<img alt="" src="https://secure.weed6tape.com/193471.png" style="display:none;">
90 Tage CloudHSM kostenlos testen – Erleben Sie Securosys CloudHSM unverbindlich.
Start your Free Trial
Produkte & Lösungen
Produkte & Lösungen
Entdecken Sie unser Portfolio an hochmodernen Cybersicherheitslösungen, in deren Mittelpunkt unsere führenden Hardware-Sicherheitsmodule (HSMs) stehen. Von Verschlüsselung und Schlüsselverwaltung bis hin zu sicherem Zugriff und Authentifizierung - unsere Produkte gewährleisten einen zuverlässigen Schutz für Ihre wichtigsten Daten und Systeme.
menu icon - hsm
Hardware-Sicherheitsmodule
Übersicht Primus HSM Was ist ein HSM? Primus HSM X Cyber Vault Primus HSM X-Series Primus HSM E-Series Primus HSM S-Series Primus HSM Blockchain
menu icon - cloud
Cloud-Lösungen
Securosys CloudHSM Cloud Console Was ist CloudHSM? CloudHSM-Angebote HashiCorp Vault S365 DKE - add-in für Microsoft Bring Your Own Key (BYOK) External Key Store (XKS) Proxy für AWS
menu icon - additional services
Weitere Produkte und Services
Decanus Terminal Transaction Security Broker (TSB) Key Attestation Smart Key Attributes (SKA) Docker Image Security
Partner
Support
Support
menu icon
Support
Online Documentation Support-Portal System-Status Trainings
finance-institution-colourful
Was ist ...?
Was ist ein HSM? Was ist CloudHSM? Was ist BYOK? Was ist das SIC Systeme?
Über uns
Über uns
Erfahren Sie mehr über unseren Auftrag, informieren Sie sich über Karrieremöglichkeiten und nutzen Sie unsere Ressourcen. Entdecken Sie, wie wir die Zukunft der Cybersicherheit mitgestalten und wie Sie daran teilhaben können.
menu icon
Securosys SA
Über uns Veranstaltungen News Karriere
menu icon
Ressourcen
Online Dokumentation Blogartikel Stories und Papers Video Gallery
Kontaktieren Sie uns
  • Es gibt keine Vorschläge, da das Suchfeld leer ist.
Home Blog Vorbereitung auf den Quantensprung: Eine Podiumsdiskussion zur Post-Quanten-Kryptografie-Bereitschaft

Vorbereitung auf den Quantensprung: Eine Podiumsdiskussion zur Post-Quanten-Kryptografie-Bereitschaft

By Martina Alig
Dez 10, 2024

Disclaimer: Zur besseren Lesbarkeit wurde das Original-Transkript in einen Fliesstext umformuliert. Wenn Sie die Podiumsdiskussion in ihrer ursprünglichen Form verfolgen möchten, empfehlen wir Ihnen, die Video-Aufnahme anzusehen.

Die Podiumsdiskussion „Auf dem Sprung ins Quantenzeitalter: Die Dringlichkeit von PQC“ war Teil unseres Securosys Update Events vom 29. Februar 2024. Daran teilgenommen haben Rolf Oppliger, Cybersicherheitsexperte beim NCSC, Tobias Christen, Head of Enterprise Security Architecture beim Migros-Genossenschaftsbund, und Marcel Dasen, VP Engineering bei Securosys. Moderiert wurde die Diskussion von Robert Rogenmoser, CEO von Securosys.

 

Die Experten

Rolf Oppliger ist Berater beim Bundesamt für Cybersicherheit (NCSC) und Titularprofessor an der Universität Zürich im Bereich Sicherheit. Er ist ausserdem Herausgeber einer Buchreihe über Informationssicherheit und insbesondere angewandte Kryptographie beim Artech House Verlag. Sein aktueller Fokus beim NCSC liegt auf Risikomanagement und der Entwicklung heuristischer Verfahren zur Risikoerfassung.

Tobias Christen ist Informatiker mit umfangreicher Erfahrung in der Sicherheitsarchitektur, unter anderem bei Unternehmen wie Novartis, UBS und der Zürich Versicherung. Nach 15 Jahren als Gründer und CEO von DSwiss, einem Anbieter für sichere Datenablage und sicheren Datenaustausch, leitet er seit eineinhalb Jahren die Enterprise Security Architektur beim Migros-Genossenschaftsbund und baut dort mit einem neuen Team eine moderne Sicherheitsarchitektur auf.

Marcel Dasen verfügt über mehr als 20 Jahre Erfahrung in der Entwicklung integrierter Produkte und leitet die Produktentwicklung bei Securosys. In seiner Rolle ist er massgeblich für die Umsetzung innovativer Lösungen verantwortlich, die höchste Sicherheitsstandards erfüllen.

