[datensicherheit.de, 12.05.2025] Laut einer aktuellen Stellungnahme von Utimaco wird der sogenannte Q-Day zu einer realen Bedrohung – und gibt Unternehmen Tipps, um sich rechtzeitig darauf vorzubereiten. „Q-Day“ bezeichnet demnach den Tag, an dem böswillige Akteure Zugang zu quantengestützten Cyberangriffen haben werden – „er könnte bereits 2030 eintreten“. Um nun weiterhin digitale Sicherheit zu gewährleisten, müsse sich die heutige Kryptographie drastisch verändern. Cindy Provin, „CSO“ bei Utimaco, führt aus, wie sich Unternehmen auf diese Herausforderung vorbereiten sollten.

Foto: UtimacoCindy Provin rät Unternehmen, ihre kryptographische Infrastruktur für mehrere Anwendungsfälle neu zu definieren

Überlegene Quanten-Rechenleistung könnte heutige gängige Verschlüsselungsverfahren aushebeln

Bereits um das Jahr 2030 könnten Quantencomputer mit kryptographischer Relevanz kommerziell verfügbar werden. „Ihre überlegene Rechenleistung würde es ermöglichen, heutige gängige und als sehr sicher geltende Verschlüsselungsverfahren zu brechen“, prognostiziert Provin. Ähnlich wie bei anderen Technologien zuvor, sei auch bei Quantencomputern von wachsender Verbreitung und sinkenden Kosten auszugehen, so dass diese früher oder später auch eine Option für Cyberkriminelle werden könnten.

„Deshalb sollten Unternehmen frühzeitig Maßnahmen ergreifen und den Umstieg auf quantensichere Algorithmen (Post Quantum Cryptography / PQC) vorbereiten.“ Auch wenn dies mit erhöhtem Aufwand und zusätzlichen Ressourcen verbunden sei – etwa durch den Einsatz komplexerer Verfahren – dürfe dieses Thema nicht aufgeschoben werden. Provin warnt: „Kommt es tatsächlich zu Angriffen auf klassische Kryptosysteme, könnten die Folgen verheerend sein!“

Quantenrechner – nicht nur eine abstrakte Bedrohung

Gefährdet sei insbesondere die asymmetrische Kryptographie, bei der die Beziehung zwischen privatem und öffentlichem Schlüssel über schwer umkehrbare mathematische Operationen hergestellt werde. „Mit aktueller Hardware ist es nicht in reeller Zeit möglich, aus einem öffentlichen Schlüssel auf den damit verknüpften aber geheimen privaten Schlüssel zu schließen.“ Die überlegene Rechenleistung der Quantenrechner könnte indes diese Grundlage moderner Kryptosysteme zunichtemachen – mit drastischen Konsequenzen:

• „Asymmetrische Kryptografie ist heute allgegenwärtig – auch wenn viele Menschen sie kaum bewusst wahrnehmen. Sie bildet die Grundlage für sichere Verbindungen im Internet (HTTPS) und schützt die Kommunikation in Messenger-Diensten wie ,WhatsApp’ durch Ende-zu-Ende-Verschlüsselung.“
• Auch digitale Nachweise, wie sie künftig in der von der EU geplanten „ID-Wallet“ gespeichert werden sollen, basierten auf diesem Prinzip. Dabei könnten Inhalte mit einem öffentlichen Schlüssel überprüft werden, während nur befugte Stellen mit entsprechenden privaten Schlüsseln zur Ausstellung berechtigt seien.
• Ebenso komme asymmetrische Kryptographie bei qualifizierten elektronischen Signaturen zum Einsatz. „Ein Angriff auf die dafür verwendeten Zertifikate könnte digitale Verträge kompromittieren, beziehungsweise wertlos machen!“

Derzeitige Vorbereitungen auf die Bedrohung durch quantenbasierte Cyberangriffe

Angesichts der realen Bedrohung durch quantenbasierte Cyberangriffe stelle sich die Frage, wie die Wirtschaft mit dem Thema umgeht. „Nur 20 Prozent der Unternehmen haben bereits mit der PQC-Migration begonnen, wie eine Umfrage von Utimaco unter mehr als 200 Organisationen in den USA, dem Vereinigten Königreich und Deutschland zeigt.“

• 34 Prozent der Befragten möchten immerhin innerhalb der nächsten ein bis drei Jahre mit der Migration beginnen,
• 21 Prozent im Zeitraum von drei bis fünf Jahren und acht Prozent in fünf bis zehn Jahren.
• 17 Prozent der Unternehmen hätten noch keine Pläne zur Umstellung auf Post-Quanten-Kryptographie.

Umstellung auf Postquanten-Kryptographie kein Nebenprojekt – sondern umfassende Transformation

Provin betont: „Dabei sollten Verantwortliche bedenken, dass die Umstellung auf Postquanten-Kryptographie kein Nebenprojekt, sondern eine umfassende Transformation ist, bei der Unternehmen ihre kryptographische Infrastruktur für mehrere Anwendungsfälle neu definieren müssen.“ Die Umstellung auf neue kryptographische Algorithmen könne für bestehende Systeme störend sein – insbesondere aufgrund längerer Schlüssel und unterschiedlicher Implementierungen.

• Bei den Unternehmen, die an einer PQC-Migration arbeiten, bevorzugten die meisten (63%) einen hybriden Ansatz, d.h. die Kombination klassischer und Post-Quantum-Kryptographie.
• 17 Prozent planten hingegen eine vollständige PQC-Implementierung.

Hardware-Anbieter und Kryptographie-Dienstleister sollten kryptoagil sind, um bei Bedarf neue, quantensichere Algorithmen aufspielen zu können

„,Quantum Key Distribution’ (QKD), eine Methode des Schlüsselaustauschs, die sich selbst Quanteneffekte zunutze macht, möchten lediglich zwölf Prozent der befragten Unternehmen als zusätzliche Sicherheitsmaßnahme implementieren.“ Gründe dafür könnten der Bedarf an neuer, hochspezialisierter Hardware sowie physikalische Einschränkungen der Übertragungswege sein.

