Quantencomputer

Das Ende der IT-Sicherheit?

Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und seit 2011 CEO. Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Was wir bisher nur aus Science-Fiction-Filmen kennen, dürfte mit Quantum Computing schon bald Realität werden: Komplexe Aufgaben sind in kürzester Zeit bewältigt. Und damit leider auch die bewährten Verschlüsselungsverfahren.

Zwischen 2025 und 2030 ist es so weit: Quantencomputer werden die Welt der asymmetrischen RSA-Kryptografie aus den Fugen heben. Denn bis dahin dürften die leistungsfähigen Rechner zumindest den Akteuren einiger Staaten zur Verfügung stehen. Spätestens dann sind auch bis dato als sicher eingestufte asymmetrische Verschlüsselungsverfahren leicht zu knacken.

Naht das Ende der IT Security? Wir klären Sie auf.
Naht das Ende der IT Security? Wir klären Sie auf.
Foto: Igor Zh. - shutterstock.com

Das ist (noch) kein Grund zur Panik. Aber ein Grund, die Alarmglocken in den Unternehmen schrillen zu lassen, über mögliche Konsequenzen nachzudenken und entsprechend zu handeln. Dazu sollten Sie sich zum Beispiel folgende Fragen stellen:

  • Analysieren: Wie Krypto-agil sind unsere Systeme und Produkte?

  • Testen: Wie wirkt sich die vollständige Implementierung eines Post-Quantum-Algorithmus auf unsere IT-Umgebung, kritischen Systeme, Software Stacks, Laufzeiten und weitere Aspekte aus?

  • Handeln: Wie lassen sich langlebige Industrie-4.0-Komponenten schon jetzt auf wechselnde Algorithmen und Post-Quantum-Security vorbereiten?

Das Elefantenrennen um die Post-Quantum-Algorithmen

Grundsätzlich macht es Sinn, sich bei der Implementierung einer Lösung nach gängigen Standards und Empfehlungen anerkannter Institutionen zu richten. Doch diese lassen noch auf sich warten. So hat das US-amerikanische NIST (National Institute of Standards and Technology) Krypto-Spezialisten und Forschungseinrichtungen dazu aufgerufen, bis Ende November 2017 Vorschläge für Quantum-sichere Verfahren einzureichen.

Ein guter Ansatz, allerdings nicht kurzfristig umsetzbar: Es wird mehrere Jahre dauern, um die besten Post-Quantum-Algorithmen zu selektieren und zu standardisieren. Darauf folgen noch einige Jahre für Optimierung, Implementierung und Umsetzung. Mit dem ersten Norm-Entwurf wäre frühestens 2023 zu rechnen - diesen Zeitrahmen abzuwarten wäre fatal. Vielmehr ist schon jetzt zu klären, welche der zur Verfügung stehenden Quantum-sicheren Algorithmen für die eingesetzten Anwendungen umsetzbar sind. Dabei gilt es vor allem, Spezifika wie Payload oder Signatur-Erstellungszeiten zu beachten.

"Crypto Agility" ist das neue Mantra

Aufgrund der fehlenden Erfahrungen und Standards werden wir wohl für einen längeren Zeitraum mit Migrations-, Koexistenz- und Hybridsituationen leben müssen. Dafür existiert bereits ein geflügeltes Wort: "Crypto Agility". Es bedeutet vor allem eines: Auf keinen Fall die Hände in den Schoß legen, sondern handeln - und darauf vorbereitet sein, dass heute beschlossene Maßnahmen vielleicht schon morgen wieder überdacht werden müssen.

Abschließend noch eine gute Nachricht: Die Quanten-Kryptografie birgt auch einen großen Sicherheitsvorteil. Sie macht das Abhören von Verbindungen de facto unmöglich. Denn ein unbefugter Dritter kann sich nicht in die Kommunikation zwischen einem Sender und Empfänger einklinken, ohne dass dies die Nachricht verändert. (fm)