Der Identitätssicherheits-Vodcast für Führungskräfte und Praktiker im Bereich der Cybersicherheit
Identität ist heute die wichtigste Voraussetzung für Cybersicherheit - und Unternehmen müssen den Bedrohungen, dem Druck zur Einhaltung von Vorschriften und den Herausforderungen bei der Authentifizierung einen Schritt voraus sein. RSA Identity Unmasked ist ein monatlicher Vodcast, der von RSA-Experten und Branchenführern veranstaltet wird und sich mit den wirklichen Problemen befasst, die die Identitätssicherheit heute prägen.
Melden Sie sich jetzt über den “Jetzt abonnieren”Formular, um benachrichtigt zu werden, wenn neue Episoden verfügbar sind, und um verwertbare Erkenntnisse zu folgenden Themen zu erhalten Moderne Authentifizierung, Identity Governance, Zero Trust, risikobasierter Zugang, Helpdesk-Verifizierung, Branchenthemen, Technologietrends, branchenspezifische Hot Topics, und mehr.
Episode 1 - Quantencomputer
Setzen Sie mit Ingo Schubert (RSA) und David Lello (Burning Tree) die Debatte über Quantenkryptographie, die zeitliche Abfolge von Risiken und die Frage fort, wie sich Unternehmen auf die Post-Quantum-Identitätssicherheit vorbereiten können. In dieser erweiterten ersten Folge erhalten wir das GESAMTE Gespräch. Machen Sie es sich bequem und schnappen Sie sich das Popcorn! Es ist ein guter Film!
Video-Abschrift
INGO SCHUBERT: Willkommen zu RSA Identity Unmasked, dem Vodcast, in dem wir die Kräfte aufschlüsseln, die die Zukunft der Identitätssicherheit bestimmen. Ich bin Ihr Gastgeber, Ingo Schubert, und heute tauchen wir in das Thema ein, das in der Branche für viel Aufregung sorgt: Quantencomputing. Heute ist David Lello von Burning Tree bei mir. Lassen Sie uns gleich zur Sache kommen. Heute geht es um Quantencomputing, einen Hype, eine Bedrohung oder eine Chance, oder alle drei. Wir nehmen eine Debatte wieder auf, die im September letzten Jahres in Bletchley Park mit David Lilo von Burning Tree und mir, Ingo Schubert, begann. Lassen Sie uns also gleich loslegen. David, herzlich willkommen zu dieser Folge.
DAVID LELLO: Danke
INGO SCHUBERT: Ich denke, dass Sie den Zuhörern in ein paar Worten beschreiben können, was Quantencomputing ist, damit wir auf dem Niveau eines Experten sind, nachdem Sie fertig sind.
DAVID LELLO: Nun, ich werde mit der grundlegenden Betrachtungsweise von Quantencomputern beginnen, denn ich denke, wenn wir anfangen, uns mit theoretischer Physik zu beschäftigen, könnten wir ein paar Leute verlieren.
INGO SCHUBERT: Jawohl.
DAVID LELLO: Bei Quantencomputern funktionieren Quantencomputer anders als herkömmliche Computer. Man sagt dem Computer, was er tun soll. Bei einem Quantencomputer funktioniert das anders. Er nutzt die Quantenmechanik, und deshalb schaut er sich in einer multidimensionalen Welt der Quantenmechanik die Daten an und sieht sie. Es liest die Daten nicht auf die gleiche Weise und kann daher Hypothesen aufstellen und mehrere Konstrukte gleichzeitig betrachten. Ein herkömmlicher Computer liest ein Buch vom Anfang bis zum Ende, ein Quantencomputer hingegen liest das Buch und sieht die Daten. Dadurch ist der Quantencomputer in der Lage, Informationen viel schneller zu verarbeiten. Und beim Lösen von Problemen ist es so, als würde man alle Probleme gleichzeitig lösen, anstatt ein Problem nacheinander zu lösen.
INGO SCHUBERT: Ja, die Algorithmen sind natürlich sehr unterschiedlich. Ja, ich denke, das ist wahrscheinlich der Grund, warum viele, und dazu zähle ich mich auch, damit zu kämpfen haben, wie man so etwas eigentlich programmiert. Ich denke, mit meinem traditionellen IT-Hintergrund hilft es mir manchmal, zu verstehen, dass ein traditioneller Computer, wie jedes Bit, ein ganz anderes Tier ist. Wenn man N Bits hat, kann man N Datenmengen speichern. Es ist null, eins, ja? Mit Quantencomputern sind es zwei hoch N, ja, das ist wie, sofort, wie, wenn dein alter Augenblick einsetzt, ist es wie, ja, das ist viel mehr, ja, in der gleichen Anzahl von Qubits in diesem Fall, richtig? Also ist die Speicherung und Verarbeitung einfach auf einer anderen Ebene, richtig? Ich denke, wir belassen es dabei, denn sonst wären wir noch tagelang hier, oder? Ich erkläre nur die Grundlagen.
Das nächste Thema, dem ich nachgehen möchte, ist der aktuelle Stand des Quantencomputings. Wo stehen wir im Moment? Denn ich denke, dass wir - und wenn die Leute, die das sehen, uns in Bletchley Park beobachtet haben - unterschiedliche Meinungen darüber haben, wo wir stehen und wo wir stehen werden. Lassen Sie uns also mit Ihnen beginnen. Was ist der aktuelle Stand des Quantencomputers?