PQC lasse sich hingegen sehr gut in bestehende Systeme integrieren. Provin abschließender Hinweis: „Unternehmen sollten jedoch darauf achten, dass Hardware-Anbieter oder Kryptographie-Dienstleister kryptoagil sind, so dass sie bei Bedarf neue, quantensichere Algorithmen auf ihre Geräte aufspielen können.“

Weitere Informationen zum Thema:

utimaco, 2025
2025 Utimaco PQC Readiness Report / Insights into PQC Migration from 200+ IT Security Professionals

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022]
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

datensicherheit.de, 19.07.2022
Quanten-Kryptographie könnte Ende der Lauschangriffe bedeuten / Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

datensicherheit.de, 03.11.2019
Schutz gegen Quantencomputer: Wettrüsten gestartet / Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und quantensichere Datenverschlüsselung einleiten

datensicherheit.de, 28.10.2019
Quantencomputer bedrohen Absicherung vernetzter Systeme / Google hat Start für neues Computerzeitalter gesetzt

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie / Vernetzte Geräte, Daten und Kritische Infrastrukturen langfristig vor möglichem Quantencomputer-Angriff schützen

[datensicherheit.de, 19.11.2024] Die NIS-2-Richtlinie soll in Deutschland nun voraussichtlich ab dem Frühjahr 2025 im nationalen Recht verankert sein – sie zielt darauf ab, ein höheres Sicherheitsniveau in der EU zu etablieren und Unternehmen in wichtigen Infrastrukturbereichen besser vor Cyber-Angriffen zu schützen. Studien zufolge sei jedoch nur etwa ein Drittel der ca. 30.000 betroffenen Unternehmen hierzulande auf diese Richtlinie vorbereitet. Simona Foldesova, „Product Manager GP HSM“ von Utimaco, geht in ihrer aktuellen Stellungnahme auf die wesentlichen Anforderungen von NIS-2 sowie ihre Auswirkungen auf Unternehmen ein und erörtert, wie IT-Security-Partner dabei unterstützen könnten, die Herausforderungen zu bewältigen und Chancen der NIS-2-Richtlinie erfolgreich zu nutzen.

Foto: Utimaco

Simona Foldesova rät Unternehmen angesichts der NIS-2-Richtlinie u.a.zum Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen

Zentrale Anforderungen und Neuerungen der NIS-2-Richtlinie

Die NIS-2-Richtlinie bringe einige weitreichende Neuerungen mit sich, welche über die bisherigen Vorgaben hinausgingen:

Erweiterte Pflicht zur Cyber-Sicherheits-Governance
Unternehmen müssten ein Cyber-Sicherheits-Management etablieren, welches auf alle Ebenen der Organisation ausgerichtet sei. Dies umfasse sowohl die Führungsebene als auch die Einbindung operativer Mitarbeiter.

Erhöhte Transparenz und erweiterte Berichterstattung
Die NIS-2-Richtlinie verpflichte Unternehmen, schwerwiegende Sicherheitsvorfälle umgehend zu melden. Eine rasche Kommunikation solcher Vorfälle an die zuständigen Behörden sowie betroffene Partner solle die Transparenz erhöhen und Reaktionen beschleunigen.

Risiko- und Vorfallsbewertung
Eine proaktive Risikobewertung sowie regelmäßige Analysen potenzieller Bedrohungen seien essenziell. Dazu gehöre die Erstellung eines Notfallplans, um auf sicherheitsrelevante Zwischenfälle schnell und effektiv reagieren zu können.

Absicherung der Lieferkette
Ein wesentlicher Schwerpunkt der NIS-2-Richtlinie liege auf der Sicherheit in der Lieferkette. Unternehmen müssten sicherstellen, „dass auch Partner und Dienstleister die geforderten Sicherheitsstandards erfüllen“. Dazu gehöre die Überprüfung externer Partner sowie die Implementierung klarer Kontrollmechanismen.

Höhere Anforderungen an technische Sicherheitsmaßnahmen
Die technische Sicherheit von Netzwerken und Systemen sei ein zentrales Thema der NIS-2-Richtlinie. Organisationen müssten Maßnahmen wie die Verschlüsselung sensibler Daten und Zugangskontrollen implementieren, um Cyber-Angriffe zu verhindern.

Bußgelder bei Nichteinhaltung
Verstöße gegen die Vorgaben der NIS-2-Richtlinie würden mit hohen Geldbußen sanktioniert. „Diese Maßnahme soll sicherstellen, dass Unternehmen die Anforderungen ernst nehmen und die notwendigen Schritte zur Risikominimierung unternehmen.“

NIS-2 hat erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur

NIS-2 habe damit erhebliche Auswirkungen auf Unternehmen der Kritischen Infrastruktur (KRITIS). Dazu zählten beispielsweise Versorgungsunternehmen, Krankenhäuser, Finanzdienstleister und IT-Unternehmen. „Diese Firmen stehen vor der Herausforderung, ihre Sicherheitsmaßnahmen umfassend zu überprüfen und an die neuen Standards anzupassen. Das bedeutet oft erhebliche Investitionen in Sicherheitslösungen, neue Prozesse und Mitarbeiterfortbildungen.“

Unternehmen müssten die NIS-2-Compliance priorisieren, da sie sonst rechtliche und finanzielle Risiken eingingen. Der Aufwand für die Umsetzung könne insbesondere für kleinere Unternehmen eine Herausforderung darstellen. Dennoch biete die Einhaltung der NIS2-Richtlinie auch Chancen: „Unternehmen, die frühzeitig auf eine starke Cyber-Sicherheitsstrategie setzen, gewinnen nicht nur an Vertrauen bei Kunden und Partnern, sondern können auch effizienter und widerstandsfähiger gegenüber Angriffen werden.“

Zusammenarbeit entscheidend zur Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie

Spezialisierte Software-Anbieter unterstützten Unternehmen bei der Erfüllung der vielfältigen Anforderungen der NIS-2-Richtlinie mit verschiedenen Produkten und Dienstleistungen – auch „as a Service“. Zu diesen schnell einsetzbaren Lösungen gehörten beispielsweise Datenverschlüsselung und Schlüsselmanagement. Moderne Verschlüsselungstechniken sorgten dafür, dass sensible Daten im Fall eines Lecks geschützt blieben. Solche Lösungen ermöglichten zudem die sichere Verwaltung kryptographischer Schlüssel, was für die Integrität der Daten entscheidend sei.

Verifizierung und Authentifizierung spielten im KRITIS-Bereich eine besondere Rolle. Moderne Sicherheitsprodukte sollten daher robuste Authentifizierungsmechanismen bieten, um unbefugten Zugriff auf Systeme zu verhindern. „Diese Maßnahmen sind ein wichtiger Teil der NIS-2-Anforderungen.“ Hinzu kämen regelmäßige Sicherheitsanalysen und Monitoring. Unternehmen sollten Monitoring-Tools einsetzen, „die kontinuierlich potenzielle Sicherheitsbedrohungen erkennen und sofortige Gegenmaßnahmen ermöglichen“. Regelmäßige Prüfungen und Berichte könnten IT-Sicherheitsteams helfen, auf dem neuesten Stand der Cyber-Abwehr zu bleiben. Nicht zuletzt müssten Unternehmen auch für die Sicherheit entlang der Lieferkette Rechnung tragen. Daher sollten sie darauf achten, mit zertifizierten, ebenfalls nach EU-Recht regulierten Partnern zu kooperieren.

NIS-2-Richtlinie große Herausforderung und zugleich Chance für Unternehmen

Die NIS-2-Richtlinie stelle eine große Herausforderung dar, biete jedoch zugleich eine Chance für Unternehmen, ihre Cyber-Sicherheitsstrategie zu verbessern und sich gegen zukünftige Bedrohungen abzusichern. Foldesova unterstreicht: „Die Etablierung eines umfassenden Sicherheitsmanagements, das nicht nur die eigenen Systeme, sondern auch die gesamte Lieferkette absichert, stärkt die Widerstandsfähigkeit gegenüber Cyber-Bedrohungen und verbessert das Vertrauen von Kunden und Partnern.“

Durch den Einsatz von Verschlüsselungs- und Schlüsselmanagement-Lösungen (von Cybersecurity-Unternehmen wie z.B. Utimaco) sowie die Unterstützung durch deren Compliance-Experten könnten Unternehmen die Anforderungen der NIS-2-Richtlinie effektiv und effizient erfüllen.

