:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Auswirkung auf die Cyber-Sicherheitsarchitektur Quanten-Computing und die IT-Sicherheit
In naher Zukunft werden Quantencomputer die Rechenleistung herkömmlicher Supercomputer übertreffen. Dies birgt grundsätzliche Vorteile auf vielen Ebenen, hat für die Cyber-Sicherheit allerdings auch negative Implikationen. In Zukunft werden sich deshalb Auswirkungen auf offensive und defensive Anwendungen der Cyber-Sicherheitsarchitektur feststellen lassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Es sind vor allen Dingen die USA, Russland und China, die eine Vorreiterposition innerhalb der Quantenforschung einnehmen. Während die USA ihre Forschung auf der Basis der Zusammenarbeit zwischen privater Wirtschaft, öffentlichem Sektor und akademischer Welt aufbauen, steuern sowohl Russland als auch China ihre Forschungsbemühungen auf staatlicher Ebene. Neben diesen Akteuren sind zudem auch Unternehmen und Einrichtungen wie Google, IBM, die NSA und das Max-Planck-Institut für Quantenoptik in München in Quantentechnologieprojekte involviert.
Während China bereits 2017 ein vollständig verschlüsseltes, auf Quantentechnologie basierendes, Kommunikationsnetzwerk vorgestellt hat, welches per Quanten-Kommunikations-Satellit (Micius Satellit) eine Teststrecke von etwa 7600km überspannen konnte, hat Google im März 2018 einen 72 Qubits – und damit weltweit größten – Quantencomputer (Bristlecone) präsentiert. Im Frühjahr 2019 stellte IBM daraufhin den ersten kommerziell genutzten Quantencomputer vor, dessen 50 Qubits-Prozessor für seine Nutzer über eine Cloud zugänglich gemacht werden soll. Russische Einrichtungen arbeiten indes an einer Möglichkeit zur Freisetzung von Photonen in Raumtemperaturumgebung, um die Praktikabilität der Quantentechnik zu verbessern.
:quality(80)/images.vogel.de/vogelonline/bdb/1286500/1286532/original.jpg "Durch Quantencomputer können aktuelle kryptographische Algorithmen wie RSA und ECC in Zukunft die Sicherheitsanforderungen aus Industrie und Verwaltung wohl nicht mehr erfüllen. Ein Ausweg ist die Migration zu Post-Quantum-Kryptographie (PQC). (Infineon Technologies AG)")
Post-Quantum-Kryptographie
Die Zukunft der Kryptographie im Zeitalter der Quanten
Im Vergleich zu herkömmlichen Digitalcomputern sind Quantencomputerumgebungen und -übertragungen über große Distanzen derzeit noch durch hohe Instabilitäten gezeichnet. Dass es sich dennoch lohnt, die Mehrkosten für die Konstanthaltung der Quantencomputerumgebungen in Kauf zu nehmen, hängt damit zusammen, dass Quantencomputer die Möglichkeit besitzen, parallel ausgeführte Rechenoperationen theoretisch um ein Vielfaches schneller auszuführen als konventionelle Computer. Das ist möglich, da Quantencomputer nicht auf den Gesetzen der klassischen Physik beruhen, sondern auf der Basis von quantenmechanischen Zuständen.
Im Vergleich zu den klassischen Bits liegen der Quantentechnologie sogenannte Qubits zugrunde, die durch den Quanteneffekt der Überlagerung – auch Superposition genannt – zusätzlich zu den beiden Basiszuständen 0 und 1 einen weiteren Zustand annehmen können, der sich zwischen diesen befindet. Zusammen mit dem „Superpositionsprinzip“ bieten Quantencomputer die Möglichkeit, den Quanteneffekt der „Verschränkung“ von Qubits untereinander zu nutzen, wodurch die enorme Rechenleistung im Vergleich zu konventionellen Computern zustande kommt. Jedoch können zumindest die Rechenoperationen der Addition und Multiplikation von beiden Rechenarchitekturen mit der gleichen Geschwindigkeit bewältigt werden.
Auswirkungen auf offensive und defensive Anwendungen
Abgesehen von den Vorteilen der Quantentechnologie birgt sie jedoch ebenfalls Risiken für verschiedene Kryptographie-Algorithmen. Welche Bedrohungen für einzelne Wirtschaftszweige bestehen sind jedoch momentan schwer abzuschätzen. Grundsätzlich wird sich der Einfluss von Quantencomputern allerdings sowohl auf offensive Anwendungen wie Cyber-Angriffe, als auch auf defensive Anwendungen, wie die vermehrte Nutzung der sogenannten Quantenschlüsselverteilung (QKD – Quantum Key Distribution), auswirken.
Zu den offensiven Anwendungen, auf die Quanten-Computing einen starken Einfluss hat, gehören zum Beispiel der Shor- und der Grover-Algorithmus. Der Shor-Algorithmus, der zu den Faktorisierungsverfahren zählt, ist mit einem besonders hohen Rechenaufwand verbunden und kann daher nur mit Hilfe eines Quantencomputers durchgeführt werden. Da aktuelle Verschlüsselungsverfahren oft auf dem Problem der Faktorisierung – oder dem diskreten Logarithmusproblem und dem elliptischen Kurvenlogarithmusproblem – beruhen, bieten diese Kryptosysteme keinen ausreichenden Schutz vor Cyber-Angriffen.