DAVID LELLO: Ich glaube, dass sich die Quanteninformatik noch in einem frühen Stadium befindet. Es gibt also eine Reihe von Quantencomputern, und man kann tatsächlich Zeit auf Quantencomputern mieten, um Daten zu betrachten. Aber ich denke, dass es bei der Art und Weise, wie Quantencomputer entwickelt wurden, eine Reihe von Problemen gibt. Bei einigen Quantencomputern muss man Dinge wie die Temperatur sehr genau kontrollieren. So arbeitet ein Quantencomputer am absoluten Nullpunkt, also bei minus 270 Grad Celsius, was wirklich kalt ist. Dafür braucht man große Einrichtungen, große Geräte und viel Energie. Sonst verliert man den Zusammenhalt und die Stabilität der Plattform.
Frühe Quantencomputer sind aus diesem Grund ständig durchgebrannt. Das ist also ein Problem, das gelöst und angegangen werden muss. Das andere Problem besteht darin, dass der Quantencomputer die Daten alle gleichzeitig betrachtet und dadurch eine Menge Rauschen erzeugt. Wenn man etwas wie die Bibel nehmen und sie sofort lesen müsste, anstatt sie von Anfang bis Ende durchzugehen, würde sich im Kopf eine Erzählung bilden, die unverständlich wäre. Und der Versuch, die Botschaft zu verdauen, zu verstehen und zu destillieren, wird sehr schwierig.
Das Rauschen im System hat also eine ganze Menge Probleme verursacht. Wir haben einige gute Erfolge aus Oxford gesehen, wo sie die Fehlerquote und das Rauschen innerhalb des Systems ganz erheblich reduziert haben. Aber das wahrscheinlich größte Problem ist derzeit die Anzahl der Cubits, die gleichzeitig verschränkt werden können, weil man die Kohäsion dieser Cubits verliert, wenn man anfängt, 100 oder so Cubits zu überschreiten. Die Anzahl der Qubits, die gleichzeitig verschränkt werden können, um die Informationen zu verarbeiten, ist also begrenzt. Und das bedeutet, dass die Verarbeitungsleistung und die Fähigkeit der Maschine begrenzt sind.
Es ist also noch nicht das, was wir kryptografisch relevantes Quantencomputing nennen würden, was ein großes Problem ist, aber es ist in einem Stadium, in dem es bewiesen ist. Es funktioniert. Es tut das, was die Wissenschaftler sagen, dass es funktioniert. Es geht nur noch darum, es auf die nächste Stufe zu bringen und weiter zu investieren. Alle paar Monate gibt es weitere Fortschritte oder es wird kräftig investiert, und wir sehen erste Fortschritte.
INGO SCHUBERT: Ja, und das stimmt auch. Und ich denke, wenn man Quantencomputer vergleicht, wenn man sich nur Bilder von ihnen ansieht, richtig? Von vor fünf Jahren im Vergleich zu heute würde ich sie immer noch teilweise als physikalisches Experiment bezeichnen, aber vor fünf Jahren war es ein viel physikalischeres Experiment, oder? Wenn man sich nur den physikalischen Aufbau dieser Dinger ansieht, richtig?
Es stimmt zwar, dass sie, wenn man ihnen ein Problem stellt, es viel schneller lösen können als herkömmliche Computer. Und ein Teil davon ist das, was Sie als Kohäsion bezeichnet haben. Ja, die grundlegende Kohäsion ist, wenn man das System nur eine bestimmte Zeit lang stabil halten kann. Und das wird normalerweise maximal in Sekunden gemessen, ja, oder in Millisekunden, je nachdem, um welchen Chip es sich handelt. Und das ist in vielen Fällen weit davon entfernt, nützlich zu sein. Es gibt aber einige Anwendungsfälle, in denen es Sinn macht. Stellen Sie sich das als eine Art Quanten-Coprozessor vor. Aber das Problem, das ich damit habe, ist, dass es in vielen Anwendungsfällen fraglich ist, ob man das Problem auch mit ein paar GPUs von Nvidia lösen könnte, oder?
Eines der Dinge, die ich ständig sehe, ist, dass es auch im Bereich des Quantencomputings einen großen Hype gibt. Ich denke, das überschneidet sich auch ein wenig mit dem Hype um KI. Man kann auch argumentieren, wenn das ein Hype ist, dann ist es real. Aber der Punkt ist, dass es einen großen Hype gibt und viel Geld im Umlauf ist. Ich denke, ein Teil dieses Geldes sucht jetzt nach einer Ausstiegsstrategie. Und Quantencomputing scheint attraktiv zu sein, oder? Sie pumpen also eine Menge Zeug hinein, und es gibt Unternehmen, die im Grunde genommen überbewertet und auch überbewertet sind, was ihre Versprechungen und ihre Leistungen angeht, und das gilt eigentlich für das gesamte Spektrum. In Bletchley Park hatte ich den Weidenchip von Google als Beispiel, wo Google tatsächlich eine Pressemitteilung über diesen neuen Chip herausgegeben hat, der eine großartige Fehlerkorrektur hat, und die Behauptung, die auch von der populären Presse aufgegriffen wurde, war, dass dieser Chip in fünf Minuten das tun kann, was ein traditioneller Computer in 10 Jahren tun kann. Potenz von 35 Jahren tun kann, ja, was außergewöhnlich ist, weil das Universum nur 10 hoch 25 Jahre alt ist, und wenn man es dann liest, heißt es, ja, nein, das kann es nicht, richtig, es war, als ob dieses Ding fünf Minuten lang laufen könnte, und es ist, als ob sie das millionenfach nicht tun könnten, dann würde es so sein. Und wenn man sich andere Pressemitteilungen verschiedener Unternehmen, großer und kleiner, anschaut, gibt es eine gewisse Tendenz zur Übertreibung ihrer Leistungen.
