Die Cybersicherheit steht vor einer umfassenden Überholung. Die US-Regierung hat einen Satz von Standards finalisiert, um Internetkommunikation vor Angriffen durch zukünftige Quantencomputer zu schützen, die die meisten aktuellen digitalen Schutzmaßnahmen wirkungslos machen könnten.
Die Richtlinien umfassen einen Algorithmus zur sicheren Kommunikation durch Verschlüsselung und zwei Algorithmen für digitale Signaturen, die verhindern, dass Hacker einen bekannten Benutzer oder ein bekanntes Gerät nachahmen. Es wird erwartet, dass sie global übernommen werden. Das US-amerikanische National Institute of Standards and Technology (NIST) in Gaithersburg, Maryland, hat die drei Algorithmen durch einen Prozess ausgewählt, der 2016 begann und die Hilfe von Kryptographiespezialisten weltweit in Anspruch nahm. NIST hatte eine vorläufige Auswahl von vier Algorithmen im Jahr 2022 angekündigt und hat jetzt die Standards für drei von ihnen finalisiert.
„Es ist großartig zu sehen, dass sie endlich veröffentlicht wurden“, sagt Peter Schwabe, ein kryptografischer Ingenieur am Max-Planck-Institut für Sicherheit und Datenschutz in Bochum, Deutschland, der drei der vier Systeme entworfen hat.
„Diese finalisierten Standards enthalten Anweisungen zu deren Integration in Produkte und Verschlüsselungssysteme“, sagt Dustin Moody, ein Mathematiker bei NIST, der die Standardisierungsbemühungen leitet. „Wir ermutigen Systemadministratoren, sofort mit der Integration in ihre Systeme zu beginnen, da die vollständige Integration Zeit in Anspruch nehmen wird.“
Daten sicher halten
Digitale Kommunikation und Transaktionen wie Online-Shopping basieren fast universell auf einem kleinen Satz von Algorithmen für Public-Key-Kryptographie. Diese Systeme ermöglichen es zwei Parteien, Informationen sicher auszutauschen. Jede Partei hat einen eigenen öffentlichen Schlüssel, eine Sequenz von Zahlen, die sie jedem geben, der ihnen eine Nachricht senden möchte. Der Empfänger kann die Nachricht dann mit einem privaten Schlüssel entschlüsseln, den nur er kennt.
Aber aktuelle Public-Key-Systeme sind bekannt dafür, anfällig für Entschlüsselung mit einem von Peter Shor, einem Mathematiker, der heute am Massachusetts Institute of Technology in Cambridge tätig ist, entwickelten Quantenalgorithmus zu sein. Im Jahr 1994 – zu einer Zeit, als nicht einmal die rudimentärsten Quantencomputer existierten und als die Internetkommunikation gerade erst begann, mainstream zu werden – zeigte Shor, dass solche Maschinen schnell in der Lage sein würden, die beliebtesten Public-Key-Systeme zu knacken. Dadurch könnten auch Geräte wie Kreditkarten und Sicherheitspässe einem Hackingrisiko ausgesetzt sein.
Dreißig Jahre später haben die Bemühungen, Quantencomputer zu bauen, große Fortschritte gemacht, aber die Maschinen sind immer noch mindestens ein Jahrzehnt davon entfernt, Shors Algorithmus auf etwas anderes als Zahlen mit einigen Stellen auszuführen. Dennoch haben Shor und andere vor Complacency gewarnt.
Der von NIST ausgewählte neue Verschlüsselungsalgorithmus heißt CRYSTALS-Kyber. Schwabe und seine Mitarbeiter haben ihn aus einer Technik entwickelt, die erstmals 2005 von dem Informatiker Oded Regev an der New York University vorgeschlagen wurde. Schwabe sagt, dass die Bereitstellung in den Anwendungen, die den meisten Benutzern vertraut sind – Internet-Browsing und Smartphone-Apps -, relativ reibungslos verlaufen sollte. „Browser werden schnell migrieren, ebenso wie Messaging-Apps und Videokonferenzsysteme“, sagt er. Es könnte länger dauern, bis die Entwickler kleiner Internet- oder WiFi-verbundener Geräte aufholen, fügt er hinzu.
Obwohl CRYSTALS-Kyber gegen Angriffe von Quantencomputern resistent sein sollte, sind keine der bestehenden Public-Key-Algorithmen – einschließlich der drei von NIST ausgewählten – mathematisch als vollständig sicher erwiesen, und Forscher werden weiter an Alternativen arbeiten, für den Fall. NIST selbst evaluiert „zwei weitere Algorithmengruppen, die eines Tages als Backup-Standards dienen könnten“, sagte das Institut in einer Erklärung.
Obwohl die NIST-Ankündigung dies nun offiziell gemacht hat, gibt es „post-quantum“-Algorithmen schon seit Jahren. Einige Unternehmen wie Cloudflare und IBM haben bereits begonnen, sie in ihre Systeme zu integrieren, während andere langsamer waren, sich anzupassen. „Viele Organisationen haben die Arbeit an der post-quantum-Migration noch nicht begonnen und verweisen auf den Mangel an Standards – eine Situation, die als Kryptoprokrastination bezeichnet wurde“, schrieb Bas Westerbaan, ein Mathematiker bei der Internetdienstleistungsfirma Cloudflare, in einem Blogbeitrag im letzten Jahr. Sicherheitsspezialisten hoffen, dass die NIST-Ankündigung die meisten anderen Organisationen nun dazu bewegen wird, mit dem wahrscheinlich langwierigen und komplizierten Übergang zu beginnen.
Hintergrundinformationen zur Cybersicherheit
Die Cybersicherheit ist in den letzten Jahrzehnten zu einem kritischen Bereich für Unternehmen, Regierungen und Einzelpersonen geworden. Mit der rasanten Entwicklung des Internets und der Digitalisierung von Dienstleistungen sind die Bedrohungen durch Cyberangriffe gestiegen. Hacker, Malware und andere Bedrohungen können schwerwiegende Folgen für die Datensicherheit, den finanziellen Verlust und das Vertrauen der Verbraucher haben. Die Notwendigkeit robuster Sicherheitsmaßnahmen hat zur Entwicklung von Verschlüsselungstechnologien geführt, die die Integrität und Vertraulichkeit von Daten gewährleisten.
Die Einführung von Quantencomputern stellt jedoch eine grundlegende Herausforderung für bestehende Sicherheitssysteme dar. Während traditionelle Computer Informationen sequenziell verarbeiten, können Quantencomputer durch ihre Fähigkeit zur gleichzeitigen Verarbeitung massive Mengen an Daten viel schneller Berechnungen durchführen. Diese Technologie könnte in der Lage sein, aktuelle Verschlüsselungsalgorithmen zu knacken, was einen Paradigmenwechsel in der Cybersicherheit erfordert.
Aktuelle Statistiken zur Cyberkriminalität
Die Bedrohung durch Cyberkriminalität wächst stetig. Laut dem Bericht des IBM Security beträgt die durchschnittliche Kosten eines Datenlecks im Jahr 2023 weltweit etwa 4,45 Millionen US-Dollar. Diese Kosten umfassen sowohl direkte als auch indirekte Auswirkungen wie verlorene Kunden und Vertrauensverlust.
Eine Umfrage von PwC ergab, dass 44 % der befragten Unternehmen in den letzten zwei Jahren mindestens einmal mit einem Cyberangriff konfrontiert waren. Dies verdeutlicht die Dringlichkeit, wirksame Sicherheitsmaßnahmen zu implementieren und auf neue Technologien wie Post-Quanten-Kryptographie umzusteigen.
Expertise im Bereich Quantenkryptographie
Fachleute auf dem Gebiet der Quantenkryptographie betonen die Notwendigkeit eines proaktiven Ansatzes in der Cybersicherheit. Dr. Peter Schwabe vom Max-Planck-Institut weist darauf hin, dass die Einführung von post-quanten-kryptografischen Algorithmen nicht nur eine Reaktion auf zukünftige Bedrohungen darstellt, sondern auch eine notwendige Maßnahme ist, um bestehende Sicherheitsprotokolle zu stärken.
Zudem erklärt Dustin Moody vom NIST: „Es ist entscheidend, dass Organisationen den Übergang jetzt einleiten, bevor es zu spät ist.“ Experten fordern Unternehmen auf, sich nicht nur auf die Veröffentlichung neuer Standards zu verlassen, sondern auch ihre bestehenden Systeme regelmäßig zu überprüfen und anzupassen.
Globale Reaktionen auf Post-Quanten-Kryptographie
Die Entwicklungen im Bereich der post-quanten-kryptographischen Standards finden weltweit Beachtung. Länder wie Deutschland haben bereits Initiativen gestartet, um sicherzustellen, dass nationale Infrastrukturen und kritische Systeme robust gegen zukünftige Angriffe sind. Die EU hat ebenfalls begonnen, Richtlinien zur Unterstützung dieser Transition zu entwickeln.
Zahlreiche Unternehmen integrieren bereits alternative Algorithmen in ihre Sicherheitsstrategien. So berichtete Cloudflare, dass sie aktiv an der Migration auf neue kryptographische Standards arbeiten und Testläufe für ihre Systeme durchführen.
Dabei wird oft betont, dass ein globaler Standard notwendig ist, um die Interoperabilität zwischen verschiedenen Systemen sicherzustellen und das Risiko einer Fragmentierung im Bereich der digitalen Sicherheit zu vermeiden.