Verschlüsselung in Gefahr

Wie Quantencomputer die IT-Sicherheit gefährden

Datum:12.09.2016
Autor(en):Katherine Noyes, Florian Maier

Während Quantencomputer¹ kontinuierlich in realistische Reichweite rücken, haben IT-Sicherheitsexperten längt angefangen, Angstschweiß auszustoßen. Denn Quantum Computing hat das Potenzial, viele der heutigen Security-Technologien² einfach außer Kraft zu setzen.

Verschlüsselungs-Tools: Nutzlos bis 2026?

Anfang des Jahres schlug bereits das US National Institute of Standards and Technology (NIST)³ bei diesem Thema Alarm, nun stößt das Global Risk Institute⁴ mit einer aktuellen Untersuchung in dasselbe Horn: Es bestehe eine Chance von 1 zu 7, dass heutzutage fundamentale Verschlüsselungs-Verfahren und -Tools⁵ bis zum Jahr 2026 völlig nutzlos werden, ist Michele Mosca, Mitbegründer des Instituts für Quantencomputer an der Universität von Waterloo, überzeugt. Bis zum Jahr 2031 steigt die Chancenverteilung gar auf 50:50, wie in der Untersuchung mit dem Titel "Quantum Computing: A new Threat to Cybersecurity⁶" zu lesen ist. Dort heißt es: "Auch wenn diese Quantum-Attacken noch nicht ausgeführt werden, müssen bereits heute kritische Entscheidungen getroffen werden, um sicherzustellen, dass man dieser Gefahr in der Zukunft adäquat begegnen kann."

Quantum Computing vs. Kryptografie

Die Gefahr für die IT-Sicherheit erwächst dabei aus dem Umstand, dass sich die Funktionsweise von Quantencomputern grundlegend von der konventioneller Computer unterscheidet. Bei einem traditionellen Rechner werden Nullen und Einsen unterschieden, während bei einem Quantencomputer atomare Einheiten - sogenannte quantum bits⁷ oder qubits - zum Einsatz kommen. Diese können aufgrund des Superpositionsprinzips⁸ gleichzeitig den Wert 0 und den Wert 1 annehmen.

Performance- und Effizienz-Verbesserungen sind die Vorteile dieser Technologie, aber es gibt eben auch eine Kehrseite: "Eine unbeabsichtigte Konsequenz des Quantum Computing ist, dass einige kryptografische Tools ausgehebelt werden, die bislang als Grundlage der IT-Sicherheit fungieren", schreibt Mosca in seiner Untersuchung.

[Hinweis auf Bildergalerie: Das Einmaleins der IT-Security] ^gal1

"Unser Cyber-Immunsystem ist nicht bereit für diese Art der Bedrohung"

Heutige Verschlüsselungsverfahren setzen in der Regel auf die Kombination großer Zahlenreihen. Forschern am MIT ist es kürzlich mit dem ersten "Five-Atom-Quantencomputer⁹" gelungen, solche Verschlüsselungsmethoden zu knacken.

"Wenn die kryptografischen Grundlagen eines Cyber-Sicherheits-Systems geknackt werden können - und keine Ausfallsicherung (die in der Regel eine Entwicklungszeit von mehreren Jahren erfordert) vorhanden ist, wird das System zermürbt", so Mosca. "Unser Cyber-Immunsystem ist heute noch nicht bereit für diese Art der Bedrohung, die durch Quantencomputer ermöglicht wird. Diese für Verschlüsselungsverfahren tödliche Bedrohung schwebt über uns und die Uhr tickt: Wir müssen eine Antwort auf diese Bedrohung finden, bevor sie zur Realität wird."

Auf kurze Sicht sei es deshalb nötig, IT-Security-Systeme¹⁰ zu entwerfen, die "kryptografisch agil" sind, wie Mosca es nennt. Auf lange Sicht brauche man aber "quantum-sichere" Verschlüsselungs-Tools - inklusive Protokollen, die auf konventionellen Technologien aufbauen, Quanten-Attacken aber dennoch standhalten.

Das eingangs erwähnte NIST hat inzwischen einen öffentlichen Wettbewerb ins Leben gerufen¹¹, in dessen Rahmen jedermann vielversprechende neue Verschlüsselungsverfahren testen oder auch erfinden kann. Die Anbieter von IT-Sicherheits-Lösungen und -Tools arbeiten ebenfalls bereits fieberhaft am "Quanten-Problem": Das US-Unternehmen KryptAll¹² hat vor kurzem beispielsweise eine Initiative gestartet, deren Ziel ein erstes Produkt bis zum Jahr 2021 ist.

Mit Material von IDG News Service.