Und ich denke, dass dies leider einige der wirklichen Fortschritte übertönt, die das Quantencomputing in den letzten Jahren gemacht hat, oder? Und ich denke, und damit kommen wir zu diesem Punkt, es lässt die Bedrohung durch das Quantencomputing viel realer erscheinen, als sie in Wirklichkeit ist. Aber bevor wir uns damit befassen, warum die Welt untergehen wird, wenn Quantencomputer plötzlich auftauchen, was wären die Vorteile eines Quantencomputers, den Sie sich vorstellen? Was könnte er also viel besser als alles andere machen?
DAVID LELLO: Ich möchte darauf antworten, indem ich auch auf das eingehe, was Sie über den Quantencomputer gesagt haben, und zwar in Bezug auf den gegenwärtigen Stand der Dinge. Ich stimme zwar zu, dass es Probleme mit dem Quantencomputer gibt, aber ich denke, dass wir der Stabilität eines Quantencomputers viel näher sind, als es behauptet wird. Wenn ich zurückblicke, denke ich, dass einer der besten Wege, die Zukunft zu betrachten, der Blick in die Geschichte ist. Als ich ein junger Mann war und in einer Bank arbeitete, gab es dort einen Großrechner, einen IBM-Großrechner der alten Schule. Der Großrechner nahm einen Raum ein. Es war ein großer Raum. Es war kein kleiner Raum. Es war ein ziemlich großer Raum. Und er füllte den ganzen Raum aus. Es gab Ventile an diesem Großrechner. Er hatte drei Wasserkühltanks. Im Keller dieser Bank gab es unterirdische Schwimmbecken. Das Ding war riesig. Und nur ein paar Jahre zuvor hatten sie das Lochkartensystem in diesem Großrechner ersetzt.
Als sie den alten Hauptrechner herausnahmen, wofür Gabelstapler und sehr schwere Maschinen erforderlich waren, mussten sie sogar einige Türen herausschneiden, weil sie den Hauptrechner physisch nicht wieder einbauen konnten. Und sie ersetzten ihn durch ein Rack und einen Großrechner, der exponentiell größer war als das, was vorher da war. Im Laufe der Jahre hat sich die Entwicklung von Computern enorm beschleunigt. Und wenn wir nur 30 Jahre zurückgehen, wissen Sie, wenn Sie 40 Jahre zurückgehen, dann ist die Menge der Veränderungen, die wir sehen, einfach gewaltig.
INGO SCHUBERT: Ja.
DAVID LELLO: Und was wir jetzt mit den Quantencomputern gesehen haben, ja, es gibt frühe Indikatoren und die Wissenschaft, fühlt sich fast ein bisschen wie der alte Großrechner im Keller mit den drei Tanks an, weil man die Kühlsysteme braucht, man braucht die großen Geräte, man braucht all das, was dazu gehört. Es wird eine Menge Geld investiert. Es wird sehr viel investiert. Und diese Probleme werden gelöst werden. Und sie werden vielleicht schneller gelöst, als wir denken. Und die Fortschritte, die wir im Moment von Monat zu Monat sehen, deuten darauf hin, dass wir der Kohäsion immer näher kommen. Ich denke also, dass es ein bisschen näher sein könnte.
Und wenn es dazu kommt, finde ich das wirklich sehr aufregend, denn der Quantencomputer kann Daten viel schneller verarbeiten, nicht ganz so schnell, wie manche Leute behaupten, aber weil er diese Daten so viel schneller verarbeiten kann, bedeutet das, dass er Probleme betrachten und lösen kann, die vorher nicht gelöst werden konnten.
Sie kennen aus der theoretischen Physik das Konzept der Schrödingerkatze, und ist die Katze tot oder lebendig? Ist sie zerfallen? Ist sie, was ist sie? Wie ist der Zustand der Katze? Nun, der Quantencomputer wäre in der Lage, die Katze in all ihren Möglichkeiten zu sehen und somit große Probleme zu lösen, die wir bisher nicht lösen konnten.
INGO SCHUBERT: Ja, und ich denke, dass Quantencomputer in der Medizin, z. B. bei der Proteinfaltung oder so, gegenüber herkömmlichen Computern einen Vorteil haben, das ist sicher. Und es gibt andere Dinge, bei denen einfach alles mit massiven Datenmengen, die verarbeitet werden müssen, Sie wissen schon, Wettervorhersage wäre eine Sache, wie, Sie wissen schon, alles, geologische Daten, es gibt eine ganze Reihe von Anwendungsfällen, die von Computern profitieren würden.
