Information und Bildungsarbeit von und für die SAP-Community

IT-Sicherheit im Zeitalter der Quantencomputer

Alarmstimmung unter den IT-Sicherheitsexperten: Der Durchbruch der Quantencomputer kann für die herkömmlichen Verschlüsselungsverfahren zur tödlichen Bedrohung werden. Postquantenkryptografie lautet das Gebot der Stunde.
Elmar Eperiesi-Beck, Eperi
7. Dezember 2017
It-Security
avatar

Quantencomputer sind längst keine Science-Fiction mehr. Während Europa, die USA und China sich ein Kopf-an-Kopf-Rennen um die Entwicklung des ersten Supercomputers des 21. Jahrhunderts liefern, sollen Geheimdienste bereits an Prototypen arbeiten, um heute sichere Algorithmen zu knacken.

Auch wenn Quantencomputer die herkömmlichen Rechner nicht ersetzen werden, bietet sich ihr Einsatz für wissenschaftliche und andere komplexe Aufgaben an. So tragen Quantencomputer zum Beispiel bei Wettervorhersagen oder der Berechnung von Verkehrsströmen zu einer deutlichen Performance- und Effizienzsteigerung bei. Doch mit den neuen Möglichkeiten entstehen auch neue Gefahren für die IT-Sicherheit.

In wenigen Jahren wird es Quantencomputer geben, die leistungsstark genug sind, um täglich milliardenfach genutzte Verschlüsselungsverfahren zu knacken. Allen voran den RSA-Algorithmus, der im Privatbereich bevorzugt bei Banküberweisungen, Kartenzahlungen, Online-Verkäufen und E-Mail-Verschlüsselungen zum Einsatz kommt.

Im Unternehmensumfeld betroffen sind weitverbreitete Cloud-Anwendungen, wie Office 365, Salesforce und eigene cloudbasierte Systeme. So könnte es Hackern mithilfe von Quantencomputern künftig ein Leichtes sein, an geschäftskritische Daten zu gelangen oder Software-Updates über das Netz zu manipulieren – bis hin zur Übernahme des kompletten IT-Systems.

„Schon heute müssen wir nach Alternativen suchen“

appelliert Michele Mosca, Mathematiker an der University of Waterloo in Kanada, an die IT-Sicherheitsverantwortlichen.

Da ein Quantencomputer heute verschlüsselte Daten auch rückwirkend lesbar machen kann, sollten Unternehmen und Organisationen frühzeitig beginnen, ihre Daten mit neuen Verschlüsselungsverfahren zu schützen.

Eine Möglichkeit dazu bietet die Postquantenkryptografie (PQC). Weltweit arbeiten wissenschaftliche Institute, Universitäten und Unternehmen bereits fieberhaft an der Entwicklung geeigneter Lösungen, in Deutschland nimmt die TU Darmstadt dabei eine Vorreiterrolle ein.

Als aussichtsreiche Kandidaten gelten die sogenannten gitterbasierten, multivariaten, Code-basierten und Hash-basierten Verschlüsselungsverfahren, die schon vor einigen Jahren entstanden sind und selbst von Quantencomputern nicht ausgehebelt werden können.

Unter den gitterbasierten Verfahren sind Ring-Tesla, Lara-CPA und Lara-CCA2 zu nennen, die im Vergleich zum RSA-Algorithmus eine deutlich höhere Sicherheit bieten.

Da diese Verfahren auch kürzere Laufzeiten bei der Ver- und Entschlüsselung oder beim Signieren und der Entschlüsselung von Signaturen ermöglichen, tragen sie zudem zu einer Performancesteigerung der Anwendung bei.

Während die neuen PQC-Verfahren bereits zunehmend bei Open-Source-Anwendungen zum Einsatz kommen, sieht es im kommerziellen Umfeld noch anders aus. Was aber können Unternehmen tun, um ihre Daten auch im kommenden Quantencomputing-Zeitalter vor Missbrauch zu schützen und gleichzeitig die immer strikteren Datenschutzgesetze zu erfüllen – Stichwort EU-DSGVO?

Einen Lösungsansatz bieten Verschlüsselungs­gateways mit kundenseitigem Key-Management, in die sich die zukunftsweisenden PQC-Algorithmen beliebig integrieren lassen.

Anwenderunternehmen profitieren davon, dass sie genau das PQC-Verfahren auswählen können, das für ihre Anforderungen am besten geeignet ist. Denn im Gegensatz zum RSA-Algorithmus, der vergleichsweise einfach funktioniert, gibt es bei den neuen PQC-Verfahren eine Reihe von Parametern, die im Einzelfall zu beachten sind.

Ein weiterer Vorteil besteht darin, dass das Schlüssel- und Zugriffsmanagement bei der Nutzung von Verschlüsselungsgateways komplett in den Händen des Anwenderunternehmens bleibt.

Alle Daten, die den Betrieb verlassen, um in der Cloud verarbeitet oder gespeichert zu werden, sind verschlüsselt und selbst bei unberechtigtem Zugriff nicht lesbar – weder von den Anbietern der zu schützenden Anwendungen noch von den Cloud-Servicedienstleistern selbst.

avatar
Elmar Eperiesi-Beck, Eperi

Elmar Eperiesi-Beck ist Gründer und CEO von Eperi.


Schreibe einen Kommentar

Die Arbeit an der SAP-Basis ist entscheidend für die erfolgreiche S/4-Conversion. 

Damit bekommt das sogenannte Competence Center bei den SAP-Bestandskunden strategische Bedeutung. Unhabhängig vom Betriebsmodell eines S/4 Hana sind Themen wie Automatisierung, Monitoring, Security, Application Lifecycle Management und Datenmanagement die Basis für den operativen S/4-Betrieb.

Zum zweiten Mal bereits veranstaltet das E3-Magazin in Salzburg einen Summit für die SAP-Community, um sich über alle Aspekte der S/4-Hana-Basisarbeit umfassend zu informieren.

Veranstaltungsort

Mehr Informationen folgen in Kürze.

Veranstaltungsdatum

Mittwoch, 21. Mai, und
Donnerstag, 22. Mai 2025

Early-Bird-Ticket

Verfügbar bis Freitag, 24. Januar 2025
EUR 390 exkl. USt.

Reguläres Ticket

EUR 590 exkl. USt.

Veranstaltungsort

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Veranstaltungsdatum

Mittwoch, 5. März, und
Donnerstag, 6. März 2025

Tickets

Reguläres Ticket
EUR 590 exkl. USt
Early-Bird-Ticket

Verfügbar bis 24. Dezember 2024

EUR 390 exkl. USt
Veranstalter ist das E3-Magazin des Verlags B4Bmedia.net AG. Die Vorträge werden von einer Ausstellung ausgewählter SAP-Partner begleitet. Der Ticketpreis beinhaltet den Besuch aller Vorträge des Steampunk und BTP Summit 2025, den Besuch des Ausstellungsbereichs, die Teilnahme an der Abendveranstaltung sowie die Verpflegung während des offiziellen Programms. Das Vortragsprogramm und die Liste der Aussteller und Sponsoren (SAP-Partner) wird zeitnah auf dieser Website veröffentlicht.