Weitere Informationen zum Thema:

heise online, Dr. Oliver Diedrich, 26.09.2024
NIS2 für mehr IT-Sicherheit: Viele Unternehmen sind noch nicht gut vorbereitet / Lediglich ein Drittel der betroffenen rund 30.000 Unternehmen in Deutschland ist bereits gut auf das Inkrafttreten der NIS2-Richtlinie vorbereitet

datensicherheit.de, 14.11.2024
NIS-2-Richtlinie: G DATA sieht Fehleinschätzung bei Mehrheit der Angestellten in Deutschland / Trotz unklarer Vorgaben erwarten 64 Prozent bis zum Jahresende 2024 NIS-2- Umsetzung ihres Unternehmens

datensicherheit.de, 04.11.2024]
Stärkung der Cyber-Sicherheit in Deutschland: eco fordert angesichts der NIS-2-Anhörung zügige Umsetzung / Der eco drängt auf zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

[datensicherheit.de, 18.07.2024] Cyber-Angriffe haben in den letzten Jahren offensichtlich drastisch zugenommen. Diese können Betriebe jeglicher Größe treffen – egal, ob Großunternehmen oder kleine und mittelständische Unternehmen (KMU). Aus dieser Erkenntnis erwächst umso dringlicher die Notwendigkeit gezielt zu handeln und die eigenen Cyber-Sicherheitsmaßnahmen so anzupassen, dass sie auch künftig Cyber-Angriffen standhalten können. Nils Gerhardt, „CTO“ von Utimaco, gibt in seiner aktuellen Stellungnahme vier Tipps, wie sich insbesondere KMU mit innovativen Angeboten schützen können, auch wenn sie eben nicht über IT-Security-Experten in den eigenen Reihen verfügen.

Foto: Utimaco

Nils Gerhardt gibt Tipps, wie sich KMU mit innovativen Angeboten schützen können – auch ohne über IT-Security-Experten im Hause zu verfügen

Utimaco-CTO rät Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen

„Cyber-Angriffe betreffen nur Großunternehmen, Soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken.“ Doch gerade dort fehlten oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten.

Allein in den Jahren 2018 bis 2020 seien laut einer Auswertung der KfW knapp 30 Prozent der deutschen Mittelständler Opfer von Cyber-Kriminalität geworden. Gerhardt betont: „Es handelt sich also um eine konkrete Bedrohung, die zu enormer Geschäftsschädigung führen kann. Gleichzeitig sehen EU-weite Verordnungen wie NIS-2 und DORA vor, dass Manager in bestimmten Branchen auch persönlich für IT-Sicherheitsverstöße haftbar gemacht werden können, was die Dringlichkeit dieses Themas natürlich noch erhöht.“ Es sei daher höchste Zeit für Unternehmen, ihre Cyber-Sicherheitsmaßnahmen anzupassen.

1. Utimaco-Tipp: Auf die Cloud setzen!

Gerhardt führt hierzu aus: „Lange Zeit gab es Vorbehalte gegen Datenhaltung in der ,Cloud’. Unternehmen fühlten sich nicht sicher dabei, Daten aus der Hand zu geben. Das eigene Rechenzentrum, der eigene Server schienen die sicherere und kontrollierbarere Infrastruktur zu sein. Doch der Schein trügt. Ein kleineres Unternehmen, das eigene Infrastrukturen betreibt, kann niemals die Ressourcen zur Cyber-Abwehr aufbieten wie ein großer ,Cloud’-Provider.“

Ein solches werde auch kaum eine 24-Stundenbereitschaft abstellen können, um jederzeit Patches einspielen zu können, damit Systeme stets aktuell sind. Die Situation lasse sich mit Bargeld unter der Matratze vergleichen: „Dass dieses dort wesentlich unsicherer verwahrt ist, als in einem Banksafe, der vielfach gesichert und rund um die Uhr bewacht ist, leuchtet schnell ein. Warum nicht auch beim Thema ,Cloud’ umdenken?“

Um Datensicherheit und Datenschutz gleichzeitig zu gewährleisten, gebe es allerdings auch dort einiges zu beachten: Die Großen der ,Cloud’-Branche verfügten natürlich über enorme Ressourcen im Sicherheitsbereich. Allerdings handele es sich bei ihnen um US-amerikanische Unternehmen mit anderen Datenschutzvorgaben als ihre europäischen Kunden. „Nutzer aus der EU sollten also sicherstellen und vertraglich vereinbaren, dass die ,Hyperscaler’ ihre Daten ausschließlich in Rechenzentren innerhalb der Union hosten!“ Inzwischen böten sie sogar auch eine eigene Datenverschlüsselung an. Doch ein gewisser Grad der Abhängigkeit bleibe. Gerhardts Empfehlung: „Unternehmen, die sich doppelt absichern wollen und sich nicht ausschließlich auf den ,Cloud’-Provider verlassen möchten, können ihre Daten selbst verschlüsseln, bevor diese in eine ,Cloud’ gelangen.“

2. Utimaco-Tipp: Kryptographie nutzen!

„Kryptographie und Datenverschlüsselung“ klinge hochkomplex und das sei es auch. Gerhardt betont: „Doch das sollte KMU nicht verunsichern!“ Inzwischen existierten auch auf diesem Gebiet leistungsfähige „As-a-Service“-Lösungen zertifizierter europäischer Partner.

Beispielsweise könnten Unternehmen so eine Datei- und Ordnerverschlüsselung umsetzen, die unabhängig vom Speicherort funktioniere und vollständig vom Anbieter gemanagt werde.

„Unternehmen, die bereits eigene kryptographische Dienste betreiben, dafür aber kein eigenes Hardware-Sicherheitsmodul ,On-Prem’ bereitstellen wollen oder können, können auf Angebote wie ,HSM-as-a-Service’ zurückgreifen.“ Dabei werde das Modul in einer hochsicheren Umgebung des Anbieters betrieben, stehe aber unter der alleinigen Fernkontrolle des Nutzers.

3. Utimaco-Tipp: Phishing-Fallen ausweichen!

Phishing, also das Abgreifen von Zugangsdaten mit gefälschten digitalen Inhalten, bilde den häufigsten Angriffsvektor. „Die Inhalte der Betrüger werden dabei immer ausgefeilter und sind wesentlich schwerer zu erkennen als noch vor wenigen Jahren“, erläutert Gerhardt. Besonders gefährlich werde es, „wenn Phishing noch mit ,Social Engineering’ kombiniert wird, wobei gezielt einzelne Personen ins Visier genommen und unter Druck gesetzt werden“. Angreifer recherchierten hierzu im Vorfeld ausgiebig und verschafften sich möglichst detaillierte Informationen zur Firma und zum Opfer. „Meist geben sie akute Notfälle vor, was Mitarbeiter immer wieder wider besseren Wissens zu gefährlichen Aktionen verleitet.“

Gerhardt rät: „Neben Aufklärung und Schulung von Mitarbeitern sollten also immer auch technische Lösungen implementiert werden, die im Ernstfall greifen.“ Setzen Unternehmen konsequent auf Multifaktor-Authentifizierung (MFA), würden erbeutete Zugangsdaten allein einem Angreifer nicht viel nützen. Eine Anmeldung müsste über einen weiteren Faktor, in der Regel das Mobiltelefon des Mitarbeiters, bestätigt werden.

