:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Post-Quanten-Kryptographie Wer hat Angst vor der Quantum Supremacy?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
In der Zeit des Cloud Computings bewegen sich Daten fortwährend durch die Netze, auch außerhalb des eigenen Unternehmens. Es ist weithin klar, dass eine sichere Verschlüsselung vor allem sensitiver Daten in der Übertragung eine absolute Notwendigkeit darstellt. Diese Erkenntnis ist an sich nicht neu und so haben sich Kryptologen im Laufe der Jahrzehnte unterschiedliche Verfahren dazu überlegt.
Das Bessere ist der Feind des Guten: Viele Verfahren wie der weit verbreitete RSA-Verschlüsselungsalgorithmus basieren auf einer Asymmetrie in der Komplexität zweier komplementärer Berechnungen. Während es relativ einfach und daher schnell ist, zwei (Prim-)Zahlen miteinander zu multiplizieren, ist die Zerlegung einer großen Zahl in Faktoren, aus denen sie gebildet wird, vergleichsweise aufwendig. Man spricht von einer „nicht-polynomialen Komplexität“ einer solchen Operation. Ein längerer, aufwendigerer Schlüssel (z.B. 2048 Bit) führt dazu, dass die Verschlüsselungsoperation nur mit einem polynomialen Aufwand schwieriger wird, wohingegen die unautorisierte Entschlüsselung exponentiell komplizierter wird. Somit kann man einfach die Schlüssellänge erhöhen, wenn die Computer schneller werden, und bleibt sicher verschlüsselt.
:quality(80)/p7i.vogel.de/wcms/c6/66/c6665f9a2a6ff522733fbb816c9692b9/82443450.jpeg "Zur Zukunft des Quantencomputing befragt, gibt sich Prof. Dr. Christoph Skornia mitunter wettfreudig. (Bild: Vogel IT-Medien)")
Security-Insider Podcast – Folge 18
Quantencomputing und Sicherheit im Fokus
Dies galt, so lange sich das Paradigma nicht verändert hat. Ende letzten Jahres hat Google mit der Ankündigung der „Quantum Supremacy“ für Furore gesorgt. Mit dieser „Überlegenheit“ ist gemeint, dass Googles Ingenieure ein Problem gefunden hatten, dessen Lösung auf einem herkömmlichen Computer 10.000 Jahre gedauert hätte, auf Googles Quantenhardware aber in etwas mehr als drei Minuten zu lösen war. Der Grund dafür: Die Komplexität des auf dem Quantencomputer verwendeten Algorithmus ist polynomial. Ein großer Vorteil gegenüber der exponentiellen Komplexität des klassischen Computers.
:quality(80)/p7i.vogel.de/wcms/e9/30/e9304f566ed0469c20431a0d6b1063ab/90794812.jpeg "Einsichten in das Labor von IDQuantique: Quantum Key Distribution (links) und ein Quantenzufallszahlengenerator (rechts).")
:quality(80)/p7i.vogel.de/wcms/c9/f0/c9f04591bef868cbd257f28a8f1d465b/90794813.jpeg "Ein Man-In-The-Middle-Angriff, ausgeführt im Labor von IDQuantique.")
:quality(80)/p7i.vogel.de/wcms/0b/e7/0be733c0da2702bda51b6b5f5b74b7b3/90794815.jpeg "Schematische Darstellung der Quantum Key Distribution mit Man-In-The-Middle-Angriff.")
Nun war das Problem, dem sich Google gewidmet hat, von wenig praktischem Belang und ein „Quantennagel“, den man für den „Quantenhammer“ entworfen hatte. Kritischer wird die Situation jedoch bei der Verschlüsselung. Die hohe Komplexität des Entschlüsselns verschwindet, wenn man einen entsprechenden Quantencomputer zur Verfügung hat. Es existiert nämlich ein Algorithmus genau für die Aufgabe, mit Quantenhardware effizient große Zahlen zu faktorisieren, der nach seinem Erfinder Peter Shor benannt ist. Der Vorteil der asymmetrischen Komplexität verschwindet und die Verschlüsselung wird möglicherweise angreifbar. Das US-amerikanische National Institute of Standards and Technology schätzt, dass die Kapazitäten bereits 2027 für einen Angriff auf die RSA-Verschlüsselung ausreichen könnten.
