:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Zukunft der Kryptographie – Teil 2 Das Überleben der Agilsten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ohne Kryptographie wäre es ein leichtes für Hacker, Daten zu stehlen oder sogar kritische Infrastrukturen zu manipulieren. Aber Verschlüsselungsmethoden können über Nacht veralten. Dann zählt jede Sekunde. Krypto-Agilität ist neben der kryptografischen Robustheit und Universalität eines der drei Trendthemen, welche die Krypto-Community bewegen. Teil zwei dieser Reihe zur Zukunft der Kryptographie erklärt, was Krypto-Agilität ist und wie Entwicklerbibliotheken sowie Cloud-Dienste dabei helfen, diese effektiv in einem System zu verankern.
Quantencomputer oder eine bislang unentdeckte Schwachstelle, die eine weitverbreitete Public-Key-Methode wie RSA knacken können, bekräftigen die Wichtigkeit kryptographischer Agilität. Das gilt nicht nur für Kryptographen, sondern für alle Bereiche der Cybersicherheitsbranche, die beim Schutz von Netzwerken, Software, Identitäten und Daten auf Kryptographie angewiesen sind.
:quality(80)/p7i.vogel.de/wcms/22/0c/220ca1ec90f6a8f06ad0560babed5404/0101613612.jpeg "Das Thema Robustheit in der Kryptographie wird immer dringlicher, denn das Quanten-Zeitalter steht vor der Tür. Damit kommen weitere Herausforderungen auf Unternehmen und Nationalstaaten zu, die ihre Systeme schützen müssen. (©SIAMRAT.CH - stock.adobe.com)")
Die Zukunft der Kryptographie – Teil 1
Eine robuste Kryptographie benötigt mehr als starke Algorithmen
Heutzutage werden fast alle wichtigen gesellschaftlichen Prozesse – vom Geldabheben am Geldautomaten bis zur Flugsicherung – durch den Austausch digitaler Daten zwischen Geräten ermöglicht. Dieser Austausch kann über das öffentliche Internet sowie private Netzwerke in Rechenzentren, Cloud- und SaaS-Plattformen erfolgen. Entlang dieser Kette gibt es mehrere Punkte, an denen die Daten eine Art von kryptographischem Prozess durchlaufen können. Oftmals kommen dabei verschiedene Methoden zum Einsatz. Wenn jedoch nur eine der Stufen kompromittiert wird, kann dies aufgrund der starken Vernetzung unserer digitalen Welt zu einer Kompromittierung der gesamten Kette führen.
Krypto-Agilität als grundlegende Designmethodik
Der Kern der Krypto-Agilität ist die Fähigkeit Chiffren, Schlüssel und Prozesse zum Austausch von Schlüsseln zu ändern oder zu aktualisieren. Hierbei muss in einer krypto-agilen Umgebung keinerlei neue Hardware eingesetzt werden. Dabei ist die Bewältigung von Herausforderungen die eine Seite. Die andere Seite ist ein potenzieller Gewinn neuer Vorteile. Beispielsweise könnten bestimmte kryptographische Methoden weniger Rechenleistung erfordern als ältere Verfahren. In diesem Fall würde das die Performance bei Geräten verbessern, die selbst nur über geringe Rechenkapazitäten verfügen. Dies könnte dazu führen, dass Geräte, die zuvor als zu leistungsschwach für den Einsatz von Verschlüsselung galten, nun an sicheren Transaktionen teilnehmen können. Allerdings ist auch das Gegenteil möglich, wenn neuere, stärkere Mechanismen mehr Rechenleistung erfordern. Daher sind sorgfältige Überlegungen und die Konsultation von Experten wichtig, um kostspielige Produktrückrufe oder die Verletzung der Sicherheit von Produkten oder Dienstleistungen zu vermeiden.
Unternehmen müssen kryptografische Agilität als Design- und Prozessmethodik verinnerlichen, weil für Krypto-Agilität kein definierter Standard existiert. Es muss vielmehr von Anfang an mit eingeplant werden, dass sich die Kryptographie im Laufe der Zeit weiterentwickeln wird. Hieraus folgen einige praktische Aufgaben für Organisationen, die sich noch nicht mit ihrer kryptografischen Agilität beschäftigt haben: Diese müssen als erstes eine Bestandsaufnahme von all ihren Krypto-Assets – von Hardware über Software bis zu SaaS-Angeboten – durchführen, um sich einen Überblick über ihre aktuelle Situation zu verschaffen. Im zweiten Schritt müssen sie einen realistischen Prozess definieren, wie sie Algorithmen und Techniken in allen ihren Prozessen bei Bedarf ändern können.