Gegen gefälschte digitale Inhalte könnten Unternehmen vorgehen, indem sie Dokumente oder E-Mails elektronisch signierten. Dadurch könne sichergestellt werden, „dass diese authentisch und unverändert sind, sowie wirklich vom angegebenen Absender stammen“. Elektronische Signaturen könnten von Integratoren sehr leicht in bestehende Prozesse eingebunden werden, so dass dadurch kaum zusätzliche Komplexität entstehe.

4. Utimaco-Tipp: Verifizierung und Zertifizierung statt blindem Vertrauen!

Der Zugang zum Betriebsgelände sei in der Regel reglementiert und der Pförtner überwache am Eingang, wer hineinkommt. Dazu prüfe er die Identitäten von ihm unbekannten Personen und verifiziere im Zweifelsfall, ob diese tatsächlich eine Zugangsberechtigung haben. „Ähnlich verhielt sich dies lange Zeit auch mit den IT-Umgebungen von Unternehmen. Mittels Firewall konnten die Systeme ziemlich gut gegen die Außenwelt abgeschottet werden. Seit dem massiven Wachstum der Drahtlosnetzwerke – von WLAN bis 5G – und in Zeiten von IoT ergeben sich allerdings ganz neue Herausforderungen.“

Auch Mitarbeiter im sogenannten Home-Office benötigten Zugriff auf Daten und Dienste des Unternehmens. „Werden in der Industrie ,Smart Factories’ aufgebaut, kommen dort unzählige weiter vernetzte Geräte und Maschinen hinzu. Um Agile Prozesse zu gewährleisten, müssen mitunter auch Kunden, Lieferanten oder Partner mit ihren Geräten auf Unternehmensnetzwerke zugreifen.“

Die Überwachung und Verwaltung der Geräte im eigenen Netzwerk sei also heute oberste Pflicht. „Während traditionelles ,Identity and Access Management’ auf ,Accounts’ und rollenbasierte Zugriffmodelle setzt, stellen sich beim Thema IoT ganz neue Fragen. Hinter einem vernetzen Gerät steht kein Mensch mit einem persönlichen ,Account’, der sich bei Bedarf mit Multi-Faktor-Authentifizierung verifizieren kann. Dennoch ist es von immenser Bedeutung, den Zugriff von IoT-Devices reglementieren zu können.“ Dafür benötigten diese allerdings erst einmal eine eindeutige, fälschungssichere Identität. Dafür könne wiederum Kryptograpgie genutzt werden – „indem ein sicherer Schlüssel als Erkennungsmerkmal in die Geräte eingebracht wird“. Sogar solche komplexen Techniken seien mittlerweile als Service zu beziehen.

Weitere Informationen zum Thema:

KfW, KfW Research, 23.02.2023
KfW-Mittelstandspanel: Cyberkriminalität betrifft insbesondere die Vorreiter der Digitalisierung

[datensicherheit.de, 06.08.2023] Das Trend-Thema Künstliche Intelligenz (KI) hält nun auch ganz offensichtlich Einzug in den sogenannten „Smart Home“-Bereich. Laut einer aktuellen Stellungnahme von Utimaco haben Amazon und Samsung angekündigt, „dass ihre Geräte durch KI noch intelligenter und einfacher zu bedienen sein sollen“. Bevor sich diese Geräte der neuen Generation etablieren können, müssten allerdings noch Bedenken der Verbraucher ausgeräumt werden – so einer Erkenntnis aus Utimaco-Studienergebnissen. Wenn „Smart Home“-Geräte in Zukunft durch KI noch mächtiger werden, spiele Sicherheit eine noch größere Rolle als bisher. Hersteller müssten wirksame Mechanismen implementieren und diese gegenüber ihren Kunden transparent kommunizieren, um die Vorbehalte gegenüber der Technologie auszuräumen. Zu fortschrittlichen Sicherheitskonzepten könne zukünftig eventuell auch KI selbst beitragen, „indem beispielweise typische Nutzungsmuster erfasst werden und die KI bei ungewöhnlichen Abweichungen Alarm schlägt“.

Einsatz neuer, spezieller KI-Algorithmen

Demnach soll „Alexa“ ihren Nutzern zukünftig personalisierte Video-Empfehlungen geben können und auf „Echo Show“-Geräten ein Trailer angezeigt werden. „Außerdem soll die smarte Assistentin zukünftig Nachrichten zusammenfassen und basierend auf dem Verhalten ihrer Nutzer besondere Highlights für sie herausfiltern können.“ Auf Rückfragen werde „Alexa“ auch vertiefende Informationen zu bestimmten Themen recherchieren können.

Samsung möchte seine Smart-Home-Plattform „Smart Things“ weiter ausbauen und dort ebenfalls KI integrieren: „So sollen beispielsweise spezielle KI-Algorithmen zum Einsatz kommen, die den Verbrauch von vernetzten, elektrischen Haushaltsgeräten senken können.“ Eine Funktion solle etwa das Öffnen der Kühlschranktür analysieren und Nutzungsmuster erkennen, um unnötiges Kühlen zu vermeiden – „während Zeiten, in denen der Kühlschrank häufig geöffnet wird“.

Verbraucher sollen vom Mehrwert eines Smart Home mit KI überzeugt werden

„Werden sich diese neuen Technologien zeitnah in Deutschland durchsetzen? Betrachtet man Nutzungszahlen der heutigen Smart-Home-Generation, scheint es so, als seien die deutschen Verbraucher dieser Technologie gegenüber eher skeptisch.“ Denn laut einer aktuellen Utimaco-Umfrage „haben lediglich 30 Prozent der Deutschen ihr eigenes Zuhause mit smarten Geräten ausgestattet“. Das beliebteste intelligente Gerät im Haushalt sei in Deutschland der „Smart TV“: „52 Prozent der Befragten, die smarte Geräte nutzen, haben einen solchen Fernseher zuhause.“ Außerdem beliebt seien virtuelle Assistenten wie „Amazon Alexa“ oder „Google Home“ – „ein derartiges smartes Gerät nutzen 51 Prozent der Deutschen“. Geräte, welche dem Energiesparen dienen, wie beispielsweise vernetzte Thermostate, intelligente Beleuchtung etc., würden von 47 Prozent genutzt.

Eine knappe Mehrheit (51%) unter den Befragten, die keine „Smart Home“-Geräte nutzen, gibt laut Utimaco an, „dass sie dafür keinen Bedarf sehen“. Allerdings sagten auch 30 Prozent der Befragten, dass sie kein Vertrauen in die Geräte hätten, und 28 Prozent gäben an, bereits einmal Opfer von Hacking, Identitätsdiebstahl oder Datenverlust durch diese Geräte geworden zu sein. 43 Prozent der befragten deutschen Verbraucher seien der Meinung, dass die Hersteller von Smart-Home-Geräten mehr tun müssten, um für Sicherheit zu sorgen. „Gelingt es den Herstellern, diese Bedenken auszuräumen und mehr Verbraucher vom Mehrwert eines Smart Homes zu überzeugen, könnte Deutschland durch die geringe Sättigung ein sehr interessanter Markt werden.“

Bedenken gegen KI im Smart Home durch wirksame Absicherung der Geräte begegnen!

Anders als bei PC und Smartphone hätten Verbraucher bei „Smart Devices“ wenig direkte Möglichkeiten, um auf die Konfiguration und Sicherheitseinstellungen zuzugreifen. Sie müssten sich auf Sicherheitsmaßnahmen seitens des Herstellers verlassen und darauf, „dass dieser für regelmäßige Updates sorgt“. Garantien für regelmäßige und anhaltende Updates über einen gewissen Zeitraum könnten hier für mehr Sicherheit sorgen.

Ein weiteres Problem im Bereich der vernetzten Geräte stelle die Produktpiraterie dar. Weder für Händler noch für Kunden sei direkt ersichtlich, welche Bauteile sich in einem vernetzten Gerät verbergen. „Sind dort gefälschte Chips ohne oder mit unzureichenden Sicherheitsmaßnahmen verbaut, kann es gefährlich werden.“ Die Hersteller von „Smart Devices“ bräuchten wirksame Methoden, um unsichere Bauteilfälschungen bereits beim Zusammenbau ihrer Geräte ausschließen zu können. „Dafür bietet sich das Verfahren der ,Key Injection’ an. Dabei wird bereits während der Chip-Herstellung ein kryptographischer Schlüssel in die Hardware eingebracht, der zur zweifelsfreien Identifikation von vernetzten Bauteilen entlang der gesamten Wertschöpfungskette dient.“

Weitere Informationen zum Thema:

utimaco, 2023
Survey: How Trust Works in a Digital World

[datensicherheit.de, 15.09.2022] Utimaco warnt in einer aktuellen Stellungnahme davor, dass die heute zur Verschlüsselung benutzten Algorithmen sich bald als zu schwach erweisen könnten – sobald nämlich sogenannte Quantencomputer praxistauglich werden. „Daher kommt es jetzt darauf an, Algorithmen und Hardware zu entwickeln, die auch diesen leistungsfähigen Superrechnern standhalten“, lautet die entsprechende Empfehlung.

NIST-Empfehlung für vier quantensichere Algorithmen

Die US-Bundesbehörde National Institute of Standards and Technology (NIST) habe bereits vor einigen Jahren einen Prozess zur Definition bzw. Bewertung von quanten-resistenten Algorithmen eingeleitet. Die potenziellen Kandidaten seien in verschiedenen Runden ausgewählt worden. „Insgesamt wurden mehr als 80 Algorithmen vorgeschlagen, wovon einige bereits recht früh ausschieden.“

Grund dafür war demnach, dass mathematisch Angriffe für Quantencomputer entwickelt wurden, welche die Algorithmen brechen oder stark schwächen konnten. Aktuell habe das NIST die dritte Runde des Evaluationsprozesses abgeschlossen. Ergebnis dessen sei die Empfehlung von vier Algorithmen, welche als „quantensicher“ angesehen werden könnten.

Zeit drängt: Quantencomputer könnten schon bald Realität werden

Der Begriff „Quantencomputer“ klinge zunächst etwas nach Science Fiction oder ganz ferner Zukunft. Doch sie könnten schon sehr bald Realität werden. In einer ad hoc Utimaco-Umfrage unter Kunden hätten 64 Prozent der Teilnehmer angegeben, dass sie reale Bedrohungen durch Quantencomputer innerhalb der nächsten fünf bis neun Jahre erwarteten.

35 Prozent dieser Umfrageteilnehmer hätten daher bereits damit begonnen, Post-Quanten-Kryptographie in ihrem Unternehmen einzuführen. Tatsächlich werde es dafür höchste Zeit: „Werden heute beispielsweise selbstfahrende Autos entwickelt, die zehn und mehr Jahre im Verkehr bleiben sollen, müssen diese über Verschlüsselungen verfügen, die auch in einer Zukunft mit Quantencomputern sicher bleiben.“

Weitreichende Konsequenzen des Brechens nicht- quantensicherer Algorithmen

Werde es versäumt, die Kommunikation eines Fahrzeugs adäquat abzusichern, drohe die Gefahr, dass Kriminelle sich Zugang verschaffen und die Kontrolle über die Autos übernehmen könnten. „Was das für die Insassen bedeuten könnte, möchte man sich nicht vorstellen.“ Doch auch an anderer Stelle könnte es zu weitreichenden Problemen kommen.

Immer mehr Dokumente und Verträge würden heute elektronisch signiert, statt auf Papier unterschrieben. Hinter der elektronischen Signatur stehe allerdings auch ein kryptographischer Prozess, welcher auf die Integrität der verwendeten Algorithmen angewiesen sei. „Falls ein Algorithmus gebrochen wird, hätten alle damit getätigten Signaturen schlagartig keine Beweiskraft mehr.“ Um das zu verhindern, sollten Unternehmen und Institutionen frühzeitig damit beginnen, wichtige digitale Dokumente zu re-signieren. Durch diese erneute Signatur mit einem quantensicheren Algorithmus werde der Beweiserhalt für die Zukunft sichergestellt.

Welt, in der Quantencomputer existieren, aber keine dafür ausgelegten Algorithmen, als beunruhigende Vorstellung

Neben den digitalen Signaturen seien auch Identifikations- und Authentifikationsprozesse im Netz auf sichere Algorithmen angewiesen, um Zugangsdaten zu verschlüsseln. „Kriminelle, die diese Verschlüsselung brechen könnten, hätte ganz neue Möglichkeiten des Identitätsdiebstahls.“ Eine Welt, in der zwar Quantencomputer existierten, aber keine dafür ausgelegten Algorithmen, wäre also eine beunruhigende Vorstellung.

Utimaco rät abschließend: „Unternehmen sollten sich bereits heute so aufstellen, dass sie für den Wechsel zu quantensicheren Algorithmen bereit sind, wenn dies nötig wird.“ Dazu gehöre unter anderem, auf der Hardware-Seite aufzurüsten und Hardware-Sicherheitsmodule anzuschaffen, „die mit den neuen Algorithmen und komplexeren Schlüsseln umgehen können“. Diese Investition sei das ideale Risikomanagement: „Sobald der Fall eintritt, dass Quantencomputer öffentlich verfügbar sind, können Unternehmen ihre Systeme schnell upgraden.“ Müssen sie allerdings dann erst von null anfangen, könne es eventuell zu spät sein – die Migrationszeit sollte man keinesfalls unterschätzen.

Weitere Informationen zum Thema:

datensicherheit.de, 19.07.2022
Quanten-Kryptographie könnte Ende der Lauschangriffe bedeuten / Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

datensicherheit.de, 03.11.2019
Schutz gegen Quantencomputer: Wettrüsten gestartet / Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und quantensichere Datenverschlüsselung einleiten

datensicherheit.de, 28.10.2019
Quantencomputer bedrohen Absicherung vernetzter Systeme / Google hat Start für neues Computerzeitalter gesetzt

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie / Vernetzte Geräte, Daten und Kritische Infrastrukturen langfristig vor möglichem Quantencomputer-Angriff schützen

[datensicherheit.de, 28.10.2019] Laut einer Meldung von Utimaco hat Google den „Start für ein neues Computerzeitalter gelegt“. Der Quantenprozessor „Sycamore“ hat demnach in 200 Sekunden eine Berechnung durchführen können, für die der schnellste derzeitige Supercomputer der Welt 10.000 Jahre gebraucht hätte.

Quantencomputer könnten bewährte Verschlüsselungsverfahren auszuhebeln

Was heute für Schlagzeilen sorge, könnte schon in zehn Jahren alltäglich sein und das tägliche Leben im Rahmen der fortschreitenden Digitalisierung und des „Internets der Dinge und Dienste“ auf den Kopf stellen.
Quantencomputer seien nämlich in der Lage, die heute bewährten Verschlüsselungsverfahren – und damit einen der Eckpfeiler der Absicherung von vernetzten Umgebungen – auszuhebeln. Die heute als sicher eingestuften asymmetrischen Verschlüsselungsverfahren würden dann innerhalb von wenigen Minuten zu knacken sein.

Googles Enthüllung sollte als Warnzeichen dienen

Auch wenn dies noch Zukunftsmusik sei, sollte Googles Enthüllung „als Warnzeichen dienen, um sich bereits heute auf das Post-Quantum-Zeitalter einzustellen, in dem herkömmliche Algorithmen nutzlos sein werden“.
Das US-amerikanische NIST (National Institute of Standards and Technology) sichte bereits seit einiger Zeit Vorschläge für Quantencomputer-sichere Verfahren und möchte in einigen Jahren Empfehlungen aussprechen, welche Algorithmen den Quantencomputern der Zukunft standhalten könnten.

Vernetzte industrielle Anlagen werden auch 2030 noch im Einsatz sein

„Auch, wenn mit einem großflächigen Einsatz von Quantencomputern erst in zehn Jahren zu rechnen sein wird, muss die Infrastruktur bereits heute darauf vorbereitet werden. Die Bedrohung wird zwar erst dann akut, die Absicherung dagegen muss aber bereits heute mitberücksichtigt werden“, fordert Malte Pollmann, „CSO“ von Utimaco.
Vernetzte industrielle Anlagen wie Wasserkraftwerke oder Windparks seien für einen langen Lebenszyklus vorgesehen und würden auch 2030 noch im Einsatz sein. „Für Betreiber wird es sehr teuer und aufwändig, großflächig Komponenten auszutauschen, die nicht auf quantensichere Verschlüsselung ausgerichtet sind.“

Applikationen, Endgeräte und Hardware-Sicherheitsmodule „krypto-agil“ machen

Deshalb müssten sie sich bereits heute damit befassen, ihre Applikationen, Endgeräte und Hardware-Sicherheitsmodule „krypto-agil“ zu entwickeln. Krypto-Agilität bedeutet laut Pollmann, dass die Komponenten sowohl klassische als auch quantensichere Algorithmen ausführen können, ohne ausgetauscht werden zu müssen.
Die Devise müsse also sein, „sich schnellstmöglich krypto-agil aufzustellen – gerade im Bereich Kritischer Infrastrukturen. Das Rennen um einsatzfähige und immer leistungsstärkere Quantenrechner wird unvermindert weitergehen“, betont Pollmann.

Weitere Informationen zum Thema:

datensicherheit.de, 26.10.2019
DELL stellt Cyber-Bedrohungen der nahen Zukunft vor

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie

datensicherheit.de, 30.04.2018
Leistungsfähige Computer: Ein Quäntchen Hoffnung

datensicherheit.de, 21.02.2014
Quanten-Informationsverarbeitung: Wichtiger Schritt bei der Grundlagenforschung gelungen

[datensicherheit.de, 02.07.2019] utimaco bietet nach eigenen Angaben „ab sofort das erste kommerziell verfügbare, Quantencomputer-sichere Hardware-Sicherheitsmodul (HSM)“ an. Unternehmen und Organisationen seien mit einer neuen „Q-safe Firmware“-Erweiterung von utimaco in der Lage, ihre vernetzten Geräte, Daten und Kritischen Infrastrukturen (KRITIS) langfristig vor einem möglichen Quantencomputer-Angriff zu schützen.

Asymmetrische Public-Key-Kryptographie innerhalb der nächsten Dekade anfällig

Die Quantencomputing-Technologie entwickele sich rasant: Quantenrechner bewältigten immer komplexere Rechenoperationen parallel und extrem schnell. Bedarf für solche Berechnungen, die mit der bisherigen Rechenkapazität nicht oder kaum zu bewältigen seien, gebe es branchenübergreifend – vom Verkehr über Pharmazie, der Materialforschung und Logistik bis hin zum Finanzwesen.
Doch diese neuen „Supercomputer“ stellten für die heute gängigen Public-Key-Verschlüsselungs- und Signaturverfahren auch ein Risiko dar: So prognostiziere das renommierte National Institute of Standards and Technology (NIST), dass vor allem die asymmetrische Public-Key-Kryptographie innerhalb des nächsten Jahrzehnts anfällig gegenüber Attacken von Quantencomputern werde. Neue Verschlüsselungsalgorithmen, die diesen Angriffen widerstehen, würden laut NIST nach eigener Einschätzung frühestens in den Jahren 2022 bis 2024 zur Verfügung stellen. Damit würde die Sicherung des Internets und aller Geräte, die sich darüber verbinden und Daten austauschen, in Gefahr geraten. Personalausweisen und KRITIS sowie Internet-of-Things-Geräten wie vernetzten Autos, „Smart Homes“, vernetzten Städten, FinTech- und Blockchain-Anwendungen dürften aber weder heute noch morgen Sicherheitsrisiken anhaften.

Vorausschauend auf anpassungsfähige Sicherheit setzen

Diesen veränderten wie gestiegenen Sicherheitsbedarf möchte Utimaco „vorausschauend“ bedienen. Denn die „Q-safe Firmware“-Erweiterung zu utimacos „CryptoServer“ könnten Unternehmen bereits heute dazu nutzen, um ihre Infrastruktur auf Quantencomputer-resistente Sicherheit auszurichten.
Die „Q-safe Firmware“-Erweiterung nutze das „ISARA Radiate Quantum-safe Toolkit“, „das Sicherheitsexperten alles an die Hand gibt, um Quantencomputer-sichere kryptographische Algorithmen in ihren bestehenden Systemen zu testen und zu evaluieren“. Darüber hinaus sei utimacos „CryptoServer“ kürzlich erfolgreich mit dem „Open Source Toolkit“ von Open Quantum Safe (OQS) getestet worden. Provider von Cyber-Sicherheitslösungen hätten nun die Möglichkeit, sich eine Umgebung aufzubauen, die zum Entwickeln von Quantencomputer-sicheren Produkten nötig sei.

Vertrauen in die digitale, vernetzte Welt schaffen

IoT-Geräte kämen zunehmend in Umgebungen zum Einsatz, die auf zehn bis fünfzehn Jahre ausgelegt seien. „Mindestens für diesen Zeitraum müssen Zugang und Schutz der Informationen gewahrt werden, oft sogar darüber hinaus. Starke Kryptographie und ,Public Key Infrastructure‘ bleiben auch in Zukunft das Mittel der Wahl für Unternehmen und Organisationen. Doch jetzt ist es unabdinglich, kryptographische Agilität sicherzustellen durch Hardware-Sicherheitsmodule, die sich auf quantensichere Algorithmen umstellen lassen. Nur erwiesenermaßen krypto-agile HSM sind ein zukunftssicherer Vertrauensanker zum Schutz unserer Digitalen Gesellschaft“, erklärt Malte Pollmann, „Chief Strategy Officer für Corporate Development und M&A“ bei utimaco.
Bei utimaco verstehe man sich „als Innovationsführer“ und möchte mit eigenen Lösungen Vertrauen in die digitale, vernetzte Welt schaffen. „In dem Sinne unterstützen wir unsere Kunden dabei, bereits jetzt Quantencomputing-sichere Verfahren einführen zu können.“

Foto: utimaco

Malte Pollmann: Kunden unterstützen, bereits jetzt Quantencomputing-sichere Verfahren einführen zu können

Weitere Informationen zum Thema:

utimaco
Q-safe HSM simulator

datensicherheit.de, 20.09.2018
Kryptographie: Vorbereitung auf das Aufkommen des Quantum Computings

datensicherheit.de, 30.04.2018
Leistungsfähige Computer: Ein Quäntchen Hoffnung

datensicherheit.de, 21.02.2014
Quanten-Informationsverarbeitung: Wichtiger Schritt bei der Grundlagenforschung gelungen

datensicherheit.de, 28.01.2013
Berühmte Enigma-Nachricht geknackt!

datensicherheit.de, 06.10.2012
Abhörsicherer Datenaustausch per Quantenkommunikation angestrebt

[datensicherheit.de, 01.12.2014] Durch die Vernetzung von Industrieprozessen gibt es ein hohes Sicherheitsrisiko durch IT-Angriffe. Daher sollten Unternehmen schon frühzeitig Maßnahmen zum Schutz ihrer Anlagen ergreifen, wenn sie „Industrie 4.0“-Konzepte anwenden möchten.

Industrie 4.0 – das Konzept

„Industrie 4.0“ bezeichnet die vierte Industrielle Revolution, bei der Fabriken ihre Produktionsanlagen ins „Internet der Dinge“ einbinden. Ihr Ziel ist es, dass sie zu „Smart Factories“ werden und mit weniger Personal immer kürzere Produktzyklen und steigende Produktvarianten zu niedrigen Kosten realisieren können. Um diese Potenziale auszuschöpfen, sind allerdings erhebliche Investitionen erforderlich. Daher nimmt das Thema einen Spitzenplatz auf der Agenda der Chefs deutscher Industrieunternehmen ein. Eine Studie des IT-Verbandes BITKOM schätzt
das zusätzliche Wertschöpfungspotenzial von „Industrie 4.0“ allein für die Branchen wie Maschinenbau, Elektrotechnik, Automobilbau und chemischer Industrie auf 78 Milliarden Euro bis zum Jahr 2025.

IT-Sicherheit 1.0 für Industrie 4.0?

Geht es um die Einführung von „Industrie 4.0“-Konzepten, müsse auch die IT-Sicherheitsproblematik berücksichtigt werden – und das entlang der kompletten Wertschöpfungskette eines Produktes, betont Malte Pollmann, „CEO“ von Utimaco.
Das Thema Informationssicherheit sei eine grundlegende Herausforderung, da die hohe Flexibilität von „Industrie 4.0“ eine absolute Vernetzung verlange. Steuerungen müssten beispielsweise große Datenmengen verarbeiten und brauchten eine Vielzahl von offenen Schnittstellen für die Kommunikation mit der industriellen Umgebung.

Malte Pollmann, CEO Utimaco

Malte Pollmann: IT-Sicherheit für die komplette Wertschöpfungskette!

 Spezifische Sicherheitsrisiken

Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA, zeigten, dass in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus hierfür einschlägige Standards bekannt seien, aber in nur einem Drittel der Unternehmen würden diese erst umgesetzt, so Pollmann. Gleichzeitig gäben 29 Prozent der Unternehmen an, selbst schon von Produktionsausfällen aufgrund von IT-Sicherheitsvorfällen betroffen gewesen zu sein.
IT-Security habe in der Vergangenheit eine untergeordnete Rolle gespielt, da oftmals davon ausgegangen worden sei, dass Fertigungsnetze nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis jedoch zeige sich, dass viele Fabriknetze mit dem Internet verbunden seien. Dabei spielten zum Beispiel Fernwartungsanwendungen eine Rolle – und seit „Stuxnet“ sei es widerlegt, dass aufgrund von proprietären Systemen und Protokollen die Hürde für Angreifer hoch liegen würde.

Vernetzung von Office- und Fertigungs-IT

Um „Industrie 4.0“ vollständig integrieren zu können, müsse die organisatorische Trennung von Office- und Fertigungs-IT aufgehoben werden, betont Pollmann. Meist seien sensible Konstruktionsdaten von einem Ingenieur erarbeitet worden, die in der Fertigung oder in einem anderen Bereich verwendet würden.
Gezielte Angriffe erfolgten meist über einen Einstieg im Bürobereich. Von diesem Einstiegspunkt würden dann weitere Angriffe im Unternehmen durchgeführt, bis hin zu den Produktions- und Steuerungsanlagen. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Unternehmensbereiche sei nicht erfolgreich, wenn die durchgängige Vernetzung des „Industrie 4.0“-Konzepts gewünscht ist. Angriffe könnten nur mit einem ganzheitlichen Ansatz verhindert werden. Aber es müsse auch die Frage erlaubt sein, ob Maschinen und Fertigungsanlagen, aber auch andere elektronische Geräte, immer mit dem Internet verbunden sein müssen. Es reiche ggf. aus, die Maschinen in einem abgesicherten, lokalen Netz zu kontrollieren.

Hardware-Sicherheitsmodule als Vertrauensanker

Kommunikationsprotokolle müssten laut Pollmann dafür ausgelegt sein, den Informationsfluss bestimmen zu können. Die Ende-zu-Ende-Verschlüsselung könne eine abhörsichere Verbindung realisieren. Die Identifikation der Kommunikationspartner und Produkte spielten dabei eine große Rolle. Eine entsprechende Sicherung der Daten und Transaktionen werde über asymmetrische, kryptografische Verfahren durchgeführt. Unabhängig ob elektronische Signaturen oder Verschlüsselung zum Einsatz kommt: Die gesicherte Generierung und Speicherung sowie dann im zweiten Schritt die Anwendungen der kryptographischen Schlüssel stünden immer im Vordergrund. An dieser Stelle kämen die unterschiedlichen Arten von Hardware-Sicherheitsmodulen zur Anwendung. Solche ermöglichten es, die kryptographischen Schlüssel gesichert vor dem Zugriff von unautorisierten Personen zu speichern und zur Anwendung zu bringen.

Noch viel Entwicklungsarbeit erforderlich

Bis das Konzept „Industrie 4.0“ funktionieren kann, sei noch viel Entwicklungsarbeit zu leisten, so Pollmanns Fazit. Schutz vor unerlaubtem Zugriff sowie Schutz vor Sabotage und vor unachtsamer Bedienung seien für Industrieunternehmen essenziell und überlebensnotwendig. Intelligente und nachhaltige IT-Sicherheitsmaßnahmen müssten während der Gestaltung des „Industrie 4.0“-Konzeptes eingeführt werden und nicht danach.

Weitere Informationen zum Thema:

datensicherheit.de, 29.09.2014
Industrie 4.0 Collaboration Lab am KIT eröffnet

datensicherheit.de, 08.09.2014
Fraunhofer SIT: Der Weg zur sicheren Industrie 4.0

[datensicherheit.de, 02.09.2009] Der einstige Gründer und heutige Ehren-Aufsichtsratsvorsitzender von „Utimaco“, Dr. h. c. Horst Görtz, wurde am 24. August 2009 mit dem Bundesverdienstkreuz Erster Klasse ausgezeichnet:
Nordrhein-Westfalens Innovationsminister, Andreas Pinkwart, würdigte seine herausragenden unternehmerischen Leistungen und sein außergewöhnliches privates Engagement zur Förderung der Sicherheit in der Informationstechnik. Als Pionier in Sachen IT-Sicherheit habe Horst Görtz schon in den frühen 1980er Jahren die Bedeutung des Themas erkannt – zu einer Zeit, als noch kaum jemand geahnt habe, dass IT-Sicherheit zu einer der größten Herausforderungen des 21. Jahrhunderts werden sollte. 1983 habe er das Datensicherheitsunternehmen „Utimaco“ gegründet und gemeinsam mit dem Berliner Fachhochschulprofessor Dr. Horst Günther „SafeGuard“ entwickelt, eine der bis heute leistungsfähigsten Technologien zur Verschlüsselung elektronischer Daten auf dem Deutschen Markt.

© Ministerium für Innovation, Wissenschaft, Forschung und Technologie des Landes Nordrhein-Westfalen

Andreas Pinkwart, Minister für Innovation, Wissenschaft, Forschung und Technologie Nordrhein-Westfalen, und Horst Görtz

Horst Görtz sei der „Mann der ersten Stunde“ auf dem Gebiet IT-Sicherheit gewesen und habe bereits in den frühen 1980er Jahren echte Pionierarbeit geleistet, so Markus Bernhammer, Geschäftsführer von „Sophos“ und Vice President von „Utimaco“.
Das Jahrzehnte währende Engagement von Horst Görtz im Dienste der Sicherheit habe sich auch auf den Forschungs- und Lehrbereich erstreckt – so habe er 1996 die gemeinnützige „Horst Görtz Stiftung“ gegründet, die sich der Förderung von Wissenschaft und Technik in Forschung und Lehre auf dem Gebiet der IT-Sicherheit und der Unterstützung krebskranker Kinder und Komapatienten verschrieben habe.

Weitere Informationen zum Thema:

Horst Görtz Stiftung (HGS)
Zweck der Stiftung

silicon.de, 02.09.2009
CIO Business-to-Business / Utimaco-Gründer erhält Bundesverdienstkreuz

utimaco safeware, 01.09.2009
Utimaco Gründer Horst Görtz mit dem Bundesverdienstkreuz ausgezeichnet

[datensicherheit.de, 01.09.2009] Mit dem Inkrafttreten der Novelle des Bundesdatenschutzgesetzes am 1. September 2009 wird auch eine gesetzliche Informationspflicht bei Datensicherheitsverletzungen geregelt:
Gehen beispielsweise personenbezogene Daten verloren, verschaffen sich Unbefugte Zugriff darauf oder werden sie unrechtmäßig an Dritte weitergegeben, müssen Unternehmen und Behörden dies künftig veröffentlichen (Novelle II des Bundesdatenschutzgesetzes BDSG, §42a). Festgelegt ist auch, dass Unternehmen die von den Datensicherheitsverletzungen Betroffenen informieren müssen. Dies könnte schlimmstenfalls bedeuten, dass sie sich an Millionen von Betroffenen beispielsweise über Anzeigen in Tageszeitungen wenden müssen.
„Sophos“, Anbieter von IT-Lösungen für „Security and Data Protection“, begrüße das neue Gesetz. Nichts treffe Unternehmen so nachhaltig, wie die Schädigung ihres guten Rufs. In Ländern wie den USA hätten ähnlich verstärkte Gesetze bereits zu einem Rückgang bei IT- und Datensicherheitsvorfällen geführt, so Christoph Hardy, Senior Security Consultant.
„Sophos“ und „Utimaco“ haben sich daher schon in der Vergangenheit für eine Meldepflicht eingesetzt. Für deutsche Unternehmen sollte die Verschärfung des Datenschutzrechts daher Anlass sein, ihre bestehenden IT- und Datensicherheitskonzepte kritisch zu prüfen und bei Bedarf zu optimieren. Nur so könnten sie vermeiden, dass vertrauliche Daten verloren gingen oder von Hackern gestohlen würden. Der Einsatz geeigneter technischer Lösungen mit integrierten Funktionen zum Schutz der IT-Systeme vor Schadsoftware und unberechtigten Datenzugriffen sollte mittlerweile selbstverständlich sein.
Sieben Goldene Regeln, die Mitarbeiter beim Umgang mit E-Mail, Internet und vertraulichen Daten beachten sollten:

1. Jeder Klick kann gefährlich sein
2. Schwer zu knackende Passwörter einrichten
3. Vorsicht bei sozialen Online-Netzwerken
4. Nur verschlüsselte Daten sind sicher
5. Auf mobile Geräte besonders achten
6. Daten sind bares Geld wert
7. Datendiebstahl kann Folgen haben

Zur Aufklärung der Mitarbeiter in Sachen IT- und Datensicherheit sollten Unternehmen regelmäßige Schulungen abhalten und praxistaugliche Informationsmaterialien bereitstellen. Darüber hinaus sind klare Regeln zum Umgang mit Daten, E-Mail und Internet zu definieren und durchsetzen!

Weitere Informationen zum Thema:

utimaco safeware, 31.08.2009
Neue Meldepflicht bei Datenverlust: Aufklärung der Mitarbeiter Grundvoraussetzung für die Datensicherheit

SOPHOS
Praxis-Tipps / Einfache Schritte zum Schutz vor den neuesten Bedrohungen

utimaco safeware
Sicherheits-Tipps / Top Tipps für die sichere Datenhaltung auf mobilen Geräten