Thomas Watson, Präsident von IBM im Jahr 1943, sagte einst berühmt-berüchtigt: „Ich denke, es gibt einen Weltmarkt für vielleicht fünf Computer.“ Selbst die Scharfsinnigsten unter uns können also bei Zukunftsprognosen schwer danebenliegen. Doch die technologisch Interessierten wollen diesen Fehler vermeiden – und bereiten sich jetzt auf eine Welt vor, die in nicht allzu ferner Zukunft Quantencomputer umfassen wird. Der Schlüssel dazu: schon heute Pläne für Post-Quanten-Kryptografie aufstellen.

Was ist Post-Quanten-Kryptografie (PQC)?

Auch wenn Quantencomputer noch in der Entwicklung sind, wird ihre Existenz innerhalb der nächsten 10 bis 15 Jahre erwartet – oder sogar früher, falls technologische Durchbrüche den Prozess beschleunigen. Diese Computer sind deutlich leistungsfähiger als ihre klassischen Vorgänger, da sie Quantenphänomene wie Superposition und Verschränkung nutzen, um wesentlich schneller zu arbeiten.

Das Ergebnis? Computer, die eine ernste Gefahr für Ihre bisher sicher verschlüsselten Daten darstellen.

Die Post-Quanten-Kryptografie (PQC) will dieses Problem lösen, indem sie schon jetzt quantensichere Verschlüsselung einführt. Man kann es mit der Semmeringbahn vergleichen – der ersten Eisenbahnlinie, die über die Alpen führte. Als der Bau 1848 begann, gab es noch keine Lokomotive, die diese Strecke hätte bewältigen können. Dennoch wurde sie gebaut, in der Gewissheit, dass sie bald verfügbar sein würde.

Warum sind SSL-Zertifikate betroffen?

Secure Sockets Layer (SSL) ist eine Sicherheitstechnologie, die eine verschlüsselte Verbindung zwischen einem Server und einem Client herstellt. Die Daten werden während der Übertragung über das HTTPS-Protokoll verschlüsselt. Danach gilt:

1. Sichere Verbindung: Wird die Verbindung erfolgreich aufgebaut, können die Daten des Nutzers nicht von Dritten abgefangen werden.

2. Unterbrochene Verbindung: Wird die Verbindung gestört, wird das SSL-Protokoll deaktiviert.

SSL verwendet derzeit eine Kombination aus vier wichtigen gängigen Verschlüsselungsstandards:

• RSA (Rivest-Shamir-Adleman): Asymmetrische Verschlüsselung, die auf der mathematischen Schwierigkeit basiert, große Primzahlen zu faktorisieren, und für die sichere Datenübertragung eingesetzt wird.

• ECC (Elliptic Curve Cryptography): Asymmetrische Verschlüsselung, die ähnliche Sicherheit wie RSA bietet, aber effizienter ist, da sie kleinere Schlüsselgrößen nutzt.

• AES (Advanced Encryption Standard): Symmetrischer Verschlüsselungsstandard, der vor allem für die Sicherung von Daten im Transit und im Ruhezustand verwendet wird (128-, 192- oder 256-Bit-Schlüssel).

• TLS (Transport Layer Security): Protokoll, das verschiedene Verschlüsselungsalgorithmen zur Absicherung von Kommunikationsverbindungen wie dem Internet nutzt.

Diese Standards sind so sicher, weil klassische Computer zwischen tausend und einer Milliarde Jahre – oder länger – benötigen würden, um sie zu knacken.

Quantencomputer könnten je nach Größe und Leistung dafür jedoch nur Minuten brauchen.

Darüber hinaus besteht schon heute ein Risiko: Manche Daten bleiben über viele Jahre hinweg relevant. Cyberkriminelle könnten diese Daten jetzt stehlen, um sie zu einem späteren Zeitpunkt mit Quantencomputern zu entschlüsseln. Diese Strategie ist als „Harvest Now, Decrypt Later“ bekannt – vielleicht nicht relevant für die Aktienkurse der nächsten Woche, aber sehr wohl für den Zugang zu langfristigen Investitionen, Bitcoin-Schlüsseln und ähnlichen Daten.

PQC-Zeitplan und aktuelle Standards

Um auf eine Welt mit Quantencomputern vorbereitet zu sein, hat das National Institute of Standards and Technology (NIST) einen endgültigen Satz von Verschlüsselungswerkzeugen veröffentlicht, die einem Angriff mit Quantencomputern standhalten können.

Diese Standards – bestehend aus Verschlüsselungsalgorithmen, Anwendungshinweisen und Einsatzbereichen – wurden in Zusammenarbeit mit Kryptografie-Experten aus aller Welt entwickelt.