Auf den ersten Blick scheint dies eine unlösbare Aufgabe zu sein. Dennoch gibt es einige Anbieter von Software und Dienstleistungen wie beispielsweise PrimeKey mit der weitverbreiteten Software EJBCA, die Krypto-Agilität direkt in das Design implementieren. Ein weiteres Beispiel sind API-gesteuerten Technologien wie Bouncy Castle. Diese ermöglichen einen diskreten Austausch von Algorithmen-Engines, ohne dass die Anwendungen umfangreich umgeschrieben werden müssen.
Falls die Kryptographie in älteren Systemen fest eincodiert ist, dann lässt sich Agilität schwieriger erreichen. Agile Systeme können erheblich leichter geschaffen werden, wenn Agilität über Cloud-basierte Dienste bereitgestellt wird. Ein weiterer wichtiger Punkt ist, dass sich Agilität nicht nur den Codes betrifft. Menschen und Prozesse sind weitere Bausteine, die berücksichtigt werden müssen, damit die Systeme agil bleiben. Unternehmen müssen deshalb für alle Mitarbeiter eine transparente Übersicht bereitstellen, welche Anforderungen die Sicherung ihrer Systems an sie stellt und wer für welche Elemente die Verantwortung trägt.
Tests gegen das Worst-Case-Szenario
Um das Worst-Case-Szenario zu verhindern, müssen Unternehmen die Agilität unbedingt testen. So wird beispielsweise der Triple Data Encryption Algorithm (TDEA oder 3DES) offiziell aus dem Verkehr gezogen. Das NIST erklärt, dass seine Verwendung nach 2023 nicht mehr zulässig ist. In der Folge dürfen alle Branchenvorschriften wie beispielsweise für Finanzdienstleistungen, die sich an den Vorgaben des NIST orientieren, nach diesem Zeitpunkt ebenfalls nicht mehr auf TDEA zurückgreifen. TDEA kann auch im TLS-Protokoll eingebunden werden, dessen Version 1.1 mittlerweile ebenfalls veraltet ist. Dies sind nur einige Beispiele, die als Katalysator dienen sollten, die kryptographische Agilität des eigenen Unternehmens zu evaluieren.
Zuletzt wurde in Public-Key-Infrastruktur-(PKI)-Umgebungen die Agilität durch die Aktualisierung von SHA-1 im großen Umfang auf die Probe gestellt. Obwohl einige Schwachstellen des Algorithmus über ein Jahrzehnt bestanden, wurden einige Unternehmen erst im Jahr 2017 wachgerüttelt. Alle großen Internetbrowser beendeten damals die Unterstützung für mit SHA-1 gesicherte digitale Zertifikate. Dies kam einem Weckruf gleich, da viele Organisationen erst dadurch merkten, dass noch großer Nachholbedarf bestand.
Fazit
Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Systeme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen. Die Firmen, die robuste Systeme etablieren und diese mit Krypto-Agilität auf Vordermann gebracht haben, werden einen Vorsprung im Wettrennen zwischen Kryptographie und Quantencomputern haben. Aus diesem Grunde arbeiten Ingenieure auf der ganzen Welt an Lösungen, bei denen die zugrunde liegenden Algorithmen leicht verändert und somit nach einem Vorfall die Vertrauenshierarchien rasch wiederhergestellt werden können. Krypto-Agilität ist für viele Anbieter und ihre Kunden auf dem Weg an die Spitze der Design-Philosophie. Zuletzt dürfen sie jedoch nicht vergessen, Kryptographie auf alle notwendigen Bereiche anzuwenden. Damit beschäftigt sich die Krypto-Universalität im letzten Teil dieser Reihe.
Über den Autor: Admir Abdurahmanovic hat über 35 Jahre Erfahrung in der IT und Kryptographie. Er studierte an der Universität von Sarajevo, Bosnien und Herzegowina, Mathematik mit Schwerpunkt Kryptographie. Danach arbeitete er in verschiedenen Softwareunternehmen. Schließlich gründete er vor 19 Jahren zusammen mit Tomas Gustavsson PrimeKey, ein heute führendes Unternehmen im Bereich der PKI- und Digitale-Signatur-Lösungen.
(ID:47970855)
:quality(80)/images.vogel.de/vogelonline/bdb/1951800/1951846/original.jpg "Quantencomputing bringt Public-Key-Infrastrukturen in Gefahr. (gemeinfrei: methodshop)")