Bewusstsein für Bedrohung durch Post Quantum Computing, wenig Vorbereitungen
Das Entrust Cybersecurity Institute hat die Ergebnisse einer weltweiten Umfrage zum Thema Post Quantum Kryptographie veröffentlicht. Hierin wird analysiert, inwieweit Unternehmen auf die Bedrohungen durch Quantum Computing vorbereitet sind und auf eine quantensichere Verschlüsselung umstellen.
Post-Quantum-Kryptographie
Die „Post-Quantum-Bedrohung“ besteht darin, dass Quantencomputer innerhalb des nächsten Jahrzehnts in der Lage sein werden, die herkömmliche Kryptographie mit öffentlichen Schlüsseln zu knacken. Und sie rückt näher: Laut Global Risk Institute werden Quantencomputer die Cybersicherheit bereits im Jahr 2027 gefährden.
Erst kürzlich wurden die ersten drei finalen Post-Quantum-Verschlüsselungsstandards durch das NIST veröffentlicht. Diese enthalten Nutzungs- und Implementierungsrichtlinien für Quantenkryptographie. Um sich auf die Migration vorzubereiten, müssen Unternehmen jedoch wissen, welche kryptographischen Ressourcen und Algorithmen sie besitzen und wo diese sich befinden. Ein vollständiges und klares Inventar aller kryptographischen Ressourcen (Schlüssel, Zertifikate, Geheimnisse und Algorithmen) ist eine zwingende Voraussetzung für eine erfolgreiche Migration hin zu einer quantensicheren Infrastruktur. Ebenso wichtig ist Krypto-Agilität, also die Fähigkeit eines Systems, eine Alternative zur ursprünglichen Verschlüsselungsmethode ohne wesentliche Änderungen der Systeminfrastruktur zu übernehmen.
Entrust 2024 PKI Study
Entrusts Studie präsentiert die Ergebnisse einer vom Ponemon Institute durchgeführten Umfrage unter IT-Sicherheitsexperten aus Deutschland, Großbritannien, Kanada, den USA, den Vereinigten Arabischen Emiraten, Australien/Neuseeland, Japan, Singapur und dem Nahen Osten. Im Vergleich zu den Vorjahren zeigen diese neuen Daten eine deutliche Verschiebung hin zu einem stärkeren Bewusstsein für Bedrohungen, die es für moderne Unternehmen darstellt.
Gleichzeitig wird jedoch deutlich, dass die meisten Unternehmen noch nicht auf die Transition zu einer Post-Quantum-Kryptographie vorbereitet sind, was sie anfällig für potenzielle Angriffe macht. Als Hauptursachen werden mangelnde Ausbildung, Fähigkeiten und Technologien genannt.
„Es gibt eine Verschiebung in der Branche in Bezug auf die Post-Quantum-Bereitschaft“, erklärt Samantha Mabey, Director of Digital Solutions Marketing bei Entrust. „Während bisher die reale Bedrohung durch Post Quantum noch teilweise angezweifelt wurde, drehen sich die Fragen jetzt darum, was genau getan werden muss – und wie.“
Ergebnissen der Studie
- Das Bewusstsein für die Notwendigkeit nimmt zu, aber die Umsetzung hinkt hinterher: Während 61 Prozent der weltweit Befragten planen, innerhalb der nächsten fünf Jahre auf Post-Quantum-Kryptographie zu migrieren, bereitet sich weniger als die Hälfte der Unternehmen (41 Prozent) derzeit aktiv auf den Übergang vor.
- Um sich auf die Quantenbedrohung vorzubereiten, nehmen nur 38 Prozent eine Bestandsaufnahme ihrer kryptographischen Ressourcen vor und/oder stellen sicher, dass ihre Infrastruktur kryptoagil ist.
- Der Überblick über ihre kryptographischen Bestände ist eines der größten Probleme für Unternehmen, die sich vorbereiten möchten: Auch wenn 44 Prozent angaben, sich auf den Aufbau einer Krypto-Strategie zu konzentrieren, halten sich 43 Prozent für nicht in der Lage, ihre Krypto-Assets zu inventarisieren. Letzteres ist die größte Sorge in allen neun befragten Ländern, wenn es um Vorbereitungen für den Übergang auf die Post-Quantum-Kryptographie geht. Gleichzeitig gaben 38 Prozent der Befragten an, nicht über die richtigen Technologien zu verfügen, um die dafür erforderliche Rechenleistung zu unterstützen.
- Unter den Unternehmen, die sich für eine Migration entschieden haben, ist der richtige Weg noch ungewiss: Während 36 Prozent der Unternehmen weltweit die Transition hin zu reiner Post-Quantum-Kryptographie befürworten, tendiert ein erheblicher Anteil zu einem hybriden Ansatz (31 Prozent) oder zu ersten internen Tests von Post-Quantum-Kryptographie (26 Prozent).
„Unternehmen wissen mittlerweile um die Bedrohung durch Post Quantum, aber es mangelt ihnen an Transparenz, Fähigkeiten und Rechenleistung für die Realisierung einer effektiven Abwehrstrategie. Dies macht eine kritische Lücke zwischen Bewusstsein und Handeln deutlich – während die Risiken immer näher kommen. Die aktive Aufnahme dieser Pläne, die Verbesserung der Transparenz kryptographischer Ressourcen und die Vorbereitung ihrer Teams auf eine quantensichere Zukunft werden im Jahr 2025 ein wichtiger Schwerpunkt für Unternehmen sein“, so Mabey.
Weltweiter Vergleich
Weniger als die Hälfte der Unternehmen weltweit (41 Prozent) bereiten sich derzeit aktiv auf Post Quantum vor, wobei die Spanne von einem Höchstwert von 48 Prozent in den USA bis zu nur 34 Prozent im Nahen Osten reicht. Deutschland rangiert mit 45 Prozent dicht hinter den USA und Kanada (47 Prozent). 27 Prozent der Unternehmen haben die potenziellen Auswirkungen der Quantenbedrohung noch nicht einmal in Betracht gezogen und neun Prozent der Befragten wissen nicht, was sie in Bezug auf PQ überhaupt tun sollten. In Deutschland spiegeln sich diese Ergebnisse mit 38 Prozent und 5 Prozent wider.
Die Mehrheit der CISOs ist sich bewusst, dass Post Quantum am Horizont auftaucht: 61 Prozent der Unternehmen weltweit planen, innerhalb der nächsten fünf Jahre auf Post-Quantum-Kryptographie umzustellen. Fast ein Drittel (31 Prozent) hat jedoch keine derartigen Pläne. Dieser Trend ist in den untersuchten Ländern relativ einheitlich, wobei in den USA mit 70 Prozent und Deutschland mit 68 Prozent die meisten Migrationsabsichten erkennbar sind.
Methodik: Die vom Ponemon Institute für Entrust durchgeführte Studie „PKI and Post Quantum Trends 2024“ präsentiert die Ergebnisse einer Umfrage unter 2.176 IT-Sicherheitsfachleuten in den USA, Großbritannien, Kanada, Deutschland, den Vereinigten Arabischen Emiraten, Australien/Neuseeland, Japan, Singapur und dem Nahen Osten.