In einer Welt, in der Cyber-Bedrohungen kontinuierlich zunehmen, wird Krypto-Agilität zu einem entscheidenden Bestandteil der Sicherheitsstrategien von Organisationen. Für einen nachhaltigen und zukunftssicheren Schutz vor Cyber-Attacken – heute und im Post-Quanten-Zeitalter – gewinnt der Begriff Krypto-Agilität immer mehr an Bedeutung. Doch was genau ist damit gemeint? Wir beleuchten in diesem Blogartikel die Relevanz von Krypto-Agilität und wie Sie Ihre Reise in Richtung post-quantum planen können.
Seit Jahrtausenden verschlüsseln Menschen Informationen, doch kryptografische Verfahren, die einst Geheimnisse schützten, sind im Laufe der Zeit angreifbar geworden. Sobald ein kryptografischer Algorithmus gebrochen wird, sind die dadurch gesicherten Identitäten, Infrastrukturen, Daten und Dienste gegenüber Angreifern massiv gefährdet. Durch die rasante technologische Entwicklung müssen kryptografische Mechanismen immer häufiger ausgetauscht oder verstärkt werden. Hier kommt Krypto-Agilität ins Spiel.
Die Bedeutung von Krypto-Agilität wurde in jüngster Zeit immer deutlicher. Weltweit warnen politische Institutionen und Expert*innen vor den Herausforderungen der Post-Quanten-Ära. So veröffentlichte das European Policy Center 2023 eine Quantum Cybersecurity Agenda für Europa, und der US-amerikanische Präsident Biden unterzeichnete das Quantum Computing Cybersecurity Preparedness Act. Diese Entwicklungen verdeutlichen, wie relevant eine Vorbereitung auf diese Ära ist. Sind Sie bereit?
Was steht auf dem Spiel?
Quantencomputer könnten in der Lage sein, aktuelle kryptografische Algorithmen zu brechen, was die meisten digitalen Sicherheitssysteme von heute gefährden würde. Für Unternehmen hat dies weitreichende Folgen für die Datenintegrität und -vertraulichkeit sowie die Identitäten. Ziel muss es sein, Infrastrukturen zu schaffen, die flexibel zwischen kryptografischen Algorithmen wechseln und aktualisieren können, je nach Risikobewertung.
Folgende Kryptografie-Standards sind beispielsweise nicht mehr sicher:
- RSA-2048 (Verschlüsselung & Signatur & Schlüsselaustausch)
- RSA-3072 (Verschlüsselung & Signatur & Schlüsselaustausch)
- DH-3072 (Signatur & Schlüsselaustausch)
- 256-Bit ECDSA (Unterschrift & Schlüsselaustausch)
Die Anpassung auf sichere Verfahren hat Auswirkungen, zum Beispiel auf:
- AES (symmetrische Key; Verschlüsselung) erfordert grössere Schlüssellängen
- SHA-2; SHA-3 (Hash; Hash-Funktion) ergeben mehr Datenvolumen
Die genannten kryptografischen Algorithmen werden beispielsweise eingesetzt bei digitalen Identitäten, Zertifikaten (intern gemanaged, externe gemanaged, nicht gemanaged), zur Signierung (Vertragsunterzeichnung, Code Signierung in der SW-Entwicklung), Authentifizierung (von Services, von natürlichen Personen im digitalen Umfeld), Verschlüsslung von Daten etc. Es wird klar: Das Thema Krypto-Agilität ist elementar in zig Bereichen.
Krypto-Agilität erklärt
Krypto-Agilität ermöglicht es, schnell auf Änderungen in kryptografischen Algorithmen und Protokollen zu reagieren. Ein Cyber-Sicherheitssystem gilt als «krypto-agil», wenn sein Krypto-System effizient und idealerweise automatisiert aktualisiert werden kann, um wieder in einen sichereren Zustand zu gelangen. Dies ist notwendig, da kryptografische Systeme über die Zeit hinweg angreifbarer werden, denn kryptografische Algorithmen, Schlüssellängen oder Schlüsselgenerierungsverfahren haben eine limitierte Lebensdauer und müssen daher von Zeit zu Zeit ausgetauscht oder aktualisiert werden. Ein weiteres Szenario sind bekanntgewordene Schwachstellen in der technischen Umsetzung des Krypto-Systems. Auch hier ist ein Austausch unabdingbar.
Einige wesentliche Aspekte, die Sie auf Ihrem Weg zur Krypto-Agilität berücksichtigen sollten:
- Die Bedrohung durch Quantencomputer erfordert die Entwicklung und Implementierung quantensicherer Algorithmen.