Ich glaube nicht, denn es ist keine gerade Linie, wo er sagt, das ist in der Vergangenheit mit Transistoren passiert, das passiert wieder, also könnte es sein, es könnte nicht sein, es ist wie im Lotto, nur weil man das letzte Mal gewonnen hat, heißt das nicht, dass man das nächste Mal nicht gewinnt, es fängt jedes Mal bei Null an und besonders bei der Kohäsion, Wenn man von ein paar hundert Qubits spricht, vielleicht ein paar tausend, um einen universellen Quantencomputer zu bauen, der zum Beispiel den Shor-Algorithmus ausführen kann, was eine Bedrohung für die Kryptographie wäre. Sie sprechen von ein paar hunderttausend Qubits, richtig? Und auf dem Weg dorthin könnten wir irgendwo gegen eine Wand stoßen, richtig? Es gibt keine Garantie, dass wir diese Probleme lösen werden. Wir könnten, ja, sicher, es könnte sein, aber es gibt keine Garantie. Und gleichzeitig muss ein Quantencomputer in einem Umfeld kommerziell überleben, in dem die Rechenleistung weltweit massiv gestiegen ist, vor allem dank der GPUs, oder? Dank der KI. Nun, früher war es der ganze Bitcoin-Wahnsinn, jetzt ist es die KI. Und das, ohne dass es Fortschritte bei der Chipentwicklung gibt. Ich meine, ja, sie werden hierdurch kleiner. Wir haben die Rechenleistung massiv gesteigert, so sehr, dass der begrenzende Faktor im Grunde jetzt die Energie ist, richtig? Also elektrische Energie.
Und in dieser Umgebung muss ein Quantencomputer überleben. Nun kann man argumentieren, dass, hey, besonders für das Knacken von Schlüsseln, einige Regierungen das tun werden, gut. Ja, das ist auch in Ordnung. Sie haben genug Geld. Das interessiert sie nicht wirklich. Nun, vielleicht sollte es sie interessieren. Es sind unsere Steuern, aber nehmen wir mal an, es ist ihnen egal.
Auf dem Weg zu einem voll funktionsfähigen universellen Quantencomputer gibt es praktische Anwendungsfälle für Quantencomputer. Ich denke, das ist unbestritten. Ich behaupte nicht, dass das nicht der Fall ist. Und es gibt gute Anwendungsfälle dafür. Wie ich schon sagte, zum Beispiel die Proteinfaltung in der pharmazeutischen Forschung, oder?
Aber lassen Sie uns über die Bedrohungen sprechen, richtig? Und ich spreche nicht über den Stromverbrauch und all das, denn das haben wir heute mit herkömmlichen Geräten, richtig? Ich meine, Bedrohungen insbesondere für die IT-Sicherheit und dann ist es die Sicherheit, richtig? Denn es gibt einige, wissen Sie, ich habe Shors Algorithmus erwähnt, also sollten wir vielleicht kurz erklären, was das ist und wie es sich auf die Sicherheit auswirkt.
DAVID LELLO: Ja, also mit dem Quantencomputer, weil er die Informationen und Daten so viel schneller verarbeiten kann, ist er in der Lage, den Shaw-Algorithmus zu verwenden, um kryptografische Schlüssel zurückzuentwickeln, und wenn wir also einen kryptografischen, relevanten Quantencomputer haben, wäre er in der Lage, diese Schlüssel innerhalb von Sekunden, Minuten zu knacken.
INGO SCHUBERT: Ja.
DAVID LELLO: Die meisten Daten, die wir verbrauchen, nutzen und auf die wir zugreifen, sind daher anfällig für Angriffe.
INGO SCHUBERT: Ja. Das Argument von Schor ist, wie ich bereits erwähnt habe, dass es heute keinen Quantencomputer gibt, der so etwas ausführen könnte, weil man Hunderttausende von Qubits braucht, die zusammenhängen und eine gewisse Zeit laufen. Also ja, es sind ein paar Sekunden, aber selbst ein paar Sekunden sind heutzutage ein Problem für einen Quantencomputer. Der RSA-Algorithmus, also ein privater öffentlicher Schlüssel, der RSA, aber auch Diffie-Hellman und elliptische Kurven, ECC, verwendet, würde damit im Grunde genommen gebrochen oder in gewisser Weise ungültig gemacht. Im Grunde genommen würden also alle gängigen Algorithmen, die in den letzten Jahrzehnten verwendet wurden, gebrochen werden, oder? Sie würden mit einem Quantencomputer gebrochen werden. Natürlich würden herkömmliche Computer nach wie vor Probleme haben, also ist das keine Bedrohung für sie.
Und ja, wenn das kaputt ist, dann werden diese Algorithmen überall verwendet, ja? Das sind also, Sie wissen schon, Ihr traditionelles TLS, eine Webserver-Kommunikation, von einem Client zu einem Webserver, VPNs, E-Mail-Signaturen, Verschlüsselung von Dateien, die herumgeschickt werden und all das, Sie wissen schon, sie alle basieren oft auf RSA, ECC und oder Diffie-Hellman, richtig? Ich meine, das wäre, man könnte es tatsächlich als katastrophal bezeichnen.
