Unternehmen ohne Post-Quantum-Strategie riskieren laut Experten erhebliche Sicherheitslücken. Der sogenannte Quantum Day, an dem Quantencomputer heutige Verschlüsselungen brechen können, könnte bereits bis 2030 eintreten. Die Umstellung auf post-quantum-sichere Systeme ist komplex und dauert Jahre. Dennoch haben viele Organisationen weder Projekte gestartet noch Budgets eingeplant. Eine umfassende Bestandsaufnahme der eingesetzten Kryptografie gilt als erster notwendiger Schritt, um Risiken zu minimieren.
Wenn Unternehmen derzeit kein «Post-Quantum»-Projekt haben, hinken sie hinterher und müssen dringend zumindest eines auf den Weg bringen. Die klügsten Köpfe und Unternehmen der Welt sagen, dass das Risiko des Quantum Days, also des Tages, an dem Quantencomputer die heutigen quantenempfindlichen Verschlüsselungsverfahren (z. B. RSA, Diffie-Hellman, El-Gamal, Elliptic Curve Cryptography usw.) knacken können, bis 2030 größer ist als je zuvor. Ein Unternehmen wird Jahre brauchen, um «post-quantum»-fähig zu werden, wenn bislang nichts getan wurde.
Die ersten Auswirkungen sollten für jede Branche bereits jetzt einsetzen
Jedes Unternehmen, einschließlich jeder Person und jeder Software- und Hardwarekomponente, die mit Strom betrieben wird, muss analysiert und post-quantum-sicher gemacht werden. Das Post-Quantum-Projekt jedes Unternehmens wird wahrscheinlich zu den wichtigsten und aufwendigsten Projekten gehören, an denen das Unternehmen jemals beteiligt sein könnte, und doch haben die meisten Unternehmen ihr Post-Quantum-Projekt noch nicht begonnen oder haben nicht einmal das Budget und den Projektplan dafür auf dem Schirm. Für die meisten Unternehmen wird es sehr bald ein großes Erwachen geben.
Leider bereiten sich die meisten Unternehmen trotz des Hypes nicht angemessen auf das Post-Quantum-Zeitalter vor
Die meisten Unternehmen haben keinerlei Vorstellung davon, wie groß ihr Post-Quantum-Projekt für ihr Unternehmen sein wird. Es wird aufgrund der derzeitigen mangelnden Vorbereitung äußerst disruptiv sein. Die meisten Unternehmen wissen nicht einmal, wo sich ihre kritischen Daten befinden, geschweige denn, welche Art von Kryptografie sie schützt. Jedes Unternehmen muss eine Bestandsaufnahme seiner Datensicherheit durchführen. Es muss herausfinden, welche Kryptografie seine kritischen Daten schützt, wie diese konfiguriert werden kann, was aktualisiert und was ersetzt werden muss. Eine solche Bestandsaufnahme ist an sich schon sehr zeit- und ressourcenintensiv.
Sicherheitsverantwortliche sollten die Geschäftsleitung und den Vorstand über die bevorstehende Quantenbedrohung aufklären, die Unterstützung der Führungsebene gewinnen, ein offizielles Post-Quantum-Projekt mit Budget und dedizierten Ressourcen starten, eine Bestandsaufnahme der Datensicherheit durchführen und herausfinden, was aktualisiert und was ersetzt werden muss. Jedes Unternehmen muss heute seine Einkaufsrichtlinien aktualisieren, um den Kauf von Software und Hardware zu unterbinden, die seine zukünftigen Post-Quantum-Projekte erschweren.
Sicherheitsverantwortliche sollten den Anbieter befragen, ob die Produkte post-quantum-fähig sind, und wenn nicht, wann sie es sein werden.
Autor: Roger Grimes, CISO Advisor bei KnowBe4.