- Die Integration von neuen kryptografischen Methoden in älteren Systemen kann technisch anspruchsvoll sein.
- Die Aktualisierung von Sicherheitszertifikaten und Schlüsseln ist mitunter zeitaufwändig.
- Die Einführung von Krypto-Agilität in Organisationen erfordert ein Bewusstsein sowie eine Kultur des kontinuierlichen Wandels und der Anpassung.
- Die Umsetzung von Krypto-Agilität bedingt finanzielle und personelle Ressourcen.
- Die Einhaltung von Vorschriften und Standards kann eine Herausforderung darstellen.
Krypto-Agilität betont die Notwendigkeit von Sicherheitsrichtlinien, Leistungsbewusstsein und einem klaren Verständnis der Auswirkungen der damit verbundenen Massnahmen.
Warum ist es wichtig, sich krypto-agil aufzustellen?
Der rasante Fortschritt im Quantencomputing hat weitreichende Auswirkungen auf verschiedene Technologiebereiche, insbesondere die Kryptografie. Quantencomputer stellen eine Herausforderung für die Sicherheit dar, denn sie können viele der heute gängigen kryptografischen Algorithmen in kürzester Zeit kompromittieren. Die Sicherheit von Verschlüsselungsverfahren der klassischen Algorithmen werden verringert und sogar gebrochen. Vor diesem Hintergrund ist es entscheidend, dass Systeme flexibel genug sind, um auf solche Veränderungen der Risikolandschaft zu reagieren und gegebenenfalls neue, angriffsresistente Algorithmen zu implementieren.
Wann ist ein System krypto-agil?
Krypto-agile Systeme zeichnen sich durch fünf grundlegende Merkmale aus:
- Modularität
Krypto-agile Systeme sollten modular aufgebaut sein, sodass Verschlüsselungsfunktionen einfach aktualisiert und erweitert werden können. Der Austausch einzelner Komponenten und Verschlüsselungsalgorithmen sollte unabhängig voneinander möglich sein, ohne das Gesamtsystem zu beeinträchtigen. - Flexibilität
Um sich an neue Bedrohungen und Sicherheitsanforderungen anzupassen, müssen krypto-agile Systeme flexibel gestaltet sein. Dies umfasst die Fähigkeit, verschiedene Verschlüsselungsalgorithmen zu unterstützen, Schlüssellängen anzupassen und neue Sicherheitsprotokolle zu implementieren. - Offene Standards
Krypto-agile Systeme basieren auf offenen Standards und sind transparent in Bezug auf ihre Funktionsweise und Implementierung. - Lebenszyklusmanagement
Ein strukturierter Ansatz für das Lebenszyklusmanagement der kryptografischen Komponenten ist Bestandteil von krypto-agilen Systemen. Dazu gehört die regelmässige Aktualisierung von Algorithmen und Schlüsseln, die Überwachung von Sicherheitslücken und die schnelle Reaktion auf Bedrohungen. - Sicherheitsbewertung und Zertifizierung
Regelmässige Sicherheitsbewertungen und Zertifizierungen durch unabhängige Prüfstellen gewährleisten, dass krypto-agile Systeme den anerkannten Sicherheitsstandards entsprechen und vertrauenswürdig sind.
Wie wird Ihr Unternehmen krypto-agil?
Im Austausch mit unseren Kunden und Partnern werden wir immer häufiger gefragt: Wie mache ich mein Unternehmen krypto-agil? Wir haben die vier elementaren Schritte mit praktischen Tipps für Sie zusammengefasst:
1. Verstehen Ihrer kryptographischen Umgebung
Machen Sie eine Bestandsaufnahme der kryptografischen Verfahren in Ihrer Umgebung und identifizieren Sie, welche Daten geschützt werden müssen. Analysieren Sie, wie diese Datenströme fliessen und wie sie derzeit geschützt sind.
Die Herausforderungen sind die bekannten Themen in der Umsetzung von Cyber-Security-Projekten: Die Komplexität der gewachsenen Architektur und entsprechende Abhängigkeiten in der Umgebung, historische Legacy-Systeme, verteilte Systeme, zum Beispiel in der Cloud, sowie Anforderungen in der System- und Softwareentwicklung wie integrierte Zertifikate und Schnittstellentechnologien.
Unsere Praxis-Tipps:
- Erweitern Sie Ihr Asset-Inventar oder Ihr Datenverarbeitungsverzeichnis, um pro Element die Verwendung von kryptographischen Methoden zu erfassen.
- Identifizieren und Inventarisieren Sie die verwendeten kryptografischen Algorithmen.
2. Modulare Gestaltung Ihrer Architektur
Eine flexible Infrastruktur ermöglicht es, kryptografische Komponenten ohne Beeinträchtigung der Gesamtfunktion auszutauschen. Dadurch können Sie auf neue Bedrohungen reagieren, ohne das gesamte System neu entwickeln zu müssen. Die Modularität und Interoperabilität zu gewährleisten sind bei Modulwechseln eine Herausforderung, denn Identitäten werden verteilt und häufig in Schnittstellen mit verschiedenen Partnern genutzt.
Eine modulare Architektur, die den reibungslosen Austausch und den parallelen Einsatz in der Transitionsphase von kryptografischen Komponenten ermöglicht, ist hier von Vorteil.
Unser Praxis-Tipp:
- Achten Sie beim Auf- oder Ausbau Ihrer IT-Infrastruktur (Soft- und Hardware) darauf, dass die Anwendung von kryptographischen Algorithmen möglichst abgekoppelt bzw. abstrahiert von applikatorischen oder organisatorischen Prozessen ist. Microservice-Architekturen, Container-Lösungen oder API-Gateways eignen sich ideal für die zentrale kryptographische Datenverarbeitung.
3. Kommunikation mit Ihren Anbietern
Pflegen Sie den Dialog mit Ihren Softwareanbietern. Ihre Software enthält möglicherweise kryptografische Algorithmen, die potenziell anfällig für Angriffe sind. Fragen Sie nach Update-Zeitplänen und der Auswahl von Algorithmen. Aber auch die Koordination von Software-Updates und Algorithmen in einem System bedürfen einer guten Planung und Zusammenarbeit. Die aktive Kommunikation mit Softwareanbietern und die permanente Überwachung der Risikosituation sind somit essenziell für den Weg in die Post-Quanten-Ära.
Unsere Praxis-Tipps:
- Erweitert Sie Ihre Liste von Lieferanten bzw. deren Daten-Bearbeitungsverzeichnis mit Angaben zur Verwendung von kryptographischen Methoden und Ihren Anforderungen hierzu. Priorisieren Sie, in Kombination mit der Risikoanalyse der Daten sowie Prozesse, die Reihenfolge der Lieferantenkommunikation und -abstimmung betreffend Umstellung auf neue kryptographische Methoden.
- Planen und koordinieren Sie die weiteren Schritte für jeden Lieferanten unbedingt frühzeitig, insbesondere für etwaige Vertragsanpassungen, SLA-Ergänzungen und anderen rechtlichen Anforderungen.
4. Regelmässige Tests Ihrer Krypto-Agilität
Überprüfen Sie durch regelmässige Tests, ob Ihre Krypto-Agilitätsmassnahmen wirksam sind und die Systeme den aktuellen Sicherheitsstandards entsprechen. Eine effiziente Überwachung dieser Massnahmen ist wichtig, um die Erfolge messen zu können.
Unser Praxis-Tipp:
- Definieren Sie bereits in der Planungsphase die notwendigen Tests, um die Transition und den modularen Austausch von Methoden zu überprüfen und zu vergleichen. Wir empfehlen die Definition von gewünschten Testergebnissen auf folgenden Ebenen: Einzeleinheit, Integration, Funktion, Sicherheit, Performance, Rückwärts-Kompatibilität und Wiederherstellung.
Krypto-Agilität ist längst kein «nice-to-have» mehr
In einer sich stetig verändernden Bedrohungslandschaft ist es unerlässlich, kryptografische Algorithmen kontinuierlich zu verbessern. Auch wenn das Post-Quanten-Zeitalter noch einige Zeit auf sich warten lässt, ist Krypto-Agilität angesichts der Etablierung von Quantencomputing zentral. Für eine sichere Verschlüsselung sind Planung, Verständnis und Engagement notwendig. Seien Sie bereit für die Herausforderungen der Post-Quantum-Ära, indem Sie Ihre Krypto-Agilität-Reise heute beginnen!
Wie? InfoGuard unterstützt Sie dabei – von der effizienten Indentifizierung genutzter Algorithmen, Protokolle und Standards über die Entwicklung von Krypto-Agilitätsstrategien und deren Implementierung bis hin zu Tests entsprechender Systeme und Prozesse. Stellen Sie Ihre Krypto-Agilität auf die Probe und machen Sie mit uns ein «Crypto Agility Assessment» mit Elementen aus organisatorischen und technischen Prüfungen. Kontaktieren Sie unsere Experten, sie beraten Sie gerne!