Robert Rogenmoser CEO von Securosys führt durch die Diskussion.

 

Die IT-Landschaft und Sicherheitsstrategie der Migros

Die Diskussion begann mit einem Einblick in das IT-Ökosystem des Migros-Genossenschaftsbundes, das über 3.000 Verkaufsstandorte und mehr als 230 Tochtergesellschaften in Branchen wie Bildung und Gesundheitswesen umfasst. Diese umfangreiche Infrastruktur unterstützt eine Vielzahl von betrieblichen Anforderungen, darunter industrielle Steuerungen und Lagerverwaltung.

Tobias Christen erläuterte, wie die bisherige, dezentralisierte IT-Struktur, bei der jede Tochtergesellschaft ihre Systeme eigenständig verwaltet, Herausforderungen wie Ineffizienzen und hohe Kosten mit sich brachte. Durch die Zentralisierung der IT-Systeme adressiert die Migros diese Probleme, erhöht die Professionalität und senkt die Kosten.

Darüber hinaus hat die Migros bedeutende Fortschritte im Bereich der Cybersicherheit erzielt: Die Einrichtung eines akkreditierten Cyber Defense Centers sowie die Weiterentwicklung des Identity Access Managements (IAM) durch Automatisierung und Zentralisierung gehören zu den zentralen Massnahmen. Diese Bemühungen umfassen auch die Integration von Hardware Security Modules (HSMs) zur Verbesserung der Sicherheit.

 

Quantencomputing: Bedrohungen und Chancen

Die Diskussion wandte sich den Potenzialen und Risiken des Quantencomputings zu. Quantencomputer, die vielversprechend für Optimierungsaufgaben sind, stellen zugleich eine erhebliche Bedrohung für asymmetrische Kryptographie dar, wie Rolf Oppliger betonte.

Rolf Oppliger hob das globale Wettrennen zwischen Nationen und Unternehmen wie Google und IBM hervor, die massiv in die Entwicklung von Quantencomputern investieren. Finanzielle Anreize, darunter Forschungsgelder, treiben diese Fortschritte zusätzlich an. Er und Marcel Dasen betonten, dass symmetrische Algorithmen wie AES mit längeren Schlüsseln sicher bleiben, während klassische asymmetrische Methoden wie RSA und ECC anfällig sind.

Die Experten unterstrichen das kritische Risiko des „Jetzt speichern, später entschlüsseln“-Ansatzes, bei dem Angreifer verschlüsselte Daten speichern, um sie später mit Quantencomputern zu entschlüsseln. Dies verdeutlicht die Dringlichkeit, Post-Quantum-Kryptographie (PQC) einzuführen, um sensible Informationen langfristig zu schützen.

 

Langfristige Datenspeicherung und kryptographische Herausforderungen

Eine der grössten Herausforderungen im Zusammenhang mit Quantencomputern liegt laut Marcel Dasen in der langfristigen Datenspeicherung. Organisationen verlassen sich auf digitale Signaturen zur Sicherstellung der Datenintegrität, doch wenn asymmetrische Kryptographie kompromittiert wird, könnte die Vertrauenswürdigkeit dieser Signaturen zusammenbrechen. Dies würde erfordern, dass Daten neu signiert oder verschlüsselt werden.

Tobias Christen erklärte anhand eines Beispiels aus seiner Zeit bei DSwiss, dass AES 256-verschlüsselte Daten zwar sicher bleiben, die asymmetrischen Schlüssel, die die symmetrischen Schlüssel schützen, jedoch anfällig sind. Er warnte davor, dass digitale Signaturen in naher Zukunft ihre Gültigkeit verlieren könnten, und betonte die Notwendigkeit, Strategien für eine schnelle Ersetzung zu entwickeln.

  

Strategien und Pläne für Post-Quantum-Kryptographie

Die Diskussion wandte sich den Strategien zur Einführung von PQC zu. Das Bundesamt für Cybersicherheit verfolgt die Entwicklungen des NIST, das einen offenen Wettbewerb zur Auswahl postquantenkryptographischer Algorithmen durchführt. Diese Standards sollen, wo möglich, in Systeme integriert werden. Allerdings stellt die Implementierung in Bestandsystemen eine Herausforderung dar, und ein universeller Zeitplan für die Einführung ist noch nicht definiert.

Migros hat derweil proaktiv Schritte in Richtung quantensichere Sicherheit unternommen. Vor zwei Jahren startete das Unternehmen seine PQC-Initiative und richtete ein Kompetenzzentrum ein, um potenzielle Bedrohungen zu bewerten und hybride kryptographische Lösungen zu testen.

