Möglicherweise haben Sie das Gefühl, dass die Verschlüsselung von Daten mit der aktuellen Technologie einen robusten Schutz bietet. Selbst wenn es zu einer Datenschutzverletzung kommt, können Sie davon ausgehen, dass die Informationen sicher sind. Aber wenn Ihr Unternehmen mit Daten arbeitet, die einen „Long Tail“ haben – das heißt, ihr Wert hält Jahre an –, liegen Sie falsch.
Spulen wir in fünf bis zehn Jahren vor. Quantencomputer – die die Quantenmechanik nutzen, um Operationen millionenfach schneller auszuführen als heutige Supercomputer – werden eintreffen und in der Lage sein, die heutige Verschlüsselung innerhalb von Minuten zu entschlüsseln. An diesem Punkt müssen die nationalstaatlichen Akteure lediglich die verschlüsselten Daten, die sie seit Jahren sammeln, in einen Quantencomputer hochladen, und in wenigen Minuten werden sie dazu in der Lage sein auf beliebige Teile der gestohlenen Daten zugreifen im Klartext. Diese Art von „Harvest now, decrypt later“ (HNDL)-Angriff ist einer der Gründe, warum Angreifer jetzt verschlüsselte Daten ins Visier nehmen. Sie wissen, dass sie die Daten heute nicht entschlüsseln können, morgen aber schon.
Auch wenn die Bedrohung durch Quantencomputing noch einige Jahre entfernt ist, besteht das Risiko bereits heute. Aus diesem Grund unterzeichnete US-Präsident Joe Biden ein Nationales Sicherheitsmemorandum Bundesbehörden, Verteidigung, kritische Infrastruktur, Finanzsysteme und Lieferketten müssen Pläne für die Einführung quantenresistenter Verschlüsselung entwickeln. Präsident Biden gibt den Ton an Für Bundesbehörden ist dies eine treffende Metapher: Quantenrisiken sollten auf Führungsebene (CEO und Vorstand) diskutiert und Pläne zur Risikominderung entwickelt werden.
Nehmen Sie die langfristige Perspektive ein
Daten von Forschungsanalysten deuten darauf hin, dass der typische CISO zwei bis drei Jahre in einem Unternehmen verbringt. Dies führt zu einer potenziellen Fehlausrichtung mit einem Risiko, das wahrscheinlich in fünf bis zehn Jahren eintreten wird. Und doch, wie wir bei Regierungsbehörden und einer Vielzahl anderer Organisationen sehen, sind die Daten, die Sie generieren heute kann Gegnern in der Zukunft einen enormen Mehrwert bieten, sobald sie darauf zugreifen können. Dieses existenzielle Problem wird wohl nicht allein der Sicherheitsverantwortliche lösen können. Aufgrund seines kritischen Charakters muss es auf höchster Unternehmensführungsebene angegangen werden.
Aus diesem Grund sollten sich kluge CISOs, CEOs und Vorstände gemeinsam mit dem Risikoproblem des Quantencomputings befassen. jetzt an. Einmal die Entscheidung, sich zu umarmen quantenresistente Verschlüsselung Die Fragen lauten unweigerlich: „Wo fangen wir an und wie viel wird es kosten?“
Die gute Nachricht ist, dass es kein schmerzhafter oder kostspieliger Prozess sein muss. Tatsächlich können bestehende quantenresiliente Verschlüsselungslösungen auf der bestehenden Cybersicherheitsinfrastruktur ausgeführt werden. Aber es handelt sich um eine Transformationsreise – die Lernkurve, interne Strategie- und Projektplanungsentscheidungen, die Technologievalidierung und -planung sowie die Implementierung brauchen Zeit – daher ist es unerlässlich, dass Unternehmensleiter heute mit der Vorbereitung beginnen.
Konzentrieren Sie sich auf Randomisierung und Schlüsselmanagement
Der Weg zur Quantenresilienz erfordert das Engagement der wichtigsten Interessengruppen, ist aber praktisch und erfordert in der Regel nicht das Zerreißen und Ersetzen der bestehenden Verschlüsselungsinfrastruktur. Einer der ersten Schritte besteht darin, zu verstehen, wo sich alle Ihre kritischen Daten befinden, wer Zugriff darauf hat und welche Schutzmaßnahmen derzeit vorhanden sind. Als nächstes ist es wichtig zu ermitteln, welche Daten am sensibelsten sind und wie lange ihre Sensibilitätsdauer beträgt. Sobald Sie über diese Datenpunkte verfügen, können Sie einen Plan entwickeln, um die Migration der Datensätze auf eine quantenresiliente Verschlüsselung zu priorisieren.
Organisationen müssen über zwei wichtige Punkte nachdenken, wenn sie eine quantenresiliente Verschlüsselung in Betracht ziehen: die Qualität der Zufallszahlen, die zum Ver- und Entschlüsseln von Daten verwendet werden, und die Schlüsselverteilung. Einer der Vektoren, mit denen Quantencomputer aktuelle Verschlüsselungsstandards knacken könnten, besteht darin, Verschlüsselungs-/Entschlüsselungsschlüssel auszunutzen, die von Zahlen abgeleitet sind, die nicht wirklich zufällig sind. Quantenresistente Kryptografie verwendet längere Verschlüsselungsschlüssel und, was am wichtigsten ist, solche, die auf echten Zufallszahlen basieren, sodass sie nicht geknackt werden können.
Zweitens verfügt ein typisches Unternehmen über mehrere Verschlüsselungstechnologien und Schlüsselverteilungsprodukte, und die Verwaltung ist komplex. Um die Abhängigkeit von Schlüsseln zu verringern, werden daher oft nur große Dateien verschlüsselt, oder, noch schlimmer, verlorene Schlüssel machen Datenmengen unzugänglich. Es ist zwingend erforderlich, dass Unternehmen Hochverfügbarkeit im Unternehmensmaßstab bereitstellen Verwaltung von Verschlüsselungsschlüsseln um die Verschlüsselung einer praktisch unbegrenzten Anzahl kleinerer Dateien und Datensätze zu ermöglichen. Dies führt zu einem deutlich sichereren Unternehmen.
Quantenresistente Verschlüsselung ist kein „nice to have“ mehr. Mit jedem Tag, der vergeht, steigt das Risiko, da verschlüsselte Daten gestohlen werden, um sie künftig zu knacken. Glücklicherweise erfordert es im Gegensatz zum Quantencomputing keine großen Investitionen und die daraus resultierende Risikoreduzierung erfolgt fast unmittelbar. Der Anfang ist der schwierigste Teil.