DAVID LELLO: Das wäre es, absolut. Es wäre absolut katastrophal. Ich denke, je mehr ich mich damit beschäftige und je mehr Anwendungsfälle ich tatsächlich sehe, desto mehr Systeme werden ausfallen. Das ist ein globales Problem. Wie die Authentifizierung und die Authentifizierung im Finanzsystem. Selbst Dinge wie Bitcoin werden kompromittiert. Sie verwenden eine elliptische Kurvenverschlüsselung und diese würde kompromittiert werden. Die Folge ist ein kompletter Zusammenbruch des Finanzsystems, weil es kompromittiert wurde.
Ja, es kann also absolut katastrophal sein. Ich denke, dass wir in den typischen, weit verbreiteten Anwendungsfällen große Probleme sehen können, aber auch in kleineren, weniger öffentlichen Problemen, an die die Leute nicht immer denken, wenn wir über IOT und OT sprechen und über medizinische Geräte und medizinische Ausrüstung nachdenken. Nehmen Sie zum Beispiel eine Person, die eine Insulinpumpe trägt.
Wenn ich die Verschlüsselung der Insulinpumpe kompromittieren kann, kann ich jemanden töten.
INGO SCHUBERT: Ja.
DAVID LELLO: Das bedeutet, dass die Kriminalität, die hinter diesen Dingen steckt, plötzlich exponentiell an Bedeutung gewinnen kann. Und wir fangen an, Dinge wie Minority Report und Terminator-artige Anwendungsfälle zu sehen.
INGO SCHUBERT: Jetzt redest du. Jetzt wird es erst richtig interessant, ja.
Okay. Aber ich meine, um auf die Verfügbarkeit von Quantencomputern zurückzukommen, das wird nicht über Nacht passieren, weil es nicht von einem Tag auf den anderen passieren wird. Nehmen wir an, jemand bekommt endlich einen Quantencomputer mit 200.000 Cubits, auf dem er zum Beispiel den Shor-Algorithmus ausführen kann. Normalerweise sind es etwa eine Million. Es gibt einige Untersuchungen, die besagen, dass man nur ein paar 100k Qubits braucht. Es ist ja nicht so, dass plötzlich jeder einen Quantencomputer hat. Nur einige Regierungen und Forschungseinrichtungen haben Zugang zu Quantencomputern. Es ist ja nicht so, dass jeder Cyberkriminelle Zugang dazu hat.
Aber die Bedrohung ist real. Ich denke, es ist ein bisschen wie das Jahr-2000-Problem. Wir haben das also schon eine Weile kommen sehen, aber wir haben etwas getan, um das zu entschärfen, und es hat sich als ein bisschen nichts herausgestellt.
DAVID LELLO: Aber nur, weil wir etwas getan haben.
INGO SCHUBERT: Ganz genau. Nur weil wir etwas getan haben, richtig? Wenn wir also nichts getan hätten, wäre das wahrscheinlich ein großes Problem gewesen, und wir haben etwas getan, und es hat sich herausgestellt, dass es in Ordnung ist, richtig? Und ich denke, es wird wahrscheinlich ähnlich sein wie in diesem Fall hier, weil es Dinge gibt, die man tun kann, was uns zur nächsten Arbeit bringt.
Ja, wir könnten also unterschiedlicher Meinung darüber sein, wie lange wir noch haben werden, oder? Also nur mal so am Rande, es gab einen MITRE-Bericht, also ein staatlich finanziertes Forschungsinstitut in den USA, der Anfang des Jahres veröffentlicht wurde, und sie haben den Algorithmus von Shor auf die frühen 2040er Jahre gelegt, wahrscheinlich eher auf die 2050er Jahre, also ist es nicht so, dass sie einen Anreiz hatten, ihn zu veröffentlichen, also war es ein solider Bericht, aber selbst wenn man sagt, dass es viel früher ist, ist es unwahrscheinlich, dass es vor den 2030ern sein wird. Ich halte es für höchst unwahrscheinlich, es sei denn, es geschieht ein Wunder. Was können Sie also heute tun, um sich auf diese Quantenapokalypse vorzubereiten?
DAVID LELLO: Ich denke, es wird definitiv viel schneller gehen als 2050. Ich glaube, ich hasse es, Vorhersagen zu machen, denn das ist unmöglich. Wenn man versucht, die Zukunft vorherzusagen, scheitert man unweigerlich, weil wir keinen übernatürlichen Verstand haben.
INGO SCHUBERT: Gut, treffen wir uns 2055. Zur gleichen Zeit, ja, damit wir darüber reden können. Wenn ich noch drinnen bin.
DAVID LELLO: Auf jeden Fall. Lassen Sie uns das tun. Gleiche Zeit, gleicher Ort. Lasst uns das tun. In Ordnung, aber wenn es früher ist, sollten wir sehen, wie wir dieses Ereignis feiern können, denn ich denke, dass bei jedem technologischen Fortschritt ein Durchbruch geschieht, und zwar zu einem bestimmten Zeitpunkt. Vielleicht geschieht er nächste Woche. Vielleicht geschieht er in 10 Jahren. Wir wissen es nicht. Aber es wird passieren, da bin ich mir sicher, denn die Wissenschaft ist da. Sie ist glaubwürdig. Es ist real. Wissen Sie, ein Sonnenblumenfeld kann schon jetzt seinen Zusammenhalt bewahren. Die Stabilität ist bei Raumtemperatur gegeben, in einem Feld, mit all den Dingen, die um es herum passieren. Tiere, die darunter herumlaufen, Umweltverschmutzung und alles andere. Ein Sonnenblumenfeld kann Zusammenhalt haben.