In Zusammenarbeit mit IBM Rüschlikon, das eine beeindruckende Roadmap und lokale Expertise im Bereich Quantencomputing bietet, führte Migros Proof-of-Concepts für hybride kryptographische Methoden durch. Dabei wurde deren Anwendbarkeit in Bereichen wie VPNs und digitalen Signaturen geprüft. Ab 2025 plant Migros, ausschliesslich quantensichere Produkte zu kaufen, um den langen Investitionszyklen von IT-Systemen gerecht zu werden.

Tobias hob ausserdem hervor, dass interne Entwicklungsteams auf Krypto-Agilität vorbereitet werden, um Algorithmen bei Bedarf flexibel aktualisieren zu können und so einen nahtlosen Übergang zu PQC zu.

Marcel erläutert, dass hybride Verfahren zwar grössere Schlüssel und mehr Speicherplatz benötigen, was auf technischer Ebene eine grosse Rolle in der Leistungsfähigkeit der Systeme spielt. Im Alltag der Nutzer wird diese Leistungsbeeinträchtigung jedoch kaum spürbar sein.

 

Standardisierung und offene Fragen bei hybriden Methoden

Trotz Fortschritten bleiben Herausforderungen bestehen. Marcel wies darauf hin, dass zwar postquantenkryptographische Algorithmen fertiggestellt sind, die Protokolle für deren Nutzung – etwa in hybrider Verschlüsselung – jedoch noch in der Entwicklung sind. Rolf betonte, dass selbst sichere Algorithmen unsicher sein können, wenn sie falsch implementiert werden.

Marcel stellte ausserdem fest, dass die hybride Verschlüsselung und das Key-Wrapping bisher wenig Beachtung gefunden haben. Während Unternehmen wie Apple und Signal hybride Methoden in geschlossenen Systemen eingeführt haben, wird eine breitere Standardisierung für offene Systeme wie TLS noch Zeit in Anspruch nehmen.

In Bezug auf Zertifizierungsfragen aus dem Publikum erklärte Marcel, dass die Validierung neuer Algorithmen noch in den Anfängen steckt und sich schrittweise entwickeln wird. Er betonte die Bedeutung von Geräten wie HSMs, um grundlegende Sicherheitsstandards während dieses Prozesses sicherzustellen.

 

Die Dringlichkeit der Vorbereitung auf PQC

Die Diskussion endete mit einem Appell zur Dringlichkeit der PQC-Umstellung. Rolf Oppliger betonte, dass Organisationen eine seltene Gelegenheit haben: Zeit, sich vorzubereiten, bevor Quantencomputer in der Lage sind, RSA zu brechen. Er plädierte für eine frühzeitige Anpassung bestehender Standards.

Tobias warnte jedoch davor, dass technologische Fortschritte schneller voranschreiten könnten als erwartet, und forderte Organisationen auf, Daten, die länger als fünf Jahre geschützt werden müssen, bereits jetzt mit quantensicheren Mechanismen zu verschlüsseln.

Marcel hob hervor, dass viele Organisationen noch grundlegende Sicherheitsmassnahmen wie Zugriffskontrollen und Verschlüsselung umsetzen müssen. Diese Prioritäten sollten vor der vollständigen Fokussierung auf PQC angegangen werden.

 

Zentrale Erkenntnisse

Die Experten vermittelten eine klare Botschaft: Quantencomputing birgt sowohl Chancen als auch Bedrohungen. Während symmetrische Kryptographie weitgehend sicher bleibt, stehen asymmetrische Methoden vor erheblichen Herausforderungen. Die Einführung hybrider kryptographischer Lösungen und die Vorbereitung auf PQC sind entscheidend und erfordern sorgfältige Planung sowie langfristige Investitionen.

Auch wenn der Zeitrahmen für Bedrohungen durch Quantencomputing ungewiss ist, muss der Grundstein für eine quantensichere Zukunft bereits heute gelegt werden.

All Blog Articles
By Robert Rogenmoser Nov 29, 2024

4 Möglichkeiten, Ihre Daten in öffentlichen Clouds im Jahr 2024 zu sichern

Businesses embrace public clouds for efficiency, but data security concerns persist. This article proposes strategies for data protection and sovereignty. Read more By Robert Rogenmoser Nov 29, 2024

Securosys: Bereit für das Zeitalter der Post-Quantum-Kryptografie

Discover how Securosys is leading the way in post-quantum cryptography with the launch of the Primus X Cyber Vault, designed to safeguard your data against future quantum threats. Learn how to transition seamlessly to NIST's newly released quantum-safe algorithms and ensure your organization is ready for the post-quantum era. Read more By Robert Rogenmoser Nov 29, 2024

Wie SASE und HSM die Cloud-Sicherheit gemeinsam verbessern

Learn how combining SASE and HSM strengthens cloud security by protecting encryption keys and enabling secure remote access. Read our Blog article! Read more