15 Jahren ausgelegt werden. Die Migration von aktuell sicheren kryptografischen Algorithmen hin zu quantensicheren Algorithmen sowie ein paralleler Hybridbetrieb kann in der Praxis sehr langwierig, teuer oder sogar unmöglich sein. Deshalb hat die Infrastruktur eines Unternehmens den Anspruch zu erfüllen, auch in der Post-Quanten-Ära effektiv zu bleiben. Wir sprechen hier von Krypto-Agiltät, also die Migrationsfähigkeit auf ein alternatives, kryptografisches Primitiv und einen alternativen Algo - rithmus. Unternehmen müssen auf eine krypto-agile Systeminfrastruktur achten. Unsere Utimaco Hardware-Sicherheitsmodule mit dem Software Development Kit beispielsweise sind für das Implementieren künftiger quantensicherer Algorithmen geeignet – und werden daher auch von Vorreitern in der Industrie und Wissenschaft bereits für Post-Quanten-Kryptografie, kurz PQC, eingesetzt.

Findet hier in ersten Organisationen ein Umdenken statt oder gibt es noch kein Bewusstsein?
Die Awareness steigt und es gibt bereits jetzt die Early Adopters. So haben große Unternehmen und bestimmte Industrien wie Halbleiter oder die Automobilbranche erkannt, dass sie krypto-agile Lösungen benötigen. Gespräche mit unseren Kunden und Technologiepartnern vermitteln ein sehr gemischtes Bild. Zum Kreis derer, für die eine Quantenrechner-Attacke in Zukunft gefährlich wäre, zählen praktisch alle. Aber maximal zehn Prozent der Unternehmen, die betroffen sein könnten, sind sich dessen bewusst. Die erste Frage, die Unternehmen sich jetzt stellen sollten, lautet: An welchen Stellen setzen wir überall Verschlüsselungstechnologie ein? Fast alle kritischen Infrastrukturen, alle Großunternehmen und drei Viertel der KMU in Deutschland tun das, wie eine BMWi-Studie aus dem vergangenen Jahr zeigt. Unternehmen sind gut beraten, sich frühzeitig mit den Herausforderungen der Umstellung auf PQC zu beschäftigen.



»Zum Kreis derer, für die eine Quantenrechner-Attacke in Zukunft gefährlich wäre, zählen praktisch alle.«


Wie können Organisationen denn ermitteln, welche Risiken auf sie zukommen? Wie lässt sich die individuelle Timeline errechnen?
Wenn wir davon ausgehen, dass in den kommenden zehn Jahren Quantenrechner existieren werden, die klassische Kryptografie brechen können, kommt zur Dringlichkeit noch die Planungs- und Umstellungszeit. Große Infrastrukturen benötigen teilweise Jahre für die vollständige Umstellung auf Krypto-Agilität. In der Industrie vergehen vom Design über Marktreife bis zur Produktmigration schnell mehr als fünf Jahre. Deshalb ist das Risiko für Produkte, die heute entwickelt werden, als hoch einzuschätzen. Zu bedenken ist auch die rückwirkende Datensicherheit. Hier gilt es abzuwägen, wie lange gesetzliche Aufbewahrungszeiten sind und wie geschäftskritisch Daten in zehn Jahren sein werden, die ein Unternehmen heute verschlüsselt speichert.

Was macht eine zukunftssichere Kryptostrategie für Unternehmen aus?
In Bezug auf Quantencomputer empfehle ich Unternehmen: Sie sollten ihr Risikopotential analysieren, bewerten und frühzeitig beginnen, verfügbare Maßnahmen und Tools mit ihren Systemen zu testen. Dazu empfehlen Einrichtungen wie das Global Risk Institute, ein "Quantum Risk Assessment" durchzuführen. Auf diese Weise verstehen Unternehmen besser, wie sich Krypto-Agiltät und quantensichere Algorithmen auswirken. Verständlich wird zudem, wie groß der Anpassungsbedarf ist. Wer Verschlüsselungslösungen von einem Drittanbieter einsetzt, sollte diesem schon heute auf den Zahn fühlen und intensiv nach dessen PQC-Strategie fragen.

Wie gehen Security- und Kryptografie-Experten insgesamt mit der drohenden Gefahr durch Quantencomputer um?
Bewusst, vorausschauend und angemessen, so meine Erfahrung. Anders geht es auch nicht. Beim Y2K, dem Millennium-Bug, haben wir gesehen, wohin es führt, eine Hysterie zu schüren: Zu einem Glaubwürdigkeitsverlust, weil nichts von den prophezeiten Untergangsszenarien eingetreten ist. Anderseits sollte uns die DSGVO lehren, wie schwer das Umstellen der eigenen IT fällt, wenn man die Relevanz und Konsequenzen eines Themas erst spät erkennt.

Kommen wir zu den positiven Effekten: Wie profitieren die verschiedenen Wirtschaftsbereiche von der Rechenleistung der Quantenrechner?
Die signifikante Steigerung der Rechenleistung bedeutet mehr Analyse- und Verarbeitungskapazität für große Datenmengen – und damit neue Erkenntnisse, Anwendungsfelder und Geschäftsmodelle. Quantensysteme sind prädestiniert, in Zukunft Berechnungen durchzuführen, die eine große Zahl von Kombinationsmöglichkeiten enthalten. Beispiele dafür sind das Simulieren von Verkehrsoder Finanzströmen. Komplexe Aufgaben stellen sich auch in der Pharmazie, in der Lebensmittel- und Materialforschung und Logistik. Nicht zu vergessen das weite Feld der künstlichen Intelligenz, in dem Quantenrechner neuronale Netze trainieren können. Im Fall der Verschlüsselung zeigt sich jedoch, wie zwiespältig moderne Technologie sein kann. Hier werden Quanteneffekte für einen abhörsicheren Schlüsselaustausch sorgen. Dem steht das Kompromittieren von Krypto-Algorithmen gegenüber, auf das wir uns vorbereiten müssen.

Vielen Dank für das Gespräch!