Post-Quantum-Cryptography: Fragen & Antworten

Wann wird es passieren? Wie viel wird es kosten? Was sollten wir jetzt tun?

Bildquelle: Getty Images / Credits: adventtr

Quantencomputer stellen – zumindest theoretisch – eine sehr klare Bedrohung für die Verschlüsselung dar. Eines Tages, vielleicht sogar bald, könnten sie die Public-Key-Verschlüsselung knacken, auf der die gesamte Online-Wirtschaft basiert.

Für einzelne Organisationen ist es jedoch weniger einfach, dieses Risiko mit seinem unbekannten Zeitrahmen und der unsicheren Wahrscheinlichkeit zu bewerten und es mit anderen Cybersicherheits-Prioritäten abzuwägen.

Wir haben 100 IT-Führungskräfte aus Großbritannien gefragt, welche Fragen sie zur Quantenbedrohung am meisten beschäftigen.

Wird es passieren – und wann?

Die dringlichste Frage vieler Befragten war, ob es sich um eine echte Gefahr oder nur um einen von Medien und Anbietern erzeugten Hype handelt.

„Ich bin mir der Bedrohung bewusst und möchte mich damit befassen, aber ich glaube, dass andere Bedrohungen unmittelbarer und dringlicher sind und daher vor der Quantenbedrohung angegangen werden“, kommentierte ein Leiter der IT-Abteilung einer Mitgliederorganisation.

„Es ist natürlich ein Risiko, aber die Schwachstellen aufgrund menschlicher Schwächen haben für die Organisation eine höhere Priorität“, fügte ein IT-Manager im Hochschulbereich hinzu.

Die frustrierende Realität ist: Wir wissen wirklich nicht, wann der Q-Day kommt. Die Schätzungen reichen von wenigen Jahren über Jahrzehnte bis hin zu „nie“. Die Mehrheit der Experten geht jedoch eher von einem früheren als von einem späteren Zeitpunkt aus. Einige Skeptiker, die einst bezweifelten, dass Quantencomputer jemals die nötige Leistungsfähigkeit erreichen würden, äußern sich inzwischen zurückhaltender.

Der Informatiker Gil Kalai argumentierte früher, dass „Quantencomputer nicht funktionieren können“, da ihre fehlertolerante Umsetzung eine große Herausforderung sei. Auch wenn er insgesamt skeptisch bleibt, hat er seine Ansicht abgeschwächt. Obwohl Kalai bezweifelt, dass ein Computer jemals Shors Algorithmus zur Faktorisierung großer Zahlen ausführen kann, empfahl er kürzlich einem Kryptografieunternehmen dennoch aus Vorsicht die Implementierung von Post-Quantum-Kryptografie.

Etwas weniger skeptisch, aber ebenfalls kritisch ist Scott Aaronson, Direktor des Quantum Information Center an der University of Texas. Aaronson zweifelt weiterhin an vielen Behauptungen rund um das Quantencomputing und nennt sie „Hype“ oder sogar „Lügen“. Trotzdem stellte er kürzlich fest, dass der richtige Zeitpunkt, sich mit dem Quantenrisiko auseinanderzusetzen, „genau jetzt“ sei Sorgen über das Quantenrisiko.

Laut unserer Studie glauben zwei Prozent der Befragten, dass die aktuelle Bedrohung übertrieben ist. „Quantencomputer können derzeit noch nicht einmal ganze Zahlen addieren und weisen massive Fehlerquoten auf“, bemerkte ein CTO aus dem Gastgewerbe. Etwa die Hälfte der übrigen Befragten hält das Risiko für real, aber nicht für dringend.

Den Hype durchschauen

Der Medienrummel um das Quantencomputing erschwert die Einschätzung des tatsächlichen Risikos erheblich. Als Wort der Stunde könnte „Quantum“ bald „KI“ als Trendthema ablösen, was die Lage zusätzlich undurchsichtig macht.

