In einer Welt, in der Cyber-Bedrohungen kontinuierlich zunehmen, wird Krypto-Agilität zu einem entscheidenden Bestandteil der Sicherheitsstrategien von Organisationen. Für einen nachhaltigen und zukunftssicheren Schutz vor Cyber-Attacken – heute und im Post-Quanten-Zeitalter – gewinnt der Begriff Krypto-Agilität immer mehr an Bedeutung. Doch was genau ist damit gemeint? Wir beleuchten in diesem Blogartikel die Relevanz von Krypto-Agilität und wie Sie Ihre Reise in Richtung post-quantum planen können.
Seit Jahrtausenden verschlüsseln Menschen Informationen, doch kryptografische Verfahren, die einst Geheimnisse schützten, sind im Laufe der Zeit angreifbar geworden. Sobald ein kryptografischer Algorithmus gebrochen wird, sind die dadurch gesicherten Identitäten, Infrastrukturen, Daten und Dienste gegenüber Angreifern massiv gefährdet. Durch die rasante technologische Entwicklung müssen kryptografische Mechanismen immer häufiger ausgetauscht oder verstärkt werden. Hier kommt Krypto-Agilität ins Spiel.
Die Bedeutung von Krypto-Agilität wurde in jüngster Zeit immer deutlicher. Weltweit warnen politische Institutionen und Expert*innen vor den Herausforderungen der Post-Quanten-Ära. So veröffentlichte das European Policy Center 2023 eine Quantum Cybersecurity Agenda für Europa, und der US-amerikanische Präsident Biden unterzeichnete das Quantum Computing Cybersecurity Preparedness Act. Diese Entwicklungen verdeutlichen, wie relevant eine Vorbereitung auf diese Ära ist. Sind Sie bereit?
Quantencomputer könnten in der Lage sein, aktuelle kryptografische Algorithmen zu brechen, was die meisten digitalen Sicherheitssysteme von heute gefährden würde. Für Unternehmen hat dies weitreichende Folgen für die Datenintegrität und -vertraulichkeit sowie die Identitäten. Ziel muss es sein, Infrastrukturen zu schaffen, die flexibel zwischen kryptografischen Algorithmen wechseln und aktualisieren können, je nach Risikobewertung.
Folgende Kryptografie-Standards sind beispielsweise nicht mehr sicher:
Die Anpassung auf sichere Verfahren hat Auswirkungen, zum Beispiel auf:
Die genannten kryptografischen Algorithmen werden beispielsweise eingesetzt bei digitalen Identitäten, Zertifikaten (intern gemanaged, externe gemanaged, nicht gemanaged), zur Signierung (Vertragsunterzeichnung, Code Signierung in der SW-Entwicklung), Authentifizierung (von Services, von natürlichen Personen im digitalen Umfeld), Verschlüsslung von Daten etc. Es wird klar: Das Thema Krypto-Agilität ist elementar in zig Bereichen.
Krypto-Agilität ermöglicht es, schnell auf Änderungen in kryptografischen Algorithmen und Protokollen zu reagieren. Ein Cyber-Sicherheitssystem gilt als «krypto-agil», wenn sein Krypto-System effizient und idealerweise automatisiert aktualisiert werden kann, um wieder in einen sichereren Zustand zu gelangen. Dies ist notwendig, da kryptografische Systeme über die Zeit hinweg angreifbarer werden, denn kryptografische Algorithmen, Schlüssellängen oder Schlüsselgenerierungsverfahren haben eine limitierte Lebensdauer und müssen daher von Zeit zu Zeit ausgetauscht oder aktualisiert werden. Ein weiteres Szenario sind bekanntgewordene Schwachstellen in der technischen Umsetzung des Krypto-Systems. Auch hier ist ein Austausch unabdingbar.
Einige wesentliche Aspekte, die Sie auf Ihrem Weg zur Krypto-Agilität berücksichtigen sollten:
Krypto-Agilität betont die Notwendigkeit von Sicherheitsrichtlinien, Leistungsbewusstsein und einem klaren Verständnis der Auswirkungen der damit verbundenen Massnahmen.
Der rasante Fortschritt im Quantencomputing hat weitreichende Auswirkungen auf verschiedene Technologiebereiche, insbesondere die Kryptografie. Quantencomputer stellen eine Herausforderung für die Sicherheit dar, denn sie können viele der heute gängigen kryptografischen Algorithmen in kürzester Zeit kompromittieren. Die Sicherheit von Verschlüsselungsverfahren der klassischen Algorithmen werden verringert und sogar gebrochen. Vor diesem Hintergrund ist es entscheidend, dass Systeme flexibel genug sind, um auf solche Veränderungen der Risikolandschaft zu reagieren und gegebenenfalls neue, angriffsresistente Algorithmen zu implementieren.
Krypto-agile Systeme zeichnen sich durch fünf grundlegende Merkmale aus:
Im Austausch mit unseren Kunden und Partnern werden wir immer häufiger gefragt: Wie mache ich mein Unternehmen krypto-agil? Wir haben die vier elementaren Schritte mit praktischen Tipps für Sie zusammengefasst:
1. Verstehen Ihrer kryptographischen Umgebung
Machen Sie eine Bestandsaufnahme der kryptografischen Verfahren in Ihrer Umgebung und identifizieren Sie, welche Daten geschützt werden müssen. Analysieren Sie, wie diese Datenströme fliessen und wie sie derzeit geschützt sind.
Die Herausforderungen sind die bekannten Themen in der Umsetzung von Cyber-Security-Projekten: Die Komplexität der gewachsenen Architektur und entsprechende Abhängigkeiten in der Umgebung, historische Legacy-Systeme, verteilte Systeme, zum Beispiel in der Cloud, sowie Anforderungen in der System- und Softwareentwicklung wie integrierte Zertifikate und Schnittstellentechnologien.
Unsere Praxis-Tipps:
2. Modulare Gestaltung Ihrer Architektur
Eine flexible Infrastruktur ermöglicht es, kryptografische Komponenten ohne Beeinträchtigung der Gesamtfunktion auszutauschen. Dadurch können Sie auf neue Bedrohungen reagieren, ohne das gesamte System neu entwickeln zu müssen. Die Modularität und Interoperabilität zu gewährleisten sind bei Modulwechseln eine Herausforderung, denn Identitäten werden verteilt und häufig in Schnittstellen mit verschiedenen Partnern genutzt.
Eine modulare Architektur, die den reibungslosen Austausch und den parallelen Einsatz in der Transitionsphase von kryptografischen Komponenten ermöglicht, ist hier von Vorteil.
Unser Praxis-Tipp:
3. Kommunikation mit Ihren Anbietern
Pflegen Sie den Dialog mit Ihren Softwareanbietern. Ihre Software enthält möglicherweise kryptografische Algorithmen, die potenziell anfällig für Angriffe sind. Fragen Sie nach Update-Zeitplänen und der Auswahl von Algorithmen. Aber auch die Koordination von Software-Updates und Algorithmen in einem System bedürfen einer guten Planung und Zusammenarbeit. Die aktive Kommunikation mit Softwareanbietern und die permanente Überwachung der Risikosituation sind somit essenziell für den Weg in die Post-Quanten-Ära.
Unsere Praxis-Tipps:
4. Regelmässige Tests Ihrer Krypto-Agilität
Überprüfen Sie durch regelmässige Tests, ob Ihre Krypto-Agilitätsmassnahmen wirksam sind und die Systeme den aktuellen Sicherheitsstandards entsprechen. Eine effiziente Überwachung dieser Massnahmen ist wichtig, um die Erfolge messen zu können.
Unser Praxis-Tipp:
In einer sich stetig verändernden Bedrohungslandschaft ist es unerlässlich, kryptografische Algorithmen kontinuierlich zu verbessern. Auch wenn das Post-Quanten-Zeitalter noch einige Zeit auf sich warten lässt, ist Krypto-Agilität angesichts der Etablierung von Quantencomputing zentral. Für eine sichere Verschlüsselung sind Planung, Verständnis und Engagement notwendig. Seien Sie bereit für die Herausforderungen der Post-Quantum-Ära, indem Sie Ihre Krypto-Agilität-Reise heute beginnen!
Wie? InfoGuard unterstützt Sie dabei – von der effizienten Indentifizierung genutzter Algorithmen, Protokolle und Standards über die Entwicklung von Krypto-Agilitätsstrategien und deren Implementierung bis hin zu Tests entsprechender Systeme und Prozesse. Stellen Sie Ihre Krypto-Agilität auf die Probe und machen Sie mit uns ein «Crypto Agility Assessment» mit Elementen aus organisatorischen und technischen Prüfungen. Kontaktieren Sie unsere Experten, sie beraten Sie gerne!