In einer Welt, in der Cyberbedrohungen stetig zunehmen und Technologien wie Quantencomputing am Horizont erscheinen, wird die Notwendigkeit einer umfassenden Sicherheitsstrategie immer dringlicher. Besonders im Bereich der Kryptografie, die das Rückgrat unserer digitalen Sicherheitsarchitektur bildet, sind neue Herausforderungen zu bewältigen.
Eine dieser Herausforderungen ist die Erstellung eines detaillierten Inventars der verwendeten kryptografischen Module. In diesem Kontext spielen die CBOM (Cryptography Bill of Materials) und CycloneDX 1.6 eine zentrale Rolle.
Dieser Blogpost erläutert, warum es jetzt an der Zeit ist, mit der Katalogisierung kryptografischer Module zu beginnen, und welche Vorteile diese Maßnahmen für die Sicherheit Ihrer Organisation bieten.
Eine Cryptography Bill of Materials (CBOM) ist ein detailliertes Verzeichnis der in einer Software oder einem System verwendeten kryptografischen Algorithmen und Protokolle. Diese Auflistung ist vergleichbar mit einer Software Bill of Materials (SBOM), die alle Bestandteile einer Softwareanwendung auflistet.
Die CBOM geht jedoch einen Schritt weiter, indem sie spezifische Informationen über die kryptografischen Komponenten liefert, einschließlich der Art der Algorithmen (symmetrisch oder asymmetrisch), ihrer Implementierung und der verwendeten Schlüssellängen.
CycloneDX ist ein Standardformat zur Erstellung von SBOMs, das sich nun auch auf CBOMs ausdehnt. Die Version 1.6 dieses Standards bietet erweiterte Funktionen zur Katalogisierung und Verwaltung kryptografischer Module.
Durch die Nutzung von CycloneDX 1.6 können Organisationen sicherstellen, dass ihre CBOMs umfassend, genau und kompatibel mit bestehenden Sicherheitstools und -prozessen sind.
Die Executive Order Executive Order 13885 vom 30. August 2019 (Establishing the National Quantum Initiative Advisory Committee) sowie auch die Executive Order 14073 vom 4. Mai 2022 (Enhancing the National Quantum Initiative Advisory Committee) des amerikanischen Präsidenten sind wichtige Indizien in der Erkennung der Wichtigkeit auf strategischer und nationaler Ebene.
Die Ankündigung der Commercial National Security Algorithmus-Suite 2.0 zeigt auch in Bezug auf die Zeitachse die Relevanz der anzuwendenden Algorithmen.
Laut dem "Quantum Technologies: Trends and Implications for Cyberdefence" Report sind die Handlungsfelder für die Unternehmen klar. Die Erstellung eines Inventars der verwendeten kryptografischen Technologien ist ein entscheidender erster Schritt auf dem Weg zur Quantenbereitschaft. Quantencomputer haben das Potenzial, viele der heute verwendeten kryptografischen Algorithmen zu brechen, insbesondere asymmetrische Verschlüsselungsverfahren.
Durch die Erstellung einer CBOM können Organisationen identifizieren, welche ihrer Systeme und Daten am stärksten gefährdet sind und entsprechende Maßnahmen frühzeitig planen.
Die Katalogisierung kryptografischer Module ermöglicht eine bessere Verwaltung und Überwachung der Sicherheitsinfrastruktur. Indem man genau weiß, welche Algorithmen und Protokolle wo verwendet werden, können Schwachstellen schneller identifiziert und behoben werden. Dies ist besonders wichtig angesichts der zunehmenden Komplexität moderner IT-Infrastrukturen, die oft aus einer Mischung von On-Premise-Systemen, Cloud-Diensten und IoT-Geräten bestehen.
Regulierungsbehörden und Sicherheitsstandards fordern zunehmend Transparenz und Nachvollziehbarkeit in Bezug auf die verwendeten kryptografischen Verfahren. Eine umfassende CBOM kann dabei helfen, diese Anforderungen zu erfüllen und die Einhaltung von Vorschriften wie der EU-DSGVO, dem NIST Cybersecurity Framework und anderen zu gewährleisten.
Der erste Schritt zur Erstellung einer CBOM ist die vollständige Inventarisierung aller verwendeten kryptografischen Technologien. Dies umfasst nicht nur Softwarebibliotheken, sondern auch Firmware in Hardwaregeräten wie IoT-Geräten und industrielle Steuerungssysteme. Es ist wichtig, sowohl auf Symmetrische als auch auf Asymmetrische Algorithmen zu achten, da letztere besonders anfällig für Quantenangriffe sind.
