
sakkmesterke - stock.adobe.com
Kryptoagilität für zukunftssichere Security erreichen
Quantencomputer werden die derzeitigen asymmetrischen Verschlüsselungsalgorithmen gefährden. Organisationen müssen kryptoagile Systeme einsetzen, um geschützt zu bleiben.
Quantencomputer versprechen Organisationen die Möglichkeit, Prozesse zu optimieren, logistische Herausforderungen zu bewältigen, Kosten zu senken und die Entscheidungsfindung zu verbessern. Die fortschrittlichen Funktionen und Rechenkapazitäten von Quantencomputern bedeuten jedoch auch, dass aktuelle kryptografische Algorithmen nicht mehr den Schutz bieten, den sie bislang aufweisen.
Der Markt für Quantencomputer steckt zwar noch in den Kinderschuhen, doch wird erwartet, dass er bis 2029 auf 5,3 Milliarden US-Dollar anwächst, wobei die Umsatzschätzungen für 2024 bei etwa 1,3 Milliarden US-Dollar liegen. Da die derzeitige asymmetrische Verschlüsselung gefährdet ist, ist es von entscheidender Bedeutung, dass sich Organisationen jetzt auf die Post-Quanten-Kryptographie (PQC) vorbereiten – ein wichtiger Aspekt dabei ist die Einführung von Kryptoagilität. So hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Industrie, Betreiber kritischer Infrastrukturen und öffentliche Verwaltung bereits Ende 2024 aufgefordert, zur Post-Quanten-Kryptografie überzugehen.
Was ist Kryptoagilität und warum ist sie von Bedeutung?
Kryptoagilität ist ein Ansatz, der es Systemen ermöglicht, je nach Bedarf dynamisch zwischen mehreren kryptografischen Algorithmen, Mechanismen und Schlüsselverwaltungssystemen zu wechseln, um Bedrohungen zu begegnen. Die Änderungen werden ohne Unterbrechung der Systeminfrastruktur vorgenommen. Dieser Ansatz ist sowohl eine proaktive Verteidigungsmaßnahme als auch ein Instrument zur Reaktion auf einen Zwischenfall, das eingesetzt wird, wenn ein kryptografischer Algorithmus als gefährdet eingestuft wird.
Ein kryptoagiles System ist dann erfolgreich, wenn die Algorithmen einfach und zumindest teilweise automatisiert ausgetauscht werden können. Das Ziel des agilen Kryptografiemanagements besteht darin, Organisationen in die Lage zu versetzen, die Fähigkeiten ihrer Systeme zukunftssicher zu machen, um Bedrohungen für die Kryptografie zu begegnen.
Schritte zur Erlangung der Kryptoagilität
Die beste Möglichkeit, die Herausforderungen der Post-Quanten-Sicherheit zu bewältigen, ist ein solider Implementierungsplan, der Folgendes umfassen sollte:
Kryptoagile Richtlinien und Prozesse erstellen. Richtlinien und Prozesse für den Wechsel zwischen Algorithmen erstellen und implementieren, wenn diese kompromittiert werden. Diese Prozesse nach Möglichkeit automatisieren.
Kommunikations- und Reaktionspläne für Vorfälle entwickeln. Alle Mitarbeiter der Organisation müssen ihre individuellen Rollen bei der Umsetzung kryptoagiler Richtlinien und der Information der Interessengruppen über Änderungen verstehen. Außerdem sollten die Mitarbeiter in neuen Tools und Prozessen geschult werden und lernen, wie sie Post-Quanten-Bedrohungen erkennen und darauf reagieren können.
Eine kryptografische Bestandsaufnahme durchführen. Führen Sie ein Inventar der kryptografischen Algorithmen, digitalen Zertifikate und Schlüsselverwaltungssysteme, um den vollen Umfang der PQC-Migration zu verstehen und zu bestimmen, wo PQC-Algorithmen zuerst implementiert werden sollen. Führen Sie regelmäßige Überprüfungen durch, um das Inventar auf dem neuesten Stand zu halten.
Ein Schlüsselverwaltungssystem einsetzen. Kryptografische Schlüssel müssen regelmäßig verwaltet, aktualisiert und rotiert werden. Schlüsselverwaltungssysteme helfen bei der automatischen Erstellung, Speicherung und Rotation kryptografischer Schlüssel.
Eine Public-Key-Infrastruktur für PQC implementieren. Eine PKI verwenden, um Schlüssel und digitale Zertifikate automatisch zu erstellen, zu verteilen, zu verwalten, zu warten und zu ersetzen.
Legacy-Systeme berücksichtigen. Vermeiden Sie potenzielle Probleme, indem Sie einen pragmatischen Migrationsplan für nicht agile Systeme erstellen. Bestimmen Sie zunächst, welche Systeme und Anwendungen aktualisiert werden können, und überlegen Sie dann, wie Sie sie aktualisieren und sichern können. Planen Sie unbedingt die Kosten für den Übergang zu PQC ein.
Systemtests und fortlaufende Validierung durchführen. Quantensicherheitskontrollen und -prozesse testen und prüfen, um Schwachstellen und Anfälligkeiten zu erkennen und zu beheben. Außerdem sollten Sicherungs- und Wiederherstellungsstrategien in Betracht gezogen werden.
Mit Quantencomputing auf zukünftige Bedrohungen vorbereitet sein. Quantencomputing kann dazu beitragen, die Sicherheitslage einer Organisation zu verbessern. Ein Beispiel hierfür ist das maschinelle Quantenlernen, das die Identifizierung von Bedrohungen beschleunigen und Angriffe erkennen kann, bevor sie in ein Netzwerk eindringen.