Derzeit wurden vier quantenresistente Algorithmen ausgewählt, die jeweils für einen von zwei Hauptanwendungsfällen genutzt werden – allgemeine Verschlüsselung und digitale Signaturen:

• ML-KEM (früher CRYSTALS-Kyber): Für allgemeine Verschlüsselung, etwa zur Absicherung von Websites, dank hoher Geschwindigkeit und vergleichsweise kleiner Schlüsselgrößen.

• ML-DSA (früher CRYSTALS-Dilithium): Für digitale Signaturen zur Identitätsprüfung – von NIST als primärer Algorithmus empfohlen.

• FALCON: Ebenfalls für digitale Signaturen zur Identitätsprüfung, wenn kleinere Signaturen als bei ML-DSA benötigt werden.

• SLH-DSA (früher SPHINCS+): Größer und langsamer als die anderen beiden, dient jedoch als Backup, da es auf einer anderen mathematischen Grundlage basiert.

Die Echtwelt-Einführung von PQC-fähigen Zertifikaten wird voraussichtlich Jahre dauern, wobei Hochrisikofälle wahrscheinlich bis spätestens 2030 priorisiert umgestellt werden.

Da die Umsetzung nicht über Nacht erfolgen kann, ist es sinnvoll, vorerst hybride Zertifikate zu verwenden, die sowohl klassische als auch PQC-Algorithmen nutzen. Diese Krypto-Agilität ermöglicht nicht nur eine schrittweise Migration, sondern auch umfassende Tests, um sicherzustellen, dass keine Probleme auftreten.

Was sollten Unternehmen jetzt tun?

Ein Schritt-für-Schritt-Ansatz für den PQC-Übergang ist der strategischste Weg, um sicherzustellen, dass Ihr Unternehmen nicht unvorbereitet bleibt:

1. Bestandsaufnahme und Prüfung:
   Erstellen Sie eine Inventur Ihrer kryptografischen Assets, wie Schlüssel und Zertifikate. Analysieren Sie Ihre Systeme, um kritische Bereiche zu priorisieren. Unser gratis SSL-Audit kann Ihnen dabei helfen.

2. Kurzfristige Übergangslösungen:
   Verwenden Sie vorerst kurzlebige Zertifikate, z. B. mit einer Laufzeit von einem Jahr oder 90 Tagen. So bleiben Sie während der Übergangsphase flexibel und vermeiden langfristige Bindungen an bald veraltete Standards.

3. Expertenunterstützung:
   Ziehen Sie in Betracht, mit SSL-Anbietern wie BrandShelter zusammenzuarbeiten, die Sie bei der PQC-Umstellung unterstützen, den Lebenszyklus von PQC-fähigen Zertifikaten verwalten und Ihre Systeme an die neuen Standards anpassen können, sobald es soweit ist.

Wie unterstützt BrandShelter den PQC-Übergang?

Es ist wichtig zu wissen, dass sich mit der Einführung von PQC auch der Lebenszyklus von SSL-Zertifikaten ändern wird: Statt der bisherigen Erneuerung alle 398 Tage bewegt sich die Branche nun auf einen deutlich kürzeren Zyklus von 47 Tagen zu. Der Grund ist klar: Das Zeitfenster, in dem ein kompromittiertes Zertifikat Schaden anrichten kann, wird drastisch verkürzt. Häufigere Überprüfungen wie diese verringern das Risiko von Identitätsdiebstahl und langfristigen Schäden.

Diese Argumentation ist schlüssig – bedeutet jedoch auch, dass die Überwachung von SSL-Erneuerungen jetzt noch wichtiger und deutlich häufiger geworden ist. BrandShelter bietet Ihnen hierfür Fachwissen und Tools zur Verwaltung des gesamten SSL-Lebenszyklus, einschließlich Funktionen zur Nachverfolgung Ihrer Erneuerungstermine.

Wir wissen nicht genau, wann Quantencomputer verfügbar sein werden. Aber wir wissen, dass jetzt der beste Zeitpunkt ist, Ihre digitale Sicherheit zukunftssicher zu machen. Wer frühzeitig handelt – statt auf gesetzliche Vorgaben oder einen Vorfall zu warten – kann sicher sein, dass er auf die Post-Quanten-Realität vorbereitet ist, wenn sie eintritt.

Machen Sie den ersten Schritt – mit einem kostenlosen SSL-Audit

Der Übergang zur Post-Quanten-Kryptografie ist nicht nur eine Vorbereitung auf die Zukunft – er schützt auch Ihre heutigen Daten. Der erste Schritt besteht darin, genau zu verstehen, wo Sie aktuell stehen. BrandShelter bietet Ihnen ein kostenloses SSL-Audit, das Ihnen einen klaren Überblick über Ihre bestehenden Zertifikate, deren Lebenszyklen und mögliche Schwachstellen verschafft.

Auf dieser Grundlage können wir gemeinsam einen Plan für die Einführung quantensicherer Verschlüsselung entwickeln – bevor die Zeit abläuft.

Artikel teilen