Nachdem die verwendeten kryptografischen Technologien inventarisiert wurden, sollte die Kritikalität der damit geschützten Daten bewertet werden. Dies hilft dabei, Prioritäten zu setzen und Ressourcen effizient zu nutzen. Daten, die langfristige Vertraulichkeit erfordern, sollten besonders sorgfältig geschützt werden, da sie ein attraktives Ziel für Angreifer darstellen, die heute verschlüsselte Daten sammeln und für eine spätere Entschlüsselung aufbewahren.
Die CBOM sollte in die bestehenden Sicherheits- und Risikomanagementprozesse integriert werden. Risiken sollten basierend auf der Kritikalität der Daten und der Wahrscheinlichkeit eines Angriffs bewertet und entsprechend behandelt werden. Dies kann Maßnahmen wie die Migration zu quantensicheren Algorithmen, die Verstärkung von Sicherheitskontrollen oder die Einführung zusätzlicher Überwachungsmechanismen umfassen.
Unternehmen sind häufig auf externe Anbieter und deren kryptografische Technologien angewiesen. Es ist wichtig, diese Abhängigkeiten zu identifizieren und die Anbieter aktiv einzubeziehen. Fordern Sie von Ihren Anbietern eine CBOM für ihre Produkte und Dienstleistungen an und fragen Sie nach ihren Plänen für die Migration zu quantensicheren Algorithmen. Dies erhöht das Bewusstsein für Quantenbedrohungen und fördert die Zusammenarbeit entlang der gesamten Lieferkette.
Die Migration zu quantensicheren Algorithmen wird Zeit und Ressourcen erfordern. Daher ist es wichtig, bereits jetzt mit der Planung zu beginnen und entsprechende Anforderungen in zukünftige Ausschreibungen und Beschaffungsprozesse zu integrieren. Dies stellt sicher, dass neu beschaffte Systeme und Technologien quantensicher sind oder zumindest einfach aktualisiert werden können.
Für intern entwickelte Software liegt die Verantwortung für die Sicherheit bei den eigenen Teams. Der Quellcode muss analysiert und auf die verwendeten kryptografischen Algorithmen überprüft werden. Dies kann durch Tools wie CodeQL unterstützt werden, die helfen, kryptografische Schwachstellen und veraltete Algorithmen zu identifizieren.
Mitarbeiter, insbesondere Softwareentwickler und Projektmanager, müssen sich der Bedrohungen durch Quantencomputer bewusst sein und verstehen, wie sie diese Risiken in ihren Projekten berücksichtigen können. Schulungen und Workshops können dabei helfen, das notwendige Wissen zu vermitteln und die Akzeptanz für notwendige Änderungen zu erhöhen.
Die Fähigkeit, kryptografische Algorithmen und Protokolle schnell und effizient zu ändern, wird als Kryptografische Agilität bezeichnet. Dies ist entscheidend, um auf neue Bedrohungen und Schwachstellen reagieren zu können. Durch die Einführung von Multi-Key- und Multialgorithmus-Ansätzen können Systeme flexibler und widerstandsfähiger gegen zukünftige Angriffe gemacht werden.
Die Bedrohungen durch Quantencomputer sind real und könnten in den nächsten Jahren zu einem erheblichen Sicherheitsrisiko werden. Durch die frühzeitige Erstellung einer CBOM und die Nutzung von Standards wie CycloneDX 1.6 können Unternehmen ihre Sicherheitsstrategie verbessern und sich auf die kommenden Herausforderungen vorbereiten. Eine umfassende Inventarisierung kryptografischer Module, die Bewertung der Datenkritikalität und die Zusammenarbeit mit Technologieanbietern sind entscheidende Schritte auf diesem Weg. Indem Sie jetzt handeln, können Sie Ihre Organisation vor zukünftigen Bedrohungen schützen und gleichzeitig die Einhaltung von Sicherheitsstandards und -richtlinien gewährleisten.
Bei der Verwaltung und Katalogisierung kryptografischer Module ist die Nutzung spezialisierter Lösungen wie das Codenotary Trustcenter zu empfehlen. Diese Plattform bietet umfassende Funktionen zur Erfassung, Indexierung, Sortierung, Filterung und Priorisierung aller CBOMs.
Mit dem Codenotary Trustcenter können Organisationen nicht nur eine detaillierte Übersicht über ihre kryptografischen Module erhalten, sondern auch Anpassungen und Verbesserungen effektiv nachverfolgen. Dies erleichtert das Management von Sicherheitsmaßnahmen erheblich und stellt sicher, dass alle Änderungen und Aktualisierungen transparent und nachvollziehbar bleiben. Durch die Integration dieser Lösung in Ihre Sicherheitsstrategie können Sie die Effizienz und Genauigkeit Ihrer CBOM-Verwaltung erheblich steigern.