Quantencomputer machen rasante Fortschritte - und schon bald werden sie leistungsfähig genug sein, um die heutige Verschlüsselung zu knacken. Dies ist nicht nur ein technisches Problem. Es ist eine strategische Herausforderung, die Unternehmen dazu zwingen könnte, den Schutz ihrer Daten, Systeme und ihres Vertrauens zu überdenken.
Um sich auf die Post-Quantum-Sicherheit vorzubereiten, bedarf es mehr als neuer Tools. Sie erfordert Planung, Investitionen und Abstimmung im gesamten Unternehmen. Das bedeutet, dass CISOs und Sicherheitsverantwortliche jetzt mit wichtigen Gesprächen beginnen müssen - insbesondere mit CFOs, CEOs und anderen Entscheidungsträgern, die die Dringlichkeit vielleicht noch nicht erkennen.
Der Schlüssel? Klar kommunizieren. Erklären Sie, was auf dem Spiel steht, ohne die Bedrohung zu übertreiben oder zu viel Fachjargon zu verwenden. Konzentrieren Sie sich auf das Risiko, die Bereitschaft und die langfristige Widerstandsfähigkeit.
Quantencomputing ist kein Problem der Zukunft - es ist ein Problem der Gegenwart. Die Unternehmen, die heute damit beginnen, sich darauf einzustellen, werden morgen führend sein.
In diesem Artikel erfahren Sie, wie Sie die Risiken so kommunizieren können, dass das Verständnis der Führungskräfte, die Budgetanpassung und die proaktive Planung gefördert werden.
Das Problem einrahmen: Es ist eine wichtige Governance-Frage
Um den Business Case zu erstellen, müssen Sie die tiefgreifenden Auswirkungen von PQC auf Ihr Unternehmen erklären und erläutern, wie es mit Fragen der Security Governance zusammenhängt. Das Quantencomputing wird die derzeitigen Sicherheitsmaßnahmen leicht überwinden. So könnte Ihre Public-Key-Infrastruktur (PKI) obsolet werden, und Ihre verschlüsselten Daten könnten gefährdet sein.
Die Hacker warten nicht bis zum Anbruch des Quantencomputerzeitalters. Sie starten Jetzt ernten, später entschlüsseln"-Angriffe bei denen sie verschlüsselte Daten stehlen und sie speichern, bis das Quantencomputing ausgereift ist. Denken Sie nur an die Folgen für das Gesundheitswesen, für Regierungsakten oder für Branchen, die stark auf die Entwicklung geistigen Eigentums angewiesen sind. Ihre Daten, die sie bisher hinter dem Schutz der Verschlüsselung für sicher hielten, könnten leicht aufgedeckt werden.
Diese Verstöße verursachen nicht nur finanzielle Kosten, sondern auch immaterielle Kosten durch die Schädigung des Rufs.
Darüber hinaus könnte die Ära des Quantencomputings neue regulatorische Anforderungen mit sich bringen. Die PQC-Standardisierungsbemühungen des National Institute of Standards and Technology (NIST), die Commercial National Security Algorithm (CNSA) 2.0-Suite der National Security Agency (NSA) und die Zeitpläne von Behörden wie der Cybersecurity Infrastructure and Security Agency (CISA) deuten auf eine Verlagerung hin zu einer obligatorischen Kryptoagilität hin.
Krypto-Agilität bezieht sich auf die Fähigkeiten, die Sie benötigen, um kryptografische Algorithmen für Protokolle, Anwendungen, software, hardware und Infrastrukturen zu ersetzen und anzupassen, ohne laufende Systeme zu unterbrechen, um Ausfallsicherheit zu erreichen.
Bringen Sie die Botschaft auf den Punkt: Über Risikovermeidung sprechen
Es besteht eine sehr reale Gefahr, dass Quantencomputer die millionenschweren Verteidigungsmaßnahmen durchkreuzen und umgehen könnten. Stellen Sie das Quantencomputing als eine vorhersehbare Störung dar, nicht als eine katastrophale Unbekannte. Wenn Sie jetzt handeln, können Sie diese Bedrohung vermeiden.
Sie sollten sich auch darüber im Klaren sein, dass es bei der Post-Quantum-Sicherheit nicht darum geht, alles zu zerschlagen und zu ersetzen. Vielmehr handelt es sich um einen Modernisierungsprozess, der eine Bestandsaufnahme, Priorisierung und Planung über mehrere Jahre hinweg erfordert.
Der beste Zeitpunkt, sich auf das Quantenzeitalter vorzubereiten, war vor drei Jahren. Der zweitbeste Zeitpunkt ist jetzt.
Quantensichere Sicherheit: Technische Risiken übersetzen
Um Führungskräfte von der Notwendigkeit zu überzeugen, sich auf die Sicherheit von Quantencomputern vorzubereiten, sollten Sie die Prioritäten des Vorstands berücksichtigen. Dazu gehören Geschäftskontinuität, Reputation, Compliance und Cyber-Resilienz.
Hier sind vier wichtige Punkte, die Sie in Diskussionen ansprechen sollten:
- Zeitpläne für die Umsetzung
- Datenexposition
- Der Einhaltungshorizont
- Kryptografische Schuld
#1: Zeitpläne für die Umsetzung
Die Implementierung einer quantensicheren Kryptografie ist ein langwieriger Prozess. Es kann zwischen drei und sieben Jahren dauern, bis sie in allen Ihren Systemen implementiert ist. Wenn Sie jetzt beginnen, sind Sie besser für die Herausforderungen der Quantensicherheit gerüstet.
#Nr. 2: Datenexposition
Einige Arten von Daten haben eine lange Haltbarkeit - man denke nur an personenbezogene Daten, Informationen zum Gesundheitswesen und geistiges Eigentum. Aus diesem Grund sind solche Daten ein attraktives Ziel. Selbst wenn sie jetzt verschlüsselt sind, kann die Verschlüsselung mit Hilfe von Quantencomputern leicht geknackt werden. Kriminelle können die Daten jetzt noch nicht lesen, aber sie sind geduldig. Sie wissen, dass es nur eine Frage der Zeit ist, bis die Quanteninformatik Fortschritte macht. Deshalb ist die Methode "Jetzt ernten, später entschlüsseln" so schädlich - es spielt keine Rolle, wie lange es dauert, diese Art von Daten zu entschlüsseln; sie werden auch in den nächsten Jahren noch wertvoll sein.
Je früher Sie diese Daten schützen, desto besser. Sie sind dann weniger anfällig für die "Jetzt ernten, später entschlüsseln"-Angriffe, die Ihren Ruf schädigen.
#Nr. 3: Der Compliance-Horizont
Regierungen und Normungsgremien der Industrie erkennen die Bedrohung der Unternehmenssicherheit durch Quantencomputer. Sie arbeiten an der Verbesserung von Compliance-Regeln und Best Practices. Bei Nichteinhaltung der Vorschriften drohen hohe Geldstrafen und eine potenziell gefährdete Sicherheitslage.
Sie wollen zeigen, dass Sie auf die Herausforderungen der Quantensicherheit vorbereitet sind, indem Sie fortschrittliche Kryptographie einsetzen, die diesen Herausforderungen standhält. Die Vermeidung hoher Bußgelder und einer öffentlichen Blamage kann für Entscheidungsträger ein schlagkräftiges Argument sein. Durch den Nachweis einer starken Cyber-Governance, Risiko und Compliance (GRC) zeigen Sie, dass Sie sich an die besten Governance-Praktiken halten.
#Nr. 4: Kryptografische Schulden
Sie haben schon von technischen Schulden gehört - das ist, wenn Sie ein Produkt ausliefern, bei dem die Geschwindigkeit Vorrang vor zukünftigen Funktionen hat. Es gibt auch kryptografische Schulden. Das ist, wenn die Kryptografie nicht mit der technologischen Entwicklung Schritt hält.
Kryptografische Schulden machen Unternehmen verwundbar. Die Umstellung auf Kryptoagilität bedeutet, dass Ihr Unternehmen besser in der Lage ist, sich gegen künftige kryptografische Herausforderungen wie das Quantencomputing zu verteidigen.
Aufklärung des Vorstands: Die wahren Kosten der Untätigkeit
Als CISO haben Sie eine treuhänderische Pflicht gegenüber dem Unternehmen. Ein Teil dieser Pflicht besteht darin, den Vorstand über die Kosten der Untätigkeit in Bezug auf Quantum Computing aufzuklären. Es gibt potenzielle rechtliche Verpflichtungen und versicherungstechnische Auswirkungen, wenn es zu einem Verstoß aufgrund von Quantencomputing kommt. Selbst wenn die Ernte jetzt eingebracht wird, sind spätere Entschlüsselungsangriffe schädlich, da ein erhebliches Risiko besteht, dass Ihre verschlüsselten Daten nicht mehr geschützt sind.
Inkrementelle Investitionen
Die Entscheidungsträger werden sich fragen : "Wo sollen wir anfangen?" Einige Unternehmen möchten vielleicht sofort voll einsteigen. Für andere sind schrittweise Investitionen in die Post-Quantum-Migration sinnvoller.
Discovery- und kryptografische Inventarisierungstools ermöglichen es Ihnen, alle kryptografischen Ressourcen in Ihrer Umgebung zu verstehen. Diese Aktivitäten können automatisiert werden, um Geschwindigkeit, Effizienz und Genauigkeit zu gewährleisten. Sobald Sie wissen, womit Sie es zu tun haben, können Sie Krypto-Agilitätsinitiativen wie z. B. die Identifizierung von Algorithmen und Änderungsmanagementprozessen.
Dann können Sie fortfahren mit PKI-Modernisierung. Eine moderne PKI bietet Ihnen einen besseren Einblick in Ihren kryptografischen Bestand und ermöglicht so eine effektive Verwaltung Ihrer Ressourcen.
PQC-Ressourcen
Quantencomputing ist kein Problem von morgen. Es ist die Planungsanforderung von heute.
Sie müssen keinen Zeitplan für das Wirken von Quantencomputern vorhersagen, sondern sich nur auf die unvermeidlichen kryptografischen Veränderungen vorbereiten . Wenn Sie jetzt die ersten Schritte in Richtung Krypto-Fähigkeit unternehmen, wird dies Ihre Sicherheit in der Zukunft stärken.
Keyfactor ist der weltweit führende Anbieter von digitalem Vertrauen und quantensicherer Sicherheit. Hier finden Sie einige Ressourcen, die Ihnen helfen, ein kryptografisches Inventar aufzubauen, Krypto-Agilität zu ermöglichen und sich auf die PQC-Migration vorzubereiten.
- Lesen Sie das neue eBook: The CISO's Guide to Cryptographic Risk
- Erkennen Sie Audit-Risiken in Sekundenschnelle mit diesem Spickzettel: Der 30-Sekunden-Kickstart des CISO
- Buchen Sie einen Termin, um Ihre Fragen beantwortet zu bekommen: Hier eine Demo anfordern
