Quantum

DORA und Ihre Migration zur quantensicheren Kryptografie

Finanzdienstleister, Aktienanalyst, der Kursdaten eines Unternehmens am Computer recherchiert

Autoren

Dinesh Nagarajan

Global Partner - Cybersecurity

IBM Consulting

Joachim Schäfer

Managing Security Consultant

IBM

Quantencomputing ist ein neues Paradigma mit dem Potenzial, Probleme anzugehen, die klassische Computer heute nicht mehr lösen können. Leider birgt dies auch Gefahren für die digitale Wirtschaft und insbesondere für den Finanzsektor.

Der Digital Operational Resilience Act (DORA) ist ein Framework, der einheitliche Anforderungen in der gesamten Europäischen Union (EU) einführt, um ein „hohes Maß an operativer Resilienz“ im Finanzdienstleistungssektor zu erreichen. Von DORA erfasste Einrichtungen – wie beispielsweise Kreditinstitute, Zahlungsinstitute, Versicherungsunternehmen, Anbieter von Informations- und Kommunikationstechnologie (IKT)-Dienstleistungen usw. – müssen die Vorgaben bis zum 17. Januar 2025 erfüllen.

Neue Anforderungen für Finanzunternehmen in der EU

DORA legt eine Reihe von Anforderungen in den Bereichen ICT-Risikomanagement, Vorfallberichterstattung, Tests der operativen Resilienz, den Austausch von Informationen über Cyberbedrohungen und Schwachstellen sowie das Risikomanagement durch Drittanbieter fest. Als Teil dieser Anforderungen und im Zusammenhang mit Datenschutz und Kryptographie wird in Artikel 9 („Schutz und Vorbeugung“) festgelegt, dass Finanzunternehmen "IKT-Lösungen und -Verfahren" verwenden, die „(a) die Sicherheit der Datenübertragungsmittel gewährleisten“ oder „(c) die Beeinträchtigung der Authentizität und Integrität, die Verletzung der Vertraulichkeit und den Verlust von Daten verhindern“.

Weitere im Kontext von Artikel 9 zu berücksichtigende Elemente werden in Artikel 15 erwähnt und sind in den zugehörigen (Entwurfs-)regulatorischen technischen Standards dargelegt, die die ESA am 17. Januar 2024veröffentlicht hat. Insbesondere enthält JC 2023 86 detaillierte Anforderungen an kryptografische Leitlinien. Darüber hinaus wird in der Präambel Folgendes ausgeführt:

„Angesichts der rasanten technologischen Entwicklungen im Bereich der kryptographischen Techniken sollten Finanzinstitute […] über relevante Entwicklungen in der Kryptoanalyse auf dem Laufenden bleiben und führende Praktiken und Standards berücksichtigen. Daher sollten sie einen flexiblen Ansatz verfolgen, der auf Risikominderung und Überwachung basiert, um mit der dynamischen Geschäftswelt kryptographischer Bedrohungen, einschließlich derer aus Quantum-Fortschritten, umzugehen.“

Im Folgenden werden wir die erwähnten „kryptografischen Bedrohungen“ und ihre möglichen Auswirkungen auf Finanzinstitute im Kontext des Quantencomputing näher erläutern.

Branchen-Newsletter

Die neuesten Tech-News – von Experten bestätigt

Bleiben Sie mit dem Think-Newsletter über die wichtigsten – und faszinierendsten – Branchentrends in den Bereichen KI, Automatisierung, Daten und mehr auf dem Laufenden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.

Vielen Dank! Sie haben sich angemeldet.

Ihr Abonnement wird auf Englisch geliefert. In jedem Newsletter finden Sie einen Abmeldelink. Hier können Sie Ihre Abonnements verwalten oder sich abmelden. Weitere Informationen finden Sie in unserer IBM Datenschutzerklärung.

Quantum-Bedrohungen und quantensichere Kryptografie

Während aktuelle Quantencomputer immer noch mit Rauschen zu kämpfen haben und noch nicht „fehlertolerant“ sind, wurden beeindruckende Meilensteine erreicht, die ihren Nutzen bereits unter Beweis stellen. Angesichts der Anzahl der Investitionen, die sowohl im privaten Sektor als auch im akademischen Bereich getätigt werden, wird erwartet, dass diese Technologie im Laufe der Zeit skaliert und drastisch verbessert wird. Dadurch wird auch die potenzielle Bedrohung für die digitale Wirtschaft zunehmen.

1994 stellte der Physiker Peter Shor einen Algorithmus vor, der, wenn er auf einem großflächigen Quantumcomputer ausgeführt wird, öffentliche Schlüsselkryptographie-Algorithmen wie Rivest-Shamir-Adleman (RSA), Diffie-Hellman und Elliptic Curve Cryptography (ECC) knacken konnte. Der Finanzsektor verlässt sich auf diese Algorithmen, um die Vertraulichkeit und Integrität von Banktransaktionen, die Authentizität seiner Kunden, die Gültigkeit digital signierter Dokumente und die Vertraulichkeit von Kundenfinanzdaten zu gewährleisten. Wenn die unterstützende Kryptographie nicht mehr vertrauenswürdig ist, ist der gesamte Finanzsektor gefährdet.

Quantum-Bedrohungen für die Kryptografie

Quantum-Bedrohungen für die Kryptografie

Um die heutige Kryptographie zu durchbrechen, müsste ein sogenannter Kryptographisch Relevanter Quantencomputer (CRQC) realisiert werden (einige Experten schätzen, dass dies Anfang der 2030er Jahre geschehen könnte). Die Auswirkungen werden sich zwar erst in der Zukunft zeigen, aber wir sind bereits jetzt gefährdet. Man kann sich einen Angreifer vorstellen, der heute verschlüsselte vertrauliche Daten abgreift, um sie später zu entschlüsseln.

Quantenresistente Kryptographie auf dem Vormarsch

Zum Glück wird derzeit eine neue „quantensichere“ Kryptographie standardisiert, wobei die bedeutendsten Bemühungen vom National Institute of Standards and Technology (NIST) geleitet werden. Im Jahr 2016 startete das NIST einen Wettbewerb mit mehr als 80 Einsendungen, um eine neue Form der Kryptographie zu standardisieren, die auf gewöhnlichen Systemen (z. B. Laptops, Cloud usw.) laufen soll, aber gegen einen Quantenangreifer resistent sein soll, da sie auf mathematischen Problemen beruht, die für einen Quantencomputer (und auch für einen klassischen Computer) schwer zu lösen sind.

Die ersten vier Algorithmen für die Standardisierung wurden im Juli 2022 vom NIST ausgewählt (drei davon wurden in Zusammenarbeit mit IBM entwickelt). Die Veröffentlichung der Standards ist zwar für 2024 geplant, es werden aber weiterhin zusätzliche alternative Kandidaten in Betracht gezogen.

NIST-Standardisierungszeitplan für quantensichere (auch „postquantensichere“) Kryptographie

NIST-Standardisierungszeitplan für quantensichere (auch „postquantensichere“) Kryptographie

Ein Standard für quantensichere Kryptografie ist in Sicht. Leider liegt insbesondere aufgrund der Komplexität des Finanzsektors ein langer Weg vor uns. NIST gehtdavon aus, dass "fünf bis fünfzehn oder mehr Jahre vergehen werden [...] bevor die vollständige Umsetzung dieser Standards abgeschlossen ist." Wenn wir dies mit den Entwicklungszeitplänen eines CRQC vergleichen, wird klar, dass Unternehmen mit dieser Journey noch heute beginnen müssen.

Warum Quantum einen Einfluss auf DORA hat

Quantum-Bedrohungen haben, wenn sie eintreten, das Potenzial, die operative Widerstandsfähigkeit von Finanzinstituten drastisch zu beeinträchtigen und die Weltwirtschaft zu stören. Glücklicherweise stehen neue quantensichere Kryptographiealgorithmen zur Verfügung (deren Standards in Kürze veröffentlicht werden), die zur Minderung dieser Bedrohungen benötigt werden.

Wenn wir dies mit den Anforderungen der DORA in Verbindung bringen, können wir mehrere Direct Links ziehen. Um Artikel 9 zu erfüllen, müssen Finanzinstitute quantensichere Mittel der Datenübertragung einsetzen, sowie quantensichere Mechanismen, um „die Beeinträchtigung der Authentizität und Integrität, die Verletzungen der Vertraulichkeit und den Verlust von Daten zu verhindern“.

Dies impliziert die Notwendigkeit, kommende, quantensichere Daten-in-Transit-Protokolle wie quantensichere Transportschichtsicherheit (TLS) oder quantensichere virtuelle private Netzwerke (VPNs) sowie quantensichere Mechanismen zur Unterzeichnung (rechtlich bindender) Dokumente oder Banktransaktionen zu implementieren. Daher müssen Finanzinstitute unterstützende Infrastrukturen wie quantensichere Public-Key-Infrastrukturen (PKI) und Schlüsselverwaltung implementieren.

Darüber hinaus liegen die Implementierungen heutzutage oft in den Händen von Drittanbietern. Um die Komplexität noch zu erhöhen, werden in vielen Fällen bestehende Programme, wie z. B. eine „verschieben zur Cloud“ oder eine „Zero-Trust“-Implementierung, mehrere der oben genannten Elemente beeinflussen.

Mixture of Experts | 12. Dezember, Folge 85

KI entschlüsseln: Wöchentlicher Nachrichtenüberblick

Schließen Sie sich unserer erstklassigen Expertenrunde aus Ingenieuren, Forschern, Produktführern und anderen an, die sich durch das KI-Rauschen kämpfen, um Ihnen die neuesten KI-Nachrichten und Erkenntnisse zu liefern.
Alle Episoden von Mixture of Experts ansehen

Quantum-Bedrohungen können schwerwiegende Folgen haben

Im schlimmsten Fall, wenn Finanzdienstleistungsunternehmen die Quantenbedrohungen in ihrem digitalen Ökosystem nicht beheben, kann dies die Widerstandsfähigkeit ihres Geschäfts beeinträchtigen, indem Folgendes:

  • Die Unfähigkeit, autorisierte Benutzer in ihrem Netzwerk zu verifizieren, führt zu Verwirrung und einem völligen Mangel an Vertrauen in ihr Ökosystem.
  • Da ihnen das Vertrauen in die Mechanismen (z. B. Verschlüsselung), die zum Schutz dieser Daten eingesetzt werden, fehlt, können sie ihre Datenschutzbestimmungen nicht einhalten.
  • Erhöhtes Risiko externer Bedrohungen durch anfällige Verschlüsselungsprotokolle und Algorithmen in Business-to-Business- und Lieferketten-Netzwerken.
  • Unterbrechung des Tagesgeschäfts durch Ausfallzeit, die für die Wiederherstellung digitaler Dienste und Anwendungen erforderlich ist.

Angesichts der aktuellen Entwurfsanforderungen gemäß JC 2023 86 kann man erwarten, dass sie kurz nach der Standardisierung quantensicherer Kryptografie als kontenführende Praxis betrachtet wird. Daher werden regulatorische Anforderungen wie DORA, unabhängig davon, wann Quantenbedrohungen auftreten könnten, schon bald implizit die Einführung von quantensicherer Kryptografie in der Finanzbranche vorschreiben.

Gleichzeitig sollten Unternehmen die Gelegenheit ergreifen, ihre kryptografische Flexibilität insgesamt zu verbessern, indem sie die Art und Weise, wie Kryptografie heute implementiert wird, modernisieren und künftige Änderungen wesentlich zeitnaher und kosteneffizienter gestalten.

Quantensichere Migration

Es ist klar, dass die Implementierung von quantensicherer Kryptografie kein leichtes Unterfangen sein wird. Ein solches Migrationsprogramm erfordert Agilität und bietet auch die Möglichkeit, einen Early-Mover-Vorteil auszunutzen. Es bedarf eines vielschichtigen Ansatzes, der sowohl von oben nach unten festgelegte Geschäftsprioritäten als auch von unten nach oben festgelegte technische Funktionen umfasst.

Wir empfehlen Organisationen, die von DORA betroffen sind, mindestens die folgenden Schritte zu unternehmen:

  • Beurteilen und überprüfen Sie die kryptografische Situation Ihres Unternehmens und identifizieren Sie Elemente (Anwendungen, Netzwerke, strategische Projekte usw.), die möglicherweise von Quantum-Bedrohungen betroffen sind.
  • Entwickeln Sie einen Plan, der auf den Geschäftsprioritäten basiert und Synergien mit bestehenden Transformationen berücksichtigt. Legen Sie einen Ansatz zur Sanierung der betroffenen digitalen Dienste und den zugehörigen Systemen fest.
  • Verbessern Sie Ihre kryptografische Sicherheit durch die Einführung von Funktionen zur kryptografischen Erkennung und Inventarisierung. Führen Sie Observability ein, um die kryptografische Compliance kontinuierlich zu validieren, einschließlich der Nutzung von „ kryptografischen Materiallisten“. Solche Elemente erhöhen die kryptografische Agilität Ihres Unternehmens.
  • Stellen Sie sicher, dass aktuelle Änderungsprozesse und strategische Projekte die Auswirkungen der Kryptographie berücksichtigen und dass Vorkehrungen getroffen werden, um Sanierung so störungsarm wie möglich zu implementieren.
  • Sponsern Sie ein Programm, um die oben genannten Schritte kontinuierlich fortzufahren.

Vor allem sollten Sie nicht zögern, mit der Umsetzung dieser Schritte zu beginnen. Wir empfehlen Unternehmen dringend, noch heute ein Programm zur quantensicheren Migration zu definieren.