INGO SCHUBERT: Das ist richtig.
DAVID LELLO: Warum tun das so viele Wissenschaftler?
INGO SHCUBERT: Ja, aber sie hatten ein paar Millionen Jahre Zeit, sich zu entwickeln, oder? Das ist also mein Punkt. Dem stimme ich zu, aber sie haben einen kleinen Vorsprung, nicht wahr?
DAVID LELLO: Um auf das Thema zurückzukommen: Ich denke, eines der Probleme, die wir haben, und wir haben uns in Bletchley Park ein wenig damit befasst, ist, dass das, was wir derzeit in Bezug auf die Praxis und das, was wir als gute Praxis in Bezug auf die Verwaltung von kryptografischen Schlüsseln bezeichnen würden, meiner Meinung nach in vielen Unternehmen versagt hat. Vor ein paar Jahren gab es die SSL-Sicherheitslücke, und alle haben sich darum gerissen, die Schlüssel zu ersetzen. Das bedeutete, dass die Unternehmen sehr viel flexibler wurden, was den Austausch ihrer TLS-Schlüssel betraf, was fantastisch ist. Damit ist ein großer Teil des Problems gelöst. Wenn Sie Ihre TLS-Schlüssel flexibel einsetzen können, dann können Sie sie auch ändern. Möglicherweise müssen Sie unterwegs einige Tests durchführen, um sicherzustellen, dass alles funktioniert.
Aber Unternehmen können jetzt damit beginnen, über ihre Zertifizierungsstelle nachzudenken und darüber, wie sie ihre Schlüssel ausstellen und wie sie ihre Schlüssel auf TLS-Ebene ersetzen. Und das ist gut so. Das Problem, das wir feststellen, wenn wir in ein Unternehmen kommen, ist, dass 20 bis 30, vielleicht sogar 40% der Schlüssel nicht auf diese Weise verwaltet werden. Sehr oft ist eine Menge Hardware mit eingebetteten Schlüsseln in einer Hardware-Infrastruktur ausgestattet, und einige dieser Hardwareteile können 20 Jahre lang in Betrieb sein, und die Möglichkeit, die Schlüssel in dieser Hardware zu ändern, bedeutet, die Hardware zu ändern.
Wir haben auch eine Menge schlechter Praktiken in der Kodierung, besonders in den Tagen der monolithischen Builds, wo Anwendungen eingebettete Schlüssel in den Anwendungen selbst haben. Und wenn wir anfangen, darüber nachzudenken, ist das nicht einfach so passiert.
INGO SCHUBERT: Ich denke, das ist mein Punkt. Das war eine schlechte Praxis, unabhängig von Quantencomputing oder nicht.
DAVID LELLO: So ist es. Wenn wir also über die Idee des Q-Day nachdenken, was bei Y2K einfach war, weil wir ein Datum hatten. Wir haben kein Datum für den Q-Day.
INGO SCHUBERT: Sehr guter Punkt.
DAVID LELLO: Aber wenn es schließlich eintrifft, und es könnte morgen eintreffen, oder es könnte in 10 Jahren eintreffen, oder, wenn Sie Recht haben, in viel längerer Zeit, dann haben wir eine Situation, in der ein großer Teil der Organisation und ihrer Schlüssel nicht leicht oder einfach zu ersetzen sind, und wir werden eine Panik haben. Wir werden ein massives, massives Problem haben, wenn Daten kompromittiert werden.
Aber das andere Problem, das wir haben, ist eines, zu dem mir oft Fragen gestellt werden, und das ist die Bedrohung durch das ‘Jetzt sammeln, später entschlüsseln’. Und wir haben gesehen, dass Daten gestohlen werden, die seit Jahren verschlüsselt sind, ich meine, damals in diesem Land mit David Cameron, der berühmterweise sagte, dass alle unsere Daten von China gestohlen wurden, aber das macht nichts. Sie sind verschlüsselt. Wenn man also ein paar Jahre zurückgeht, ist diese Aussage zwar richtig, aber angesichts der Technologien, die wir in der Zeit mit einem Quantencomputer haben, wird das ein Problem. Und ja, natürlich altern Daten.
INGO SCHUBERT: Aber einige dieser Daten werden immer noch relevant sein. Nicht alle, aber doch einige. Ich denke also, das ist dasselbe. Sie sind da draußen geblieben, und wenn sie in fünf Jahren entschlüsselt werden, wen kümmert das schon, oder? Oder in 10 Jahren, ja. Man kann also argumentieren, dass viele der Identitätsdaten für die Authentifizierung, wenn sie in fünf oder 10 Jahren entschlüsselt werden, nicht so wichtig sind, weil sie dann schon veraltet sind. Aber es gibt viele strategische Daten, bei denen man jahrzehntelang geschädigt werden könnte, oder? Und Sie müssen nicht einmal ein Staat sein. Sie können auch eine ganz normale Firma sein, ein ganz normales Unternehmen.
DAVID LELLO: Ganz genau.
INGO SCHUBERT: Und was ist der Fall?
DAVID LELLO: Ich meine, in so vielen Unternehmen, in denen ich arbeite, gibt es Altsysteme. Tatsächlich war ich vor nicht allzu langer Zeit in einer Organisation, in der es eine Anwendung gab. Sie behandelten sie als Blackbox, und sie behandelten sie als Blackbox, weil der Quellcode verloren gegangen war. Die Person, die ihn geschrieben hat, ist schon lange weg, rühren Sie ihn nicht an. Wenn es umkippt, lautet die Antwort: Schalten Sie es ein oder aus, schalten Sie es wieder ein und beten Sie, denn das ist das Einzige, was Sie tun können. Es gibt nichts, was du tun kannst. Und dieses System kontrollierte den gesamten Zugang zu seinen Geschäften, den gesamten Zugang zu seinen Geschäften. Und wenn es kompromittiert wird, wenn es ausgeschaltet wird, dann wird die Organisation ausgeschaltet.
INGO SCHUBERT: Ein einziger Fehlerpunkt.
DAVID LELLO: Eine einzige Schwachstelle. Die Anzahl der Unternehmen, die wir besuchen, in denen es diesen Single Point of Failure gibt, ist außergewöhnlich. Die Unternehmen müssen wirklich darüber nachdenken, wie sie ihre Infrastruktur für das Identitäts- und Zugriffsmanagement modernisieren können. Wenn wir über Identitäts- und Zugriffsmanagement nachdenken, ist Identitäts- und Zugriffsmanagement der Weg zu allem. Die jüngsten Ransomware-Angriffe, die in Deutschland, Großbritannien, Italien und anderen Ländern stattgefunden haben, haben es gezeigt. Diese Ransomware-Angriffe zielen auf die Zugangskontrollsysteme ab. Sie zielen auf die Authentifizierung ab, weil sie ein weiches, leichtes Ziel ist, ob es sich nun um Active Directory oder ein System wie das von mir beschriebene handelt, die Fähigkeit, den Zugang tatsächlich zu kompromittieren, bringt die Organisation zum Erliegen, stoppt die Kommunikation, stoppt die Möglichkeit des Zugangs. Die Modernisierung des Identitätszugriffsmanagements wird in diesem Zusammenhang eine der wichtigsten Prioritäten sein.
INGO SCHUBERT: Ja, ja. Es ist schwer, dagegen zu argumentieren, denn das macht Sinn, egal wie man es betrachtet, oder? Ich denke, wenn wir auf die reine kryptografische Schlüsselverwaltung zurückkommen, wissen viele Kunden nicht, was sie haben, oder? Sie haben keinen guten Überblick darüber, wo sie verschlüsseln, wo die Schlüssel sind, wo sie digital signieren. Sie haben nicht den Überblick. Ich denke, das ist ein Teil des Problems, oder? Denn man kann nicht reparieren, was man nicht kennt. Viele der Kunden haben einfach mit der grundlegenden Cyber-Hygiene zu kämpfen. Das erlebe ich leider immer wieder, oder? Gerade heute Morgen bei einem Anruf über einen Kunden, der eine 20 Jahre alte RSA-Software einsetzt, 20 Jahre alt, richtig?
DAVID LELLO: Wow.
INGO SCHUBERT: Also, sie haben unseren Support wegen etwas angerufen, und der Support konnte nicht antworten, und es ist wie, ja, sicher, wissen Sie, wahrscheinlich war das Support-Personal, das den Anruf beantwortet hat, im Kindergarten, als diese Software herauskam, richtig? Was ich damit sagen will, ist, dass wir, solange wir diese grundlegende Cyber-Hygiene und Sichtbarkeit nicht betreiben, erstens nicht diesen Quanten-Ready-Zustand erreichen können, bei dem man für den Q-Day bereit ist. Das ist einfach nicht möglich.
Außerdem bin ich der Meinung, dass man sich keine Gedanken über Quantencomputing machen darf, bevor man das nicht repariert hat, oder? Denn wenn man nicht weiß, welche Software man benutzt, wenn man sie nicht auf dem neuesten Stand hält, ist man natürlich davon abhängig, dass die Hersteller diese Dinge reparieren, wie zum Beispiel die Implementierung von Post-Quantum-Kryptographie, richtig?
Aber wenn die Software mit der neuen Version herauskommt, mit all diesem netten Quantencomputing-Zeug, und Sie installieren sie nicht, dann existiert sie nicht, richtig? Und selbst wenn Sie das tun, wenn Ihre Richtlinien und Verfahren, z. B. für die Datenverwaltung, nicht stimmen, worüber reden wir dann hier? Wenn der Angreifer einfach Ihren Helpdesk anrufen und um Zugang bitten kann, braucht er dafür keinen Quantencomputer, oder? Sie brauchen ihn heute nicht. Sie brauchten ihn gestern nicht. Sie brauchen ihn auch morgen nicht. Sie rufen einfach Ihren Helpdesk an, wenn Ihre Richtlinien nicht stimmen, und verschaffen sich Zugang.
