:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Projekt PQC4MED Langfristiger Schutz für sensible Gesundheitsdaten
Gesundheitsdaten unterliegen nach Datenschutz-Grundverordnung (DSGVO) einem besonderen Schutz. Werden die Daten für eine längere Zeit gespeichert, muss dieser Schutz auch gewährleistet sein, wenn durch Quantum Computing die Verschlüsselung in Gefahr geraten könnte. Das Forschungsprojekt PQC4MED arbeitet an einem Schutzkonzept, damit Gesundheitsdaten langfristig geschützt bleiben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Die Entwicklung leistungsfähiger, universeller Quantencomputer würde praktisch alle heute eingesetzten Public-Key-Verfahren unsicher machen, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Der Grund: Die zugrunde liegenden mathematischen Probleme (Faktorisierung oder Diskreter Logarithmus) könnten durch Shors Algorithmus auf einem Quantencomputer in polynomieller Zeit gelöst werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1725500/1725588/original.jpg "Zur Zukunft des Quantencomputing befragt, gibt sich Prof. Dr. Christoph Skornia mitunter wettfreudig. (Vogel IT-Medien)")
Security-Insider Podcast – Folge 18
Quantencomputing und Sicherheit im Fokus
Ein Quantencomputer, der zur Ausführung von Shors Algorithmus für aktuell eingesetzte Schlüssellängen und Public-Key-Verfahren geeignet wäre, existiert bislang zwar nicht. In den letzten Jahren sind jedoch deutliche Fortschritte zumindest im Bereich der relevanten Grundlagenforschung erkennbar, wie das BSI erklärt.
Was bedeutet das für vertrauliche Daten, die langfristig gespeichert werden müssen? Und was kann dies bedeuten für Geräte, die für viele Jahre genutzt werden und die eine Verschlüsselungskomponente integriert haben?
Gegenmaßnahmen müssen schon heute beginnen
Um im Sinne eines angemessenen Risikomanagements vorbereitet zu sein, muss bereits heute mit den Vorbereitungen für die "Post-Quanten-Zeit" begonnen werden, so das BSI. Besonders betroffen sind dabei Vertraulichkeitsdienste mit einem langfristigen Schutzbedarf sowie Signaturzertifikate mit langen Laufzeiten.
Aus Sicht des BSI steht die Frage, ob oder wann es Quantencomputer geben wird, nicht mehr im Vordergrund. Post-Quanten-Kryptografie wird langfristig zum Standard werden. Abhängig vom Anwendungsfall sollte frühzeitig und kontinuierlich im Rahmen eines maßvollen Risikomanagements abgewogen werden, ob und wann ein Umstieg auf Quantencomputer-resistente Verfahren erfolgen soll. Insbesondere für Informationen mit langfristigem Schutzbedarf sollte die Bedrohung durch Quantencomputer berücksichtigt werden. Es besteht die Gefahr, dass verschlüsselte Informationen auf Vorrat gesammelt und später mit Hilfe eines Quantencomputers entschlüsselt werden können. Der Schutz langfristiger Geheimnisse kann also ein zeitnahes Handeln notwendig machen.
Betrachtet man den Gesundheitsbereich, findet man hier zwei Problemkreise, wenn es um einen langfristigen Schutz geht: Zum einen müssen bestimmte Gesundheitsdaten relativ lange aufbewahrt werden, man denke zum Beispiel an Strahlenbehandlung, Röntgenbehandlung /-therapie (Aufzeichnungen, Berechnungen nach der letzten Behandlung), die nach rechtlichen Vorgaben für 30 Jahre aufbewahrt werden müssen. Zum anderen werden medizinische Geräte oftmals für einen langen Nutzungszeitraum entwickelt und tragen dann für viele Jahre die gleichen Sicherheitskomponenten in sich.
Gesundheitsbereich braucht besondere Aufmerksamkeit
Gesundheitsdaten zählen zu den personenbezogenen Daten besonderer Kategorie (Artikel 9 DSGVO). Den hohen Schutzbedarf sehen nicht nur die Datenschützer. Die Quantum Safe Cryptography Industry Specification Group in der Standardorganisation ETSI hat bereits vor Jahren auf die besonderen Risiken für den Gesundheitsbereich hingewiesen.
Zu den besonderen Risiken im Gesundheitssektor aufgrund von Quantencomputern zählen demnach unter anderem:
- Datenverletzungen von Patienteninformationen durch schlecht verschlüsselte Endgeräte des Personals oder aufgrund von unzureichend verschlüsselten Datenverbindungen zwischen Gesundheitszentren innerhalb eines regionalen Netzwerks
- Unautorisierter Zugriff auf einzelne Patientendatenpunkte in einer Forschungsumgebung durch Verwendung von Data-Mining-Praktiken, die in einer Post-Quanten-Welt nicht datenschutzrechtlich geschützt sind
- Betrügerische Erfassung von Patientenakten über falsch authentifizierte Kanäle
- Freigabe anfälliger wissenschaftlicher Informationen, die möglicherweise auf Klinikcomputern gespeichert sind (wie bestimmte genetische Muster), die auch biometrische Sicherheitskennungen untergraben würden
Der Schutz von Gesundheitsdaten mithilfe von quantensicheren Lösungen ist laut ETSI besonders wichtig, da diese Art von Informationen in der Regel eine langfristige Vertraulichkeit erfordert, die mindestens der Lebenserwartung des Patienten entspricht, möglicherweise darüber hinaus (je nach rechtlicher Vorgabe).
