Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier – Post-Quantum-Krypto-Algorithmen finalisiert. Mit den Federal Information Processing Standards (FIPS) 203, 204 und 205 haben Unternehmen nun die Möglichkeit, ihre Verschlüsselungsverfahren so einzurichten, dass sie quantensicher sind – also auch in einer Post-Quantum-Welt (PQ) nicht zu brechen sein werden.
Von Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor.
Sicherheitsverantwortliche, IT- und Sicherheitsteams werden nun rasch beginnen müssen, die Verschlüsselung ihrer Systeme auf quantensichere Verfahren umzustellen. Der Umfang der anstehenden Arbeiten sollte dabei keinesfalls unterschätzt werden. Leicht können und werden bis zur Vollendung der Umstellung mehrere Jahre vergehen. Viel Zeit, die Cyberkriminelle und semi-state Actors gut zu nutzen wissen werden.
Schon vor geraumer Zeit haben sie damit begonnen, verschlüsselte Daten zu stehlen. Derzeit sammeln und horten sie die erbeuteten Daten einfach nur – bis ihnen die ersten Quantencomputer zur Entschlüsselung ihrer Beute zur Verfügung stehen werden. Es kann Unternehmen deshalb nur geraten werden, schnell zu handeln, rasch mit der Implementierung der neuen Standards zu beginnen. Je eher sie ihre Verschlüsslung der Daten quantensicher gemacht haben werden, desto besser.
Die effektivste Methode dürfte es sein, hierzu in drei Schritten vorzugehen:
1. Inventarisierung aller vorhandenen kryptografischen Ressourcen
Ohne einen umfassenden Überblick über sämtliche kryptografischen Verfahren und deren Anwendung innerhalb des Unternehmens ist es praktisch unmöglich, die Umstellung der einzelnen Bestände in Angriff zu nehmen. Das Problem: schnell kann die Erstellung eines solchen Inventars übermäßig viele Arbeitskräfte binden. Hier kann nur empfohlen werden, auf entsprechende automatisierte Tools zurückzugreifen, mit denen sich Informationen über alle kryptografischen Assets an einem Ort sammeln lassen – ohne übermäßige Belastung für IT- und Sicherheitsteams.
2. Konzeption und Umsetzung einer Implementierungsstrategie
Sobald die kryptografische Ist-Analyse abgeschlossen ist, sollte, um den Übergang möglichst nahtlos zu gestalten, eine präzise Implementierungsstrategie entwickelt werden. Einige wichtige Punkte, die im strategischen Planungsprozess Berücksichtigung finden sollten, sind:
- die Bestimmung eines realistischen Budgets, das für das Unternehmen geeignet scheint,
- die Identifizierung der Werkzeuge, die die Teams für eine erfolgreiche Umstellung auf PQC benötigen und die Ermittlung des Anteils der Umstellung, der automatisiert abgeschlossen werden kann,
- die genaue Festlegung des Zeitplans der Umstellung und der konkreten Arbeitsschritte,
- die Skizzierung der konkreten Verantwortlichkeiten der einzelnen IT- und Sicherheitsteammitglieder und
- die Festlegung realistischer Fristen für jede Phase der Umstellung.
3. Test der implementierten PQC-Algorithmen
Nun sollten die Teams die implementierten NIST-PQC-Algorithmen unter realistischen Bedingungen auf ihre Praxistauglichkeit testen – möglichst in einer Sandbox-Umgebung. Idealerweise sollten die Teams hierzu ein PQC-Labnutzen. Ein PQC-Lab bietet Anwendern eine schnelle und einfache Möglichkeit, die Auswirkungen der Änderungen einer Verschlüsselung auf ihre Infrastruktur zu testen – ohne die Produktionsumgebung zu beeinträchtigen.
Allein für die Umsetzung dieser drei Schritte – die über die gesamte Infrastruktur zum Einsatz gebracht werden müssen – werden die Teams Zeit mitbringen müssen; viel Zeit. Laut dem aktuellen Keyfactor 2024 PKI & Digital Trust Reportgehen die meisten Unternehmen derzeit davon aus, dass ihre Umstellung auf PQC etwa vier Jahre in Anspruch nehmen wird.
Die Wirklichkeit dürfte für die meisten von ihnen anders aussehen. Experten im Bereich der PQC-Umstellung vermuten, dass eher mit einem Zeitraum von acht bis zehn Jahren gerechnet werden muss. Es kann Unternehmen deshalb nur nochmals geraten werden, mit der Umstellung auf PQC so rasch wie möglich zu beginnen.