Cyber-Bedrohungen durch Quantencomputer: Was ist ein Crypto Center of Excellence?

Cyber-Bedrohungen durch Quantencomputer: Was ist ein Crypto Center of Excellence?

Cybersicherheitsexperten sind sich einig, dass mit dem Aufkommen des Quantencomputers eine neue Ära der Kryptographie anbricht. Die Quanteninformatik macht kontinuierlich Fortschritte – wie zuletzt die Pressemitteilungen von Microsoft, Google oder Amazon zu deren neuen Quantenchips belegen. Gartner schätzt, dass sie bis 2029 in der Lage sein wird, bestehende kryptografische Systeme so weit zu schwächen, dass sie nicht mehr sicher verwendet werden können.

Das National Institute of Standards and Technology (NIST) hat die folgenden vier Verfahren ausgewählt, um sie als quantensichere Alternative zu aktuellen Algorithmen zu etablieren:

• ML-KEM (FIPS 203, vormals CRYSTALS-KYBER für Schlüsselaustausch und Schlüsselverschlüsselung) und ML-DSA (FIPS 204, vormals CRYSTALS-Dilithium für digitale Signaturen) wurden beide wegen ihrer hohen Sicherheit und hervorragenden Performance ausgewählt.
• FALCON wurde vom NIST für Anwendungsfälle standardisiert, für die CRYSTALS-Dilithium-Signaturen zu groß sind und soll als FIPS 206 bzw. FN-DSA geführt werden.
• SLH-DSA (FIPS 205, vormals SPHINCS+) wurde standardisiert, um zu vermeiden, dass man sich bei Signaturen nur auf gitterbasierender Kryptographie verlässt. Dieses Kryptosystem erlaubt Hash-basierte digitale Signaturen.

Das US Department of Homeland Security (DHS) und das NIST haben eine Arbeitsgruppe gegründet, um Unternehmen beim Schutz ihrer Daten und Systeme zu unterstützen: das „National Cybersecurity Center of Excellence (NCCoE) in the Migration to Post-Quantum Cryptography Project Consortium“.

Ziel: Reibungsloser Übergang
Die Empfehlung der Arbeitsgruppe ist, dass Unternehmen eine Bestandsaufnahme ihrer aktuellen kryptographischen Systeme und der geschützten Daten vornehmen sowie die Prioritäten für die Umstellung ihrer Systeme definieren sollen. Diese frühzeitigen Vorbereitungen werden einen nahtlosen und effizienten Übergang gewährleisten, sobald die neuen Post-Quantum-Kryptographie-Standards für die unterschiedlichen Technologie-Stacks unserer Infrastrukturen zur Verfügung stehen.

Im NCCoE wurden die folgenden sechs Schritte definiert, um Krypto-Teams bei der Umsetzung zu unterstützten:

1. Organisationen sollten ein Inventar der sensibelsten und wichtigsten Datensätze erstellen, die über einen längeren Zeitraum gesichert werden müssen. Anhand dieser Informationen lassen sich Analysen durchführen, welche Daten zukünftig Gefahr laufen, durch einen kryptografisch relevanten Quantencomputer entschlüsselt zu werden.
2. Um einen nahtlosen Übergang in der Zukunft zu gewährleisten, sollten Organisationen auch eine Bestandsaufnahme aller Systeme durchführen, die Krypto-Technologie einsetzen.
3. Die Unternehmen sollten prüfen, welche Vorschriften in der Beschaffung, Cybersicherheit und Datensicherheit aktualisiert werden müssen, um den Anforderungen der Post-Quantum-Zeit gerecht zu werden.
4. Anhand der Inventarlisten sollten Unternehmen feststellen, wo und aus welchem Grund Public-Key-Kryptografie eingesetzt wird und diese Systeme dann als quantenanfällig kennzeichnen.
5. Priorisierung der kryptografischen Umstellung auf der Grundlage der Unternehmensbereiche, Ziele und Anforderungen des Unternehmens.
6. Unternehmen sollten anhand der Inventarisierungs- und Priorisierungsdaten einen Umstellungsplan für ihre Systeme entwerfen.

Das Konzept des Crypto Center of Excellence
Für eine erfolgreiche Post-Quantum-Strategie benötigen CISOs und andere IT-Sicherheitsverantwortliche die Unterstützung durch das gesamte Unternehmen. Laut den Analysten von Gartner besteht die erfolgreichste Strategie zur Verwaltung und Steuerung des Einsatzes von Kryptografie darin, ein zentrales Team mit dem erforderlichen Wissen aufzubauen, das die entsprechenden Richtlinien für das Unternehmen formuliert. Hierbei kommt das Konzept des „Cryptographic Center of Excellence (CCoE)“ zum Tragen. Ein CCoE kann in Bezug auf Personen, Prozesse und Technologie als Instrument zur Aufklärung und Vorbereitung von Mitarbeiterinnen und Mitarbeiter verstanden werden. Darüber hinaus sollten Initiativen eingeleitet werden, die andere Geschäftsbereiche ermuntern und die Anforderungen, Zeitrahmen und Bedürfnisse der Organisationsabteilung bekannt gemacht werden, damit sie in die Post-Quantum-Übergangsstrategie eingebunden werden können.

Ausblick
Der Wechsel von herkömmlichen Algorithmen auf PQC-Algorithmen ist nur ein Teil der langfristigen Aufgabe eines CCoE. Da die neuen PQC-Algorithmen noch nicht jahre-langer Forschung und Kryptoanalyse ausgesetzt waren, kann es sein, dass diese durch neue Forschungserkenntnisse – beschleunigt durch Quanten-Computer und KI – gebrochen werden. Diesem Risiko kann nur durch Krypto-Agilität als eine wesentliche Komponente des CCoE begegnet werden. Hierbei handelt es sich um eine Vorgehensweise, die die Widerstandsfähigkeit eines Unternehmens gegenüber Krypto-Bedrohungen verstärkt. Sie erlaubt es Unternehmen schnell auf einen Angriff oder eine Schwachstelle mit geringster Dienstunterbrechung zu reagieren und die Systeme wiederherzustellen. In der Post-Quantum-Ära ist Krypto-Agilität von entscheidender Bedeutung, wenn Unternehmen sich vor Quanten- oder auch KI-gestützten Angriffen auf Krypto-Algorithmen schützen müssen.