Quantencomputer könnten heutige kryptografische Verfahren früher bedrohen als angenommen. Besonders für Speichersysteme entsteht dadurch Handlungsdruck. Unternehmen sollten den Übergang zu Post-Quantum-Kryptografie (PQC) nach Ansicht von Dell Techn
ies aber nicht als einmaliges Technik-Upgrade, sondern als langfristigen Transformationsprozess verstehen.
Quantencomputing gilt als eine der wichtigsten Zukunftstechniken, stellt aber auch ein erhebliches Risiko für die Cybersicherheit dar. Quantencomputer könnten künftig aktuelle Verschlüsselungsverfahren brechen – und das eventuell schon früher als gedacht. „Neuere Forschungsergebnisse zeigen, dass möglicherweise deutlich weniger leistungsfähige Quantencomputer dafür ausreichen, um heute weit verbreitete kryptografische Verfahren zu knacken, als ursprünglich angenommen“, erläutert Steve Kenniston, Senior Cybersecurity Consultant bei Dell Technologies. „Deshalb sind Unternehmen gut beraten, sich frühzeitig mit Post-Quantum-Kryptografie (PQC) auseinanderzusetzen, also neuen kryptografischen Verfahren, die auch gegenüber Quantencomputer-Angriffen resistent sind.“
Cyberkriminelle bereiten sich ohnehin schon auf den Einsatz von Quantencomputern vor und führen so genannte „Harvest Now, Decrypt Later“-Angriffe durch: Sie erbeuten verschlüsselte Daten in der Erwartung, diese in Zukunft entschlüsseln zu können. Dieses Risiko ist insbesondere für die Speichersysteme von Unternehmen relevant, denn dort befinden sich langlebige Daten wie Backups, Archive, Compliance-Aufzeichnungen oder geistiges Eigentum, die für Jahrzehnte erhalten bleiben sollen. Wenn sie heute erbeutet werden, könnte ihre zukünftige Vertraulichkeit gefährdet sein.
Quantencomputing bedroht Speichersysteme aber nicht nur durch die Entschlüsselung von Daten. Sollten heutige kryptografische Verfahren durch Quantencomputer gebrochen werden, könnten Angreifer auch digitale Signaturen fälschen. Sie bilden die Grundlage für die Validierung von Firmware, sichere Bootvorgänge, Software-Updates und Zertifikatsketten. Werden sie gefälscht, können Kriminelle bösartige Firmware einschleusen oder vertrauenswürdige Update-Mechanismen kompromittieren und dadurch die Integrität und Authentizität gesamter IT-Infrastrukturen gefährden.
„Unternehmen sollten sich frühzeitig auf die Umstellung ihrer Speicherplattformen auf Post-Quantum-Kryptografie vorbereiten“, empfiehlt Kenniston. „Dabei müssen sie sich aber bewusst machen, dass es sich nicht um ein klassisches Technik-Upgrade handelt. Sie können nicht einfach PQC-fähige Systeme einführen und das Problem damit als gelöst betrachten. Stattdessen ist ein langfristiger und sich entwickelnder Transformationsprozess erforderlich.“
Das liegt zum einen daran, dass sich die kryptografischen Grundlagen noch verändern. Neue Verfahren werden standardisiert, bestehende Ansätze weiterentwickelt und Sicherheitsbewertungen können sich im Laufe der Zeit wandeln. Zum anderen bilden Speicherplattformen Ökosysteme aus Controllern, Laufwerken, Firmware, Prozessoren, Netzwerk und Software, die zum Teil von verschiedenen Zulieferern stammen. Diese Zulieferer und ihre Komponenten werden neue kryptografische Verfahren voraussichtlich zu unterschiedlichen Zeitpunkten unterstützen.
„Die beste Strategie ist deshalb kryptografische Agilität“, erklärt Cybersecurity-Experte Kenniston. „Unternehmen benötigen die Fähigkeit, kryptografische Verfahren und Sicherheitsmechanismen über den gesamten Lebenszyklus ihrer Speicherplattformen hinweg flexibel anpassen und weiterentwickeln zu können.“ Das gelingt mit Architekturen, die so gestaltet sind, dass neue kryptografische Verfahren schrittweise eingeführt, bestehende Mechanismen ersetzt und hybride Ansätze unterstützt werden, bei denen klassische und Post-Quantum-Kryptografie parallel genutzt werden. Gleichzeitig müssen sicherheitskritische Funktionen wie Firmware-Validierung, Signaturmechanismen, Zertifikate oder Schlüsselmanagement aktualisierbar bleiben, ohne komplette Systeme austauschen zu müssen.
Kenniston: „PQC-Fähigkeit ist nicht der einmalige Status eines Systems, sondern die langfristige Möglichkeit, flexibel auf neue Standards, technische Entwicklungen und veränderte Bedrohungslagen reagieren zu können.“