Sie sind hier: Startseite » IT Security » Security-Tipps, -Hintergründe und -Wissen

Neue PQC-Bekanntmachung des NIST

PQC-Verschlüsselung – Was die neue Bekanntmachung des NIST für die Umstellung bedeutet
Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden

Von Johannes Goldbach, Sales Director DACH & CZ bei Keyfactor

Das National Institute of Standards and Technology (NIST) hat einen ersten Entwurf zu einem Thema vorgelegt, der Cybersicherheitsverantwortliche aller Unternehmen weltweit in den kommenden Jahren und Jahrzehnten intensiv beschäftigen wird. Sein Titel: "Transition to Post-Quantum Cryptography Standards". Seine Kernaussage: Viele derzeit zugelassene quantencomputeranfällige Verschlüsselungssysteme, wie RSA, ECDSA, EdDSA, DH und ECDH, werden vom NIST ab 2030 als veraltet eingestuft werden, ab 2035 nicht mehr zugelassen sein.

In praktisch allen sensiblen und gefährdeten Bereichen eines Unternehmens kommen heutzutage Verschlüsselungssysteme zum Einsatz: zur Absicherung der im Einsatz befindlichen Software, der digitalen Nutzer- und Maschinenidentitäten, der Netzwerke, des E-Mail- und des allgemeinen Datenverkehrs. Das Problem: Viele der hierbei genutzten Algorithmen basieren auf mathematischen Problemen, die von klassischen Computern nur schwer – mit langer Rechenzeit – von Quantencomputern aber relativ leicht – mit deutlich kürzerer Rechenzeit – gelöst werden können. Das Sicherheitsniveau des globalen digitalen Ökosystems – hiervon ist auszugehen – wird vom Auftauchen der ersten Quantencomputer mit ausreichend Qubits, stark in Mitleidenschaft gezogen werden – sofern es Unternehmen nicht gelingt, ‚rechtzeitig‘ eine Umstellung auf quantensichere Verschlüsselungsverfahren vorzunehmen.

Was bedeute nun die Bekanntmachung des NIST (auch wenn es sich hier ‚nur‘ um einen ersten öffentlichen Entwurf handelt)?
Die Umstellung auf Quantenkryptographie kann in Unternehmen nicht länger auf die lange Bank geschoben werden. Die erforderlichen Prozesse müssen eingeleitet werden – nicht irgendwann, sondern jetzt. Der für die Umstellung zur Verfügung stehende Zeitraum scheint auf den ersten Blick lang.
Die meisten Sicherheitsverantwortlichen, das zeigte auch wieder der diesjährige 2024 PKI & Digital Trust Report, gehen fälschlicherweise davon aus, ihre PQC-Umstellung in vier bis sechs Jahren bewältigen zu können. Wer jedoch schon einmal ein Verschlüsselungssystem umgestellt hat, weiß: der Prozess ist komplex und in aller Regel weitaus zeitaufwendiger. Erinnert sei hier nur an die zu Beginn dieses Jahrtausends vom NIST befürwortete Umstellung von SHA-1 auf SHA-2. In vielen Unternehmen hatte sie am Ende mehr als zwölf Jahre in Anspruch genommen.

Sicherheitsverantwortliche und ihre Teams sollten deshalb jetzt mit ihrer Umstellung beginnen – und folgende Aufgaben in Angriff nehmen:

1. Erstellung eines Inventars sämtlicher von einer Umstellung betroffenen Assets und ihrer Zertifikate.

2. Modernisierung der PKI- und Signaturinfrastruktur sowie sämtlicher kryptografischen Bibliotheken, um die Umstellung auf die neuen NIST-standardisierten quantensicheren Algorithmen zu erleichtern.

3. Einsatz von PQC-Laboren, um die mit den neuen Algorithmen ausgestatteten quantensicheren Zertifikate vor ihrer Implementierung eingehend in einer PKI-Sandbox zu testen.

4. Implementierung und Anwendung von PKI/CLM-Lösungen mit leistungsstarken Automatisierungsfunktionen zur Verwaltung und massenhaften Umsetzung der Zertifikatsmigration – sei es durch Orchestrierung oder Protokolle.

Sämtlichen Sicherheitsverantwortlichen kann nur geraten werden, diese Maßnahmen möglichst frühzeitig in die Wege zu leiten. 9 Jahre sind keine lange Zeit. Und was häufig vergessen wird: Nicht wenige Cyberkriminelle sind den Verteidigern längst einen Schritt voraus. Schon heute stehlen sie unbemerkt von der Cybersicherheit massenweise verschlüsselte, sensible Daten und lagern sie ein. Sie können warten und tun es. Darauf, dass ihnen in zehn bis zwanzig Jahren die ersten Quantencomputer zur Verfügung stehen werden. Rückwirkend werden sie dann die entwendeten Daten – darunter mit hoher Wahrscheinlichkeit auch hochsensible Geschäftsdaten – in näheren Augenschein nehmen können. Sicherheitsbeauftragte tun deshalb gut daran, ihre PQC-Umstellung so früh wie möglich in die Wege zu leiten. Ganz wird sich der Schaden nicht verhindern lassen, eindämmen aber zumindest schon. (Keyfactor: ra)

eingetragen: 20.01.25
Newsletterlauf: 28.03.25

Keyfactor: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>

Meldungen: Security-Tipps und Background-Wissen

NIS2: Wer nicht handelt, verspielt wertvolle Zeit
Das vorläufige Scheitern des laufenden Gesetzgebungsverfahrens zum NIS2-Umsetzungsgesetz in dieser Legislaturperiode sorgt derzeit für Schlagzeilen und Verunsicherung. Für die meisten Unternehmen besteht dazu jedoch kein Anlass. Nur etwa ein Prozent der Unternehmen sind in Deutschland direkt betroffen, durch ihre Einbindung in die Lieferkette können es insgesamt bis zu sieben Prozent sein.
Generationenkonflikt der IT-Security
Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.
KI-Romance Scams brechen nicht nur Herzen
Die Researcher von Tenable warnen, dass Romance Scams nach wie vor eine ernstzunehmende Bedrohung darstellen. Die Schadenssummen können mitunter enorm sein: In Niedersachsen etwa gebe es Opfer, die mehrere 10.000 Euro durch Romance Scams verloren hätten, so das dortige LKA. Die Scammer nutzen Dating-Apps und Messenger, um Kontakt zu ihren Opfern aufzunehmen, die auf Partnersuche sind.

KI spielte 2024 keine wesentliche Rolle Untersuchungen dauern oftmals lange