Während Quantencomputer kontinuierlich in realistische Reichweite rücken, haben IT-Sicherheitsexperten längt angefangen, Angstschweiß auszustoßen. Denn Quantum Computing hat das Potenzial, viele der heutigen Security-Technologien einfach außer Kraft zu setzen.
Verschlüsselungs-Tools: Nutzlos bis 2026?
Anfang des Jahres schlug bereits das US National Institute of Standards and Technology (NIST) bei diesem Thema Alarm, nun stößt das Global Risk Institute mit einer aktuellen Untersuchung in dasselbe Horn: Es bestehe eine Chance von 1 zu 7, dass heutzutage fundamentale Verschlüsselungs-Verfahren und -Tools bis zum Jahr 2026 völlig nutzlos werden, ist Michele Mosca, Mitbegründer des Instituts für Quantencomputer an der Universität von Waterloo, überzeugt. Bis zum Jahr 2031 steigt die Chancenverteilung gar auf 50:50, wie in der Untersuchung mit dem Titel "Quantum Computing: A new Threat to Cybersecurity" zu lesen ist. Dort heißt es: "Auch wenn diese Quantum-Attacken noch nicht ausgeführt werden, müssen bereits heute kritische Entscheidungen getroffen werden, um sicherzustellen, dass man dieser Gefahr in der Zukunft adäquat begegnen kann."
Quantum Computing vs. Kryptografie
Die Gefahr für die IT-Sicherheit erwächst dabei aus dem Umstand, dass sich die Funktionsweise von Quantencomputern grundlegend von der konventioneller Computer unterscheidet. Bei einem traditionellen Rechner werden Nullen und Einsen unterschieden, während bei einem Quantencomputer atomare Einheiten - sogenannte quantum bits oder qubits - zum Einsatz kommen. Diese können aufgrund des Superpositionsprinzips gleichzeitig den Wert 0 und den Wert 1 annehmen.
Performance- und Effizienz-Verbesserungen sind die Vorteile dieser Technologie, aber es gibt eben auch eine Kehrseite: "Eine unbeabsichtigte Konsequenz des Quantum Computing ist, dass einige kryptografische Tools ausgehebelt werden, die bislang als Grundlage der IT-Sicherheit fungieren", schreibt Mosca in seiner Untersuchung.
- Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter - Dokumentation
Vollständige und regelmäßige Dokumentation der IT - Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:<br /><br /> Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig. - Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren. - E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links. - Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen. - Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis. - Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen. - Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren. - Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen. - Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern. - Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen. - Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren. - Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:<br /><br />Definition und Kommunikation von Sicherheitsrichtlinien - Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten - Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates - Logfiles
Kontrolle der Logfiles - Datensicherung
Auslagerung der Datensicherung - Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen - Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe - WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:<br /><br />Dokumentation der WLAN-Nutzung, auch durch Gäste - Firewalls
Absicherung der Internetverbindung durch Firewalls - Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie - Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation - Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme - Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe - Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten - Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme - Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme - Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
"Unser Cyber-Immunsystem ist nicht bereit für diese Art der Bedrohung"
Heutige Verschlüsselungsverfahren setzen in der Regel auf die Kombination großer Zahlenreihen. Forschern am MIT ist es kürzlich mit dem ersten "Five-Atom-Quantencomputer" gelungen, solche Verschlüsselungsmethoden zu knacken.
"Wenn die kryptografischen Grundlagen eines Cyber-Sicherheits-Systems geknackt werden können - und keine Ausfallsicherung (die in der Regel eine Entwicklungszeit von mehreren Jahren erfordert) vorhanden ist, wird das System zermürbt", so Mosca. "Unser Cyber-Immunsystem ist heute noch nicht bereit für diese Art der Bedrohung, die durch Quantencomputer ermöglicht wird. Diese für Verschlüsselungsverfahren tödliche Bedrohung schwebt über uns und die Uhr tickt: Wir müssen eine Antwort auf diese Bedrohung finden, bevor sie zur Realität wird."
Auf kurze Sicht sei es deshalb nötig, IT-Security-Systeme zu entwerfen, die "kryptografisch agil" sind, wie Mosca es nennt. Auf lange Sicht brauche man aber "quantum-sichere" Verschlüsselungs-Tools - inklusive Protokollen, die auf konventionellen Technologien aufbauen, Quanten-Attacken aber dennoch standhalten.
Das eingangs erwähnte NIST hat inzwischen einen öffentlichen Wettbewerb ins Leben gerufen, in dessen Rahmen jedermann vielversprechende neue Verschlüsselungsverfahren testen oder auch erfinden kann. Die Anbieter von IT-Sicherheits-Lösungen und -Tools arbeiten ebenfalls bereits fieberhaft am "Quanten-Problem": Das US-Unternehmen KryptAll hat vor kurzem beispielsweise eine Initiative gestartet, deren Ziel ein erstes Produkt bis zum Jahr 2021 ist.
Mit Material von IDG News Service.