Das Projekt PQC4MED
Patientendaten mit ihrer hohen Kritikalität müssen vor unbefugter Kenntnisnahme sowohl gegenwärtig als auch in Zukunft geschützt werden, erklärt auch das Bundesministerium für Bildung und Forschung (BMBF).
Viele medizinische Geräte verfügen heute bereits über Sicherheitsfunktionen, zum Beispiel um das in Hardware und Software verbaute Know-how zu schützen, einen Nachbau durch Wettbewerber zu verhindern und den Fernzugriff für Updates abzusichern. Wenn Schutzfunktionen mit der Zeit an Wirksamkeit verlieren, können diese Geräte sowohl über die Luftschnittstelle als auch direkt physisch angegriffen werden. Zum Beispiel könnte dann ein Gerät aus einem Krankenhaus entwendet werden, um den Herstellerschlüssel auszulesen, wodurch dann alle baugleichen Geräte angreifbar werden könnten.
Die sogenannte Krypto-Agilität gewinnt dabei an Bedeutung. Krypto-Agilität meint, dass Verschlüsselungsverfahren derart eingesetzt werden, dass sie bei Bedarf schnell und einfach ausgetauscht werden können. Auf diese Weise kann auf neue Angriffe reagiert und der Weg auch für quantencomputerresistente Verfahren geebnet werden.
Hier setzt das Projekt PQC4MED für den medizinischen Bereich an. Partner sind Infineon Technologies AG, MACIO GmbH, Karlsruher Institut für Technologie (KIT), Deutsches Forschungszentrum für Künstliche Intelligenz (DFKI) GmbH, Universität zu Lübeck und Schölly Fiberoptic GmbH.
Ziel des Projektes ist es, Lösungen zu entwickeln, die langfristig die Sicherheit von eingebetteten Systemen in der Medizintechnik gewährleisten. Sowohl die Hardware als auch die zugehörige Software sollen in Zukunft den Austausch von kryptografischen Verfahren ermöglichen, um Bedrohungen, wie sie von Quantencomputern ausgehen, zu begegnen.
Die Langlebigkeit von medizinischen Geräten erfordert, dass möglichst früh bei der Entwicklung neuer Gerätegenerationen ein „langzeitsicheres Security-by-Design“ vorzusehen ist, so das DFKI. In vielen Fällen bedeutet dies, eingebettete Systeme mit Hardware-Ressourcen auszustatten, die zur Integration neuer kryptografischer Verfahren vorbereitet sind.
Ein updatefähiges Secure Element (SE) muss der integrale Bestandteil eines Embedded Systems sein und bildet die Grundlage für die langfristige Gewährleistung von QC-resistenten Verfahren. Das SE ist somit der Vertrauensanker, der „Krypto-Agilität“ ermöglicht.
Primäres Ziel von PQC4MED ist somit die Entwicklung einer Update-Plattform und updatefähigen Secure Elements für Embedded Systems in der Medizintechnikbranche, um so die Grundlage für den Einsatz von zukünftigen QC-resistenten Algorithmen zu schaffen.
Da die SEs in der Praxis häufig auch physisch für Angreifer zugänglich sind, ist es essenziel, dabei auch die Resistenz der eingesetzten Systeme gegen passive wie auch aktive Seitenkanalangriffe sicherzustellen. Deshalb liegt ein weiterer Fokus auf der Analyse von Seitenkanaleigenschaften der entwickelten Module und der Härtung dieser gegen Seitenkanalangriffe.
Gefördert wird das Projekt „PQC4MED“ vom Bundesministerium für Bildung und Forschung (BMBF) mit rund 690.000 Euro. Die Laufzeit beträgt 36 Monate, der Abschluss des Projekts ist für den 31. Oktober 2022 angesetzt. Bis dahin wird zudem die Festlegung von Standards für PQC-Verfahren (Post-Quanten-Computing) erwartet, die mithilfe der Update-Plattform eingesetzt werden können.
(ID:46754922)
:quality(80)/p7i.vogel.de/wcms/d8/6d/d86d5adc7d1c5a99ec3bae548e7985d9/0107708534.jpeg "Mit quantensicheren Verschlüsselungsalgorithmen hat das Post-Quanten-Zeitalter begonnen. Schon ist die nächste Herausforderung absehbar: Es gilt, die neuen Verfahren in die Praxis umzusetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/62/98/62980b7ff1f77cd923ed76341c7379fc/0109607940.jpeg "Logo des Projekts „Sichere Quantenkommunikation für Kritische Identity Access Management Infrastrukturen – Quant-ID“ (Bild: © Fraunhofer IPMS)")