[datensicherheit.de, 28.10.2019] Laut einer Meldung von Utimaco hat Google den „Start für ein neues Computerzeitalter gelegt“. Der Quantenprozessor „Sycamore“ hat demnach in 200 Sekunden eine Berechnung durchführen können, für die der schnellste derzeitige Supercomputer der Welt 10.000 Jahre gebraucht hätte.

Quantencomputer könnten bewährte Verschlüsselungsverfahren auszuhebeln

Was heute für Schlagzeilen sorge, könnte schon in zehn Jahren alltäglich sein und das tägliche Leben im Rahmen der fortschreitenden Digitalisierung und des „Internets der Dinge und Dienste“ auf den Kopf stellen.
Quantencomputer seien nämlich in der Lage, die heute bewährten Verschlüsselungsverfahren – und damit einen der Eckpfeiler der Absicherung von vernetzten Umgebungen – auszuhebeln. Die heute als sicher eingestuften asymmetrischen Verschlüsselungsverfahren würden dann innerhalb von wenigen Minuten zu knacken sein.

Googles Enthüllung sollte als Warnzeichen dienen

Auch wenn dies noch Zukunftsmusik sei, sollte Googles Enthüllung „als Warnzeichen dienen, um sich bereits heute auf das Post-Quantum-Zeitalter einzustellen, in dem herkömmliche Algorithmen nutzlos sein werden“.
Das US-amerikanische NIST (National Institute of Standards and Technology) sichte bereits seit einiger Zeit Vorschläge für Quantencomputer-sichere Verfahren und möchte in einigen Jahren Empfehlungen aussprechen, welche Algorithmen den Quantencomputern der Zukunft standhalten könnten.

Vernetzte industrielle Anlagen werden auch 2030 noch im Einsatz sein

„Auch, wenn mit einem großflächigen Einsatz von Quantencomputern erst in zehn Jahren zu rechnen sein wird, muss die Infrastruktur bereits heute darauf vorbereitet werden. Die Bedrohung wird zwar erst dann akut, die Absicherung dagegen muss aber bereits heute mitberücksichtigt werden“, fordert Malte Pollmann, „CSO“ von Utimaco.
Vernetzte industrielle Anlagen wie Wasserkraftwerke oder Windparks seien für einen langen Lebenszyklus vorgesehen und würden auch 2030 noch im Einsatz sein. „Für Betreiber wird es sehr teuer und aufwändig, großflächig Komponenten auszutauschen, die nicht auf quantensichere Verschlüsselung ausgerichtet sind.“

Applikationen, Endgeräte und Hardware-Sicherheitsmodule „krypto-agil“ machen

Deshalb müssten sie sich bereits heute damit befassen, ihre Applikationen, Endgeräte und Hardware-Sicherheitsmodule „krypto-agil“ zu entwickeln. Krypto-Agilität bedeutet laut Pollmann, dass die Komponenten sowohl klassische als auch quantensichere Algorithmen ausführen können, ohne ausgetauscht werden zu müssen.
Die Devise müsse also sein, „sich schnellstmöglich krypto-agil aufzustellen – gerade im Bereich Kritischer Infrastrukturen. Das Rennen um einsatzfähige und immer leistungsstärkere Quantenrechner wird unvermindert weitergehen“, betont Pollmann.

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2019
DELL stellt Cyber-Bedrohungen der nahen Zukunft vor

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie

datensicherheit.de, 30.04.2018
Leistungsfähige Computer: Ein Quäntchen Hoffnung

datensicherheit.de, 21.02.2014
Quanten-Informationsverarbeitung: Wichtiger Schritt bei der Grundlagenforschung gelungen

[datensicherheit.de, 02.07.2019] utimaco bietet nach eigenen Angaben „ab sofort das erste kommerziell verfügbare, Quantencomputer-sichere Hardware-Sicherheitsmodul (HSM)“ an. Unternehmen und Organisationen seien mit einer neuen „Q-safe Firmware“-Erweiterung von utimaco in der Lage, ihre vernetzten Geräte, Daten und Kritischen Infrastrukturen (KRITIS) langfristig vor einem möglichen Quantencomputer-Angriff zu schützen.

Asymmetrische Public-Key-Kryptographie innerhalb der nächsten Dekade anfällig

Die Quantencomputing-Technologie entwickele sich rasant: Quantenrechner bewältigten immer komplexere Rechenoperationen parallel und extrem schnell. Bedarf für solche Berechnungen, die mit der bisherigen Rechenkapazität nicht oder kaum zu bewältigen seien, gebe es branchenübergreifend – vom Verkehr über Pharmazie, der Materialforschung und Logistik bis hin zum Finanzwesen.
Doch diese neuen „Supercomputer“ stellten für die heute gängigen Public-Key-Verschlüsselungs- und Signaturverfahren auch ein Risiko dar: So prognostiziere das renommierte National Institute of Standards and Technology (NIST), dass vor allem die asymmetrische Public-Key-Kryptographie innerhalb des nächsten Jahrzehnts anfällig gegenüber Attacken von Quantencomputern werde. Neue Verschlüsselungsalgorithmen, die diesen Angriffen widerstehen, würden laut NIST nach eigener Einschätzung frühestens in den Jahren 2022 bis 2024 zur Verfügung stellen. Damit würde die Sicherung des Internets und aller Geräte, die sich darüber verbinden und Daten austauschen, in Gefahr geraten. Personalausweisen und KRITIS sowie Internet-of-Things-Geräten wie vernetzten Autos, „Smart Homes“, vernetzten Städten, FinTech- und Blockchain-Anwendungen dürften aber weder heute noch morgen Sicherheitsrisiken anhaften.

Vorausschauend auf anpassungsfähige Sicherheit setzen

Diesen veränderten wie gestiegenen Sicherheitsbedarf möchte Utimaco „vorausschauend“ bedienen. Denn die „Q-safe Firmware“-Erweiterung zu utimacos „CryptoServer“ könnten Unternehmen bereits heute dazu nutzen, um ihre Infrastruktur auf Quantencomputer-resistente Sicherheit auszurichten.
Die „Q-safe Firmware“-Erweiterung nutze das „ISARA Radiate Quantum-safe Toolkit“, „das Sicherheitsexperten alles an die Hand gibt, um Quantencomputer-sichere kryptographische Algorithmen in ihren bestehenden Systemen zu testen und zu evaluieren“. Darüber hinaus sei utimacos „CryptoServer“ kürzlich erfolgreich mit dem „Open Source Toolkit“ von Open Quantum Safe (OQS) getestet worden. Provider von Cyber-Sicherheitslösungen hätten nun die Möglichkeit, sich eine Umgebung aufzubauen, die zum Entwickeln von Quantencomputer-sicheren Produkten nötig sei.

Vertrauen in die digitale, vernetzte Welt schaffen

IoT-Geräte kämen zunehmend in Umgebungen zum Einsatz, die auf zehn bis fünfzehn Jahre ausgelegt seien. „Mindestens für diesen Zeitraum müssen Zugang und Schutz der Informationen gewahrt werden, oft sogar darüber hinaus. Starke Kryptographie und ,Public Key Infrastructure‘ bleiben auch in Zukunft das Mittel der Wahl für Unternehmen und Organisationen. Doch jetzt ist es unabdinglich, kryptographische Agilität sicherzustellen durch Hardware-Sicherheitsmodule, die sich auf quantensichere Algorithmen umstellen lassen. Nur erwiesenermaßen krypto-agile HSM sind ein zukunftssicherer Vertrauensanker zum Schutz unserer Digitalen Gesellschaft“, erklärt Malte Pollmann, „Chief Strategy Officer für Corporate Development und M&A“ bei utimaco.
Bei utimaco verstehe man sich „als Innovationsführer“ und möchte mit eigenen Lösungen Vertrauen in die digitale, vernetzte Welt schaffen. „In dem Sinne unterstützen wir unsere Kunden dabei, bereits jetzt Quantencomputing-sichere Verfahren einführen zu können.“

Foto: utimaco

Malte Pollmann: Kunden unterstützen, bereits jetzt Quantencomputing-sichere Verfahren einführen zu können

Weitere Informationen zum Thema:

utimaco
Q-safe HSM simulator

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

datensicherheit.de, 30.04.2018
Leistungsfähige Computer: Ein Quäntchen Hoffnung

datensicherheit.de, 21.02.2014
Quanten-Informationsverarbeitung: Wichtiger Schritt bei der Grundlagenforschung gelungen

datensicherheit.de, 28.01.2013
Berühmte Enigma-Nachricht geknackt!

datensicherheit.de, 06.10.2012
Abhörsicherer Datenaustausch per Quantenkommunikation angestrebt

[datensicherheit.de, 01.12.2014] Durch die Vernetzung von Industrieprozessen gibt es ein hohes Sicherheitsrisiko durch IT-Angriffe. Daher sollten Unternehmen schon frühzeitig Maßnahmen zum Schutz ihrer Anlagen ergreifen, wenn sie „Industrie 4.0“-Konzepte anwenden möchten.

Industrie 4.0 – das Konzept

„Industrie 4.0“ bezeichnet die vierte Industrielle Revolution, bei der Fabriken ihre Produktionsanlagen ins „Internet der Dinge“ einbinden. Ihr Ziel ist es, dass sie zu „Smart Factories“ werden und mit weniger Personal immer kürzere Produktzyklen und steigende Produktvarianten zu niedrigen Kosten realisieren können. Um diese Potenziale auszuschöpfen, sind allerdings erhebliche Investitionen erforderlich. Daher nimmt das Thema einen Spitzenplatz auf der Agenda der Chefs deutscher Industrieunternehmen ein. Eine Studie des IT-Verbandes BITKOM schätzt
das zusätzliche Wertschöpfungspotenzial von „Industrie 4.0“ allein für die Branchen wie Maschinenbau, Elektrotechnik, Automobilbau und chemischer Industrie auf 78 Milliarden Euro bis zum Jahr 2025.

IT-Sicherheit 1.0 für Industrie 4.0?

Geht es um die Einführung von „Industrie 4.0“-Konzepten, müsse auch die IT-Sicherheitsproblematik berücksichtigt werden – und das entlang der kompletten Wertschöpfungskette eines Produktes, betont Malte Pollmann, „CEO“ von Utimaco.
Das Thema Informationssicherheit sei eine grundlegende Herausforderung, da die hohe Flexibilität von „Industrie 4.0“ eine absolute Vernetzung verlange. Steuerungen müssten beispielsweise große Datenmengen verarbeiten und brauchten eine Vielzahl von offenen Schnittstellen für die Kommunikation mit der industriellen Umgebung.

Malte Pollmann, CEO Utimaco

Malte Pollmann: IT-Sicherheit für die komplette Wertschöpfungskette!

 Spezifische Sicherheitsrisiken

Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA, zeigten, dass in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus hierfür einschlägige Standards bekannt seien, aber in nur einem Drittel der Unternehmen würden diese erst umgesetzt, so Pollmann. Gleichzeitig gäben 29 Prozent der Unternehmen an, selbst schon von Produktionsausfällen aufgrund von IT-Sicherheitsvorfällen betroffen gewesen zu sein.
IT-Security habe in der Vergangenheit eine untergeordnete Rolle gespielt, da oftmals davon ausgegangen worden sei, dass Fertigungsnetze nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis jedoch zeige sich, dass viele Fabriknetze mit dem Internet verbunden seien. Dabei spielten zum Beispiel Fernwartungsanwendungen eine Rolle – und seit „Stuxnet“ sei es widerlegt, dass aufgrund von proprietären Systemen und Protokollen die Hürde für Angreifer hoch liegen würde.

Vernetzung von Office- und Fertigungs-IT

Um „Industrie 4.0“ vollständig integrieren zu können, müsse die organisatorische Trennung von Office- und Fertigungs-IT aufgehoben werden, betont Pollmann. Meist seien sensible Konstruktionsdaten von einem Ingenieur erarbeitet worden, die in der Fertigung oder in einem anderen Bereich verwendet würden.
Gezielte Angriffe erfolgten meist über einen Einstieg im Bürobereich. Von diesem Einstiegspunkt würden dann weitere Angriffe im Unternehmen durchgeführt, bis hin zu den Produktions- und Steuerungsanlagen. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Unternehmensbereiche sei nicht erfolgreich, wenn die durchgängige Vernetzung des „Industrie 4.0“-Konzepts gewünscht ist. Angriffe könnten nur mit einem ganzheitlichen Ansatz verhindert werden. Aber es müsse auch die Frage erlaubt sein, ob Maschinen und Fertigungsanlagen, aber auch andere elektronische Geräte, immer mit dem Internet verbunden sein müssen. Es reiche ggf. aus, die Maschinen in einem abgesicherten, lokalen Netz zu kontrollieren.

Hardware-Sicherheitsmodule als Vertrauensanker

Kommunikationsprotokolle müssten laut Pollmann dafür ausgelegt sein, den Informationsfluss bestimmen zu können. Die Ende-zu-Ende-Verschlüsselung könne eine abhörsichere Verbindung realisieren. Die Identifikation der Kommunikationspartner und Produkte spielten dabei eine große Rolle. Eine entsprechende Sicherung der Daten und Transaktionen werde über asymmetrische, kryptografische Verfahren durchgeführt. Unabhängig ob elektronische Signaturen oder Verschlüsselung zum Einsatz kommt: Die gesicherte Generierung und Speicherung sowie dann im zweiten Schritt die Anwendungen der kryptographischen Schlüssel stünden immer im Vordergrund. An dieser Stelle kämen die unterschiedlichen Arten von Hardware-Sicherheitsmodulen zur Anwendung. Solche ermöglichten es, die kryptographischen Schlüssel gesichert vor dem Zugriff von unautorisierten Personen zu speichern und zur Anwendung zu bringen.

Noch viel Entwicklungsarbeit erforderlich

Bis das Konzept „Industrie 4.0“ funktionieren kann, sei noch viel Entwicklungsarbeit zu leisten, so Pollmanns Fazit. Schutz vor unerlaubtem Zugriff sowie Schutz vor Sabotage und vor unachtsamer Bedienung seien für Industrieunternehmen essenziell und überlebensnotwendig. Intelligente und nachhaltige IT-Sicherheitsmaßnahmen müssten während der Gestaltung des „Industrie 4.0“-Konzeptes eingeführt werden und nicht danach.

Weitere Informationen zum Thema:

datensicherheit.de, 29.09.2014
Industrie 4.0 Collaboration Lab am KIT eröffnet

datensicherheit.de, 08.09.2014
Fraunhofer SIT: Der Weg zur sicheren Industrie 4.0