Illustration Absmeier Genki Bing ©

IT-Führungskräfte sehen dringenden Bedarf nach Investitionen zur Planung quantensicherer Methoden — Mängel bei Zuständigkeiten sowie fehlende Budgets und Unterstützung durch die Geschäftsleitung sind die größten Hindernisse.

DigiCert hat die Ergebnisse einer weltweiten Studie veröffentlicht, die den Umgang von Unternehmen mit Bedrohungen durch Post-Quanten-Computing sowie daraus resultierende Sicherheitsmaßnahmen und -vorbereitungen untersucht. Die befragten IT-Verantwortlichen zeigen sich demnach besorgt, ob sie rechtzeitig adäquate Vorbereitungen treffen können. Hindernisse wie fehlende Zuständigkeiten, begrenzte Budgets und mangelnde Unterstützung durch die Geschäftsleitung erschweren die Planung.

Quantencomputer nutzen die Gesetze der Quantenmechanik, um Aufgaben zu lösen, die für klassische Rechner zu komplex sind. Durch Quantencomputing lassen sich hochkomplexe Berechnungen deutlich schneller bewältigen und bisher eingesetzte Verschlüsselungsverfahren knacken, so dass Risiken für die Daten- und Benutzersicherheit enorm steigen. Post-Quanten-Kryptographie (Post Quantum Cryptography, PQC) wiederum bezeichnet ein Teilgebiet der Kryptographie, das sich mit kryptographischen Primitiven befasst, die selbst unter Verwendung von Quantencomputern praktisch nicht zu entschlüsseln sind.

»Post-Quanten-Kryptographie ist ein technischer Durchbruch, auf den sich IT-Verantwortliche jetzt vorbereiten müssen. Zukunftsorientierte Unternehmen, die in Krypto-Agilität investieren, verbessern ihre Ausgangsposition beim Übergang zu quantensicheren Algorithmen, wenn die endgültigen Standards im Jahr 2024 veröffentlicht werden«, sagte Amit Sinha, CEO von DigiCert.

Wichtige Ergebnisse

Das Ponemon Institute befragte 1.426 IT- und IT-Sicherheitsexperten in den USA (605), EMEA (428) und im asiatisch-pazifischen Raum (393), die mit den Folgen von Post-Quanten-Kryptographie für ihre Unternehmen befasst sind.

Zentrale Erkenntnisse der von DigiCert finanzierten Studie:

• 61 Prozent der Befragten geben an, dass ihre Organisationen sich nicht mit den Auswirkungen von »Post Quantum Cryptography« (PQC) auf die Sicherheit beschäftigt haben.
• Fast die Hälfte der Befragten (49 Prozent) konstatiert, dass sich die Geschäftsführer im Unternehmen der Auswirkungen von Quantencomputing auf die Sicherheit nur wenig (26 Prozent) oder gar nicht bewusst (23 Prozent) sind.
• Nur 30 Prozent der Befragten geben an, dass ihre Unternehmen Budgets für die PQC-Bereitschaft zur Verfügung stellen.
• 52 Prozent der Befragten erklären, dass ihre Unternehmen derzeit eine Bestandsaufnahme der verwendeten Kryptographiemethoden und -verfahren durchführen.

Herausforderungen für Unternehmen beim sicheren Übergang zur Quantencomputing-Zukunft

Zu den wichtigsten Erkenntnissen der Studie zählt, dass IT-Sicherheitsteams einen Spagat zwischen der vorausschauenden Abwehr von Cyberangriffen auf ihre Unternehmen und der gleichzeitigen Vorbereitung auf eine Zukunft nach Quantencomputing schaffen müssen. Nur 50 Prozent der Befragten geben indes an, dass ihre Unternehmen bei der Minderung von Risiken, Schwachstellen und Angriffen im gesamten Unternehmen sehr effektiv sind. Ransomware und der Diebstahl von Anmeldeinformationen zählen dabei zu beiden häufigsten Cyberangriffen.

In der Studie geben 41 Prozent der Teilnehmer an, dass ihr Unternehmen weniger als fünf Jahre Zeit für eine erfolgreiche Umsetzung habe, es aber an Zeit, Geld und Fachwissen mangele. Demnach verfügten aktuell nur 30 Prozent der Befragten über gesonderte Budgets für die PQC-Bereitschaft.

Bei den Merkmalen und Speicherorten ihrer kryptographischen Schlüssel tappen viele Unternehmen im Dunkeln. Nur etwas mehr als die Hälfte der Befragten (52 Prozent) bestätigt, dass im Unternehmen eine Bestandsaufnahme der verwendeten Arten von Kryptographieschlüsseln und ihrer Eigenschaften durchgeführt wird. Lediglich 39 Prozent der Befragten geben an, dass sie kryptographische Ressourcen priorisieren, und nur 36 Prozent der Befragten wissen, ob diese Daten lokal oder in der Cloud gespeichert sind.

Wenige Unternehmen verfügen über eine zentralisierte Krypto-Management-Strategie, die im gesamten Unternehmen einheitlich angewendet wird. Laut 61 Prozent der Befragten verfügten ihre Unternehmen nur über eine begrenzte Krypto-Management-Strategie, die auf bestimmte Anwendungen oder Anwendungsfälle (36 Prozent) begrenzt ist. Bei 25 Prozent der untersuchten Organisationen fehlt sie ganz.

Zum Schutz von Informationsressourcen und IT-Infrastrukturen müssen Unternehmen den Einsatz kryptographischer Lösungen und Methoden effektiver umsetzen. Die meisten Befragten geben allerdings zu, dass ihre Unternehmen nicht in der Lage sind, Best Practices und Richtlinien unternehmensweit durchzusetzen, bzw. den Missbrauch von Zertifikaten/Schlüsseln erkennen und darauf reagieren zu können. Außerdem ließen sich Algorithmusfehler nicht korrigieren, Sicherheitsverletzungen nicht beheben und unerwünschte Zertifikate nicht verhindern.

Unternehmen erkennen, dass ihnen das Fachwissen fehlt, um den Post-Quantum-Anforderungen aktiv begegnen zu können. Die Einstellung und Bindung von qualifiziertem Personal genießt daher höchste strategische Priorität für die digitale Sicherheit, sagen 55 Prozent der Studienteilnehmer. Für 51 Prozent der Befragten stellt das Erreichen von Krypto-Agilität — also die Fähigkeit zur effizienten Aktualisierung von kryptographischen Algorithmen, Parametern, Prozessen und Technologien — eine wichtige Voraussetzung dar, um auf neue Protokolle, Standards und Sicherheitsbedrohungen besser reagieren zu können, einschließlich der Nutzung von Quantencomputing-Methoden.

Zur Vorbereitung auf die Quantencomputing-Ära benötigen Unternehmen demnach eine umfassende Strategie, die von der Unterstützung durch die Geschäftsleitung sowie Transparenz beim Einsatz kryptographischer Schlüssel und IT-Assets bis zum zentralen Krypto-Management-Strategien reicht. Dieser Ansatz muss konsistent im gesamten Unternehmen mit klaren Zuständigkeiten und Verantwortlichkeiten angewendet werden.

[1] Weitere Informationen zur Studie und ein kostenloses Exemplar finden Sie unter dem Link Preparing for a Safe Post Quantum Computing Future: https://www.digicert.com/campaigns/pqc-study