Es gibt darüber hinaus ein weiteres Problem mit der Verschlüsselung, das meist weniger Beachtung findet: Damit die Verschlüsselung nicht einfach zu erraten ist, müssen die Zahlen, aus denen der Schlüssel besteht, zufällig aus einer großen Anzahl an Möglichkeiten gewählt werden. Nun ist es nicht so einfach, eine zufällige Zahl zu erzeugen – insbesondere für einen Computer. Betrachten wir als Beispiel das abendliche Brettspiel. Das Zufallselement wird durch ein oder zwei Würfel erzeugt, deren Augenzahlen sich über den Abend hinweg nach den statistischen Regeln verteilen. Was wir hier als Zufall wahrnehmen liegt in der menschlichen Unfähigkeit begründet, alle physikalischen Parameter zu kontrollieren. Kennt man den Schwerpunkt des Würfels, die Unebenheiten des Tisches und wäre man in der Lage, den Schwung der eigenen Hand genau zu kontrollieren, könnte man jedes gewünschte Ergebnis erzeugen. In der Star Trek-Episode „Hotel Royale“ entschuldigt der Android Data sein mäßiges Abschneiden beim Würfeln im mit den Worten „Commander, diese Würfel sind falsch ausbalanciert. Ja, natürlich ist da ein gewisser Anteil Glück dabei. Ich glaube, deshalb nennt man es Glücksspiel“, bevor er die Bank sprengt.
„Gott würfelt nicht!“, so hat der Physiker Albert Einstein seine Abneigung gegen die Quantenmechanik ausgedrückt. Und tatsächlich scheint man physikalische Prozesse, denen die Quantenmechanik zugrunde liegt, nur als Zufallsereignisse ohne kontrollierende Variablen verstehen zu können. Wenn auch die letzten philosophischen Fragen in der Tiefe dieser Theorie nicht beantwortet sind, ist der Konsens der Forschung derzeit, dass quantenmechanische Ereignisse generisch zufällig sind und ihre Vorhersage nur statistisch möglich ist.
Ob ein Ereignis eingetreten ist, stellt der Physiker durch eine Messung fest. Bis zum Zeitpunkt der Messung ist das physikalische System auf wundersame Weise nicht festgelegt und schwebt in einer Überlagerung aller möglichen Zustände. Rufen wir uns das Würfelspiel Mäxchen ins Gedächtnis. Glaubt man dabei seinem Vorwürfler, bleiben die Würfel verdeckt und das Ergebnis seines Wurfes wird niemals öffentlich. Zweifelsohne liegen die Würfel in einer bestimmten Position, der auch ein Wert zugeordnet werden könnte, würde man den Becher heben. Gälte für die Würfel die Beschreibung der Quantenmechanik, nähmen sie unter dem Becher so lange alle möglichen Kombinationen und Werte an, bis jemand den Becher lüpft – die Messung! – und sie sich ansieht. Man mag Einstein nachsehen, dass er mit solch einer Theorie nichts anfangen konnte.
Diese ungewöhnliche Eigenschaft lässt sich zur Verschlüsselung von Daten nutzen. Eine Botschaft, die in einem Quantencode verschickt wird, kann nur gelesen werden, wenn man die Zeichen, aus denen sie besteht, „misst“. Die typische Quantensuperposition geht dabei verloren und kann nicht wiederhergestellt werden. Ein unerwünschter Lauscher müsste nun die Nachricht in einem neuen Quantenzustand ausdrücken. Die beiden ehrlichen Parteien aber treffen eine Vereinbarung, in welcher Weise sie die Messung durchführen wollen. Falls die einzelnen Quantenbits von jemand anderem als dem autorisierten Gesprächspartner erstellt worden sind, fällt dies bei der Messung dadurch auf, dass mehr und mehr Zeichen fehlerhaft ankommen. Den beiden Kommunikationspartnern fällt diese Inkonsistenz auf. Sie verlieren ihr Vertrauen in den Kommunikationskanal und beginnen erneut. Auf diese Weise können sie den Lauscher, der einen Man-In-The-Middle-Angriff ausführt, unschädlich machen.
In der Praxis gestaltet sich solch ein Quantentelefon relativ schwierig. Quantenzustände sind vergleichsweise flüchtig. Die Quantenmechanik widerspricht unserer Intuition, weil sich nichts in unserer gewohnten Lebenswelt quantenmechanisch verhält. Die Eigenschaften gehen nämlich durch Einwirkungen von außen verloren. Diese Fehleranfälligkeit verhindert, dass wir bereits heute Quantencomputer nutzen können und kostet die Entwickler von entsprechender Hardware viel Geld und Mühen.
Seit geraumer Zeit entwickelt die Firma IDQuantique, eine Ausgründung der Universität in Genf, ein solches System für den Markt und bietet „Randomness as a service“. Fortinet, einer der wichtigsten Anbieter von Sicherheitssoftware, hat kürzlich eine Zusammenarbeit mit IDQuantique angekündigt und wird die nächste Generation seiner Firewall mit einem Interface für Quantenschlüssel ausstatten. Dies erlaubt mit einem Mal die Integration von quantenmechanisch garantierter Sicherheit in herkömmliche Rechenzentren.
Eine Anwendung dieser Technik im Telekommunikationsbereich findet sich beispielsweise aus der Notwendigkeit heraus, den Backbone eines Providers für die Zeit zu sichern, in der Quantencomputer mächtig genug sind, um herkömmliche Verschlüsselungsverfahren zu brechen. Dank der von IDQuantique bereitgestellten Quantentechnologie, die in den Kommunikationsendpunkt integriert werden kann, wird der Backbone mit einem Quantenschlüssel versehen, dem die Quantenüberlegenheit nichts anhaben kann. Bereits die zunehmenden Datenmengen, die in mobilen 5G-Netzen von IoT-Geräten künftig übertragen werden, erfordern eine verlässliche Verschlüsselung. Die Sicherheit der Geräte und die Vertraulichkeit der übertragenen Daten kann gewährleistet werden, indem man Quantenverschlüsselung in den Authentifizierungsmechanismus des Rechenzentrums einbaut. Die durch die Quantenmechanik verbürgte Zufälligkeit sorgt für eine zuverlässige Verschlüsselung. So sind neue IoT-Anwendungen – beispielsweise im Umfeld einer Smart Factory – möglich, bei denen die Sicherheit der Geräte und die Geheimhaltung ihrer Operation wichtig sind.
Die Quantenmechanik, deren Ereignisse so unvorhersehbar sind, dass man sie nur mit einem Würfelspiel vergleichen kann, sorgt so dafür, dass Sicherheit im Unternehmen kein Glücksspiel ist.
Über den Autor: Johannes Oberreuter arbeitet als Data Scientist bei Machine Learning Reply und leitet die Innovationsgruppe Quantencomputing der ReplyAG Deutschland. Er hat Physik in München, Heidelberg und Cambridge studiert und an den Universitäten von Amsterdam, Göttingen und der TU München zu Quanteneffekten vom frühen Universum bis zu Experimenten mit kalten Gasen geforscht.
(ID:46753788)
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935877/original.jpg "Security-Expoerten schätzen, dass sich das Volumen von Cyber-Attacken auf APIs bis 2024 verdoppeln wird. Umso wichtiger ist es, dass Unternehmen die Gefahr erkennen und schon jetzt darauf reagieren. (© putilov_denis - stock.adobe.com)")