Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Beitrag teilen

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier – Post-Quantum-Krypto-Algorithmen (PQC) finalisiert.

Mit den Federal Information Processing Standards (FIPS) 203, 204 und 205 haben Unternehmen nun erstmals die Möglichkeit, ihre Verschlüsselungsverfahren so einzurichten, dass sie nachweislich quantensicher sind – also auch in einer Post-Quantum-Welt (PQC) nicht zu brechen sein werden.

Sicherheitsverantwortliche, IT- und Sicherheitsteams werden nun rasch beginnen müssen, die Verschlüsselung ihrer Systeme auf quantensichere Verfahren umzustellen. Der Umfang der anstehenden Arbeiten sollte dabei keinesfalls unterschätzt werden. Leicht können und werden bis zur Vollendung der Umstellung mehrere Jahre vergehen. Viel Zeit, die Cyberkriminelle und semi-state Actors gut zu nutzen wissen werden. Schon vor geraumer Zeit haben sie damit begonnen, verschlüsselte Daten zu stehlen. Derzeit sammeln und horten sie die erbeuteten Daten einfach nur – bis ihnen die ersten Quantencomputer zur Entschlüsselung ihrer Beute zur Verfügung stehen werden. Es kann Unternehmen deshalb nur geraten werden, schnell zu handeln, rasch mit der Implementierung der neuen Standards zu beginnen. Je eher sie ihre Verschlüsslung der Daten quantensicher gemacht haben werden, desto besser. Die effektivste Methode dürfte es sein, hierzu in drei Schritten vorzugehen:

Anzeige

Inventarisierung der kryptografischen Ressourcen

Ohne einen umfassenden Überblick über sämtliche kryptografischen Verfahren und deren Anwendung innerhalb des Unternehmens ist es praktisch unmöglich, die Umstellung der einzelnen Bestände in Angriff zu nehmen. Das Problem: schnell kann die Erstellung eines solchen Inventars übermäßig viele Arbeitskräfte binden. Hier kann nur empfohlen werden, auf entsprechende automatisierte Tools zurückzugreifen, mit denen sich Informationen über alle kryptografischen Assets an einem Ort sammeln lassen – ohne übermäßige Belastung für IT- und Sicherheitsteams.

Implementierungsstrategie für PQC

Sobald die kryptografische Ist-Analyse abgeschlossen ist, sollte, um den Übergang möglichst nahtlos zu gestalten, eine präzise Implementierungsstrategie entwickelt werden. Einige wichtige Punkte, die im strategischen Planungsprozess Berücksichtigung finden sollten, sind:

  • die Bestimmung eines realistischen Budgets, das für das Unternehmen geeignet scheint,
  • die Identifizierung der Werkzeuge, die die Teams für eine erfolgreiche Umstellung auf PQC benötigen und die Ermittlung des Anteils der Umstellung, der automatisiert abgeschlossen werden kann,
  • die genaue Festlegung des Zeitplans der Umstellung und der konkreten Arbeitsschritte,
  • die Skizzierung der konkreten Verantwortlichkeiten der einzelnen IT- und Sicherheitsteammitglieder und
  • die Festlegung realistischer Fristen für jede Phase der Umstellung.

Test der implementierten PQC-Algorithmen

Nun sollten die Teams die implementierten NIST-PQC-Algorithmen unter realistischen Bedingungen auf ihre Praxistauglichkeit testen – möglichst in einer Sandbox-Umgebung. Idealerweise sollten die Teams hierzu ein PQC-Labnutzen. Ein PQC-Lab bietet Anwendern eine schnelle und einfache Möglichkeit, die Auswirkungen der Änderungen einer Verschlüsselung auf ihre Infrastruktur zu testen – ohne die Produktionsumgebung zu beeinträchtigen.

Allein für die Umsetzung dieser drei Schritte – die über die gesamte Infrastruktur zum Einsatz gebracht werden müssen – werden die Teams Zeit mitbringen müssen; viel Zeit. Laut dem aktuellen Keyfactor 2024 PKI & Digital Trust Reportgehen die meisten Unternehmen derzeit davon aus, dass ihre Umstellung auf PQC etwa vier Jahre in Anspruch nehmen wird. Die Wirklichkeit dürfte für die meisten von ihnen anders aussehen. Experten im Bereich der PQC-Umstellung vermuten, dass eher mit einem Zeitraum von acht bis zehn Jahren gerechnet werden muss. Es kann Unternehmen deshalb nur nochmals geraten werden, mit der Umstellung auf PQC so rasch wie möglich zu beginnen.

Mehr bei Keyfactor.com

 


Über Keyfactor

Keyfactor bringt digitales Vertrauen in die hypervernetzte Welt mit identitätsbasierter Sicherheit für Mensch und Maschine. Durch Vereinfachung von PKI, die Automatisierung des Certificate-Lifecylce-Managements und die Absicherung jedes Geräts, jedes Workloads und jedes Objekts hilft Keyfactor Organisationen dabei, schnell skalierbares digitales Vertrauen zu schaffen – und es aufrechtzuerhalten. In einer Zero-Trust-Welt braucht jede Maschine eine Identität und jede Identität muss verwaltet werden.


Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen