Neue PQC-Bekanntmachung des NIST


PQC-Verschlüsselung – Was die neue Bekanntmachung des NIST für die Umstellung bedeutet
Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden


Von Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor

Das National Institute of Standards and Technology (NIST) hat einen ersten Entwurf zu einem Thema vorgelegt, der Cybersicherheitsverantwortliche aller Unternehmen weltweit in den kommenden Jahren und Jahrzehnten intensiv beschäftigen wird. Sein Titel: "Transition to Post-Quantum Cryptography Standards". Seine Kernaussage: Viele derzeit zugelassene quantencomputeranfällige Verschlüsselungssysteme, wie RSA, ECDSA, EdDSA, DH und ECDH, werden vom NIST ab 2030 als veraltet eingestuft werden, ab 2035 nicht mehr zugelassen sein.

In praktisch allen sensiblen und gefährdeten Bereichen eines Unternehmens kommen heutzutage Verschlüsselungssysteme zum Einsatz: zur Absicherung der im Einsatz befindlichen Software, der digitalen Nutzer- und Maschinenidentitäten, der Netzwerke, des E-Mail- und des allgemeinen Datenverkehrs. Das Problem: Viele der hierbei genutzten Algorithmen basieren auf mathematischen Problemen, die von klassischen Computern nur schwer – mit langer Rechenzeit – von Quantencomputern aber relativ leicht – mit deutlich kürzerer Rechenzeit – gelöst werden können. Das Sicherheitsniveau des globalen digitalen Ökosystems – hiervon ist auszugehen – wird vom Auftauchen der ersten Quantencomputer mit ausreichend Qubits, stark in Mitleidenschaft gezogen werden – sofern es Unternehmen nicht gelingt, ‚rechtzeitig‘ eine Umstellung auf quantensichere Verschlüsselungsverfahren vorzunehmen.

Was bedeute nun die Bekanntmachung des NIST (auch wenn es sich hier ‚nur‘ um einen ersten öffentlichen Entwurf handelt)?
Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden. Die erforderlichen Prozesse müssen eingeleitet werden – nicht irgendwann, sondern jetzt. Der für die Umstellung zur Verfügung stehende Zeitraum scheint auf den ersten Blick lang.
Die meisten Sicherheitsverantwortlichen, das zeigte auch wieder der diesjährige 2024 PKI & Digital Trust Report, gehen fälschlicherweise davon aus, ihre PQC-Umstellung in vier bis sechs Jahren bewältigen zu können. Wer jedoch schon einmal ein Verschlüsselungssystem umgestellt hat, weiß: der Prozess ist komplex und in aller Regel weitaus zeitaufwendiger. Erinnert sei hier nur an die zu Beginn dieses Jahrtausends vom NIST befürwortete Umstellung von SHA-1 auf SHA-2. In vielen Unternehmen hatte sie am Ende mehr als zwölf Jahre in Anspruch genommen.

Sicherheitsverantwortliche und ihre Teams sollten deshalb jetzt mit ihrer Umstellung beginnen – und folgende Aufgaben in Angriff nehmen:

1. Erstellung eines Inventars sämtlicher von einer Umstellung betroffenen Assets und ihrer Zertifikate.

2. Modernisierung der PKI- und Signaturinfrastruktur sowie sämtlicher kryptografischen Bibliotheken, um die Umstellung auf die neuen NIST-standardisierten quantensicheren Algorithmen zu erleichtern.

3. Einsatz von PQC-Laboren, um die mit den neuen Algorithmen ausgestatteten quantensicheren Zertifikate vor ihrer Implementierung eingehend in einer PKI-Sandbox zu testen.

4. Implementierung und Anwendung von PKI/CLM-Lösungen mit leistungsstarken Automatisierungsfunktionen zur Verwaltung und massenhaften Umsetzung der Zertifikatsmigration – sei es durch Orchestrierung oder Protokolle.

Sämtlichen Sicherheitsverantwortlichen kann nur geraten werden, diese Maßnahmen möglichst frühzeitig in die Wege zu leiten. 9 Jahre sind keine lange Zeit. Und was häufig vergessen wird: Nicht wenige Cyberkriminelle sind den Verteidigern längst einen Schritt voraus. Schon heute stehlen sie unbemerkt von der Cybersicherheit massenweise verschlüsselte, sensible Daten und lagern sie ein. Sie können warten und tun es. Darauf, dass ihnen in zehn bis zwanzig Jahren die ersten Quantencomputer zur Verfügung stehen werden. Rückwirkend werden sie dann die entwendeten Daten – darunter mit hoher Wahrscheinlichkeit auch hochsensible Geschäftsdaten – in näheren Augenschein nehmen können. Sicherheitsbeauftragte tun deshalb gut daran, ihre PQC-Umstellung so früh wie möglich in die Wege zu leiten. Ganz wird sich der Schaden nicht verhindern lassen, eindämmen aber zumindest schon. (Keyfactor: ra)

eingetragen: 20.01.25
Newsletterlauf: 28.03.25

Keyfactor: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Security-Tipps und Background-Wissen

  • Hinter den Kulissen der Hacktivisten

    Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.

  • Robuster Disaster-Recovery-Plan erfordert

    Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.

  • Dem Software-Lieferketten-Risiko begegnen

    In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

KI spielte 2024 keine wesentliche Rolle Untersuchungen dauern oftmals lange

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen