Verfasst von Keyfactor, mit Gastautor Steve Orrin, Intel
Die meisten Diskussionen über Post-Quanten-Kryptografie (PQC) beginnen an denselben Stellen: Rechenzentren, Cloud-Workloads, Anwendungen und Netzwerkinfrastruktur.
Aber das ist nicht der einzige Ort, an dem sich alles befindet.
Es gibt noch einen weiteren Bereich, in dem Kryptografie ständig zum Einsatz kommt, tief verwurzelt ist und bei der Planung für die Post-Quantum-Kryptografie oft übersehen wird: der PC.
Unternehmen planen zunehmend den Einsatz von PQC über alle Ebenen hinweg, insbesondere jetzt, da die ersten PQC-Standards auf US-Bundesebene endgültig festgelegt wurden. Das NIST hat die Standards FIPS 203, 204 und 205 verabschiedet und damit eine neue Reihe quantenresistenter Algorithmen für den Schlüsselaustausch und digitale Signaturen eingeführt. Gleichzeitig fordert die Cybersecurity and Infrastructure Security Agency (CISA) Unternehmen dazu auf, mit der Erfassung, Bestandsaufnahme und Risikopriorisierung zu beginnen, während die Commercial National Security Algorithm (CNSA) 2.0-Suite der National Security Agency (NSA) Erwartungen daran stellt, wie nationale Sicherheitssysteme – und letztendlich auch kommerzielle Plattformen – umgestellt werden.
Auf internationaler Ebene hat die G7-Cyber-Expertengruppe dieselben Prioritäten bekräftigt und betont, dass eine frühzeitige Erkennung, Bestandsaufnahme und Migrationsplanung unerlässlich sind, um systemische Risiken zu verringern.
Insgesamt ist die Richtung klar: Unternehmen sollten sich bereits jetzt vorbereiten und nicht auf eine Frist im Jahr 2030 warten.
Der Weckruf durch PQC ist real – aber lösbar
Quantencomputer sind zu einem realen und dauerhaften Problem für die Cybersicherheit geworden, doch das ist kein Grund zur Panik. Es ist vielmehr ein Grund, sich mit Kryptografie noch bewusster auseinanderzusetzen.
- Das NIST hat die technischen Standards bereitgestellt.
- Die CISA hat den Schwerpunkt auf Aufdeckung und Einsatzbereitschaft gelegt.
- CNSA 2.0 hat Vorgaben für den Algorithmuswechsel in nationalen Sicherheitssystemen festgelegt.
Es geht nicht darum, um der Dringlichkeit willen Dringlichkeit zu erzeugen. Es geht darum, zu erkennen, wie sich die Technologie tatsächlich entwickelt und warum jetzt gehandelt werden muss.
Kryptografie ist tief in allen Systemen verankert. Die Umstellung braucht Zeit. Plattformen und Ökosysteme entwickeln sich in Zyklen weiter. Unternehmen, die frühzeitig für Transparenz und Agilität sorgen, bewahren sich nicht nur später ihre Flexibilität, sondern verringern auch Risiken, die bereits heute bestehen.
Der digitale Wandel beginnt nicht an einem einzigen Ort, sondern muss jeden Bereich umfassen, in dem Kryptografie zum Einsatz kommt. Dazu gehört auch der PC, der oft übersehen wird.
Warum Kryptografie auf dem PC wichtig ist
PCs sind voller kryptografischer Elemente und stellen im Unternehmenskontext eine große und aktive Angriffsfläche dar.
Als Endgeräte dienen PCs dazu, dass sich Benutzer authentifizieren, Schlüssel generiert und gespeichert werden und TLS VPN-Sitzungen initiiert werden. Dort werden außerdem Treiber validiert, sensible Daten zur Verwendung entschlüsselt und Anmeldedaten zwischengespeichert.
In vielerlei Hinsicht wird Kryptografie erst am Endpunkt wirklich greifbar – dort, wo Vertrauen tatsächlich genutzt und nicht nur geschaffen wird.
