:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Kryptographie – Teil 2 Das Überleben der Agilsten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Ohne Kryptographie wäre es ein leichtes für Hacker, Daten zu stehlen oder sogar kritische Infrastrukturen zu manipulieren. Aber Verschlüsselungsmethoden können über Nacht veralten. Dann zählt jede Sekunde. Krypto-Agilität ist neben der kryptografischen Robustheit und Universalität eines der drei Trendthemen, welche die Krypto-Community bewegen. Teil zwei dieser Reihe zur Zukunft der Kryptographie erklärt, was Krypto-Agilität ist und wie Entwicklerbibliotheken sowie Cloud-Dienste dabei helfen, diese effektiv in einem System zu verankern.
Quantencomputer oder eine bislang unentdeckte Schwachstelle, die eine weitverbreitete Public-Key-Methode wie RSA knacken können, bekräftigen die Wichtigkeit kryptographischer Agilität. Das gilt nicht nur für Kryptographen, sondern für alle Bereiche der Cybersicherheitsbranche, die beim Schutz von Netzwerken, Software, Identitäten und Daten auf Kryptographie angewiesen sind.
:quality(80)/p7i.vogel.de/wcms/22/0c/220ca1ec90f6a8f06ad0560babed5404/0101613612.jpeg "Das Thema Robustheit in der Kryptographie wird immer dringlicher, denn das Quanten-Zeitalter steht vor der Tür. Damit kommen weitere Herausforderungen auf Unternehmen und Nationalstaaten zu, die ihre Systeme schützen müssen. (©SIAMRAT.CH - stock.adobe.com)")
Die Zukunft der Kryptographie – Teil 1
Eine robuste Kryptographie benötigt mehr als starke Algorithmen
Heutzutage werden fast alle wichtigen gesellschaftlichen Prozesse – vom Geldabheben am Geldautomaten bis zur Flugsicherung – durch den Austausch digitaler Daten zwischen Geräten ermöglicht. Dieser Austausch kann über das öffentliche Internet sowie private Netzwerke in Rechenzentren, Cloud- und SaaS-Plattformen erfolgen. Entlang dieser Kette gibt es mehrere Punkte, an denen die Daten eine Art von kryptographischem Prozess durchlaufen können. Oftmals kommen dabei verschiedene Methoden zum Einsatz. Wenn jedoch nur eine der Stufen kompromittiert wird, kann dies aufgrund der starken Vernetzung unserer digitalen Welt zu einer Kompromittierung der gesamten Kette führen.
Krypto-Agilität als grundlegende Designmethodik
Der Kern der Krypto-Agilität ist die Fähigkeit Chiffren, Schlüssel und Prozesse zum Austausch von Schlüsseln zu ändern oder zu aktualisieren. Hierbei muss in einer krypto-agilen Umgebung keinerlei neue Hardware eingesetzt werden. Dabei ist die Bewältigung von Herausforderungen die eine Seite. Die andere Seite ist ein potenzieller Gewinn neuer Vorteile. Beispielsweise könnten bestimmte kryptographische Methoden weniger Rechenleistung erfordern als ältere Verfahren. In diesem Fall würde das die Performance bei Geräten verbessern, die selbst nur über geringe Rechenkapazitäten verfügen. Dies könnte dazu führen, dass Geräte, die zuvor als zu leistungsschwach für den Einsatz von Verschlüsselung galten, nun an sicheren Transaktionen teilnehmen können. Allerdings ist auch das Gegenteil möglich, wenn neuere, stärkere Mechanismen mehr Rechenleistung erfordern. Daher sind sorgfältige Überlegungen und die Konsultation von Experten wichtig, um kostspielige Produktrückrufe oder die Verletzung der Sicherheit von Produkten oder Dienstleistungen zu vermeiden.
Unternehmen müssen kryptografische Agilität als Design- und Prozessmethodik verinnerlichen, weil für Krypto-Agilität kein definierter Standard existiert. Es muss vielmehr von Anfang an mit eingeplant werden, dass sich die Kryptographie im Laufe der Zeit weiterentwickeln wird. Hieraus folgen einige praktische Aufgaben für Organisationen, die sich noch nicht mit ihrer kryptografischen Agilität beschäftigt haben: Diese müssen als erstes eine Bestandsaufnahme von all ihren Krypto-Assets – von Hardware über Software bis zu SaaS-Angeboten – durchführen, um sich einen Überblick über ihre aktuelle Situation zu verschaffen. Im zweiten Schritt müssen sie einen realistischen Prozess definieren, wie sie Algorithmen und Techniken in allen ihren Prozessen bei Bedarf ändern können.