Aussagen von Unternehmen wie Google und IBM, wonach in drei Jahren ein fehlertoleranter Quantencomputer im kommerziellen Maßstab verfügbar sein wird (wenn auch keiner, der Kryptosysteme knacken kann), sollten mit Vorsicht betrachtet werden.

Dennoch gibt es nachweisbare Fortschritte, unterstützt durch KI, und die Schätzungen zu den benötigten Ressourcen für das Knacken von Kryptosystemen wie RSA und ECC sinken weiterhin dramatisch.

Zusätzlich wird aktuell an mehreren verschiedenen Quantenarchitekturen geforscht, von denen jede einen Durchbruch beschleunigen könnte.

Das Global Risk Institute schätzt in seinem jüngsten Bericht, dass die Wahrscheinlichkeit für einen kryptografisch relevanten Quantencomputer (CRQC) innerhalb von fünf Jahren bei 5–15 % liegt, in zehn Jahren sogar bei 28–49 %.

„Es ist eine bekannte Tatsache, aber ein Quantencomputer, der groß genug ist, um praktisch einsetzbar zu sein, ist noch in weiter Ferne“, erklärte ein HPC-Infrastrukturmanager im Hochschulbereich. „Doch es würde nur einen Durchbruch erfordern, um einen solchen sehr schnell zu entwickeln, daher müssen wir die Technologie im Auge behalten.“

Sicherheitsbehörden nehmen die Gefahr ernst und sehen die Jahre 2030–2031 als kritischen Zeitraum, bis zu dem sensible Daten durch neue Algorithmen geschützt sein sollten.

Sie betonen, dass Daten, die bereits im Rahmen der „Harvest Now, Decrypt Later“-Strategie (HNDL) von Angreifern gesammelt wurden, nicht rückwirkend geschützt werden können – und dieser Datenbestand wächst täglich.

Wer wird zuerst betroffen sein?

Die Befragten wollten wissen, ob sie bei einem Angriff direktes Ziel oder „Kollateralschaden“ wären.

Angesichts der hohen Kosten für Quantencomputer – die heutigen Maschinen kosten mehrere zehn oder hundert Millionen Pfund, sind aber noch weit von kryptografischer Relevanz entfernt und benötigen spezielle Umgebungen sowie Expertenwissen – ist anzunehmen, dass die ersten Angriffe von staatlich unterstützten Akteuren ausgehen. Ziele sind vorrangig Energieversorgung, Regierungen, kritische Infrastruktur, Cloud-Anbieter, Banken und Rüstungsfirmen.

Langfristig werden Technologie und Know-how auch bei kriminellen Organisationen ankommen, jedoch erst nach einiger Zeit.

KMU sind zwar nicht die primären Angriffsziele, doch als Teil von Lieferketten und durch die Speicherung langlebiger Daten sind sie für HNDL-Angriffe dennoch anfällig.

Positiv ist, dass KMU meist auf standardisierte, handelsübliche Technologien und Services setzen, was die Umstellung auf PQC erleichtert – da sie sich bei Updates auf Anbieter verlassen können.

Paul German, CEO des Datensicherheitsunternehmens Certes Networks, empfiehlt kleineren Unternehmen, ihre Anbieter zu den Post-Quantum-Plänen zu befragen: „Sie sollten diese Fragen nach oben weiterleiten – an ihre MSPs, an ihre Partner – und sie auffordern, diese Funktion als Teil des üblichen Managed Service bereitzustellen, den sie erhalten.“

Nationale Sicherheitsorganisationen wie NCSC und NSA konzentrieren sich vor allem auf regulierte Sektoren, empfehlen aber auch kleineren Organisationen, eine Bestandsaufnahme ihrer kryptografischen Systeme zu machen und die Entwicklung im Quantencomputing zu beobachten, um nicht überrascht zu werden.

Wie sicher sind die neuen Algorithmen?

Die vom NIST empfohlenen Ersatzalgorithmen für RSA, ECC, ECDSA und andere sind so entwickelt, dass sie gegen klassische und Quantencomputer resistent sind.

Absolute Sicherheit gibt es nie, doch wurden die Algorithmen acht Jahre lang analysiert – deutlich länger als RSA und ECC vor ihrer Einführung. Weniger beruhigend ist, dass ein Algorithmus aus der vierten Runde des NIST-PQC-Wettbewerbs innerhalb von Minuten mit einem Laptop geknackt wurde.

Die aktuellen NIST-standardisierten Algorithmen sind ein Ausgangspunkt, der Prozess ist aber noch nicht abgeschlossen. Neue Algorithmen könnten die aktuellen ersetzen, falls Schwachstellen entdeckt werden oder geeignetere Ansätze entstehen.

Krypto-Agilität und hybride Ansätze

Ein zentrales Konzept ist die „Krypto-Agilität“: Organisationen sollten in der Lage sein, Algorithmen schnell und einfach auszutauschen.

Eine Lösung ist „hybride PQC“, die Herausforderungen wie Unausgereiftheit der Systeme, Abwärtskompatibilität und Interoperabilität adressiert. Beim hybriden Ansatz werden klassische und Post-Quantum-Algorithmen kombiniert – etwa zur Schlüsselgenerierung oder Signaturerstellung. Der Empfänger wählt, welchen Algorithmus er akzeptiert, oder beide werden gemeinsam genutzt: zum Beispiel RSA für die Verschlüsselung des symmetrischen Schlüssels und PQC für die Datenverschlüsselung.

So bleibt die Gesamtsicherheit erhalten, selbst wenn ein Algorithmus kompromittiert wird.

Wie immer empfiehlt sich eine mehrschichtige Sicherheitsinfrastruktur. Wo möglich, sollte Public-Key-Verschlüsselung durch symmetrische Verschlüsselung für besonders sensible Daten ersetzt werden.

„Wir verfolgen einen mehrschichtigen Ansatz bei der Datensicherheit, und es würde daher einen ausgeklügelten Angriff erfordern, um tief genug in unsere Systeme einzudringen, um Daten zu exfiltrieren und zu versuchen, diese zu entschlüsseln“, kommentierte ein DevOps-Ingenieur im Gesundheitswesen. „Wir können es uns leisten, die Entwicklung des Risikos zu beobachten und schrittweise Maßnahmen zur Risikominderung zu ergreifen, um uns selbst und unsere Kundendaten zu schützen.“

Was kostet die Umstellung?

„Wir sind der Ansicht, dass dieser technologische Sprung nicht nur eine Frage zukünftiger Innovation ist, sondern ein drohendes systemisches Risiko“, sagte ein IT-Manager bei einem Technologieunternehmen. „Unser begrenztes Budget lässt uns möglicherweise nicht das erforderliche Niveau an Cybersicherheitsmaßnahmen zu.“

Die Umstellung auf PQC kann tatsächlich teuer werden. Die Kosten entstehen weniger durch die Algorithmen selbst – diese sind kostenlos –, sondern durch die Erkennung und das Upgrade. Die Erkennung umfasst die Identifizierung verwundbarer Algorithmen in TLS, VPNs, APIs, PKI, IoT, Betriebstechnik, Betriebssystemen und Altsystemen.

Die Risikominderung kann Hardware-Upgrades nötig machen, etwa für Sicherheitsmodule, Smartcards, eingebettete Systeme und IoT-Geräte. PQC-Algorithmen verwenden größere Schlüssel, was bei älterer Hardware Probleme verursachen kann.

Große Organisationen müssen eventuell Beratungsunternehmen engagieren und setzen auf kommerzielle Software- und Hardwarelösungen.

Die Kosten lassen sich senken, indem die PQC-Planung an die üblichen Erneuerungszyklen angepasst wird. Viele große Anbieter werden hier ohnehin vorangehen. Hybride PQC-Lösungen sind oft günstiger als ein vollständiger Austausch.

Beeinträchtigt die PQC-Migration den Betrieb?

Die Migration zu PQC sollte für Endnutzer kaum spürbar sein, da sie meist die Transport- und Netzwerkschicht betrifft, nicht die Anwendungen selbst.

Das NCSC erklärt: „Für Nutzer von Standard-IT, wie beispielsweise diejenigen, die Standardbrowser oder -betriebssysteme verwenden, wird die Umstellung auf PQC im Rahmen eines Software-Updates erfolgen und sollte nahtlos verlaufen (im Idealfall, ohne dass die Endnutzer dies überhaupt bemerken).“

Bei maßgeschneiderter IT oder Betriebstechnik müssen die Verantwortlichen hingegen die passenden PQC-Algorithmen und -Protokolle auswählen.

Das bedeutet zusätzlichen Aufwand für Sicherheits- und IT-Teams, die Kompetenzen in Kryptografie, PKI, Lieferantenmanagement, Projektmanagement und Kommunikation brauchen. In großen Organisationen kann die Umstellung Jahre dauern.

Verschiedene Tools zur Erkennung verwundbarer Systeme sind verfügbar (z. B. „Automated Cryptography Discovery and Inventory (ACDI)“ oder „Cryptographic Discovery Tools“).

Für externe Unterstützung führt das NCSC eine Liste geprüfter Beratungsunternehmen.

Was machen die Anbieter?

Die meisten großen Betriebssysteme, Browser und Cloud-Plattformen unterstützen bereits PQC, meist über hybrides TLS und kryptografische Bibliotheken, die entweder standardmäßig aktiviert oder als Option verfügbar sind. Diese Technologien werden in der Produktion genutzt – zum Beispiel in Chrome, Firefox, Apple, Windows, Linux, Cloudflare und Cloud-Plattformen wie Google Cloud, Azure und AWS. Viele Anbieter veröffentlichen mittlerweile eigene PQC-Roadmaps.

Sowohl das britische NCSC als auch das US-amerikanische NIST warnen jedoch: Wer sich nur auf die Anbieter verlässt, geht ein Risiko ein. Aktive Überwachung, Planung und vertragliche Abstimmung sind für die Migration entscheidend. Fehlt einem Anbieter eine Roadmap, sollte dies als Warnsignal verstanden werden.

Was tun die Regierungen?

Regierungsorganisationen wie NCSC, CISA und NIST bieten zahlreiche Leitlinien zu Zeitplänen, Methoden und Technologien – allerdings meist eher allgemein als spezifisch.

Was Anreize betrifft, sind diese meist „Peitsche“ statt „Zuckerbrot“. In der EU sind kritische Organisationen nach NIS2 verpflichtet, „Richtlinien und Verfahren hinsichtlich der Verwendung von Kryptografie und, wo angemessen, Verschlüsselung“ umzusetzen. DORA verlangt von Finanzorganisationen, „Quantenfortschritte“ als kryptografisches Risiko einzubeziehen.

Was sollten Organisationen jetzt tun?

Drei generelle Empfehlungen:

„Auch wenn die Quantentechnologie noch nicht da ist, dauert es in der Regel ewig, neue Technologien und Kryptografie einzuführen“, kommentierte ein IT-Manager im Bereich Unternehmensdienstleistungen. „Die Vorbereitung darauf kann darüber entscheiden, wie schnell wir uns als Organisation an diese Veränderungen anpassen können und auch, welche Anbieter wir auswählen, die diese neuen Standards bereits in ihre Produkte integriert haben.“

Ein IT-Manager bei einem Technologieunternehmen rät: „Die Quantenbedrohung befindet sich in einer heiklen Grauzone: theoretisch real, praktisch noch in weiter Ferne. Geraten Sie also nicht in Panik, aber ignorieren Sie sie auch nicht. Bereiten Sie sich in aller Ruhe vor.“

--

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.