Die Kryptografie auf PCs zu ignorieren, vereinfacht das Problem nicht; vielmehr entstehen dadurch blinde Flecken in jeder umfassenderen Strategie zur Vorbereitung auf die Post-Quantum-Kryptografie.
Endpunktkryptografie und die Perspektive von MITRE ATT&CK
Bei einem soliden Kryptografie-Management geht es nicht nur um den Schutz von Daten im Zeitalter der Quanteninformatik; es hat auch direkten Einfluss darauf, wie sich Unternehmen gegen die heutigen Angriffstechniken verteidigen.
Branchenstudien, die Kryptografie mit dem MITRE ATT&CK-Framework in Verbindung bringen, zeigen, dass unzureichende kryptografische Praktiken Techniken wie das Dumping von Anmeldedaten, den Diebstahl privater Schlüssel, das Abfangen unsicherer TLS und den Missbrauch von Codesignaturen ermöglichen oder verstärken können. Sie können zudem die Persistenz durch manipulierte Firmware oder Boot-Komponenten sowie die laterale Bewegung durch kompromittierte Authentifizierungsabläufe begünstigen. Endgeräte stehen im Schnittpunkt vieler dieser Techniken.
Aus einer an MITRE orientierten Risikoperspektive betrachtet, verringert die Verbesserung der kryptografischen Transparenz und der Durchsetzung von Richtlinien auf Endgeräten die Angriffsfläche in verschiedenen Phasen, darunter der erste Zugriff, die Persistenz, die Ausweitung von Berechtigungen und die laterale Bewegung.
Bei der Vorbereitung auf PQC geht es nicht nur darum, zukünftige Bedrohungen zu antizipieren; es ist auch eine Gelegenheit, die heutige Endpunktsicherheit durch die Modernisierung kryptografischer Kontrollmechanismen auf PC-Ebene zu stärken.
Jetzt ernten, später entschlüsseln
Eines der am meisten diskutierten Risiken im Zeitalter der Quanteninformatik ist das sogenannte „Harvest Now, Decrypt Later“-Prinzip (HNDL), bei dem verschlüsselte Daten heute gesammelt werden, in der Erwartung, dass sie in Zukunft mit fortschreitender Quanteninformatik entschlüsselt werden können.
Dies gilt insbesondere für langlebige sensible Daten in Branchen wie der öffentlichen Verwaltung, dem Finanzwesen und dem Gesundheitswesen. Viele Organisationen betrachten HNDL mittlerweile als ein erhebliches langfristiges Risiko, da Angreifer bereits heute aktiv Daten sammeln, um auf künftige Durchbrüche vorbereitet zu sein.
Endpunkte spielen bei dieser Sicherheitslücke eine zentrale Rolle. Sie sind entscheidend dafür, wie auf sensible Daten zugegriffen wird, wie Sitzungsschlüssel eingerichtet werden und wie Anmeldedaten gespeichert und verwendet werden.
Wenn man sich mit PQC befasst, ohne die Gefährdung der Endgeräte zu berücksichtigen, bleibt ein wesentlicher Teil dieser Risikofläche ungeschützt.
Intel unterstützt die Branche in dieser Hinsicht, indem es als erster Anbieter von Silizium-CPUs die postquantenkryptografischen CNSA 2.0-Standards in einsatzfähige, hardware kryptografische Lösungen für Client-PCs umsetzt. Dies ist ein langer Weg – Kryptografie und Verschlüsselung kommen in großem Umfang in Silizium, OEM-Firmware und software PCs software . Intel wird weiterhin gemeinsam mit seinen Partnern im PC-Ökosystem eine führende Rolle übernehmen, um Schutzmaßnahmen voranzutreiben.
Kryptografieverwaltung auf PC-Ebene in großem Maßstab
Für viele Unternehmen ist die Zurückhaltung, PCs auf Kryptografie zu überprüfen, nicht philosophischer, sondern praktischer Natur.