Links im Artikel:

Bildergalerien im Artikel:

Adminrechte
Keine Vergabe von Administratorenrechten an Mitarbeiter
Foto: Potapova - shutterstock.com

Dokumentation
Vollständige und regelmäßige Dokumentation der IT
Foto: Freer - shutterstock.com

Sichere Passwörter
IT-Sicherheit beginnt mit Sensibilisierung und Schulung der Mitarbeiter sowie mit einer klaren Kommunikation der internen Verhaltensregeln zur Informationssicherheit:

Komplexe Passwörter aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, mindestens achtstellig.
Foto: wk1003mike - shutterstock.com

Passwortdiebstahl
Niemals vertrauliche Daten weitergeben oder/und notieren.
Foto: Brian A Jackson - shutterstock.com

E-Mail-Sicherheit
E-Mails signieren, sensible Daten verschlüsseln, Vorsicht beim Öffnen von E-Mail-Anlagen und Links.
Foto: ra2studio - shutterstock.com

Soziale Manipulation
Bewusst mit vertraulichen Informationen umgehen, nur an berechtigte Personen weitergeben, sich nicht manipulieren oder aushorchen lassen.
Foto: lolloj - shutterstock.com

Vorsicht beim Surfen im Internet
Nicht jeder Link führt zum gewünschten Ergebnis.
Foto: karen roach - shutterstock.com

Nur aktuelle Software einsetzen
Eine nicht aktualisierte Software lässt mehr Sicherheitslücken offen.
Foto: Rawpixel.com - shutterstock.com

Verwendung eigener Software
Unternehmensvorgaben beachten und niemals Software fragwürdiger Herkunft installieren.
Foto: Pressmaster - shutterstock.com

Unternehmensvorgaben
Nur erlaubte Daten, Software (Apps) und Anwendungen einsetzen.
Foto: jesadaphorn - shutterstock.com

Backups
Betriebliche Daten regelmäßig auf einem Netzlaufwerk speichern und Daten auf externen Datenträgern sichern.
Foto: Andrea Danti - shutterstock.com

Diebstahlschutz
Mobile Geräte und Datenträger vor Verlust schützen.
Foto: Studio10Artur - shutterstock.com

Gerätezugriff
Keine Weitergabe von Geräten an Dritte, mobile Geräte nicht unbeaufsichtigt lassen und Arbeitsplatz-PCs beim Verlassen sperren.
Foto: turlakova - shutterstock.com

Sicherheitsrichtlinien
Die organisatorischen Strukturen im Hintergrund bilden den erforderlichen Rahmen der IT-Sicherheit. Hier gilt es, klare Regelungen zu formulieren und einzuhalten:

Definition und Kommunikation von Sicherheitsrichtlinien
Foto: Vasin Lee - shutterstock.com

Zugriffsrechte
Regelung der Zugriffsrechte auf sensible Daten
Foto: nasirkhan - shutterstock.com

Softwareupdates
Automatische und regelmäßige Verteilung von Softwareupdates
Foto: Rawpixel.com - shutterstock.com

Logfiles
Kontrolle der Logfiles
Foto: turgaygundogdu - shutterstock.com

Datensicherung
Auslagerung der Datensicherung
Foto: www.BillionPhotos.com - shutterstock.com

Sicherheitsanalyse
Regelmäßige Überprüfung der Sicherheitsmaßnahmen durch interne und externe Sicherheitsanalysen
Foto: Kopytin Georgy - shutterstock.com

Notfallplan
Erstellung eines Notfallplans für die Reaktion auf Systemausfälle und Angriffe
Foto: Maria Maarbes - shutterstock.com

WLAN-Nutzung
Auf technischer Ebene muss ein Mindeststandard gewährleistet sein. Dieser lässt sich größtenteils ohne großen Kostenaufwand realisieren:

Dokumentation der WLAN-Nutzung, auch durch Gäste
Foto: Thomas Reichhart - shutterstock.com

Firewalls
Absicherung der Internetverbindung durch Firewalls
Foto: Goritza - shutterstock.com

Biometrische Faktoren
Einsatz von Zugangsschutz/Kennwörter/Biometrie
Foto: Patrick Foto - shutterstock.com

Zugangskontrolle
Physische Sicherung/Zugangskontrolle und -dokumentation
Foto: Dmitry Kalinovsky - shutterstock.com

Schutz vor Malware
Schutz vor Schadsoftware sowohl am Endgerät als auch am Internetgateway, idealerweise durch zwei verschiedene Antivirenprogramme
Foto: Blue Island - shutterstock.com

Webzugriffe
Definition einer strukturierten Regelung der Webzugriffe
Foto: Anteromite - shutterstock.com

Verschlüsselung
Verschlüsselung zum Schutz von Dateien und Nachrichten mit sensiblen Inhalten
Foto: Piotr Zajda - shutterstock.com

Löschen
Sicheres Löschen der Daten bei Außerbetriebnahme
Foto: Lightspring - shutterstock.com

Update der Sicherheitssysteme
Sicherstellung regelmäßiger Updates der Sicherheitssysteme
Foto: voyager624 - shutterstock.com

Monitoring
Permanente Überwachung des Netzwerkverkehrs auf Auffälligkeiten
Foto: Andrey Popov - shutterstock.com