:quality(80)/images.vogel.de/vogelonline/bdb/1489100/1489126/original.jpg "Wenn leistungsstarke Quantenrechner schneller auf dem Markt sind als die nötige quantensichere Verschlüsselung, bedeutet das eine große Gefahr für die Wirtschaft. (Pixabay)")
Quantencomputer und IT-Sicherheit
Die zwei Gesichter von Quantenrechnern
Der Grover-Algorithmus, welcher die Möglichkeit hat, den linearen Suchalgorithmus quadratisch zu beschleunigen, besitzt - ähnlich wie der Shor-Algorithmus - die Fähigkeit, Kryptosysteme zu entschlüsseln, die auf dem Faktorisierungsproblem beruhen. Diese sogenannten Brute-Force-Attacken sind besonders effektiv, wenn es sich bei den Kryptographie-Algorithmen um asymmetrische beziehungsweise Public-Key-Kryptographie-Algorithmen handelt. Verwendet das Verschlüsselungssystem einen einheitlichen Schlüssel, so handelt es sich um einen symmetrischen Kryptographie-Algorithmus, der wiederum bislang nicht mittels Quantentechnologie entschlüsselt werden kann. Der Grover-Algorithmus beschleunigt die Rechenoperation zwar um ein Vielfaches, jedoch kann ein solcher Angriff durch eine Verdoppelung der Schlüsselgröße abgewendet werden.
Bei der Betrachtung defensiver Anwendungen und der Auswirkung der Quantentechnologie auf diese, fallen vor allen Dingen die häufig verwendeten RSA-Kryptosysteme negativ auf. Diese beruhen auf einem Public-Key-Kryptographie-Algorithmus, der, wie bereits erwähnt, einer quantentechnologiebasierten Brute-Force-Attacke nicht standhalten kann. Abgesehen von diesen Verschlüsselungsvarianten gibt es jedoch auch Kryptosysteme, die einen Angriff per Quantencomputer abwehren können. Dazu gehören neben symmetrischen Kryptographie-Algorithmen auch gitterbasierte Kryptosysteme, multivariate Kryptosysteme, codebasierte Kryptosysteme und Hash-basierte Signaturen. Diese sogenannten Post-Quantum-Kryptosysteme sollen in Zukunft als Voraussetzung für sichere Verschlüsselungssysteme gelten.
Eine positive Auswirkung hat die Quantentechnologie hinsichtlich der Anwendung von Quantenschlüsselverteilung in Bezug auf die Sicherheit von Kommunikationsnetzwerken. Diese technologische Neuerung erlaubt es den Teilnehmern eines verschlüsselten Kommunikationskanals mögliche Abhörvorgänge zu entdecken, da sich der versendete Schlüssel merklich verändert, sobald eine weitere Partei darauf zugreifen will. Aus diesem Grund gehe ich davon aus, dass sich kommende Cyber-Bedrohungen vor allem auf Endpunktangriffe und Social Engineering sowie auf kurzlebige Denial-of-Service (DoS)-Angriffe konzentrieren werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1524800/1524812/original.jpg "Verwundbar: Unternehmen liebäugeln mit der Blockhain-Technik; die meisten haben jedoch das wachsende Risiko von Manipulationen durch Quantensysteme noch kaum auf dem Radar. (gemeinfrei: Pixabay)")
Kryptoketten verbessern oder begraben
Bedroht das Quanten-Computing die Blockchains?
Einen weiteren positiven Einfluss hat Quanten-Computing auf das Generieren von Zufallszahlen. Mit Hilfe der Quantentechnologie kann somit eine Einmalverschlüsselung (ein sogenanntes „One-Time-Pad“) erzeugt werden, was ein Hacken des Kommunikationsnetzwerks nachweislich unmöglich macht. Durch das Versenden des exklusiv für die jeweilige Sitzung erstellten Schlüssels per Quantenpartikeln kann festgestellt werden, ob die übermittelten Informationen abgefangen wurden. Sollte dies der Fall sein, so wird der Schlüssel durch eine erneut generierte Verschlüsselung ersetzt. Das Kommunikationsnetzwerk ist sicher und kann auf normalem Wege genutzt werden, sobald der Schlüssel unverändert beim Empfänger angekommen ist.
Während die Forschung die Rechenleistung von Quanten-Computern immer schneller werden lässt und somit die Zeit von Datenanalysen verkürzt, wird ebenfalls versucht, die Quantentechnologie für sogenannte Post-Quanten-Kryptosysteme zu nutzen. Welcher technologische Anwendungsbereich den Vorsprung vor dem anderen gewinnt, kann jedoch momentan noch nicht abgeschätzt werden. Allerdings sollte man die Auswirkungen von Quanten-Computing auf die offensiven und defensiven Anwendungen im Bereich der Cyber-Sicherheit weiterhin verfolgen, da dies eines der kontroversesten Themen für die zukünftige Quantentechnologie sein wird.
Über den Autor: Rüdiger Weyrauch ist Director Sales Engineering, Central & Eastern Europe bei FireEye.
(ID:45979226)
:quality(80)/p7i.vogel.de/wcms/4c/10/4c10a77b6a3f5453b0d5bdbcdb69dc12/0106839171.jpeg "Wer für Informationssicherheit verantwortlich ist, sollte im Hinblick auf die kommenden Quantencomputer schon jetzt eine Bestandsaufnahme der aktuell eingesetzten Verschlüsselungsalgorithmen vornehmen. (Bild: Michael Traitov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1f/9e/1f9efb0bf5e5fed2e1003a27d8bc48a7/0109124174.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung (Bild: gemeinfrei)")