Großunternehmen und Behörden verwalten unter Umständen Zehntausende von PCs, in manchen Umgebungen sogar noch deutlich mehr. Der damit verbundene operative Aufwand – das Scannen jedes einzelnen Endpunkts, die Analyse der Ergebnisse und die Behebung der festgestellten Probleme in dieser Größenordnung – kann sich überwältigend anfühlen. Sicherheitsverantwortliche machen sich häufig Gedanken über Leistungseinbußen, Beeinträchtigungen für die Benutzer, Fehlalarme und den zusätzlichen Arbeitsaufwand, der allein durch die Transparenz entsteht.
Infolgedessen wird die Endpunktkryptografie manchmal zugunsten zentralisierter Systeme zurückgestellt, deren Bestandsaufnahme einfacher erscheint. Doch der Betrieb in großem Maßstab muss nicht zwangsläufig mit unnötiger Komplexität einhergehen.
Mit dem richtigen Ansatz können Unternehmen eine schnelle Erfassung, Bestandsaufnahme und Analyse ihrer kryptografischen Ressourcen im gesamten PC-Bestand erreichen und so umsetzbare Einblicke gewinnen, ohne unnötige Reibungsverluste zu verursachen. Durch die Nutzung von Integrationen mit bestehenden Plattformen wie CrowdStrike, SentinelOne, Tanium und ServiceNow können Teams die Transparenz im Bereich der Kryptografie auf kontrollierte und automatisierte Weise umsetzen.
Was sich einst wie eine überwältigende Anstrengung anfühlte, wird zu etwas weitaus Bewältigbarerem – einem schrittweisen Prozess, der mit der Zeit Selbstvertrauen aufbaut.
Erste Schritte
Beginnen Sie mit der Sichtbarkeit.
Der erste Schritt besteht darin, eine klare Bestandsaufnahme der kryptografischen Ressourcen im gesamten PC-Bestand zu erstellen. Dazu gehört, zu erfassen, wo Zertifikate, Schlüssel und Algorithmen zum Einsatz kommen, und festzustellen, wo kryptografische Verfahren verwendet werden, die durch Quantencomputer gefährdet sind. Auf dieser Grundlage können Unternehmen Systeme nach Risiko, Datensensibilität und Lebensdauer priorisieren und ihre Entscheidungen dabei auf hardware und die Zeitpläne der Anbieter für post-quantum-sichere Kryptografie (PQC) abstimmen.
Dies ist keine einmalige Maßnahme. Es ist die Grundlage für die langfristige Bewältigung kryptografischer Veränderungen.
Mit dem richtigen Ansatz lässt sich dies kontrolliert und schrittweise umsetzen – indem die Transparenz erhöht, Richtlinien angewendet und Veränderungen eingeführt werden, ohne kritische Systeme zu beeinträchtigen. Lösungen wie Keyfactor Command Keyfactor bieten fortschrittliche Funktionen zur Erfassung und Analyse kryptografischer Daten und helfen Unternehmen dabei, diese Transparenz über Endgeräte und die gesamte Infrastruktur hinweg zu schaffen, sodass dies auf Unternehmensebene umgesetzt werden kann.
Die Unternehmen, die jetzt vorangehen, bereiten sich nicht nur auf die Post-Quanten-Kryptografie vor. Sie bauen die Fähigkeit auf, die Kryptografie anzupassen, wenn sich die Anforderungen in der Infrastruktur, bei Anwendungen und Endgeräten gleichermaßen weiterentwickeln.
Den Endpunkt in den Fokus rücken
Im Rahmen der Bemühungen von Intel, mit Lösungen software zusammenzuarbeiten, die Kunden dabei unterstützen, die Konformität über verschiedene Intel-PC-Generationen hinweg zu überprüfen, Keyfactor die Partnerschaft mit Keyfactor dazu bei, die Branche für das Post-Quanten-Zeitalter zu rüsten.
Der digitale Wandel beginnt nicht an einem einzigen Ort, aber er wird nicht gelingen, wenn der PC dabei auf der Strecke bleibt.
Wenn Sie mehr über die Quanten-Bereitschaft erfahren und PKIaaS mit PQC ausprobieren möchten, besuchen Sie das Keyfactor Lab.
Weitere Informationen zu PQC bei Intel finden Sie hier.