Auf den ersten Blick scheint dies eine unlösbare Aufgabe zu sein. Dennoch gibt es einige Anbieter von Software und Dienstleistungen wie beispielsweise PrimeKey mit der weitverbreiteten Software EJBCA, die Krypto-Agilität direkt in das Design implementieren. Ein weiteres Beispiel sind API-gesteuerten Technologien wie Bouncy Castle. Diese ermöglichen einen diskreten Austausch von Algorithmen-Engines, ohne dass die Anwendungen umfangreich umgeschrieben werden müssen.
Falls die Kryptographie in älteren Systemen fest eincodiert ist, dann lässt sich Agilität schwieriger erreichen. Agile Systeme können erheblich leichter geschaffen werden, wenn Agilität über Cloud-basierte Dienste bereitgestellt wird. Ein weiterer wichtiger Punkt ist, dass sich Agilität nicht nur den Codes betrifft. Menschen und Prozesse sind weitere Bausteine, die berücksichtigt werden müssen, damit die Systeme agil bleiben. Unternehmen müssen deshalb für alle Mitarbeiter eine transparente Übersicht bereitstellen, welche Anforderungen die Sicherung ihrer Systems an sie stellt und wer für welche Elemente die Verantwortung trägt.
Tests gegen das Worst-Case-Szenario
Um das Worst-Case-Szenario zu verhindern, müssen Unternehmen die Agilität unbedingt testen. So wird beispielsweise der Triple Data Encryption Algorithm (TDEA oder 3DES) offiziell aus dem Verkehr gezogen. Das NIST erklärt, dass seine Verwendung nach 2023 nicht mehr zulässig ist. In der Folge dürfen alle Branchenvorschriften wie beispielsweise für Finanzdienstleistungen, die sich an den Vorgaben des NIST orientieren, nach diesem Zeitpunkt ebenfalls nicht mehr auf TDEA zurückgreifen. TDEA kann auch im TLS-Protokoll eingebunden werden, dessen Version 1.1 mittlerweile ebenfalls veraltet ist. Dies sind nur einige Beispiele, die als Katalysator dienen sollten, die kryptographische Agilität des eigenen Unternehmens zu evaluieren.
Zuletzt wurde in Public-Key-Infrastruktur-(PKI)-Umgebungen die Agilität durch die Aktualisierung von SHA-1 im großen Umfang auf die Probe gestellt. Obwohl einige Schwachstellen des Algorithmus über ein Jahrzehnt bestanden, wurden einige Unternehmen erst im Jahr 2017 wachgerüttelt. Alle großen Internetbrowser beendeten damals die Unterstützung für mit SHA-1 gesicherte digitale Zertifikate. Dies kam einem Weckruf gleich, da viele Organisationen erst dadurch merkten, dass noch großer Nachholbedarf bestand.
Fazit
Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Systeme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen. Die Firmen, die robuste Systeme etablieren und diese mit Krypto-Agilität auf Vordermann gebracht haben, werden einen Vorsprung im Wettrennen zwischen Kryptographie und Quantencomputern haben. Aus diesem Grunde arbeiten Ingenieure auf der ganzen Welt an Lösungen, bei denen die zugrunde liegenden Algorithmen leicht verändert und somit nach einem Vorfall die Vertrauenshierarchien rasch wiederhergestellt werden können. Krypto-Agilität ist für viele Anbieter und ihre Kunden auf dem Weg an die Spitze der Design-Philosophie. Zuletzt dürfen sie jedoch nicht vergessen, Kryptographie auf alle notwendigen Bereiche anzuwenden. Damit beschäftigt sich die Krypto-Universalität im letzten Teil dieser Reihe.
Über den Autor: Admir Abdurahmanovic hat über 35 Jahre Erfahrung in der IT und Kryptographie. Er studierte an der Universität von Sarajevo, Bosnien und Herzegowina, Mathematik mit Schwerpunkt Kryptographie. Danach arbeitete er in verschiedenen Softwareunternehmen. Schließlich gründete er vor 19 Jahren zusammen mit Tomas Gustavsson PrimeKey, ein heute führendes Unternehmen im Bereich der PKI- und Digitale-Signatur-Lösungen.
(ID:47970855)
:quality(80)/p7i.vogel.de/wcms/0e/2e/0e2e29e6c286d83037e3f8a01ffa452a/0111404193.jpeg "Experten rechnen damit, dass innerhalb dieses Jahrzehnts ein Quantencomputer gebaut wird, der ECDSA oder vergleichbare auf dem diskreten Logarithmus basierende Kryptosysteme für öffentliche Schlüssel kompromittieren kann. (Bild: phive2015 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/13/4213cf1e9ec559c9fc4cf93df0e80ece/0106848033.jpeg "Das NIST hat in der dritten Bewertungsrunde die Zahl der in Frage kommenden Post-Quantum-Algorithmen, die definitiv standardisiert werden sollen, auf vier eingeschränkt. (Bild: blobbotronic - stock.adobe.com)")