Es gibt also eine Menge Dinge, die schief gehen können, schief gegangen sind und schief gehen werden, die nichts mit Quantencomputern zu tun haben. Und meine Befürchtung ist, dass die Leute auf diese Quantensache, diesen Q-Day, schauen und sich von diesem netten, glänzenden Spielzeug ablenken lassen, richtig? Dabei haben sie so viele Hausaufgaben zu erledigen, die sie wahrscheinlich seit Jahrzehnten nicht mehr gemacht haben, oder? Und natürlich kann man argumentieren, dass man das tun muss, dass man Sichtbarkeit haben muss, dass man Patches dafür hat, dass man seine Verfahren verbessert. Wenn es diese Bedrohung durch Quantencomputer braucht, damit ein Kunde das tut, dann soll es so sein, oder? Ich könnte glücklich sein.
Aber ein Teil von mir denkt: "Nein, denn was passiert, wenn wir mit dem Quantencomputing auf eine Straßensperre stoßen? Ein paar Jahre lang gibt es keine wirklichen Vorteile oder Fortschritte, und dann denkt man sich: "Ach, das ist wie in den 2060er Jahren, da bin ich längst aus dem Berufsleben ausgeschieden, da muss ich mir keine Sorgen machen.
Ich werde Ihnen etwas Wissen vermitteln, ja, ich werde einige Namen nennen, ja, der deutsche Philosoph Emmanuel Kant, ja, schneiden Sie den Redakteur nicht aus, ja, das ist k, das ist k. Das ist K-A-N-T, richtig? Also nenne ich ihn von nun an Emmanuel, ja.
Deutscher Philosoph, 18. Jahrhundert, und er hat viele kluge Dinge gesagt. Aber eines der klügsten Dinge, das ich glaube, ist, dass man das Richtige tut, weil es das Richtige ist, oder? Nicht, weil man damit bei irgendeiner Gottheit Pluspunkte sammelt oder so. Man tut es, weil es das Richtige ist.
Und einen guten Überblick darüber zu haben, wo man verschlüsselt, wie man verschlüsselt, über Richtlinien, Verfahren und Patches und all das, das ist das Richtige, unabhängig davon, ob Quantencomputing noch 10 Jahre entfernt ist, 20, 30 Jahre. Das spielt keine Rolle. Sie müssen das tun. Das hätte man schon in den letzten 20 Jahren tun sollen. Das ist im Wesentlichen ein Punkt. Ich denke, hier sind wir uns einig. Ja, absolut. Ich denke, die Motivation, die dahinter steckt, ist der Punkt, an dem wir uns nicht einig sind, weil wir unterschiedliche Meinungen darüber haben, wo das Quantencomputing steht und wo es stehen wird. Aber wenn es einen Kunden gibt, der sagt, ich muss auf Quantencomputing vorbereitet sein, dann ist der Aufwand nicht umsonst.
DAVID LELLO: Nein, absolut nicht. Ich denke auch, Ingo, eines der Dinge, die mich immer wieder herausfordern, ist die Tatsache, dass wir viel Zeit mit Vorständen großer Unternehmen verbringen und mit Finanzdirektoren und dergleichen sprechen. Ein Unternehmen existiert, um ein Produkt oder eine Dienstleistung zu liefern, und wenn es im privaten Sektor ist, um einen Gewinn zu erzielen, es sei denn natürlich, es handelt sich um eine Wohltätigkeitsorganisation, aber darüber wollen wir uns nicht den Kopf zerbrechen, so dass die Idee, Geld auszugeben, nur weil es das Richtige ist, wenn es mir eine negative Rendite beschert, für Finanzleute schwierig und herausfordernd wird. Und so wird das Investieren in etwas, weil es das Richtige ist, eher zu einer philosophischen Diskussion. Ich glaube nicht, dass das unbedingt der richtige Ansatz ist.
INGO SCHUBERT: Nun, ja, absolut.
DAVID LELLO: Auch wenn ich Ihnen absolut zustimme, 100%, würde ich aus der Perspektive meines Glaubens immer das Richtige tun wollen. Aber die Realität sieht so aus, dass die Unternehmen dafür nicht existieren. Sie existieren nicht, um das Richtige zu tun. Manchmal sind sie sogar ein bisschen unmoralisch.
INGOSCHUBERT: Wirklich? Das höre ich zum ersten Mal. Ich werde mir das notieren.
DAVID LELLO: Ich denke, was Sie tun, ist, dass wir es auf eine andere Art und Weise betrachten, und ich denke, eine der Realitäten, die wir sehen und die auf Resonanz stoßen und die die Menschen verstehen, ist das Messen und Erkennen und Erkennen, was meine Risikoexposition im Zusammenhang mit einer bestimmten Umgebung ist, und wir müssen es mit etwas Greifbarem verbinden, wir müssen immer wieder darauf zurückkommen, wie baue ich einen Fall für Veränderung in dieser Welt auf, ja, und wie sieht Veränderung überhaupt aus? Eine der Herausforderungen, die wir uns selbst gestellt haben, als wir anfingen, Organisationen bei der Lösung dieses Problems zu helfen, war, dass es eigentlich keinen Rahmen gibt, der sich mit der Quantenvorbereitung befasst. Es gibt keins.
Also haben wir einen geschrieben. Wir haben einen Standard geschrieben, um zu sagen: Hier ist ein Ansatz für die Betrachtung von Quanten. Wir haben verschiedene Standards von NIST und Good Practice, ISF und andere Dinge herangezogen, um ein Modell und einen Rahmen zu entwickeln, mit dem wir anfangen können, es zu betrachten. Das ermöglicht es uns, ein System wie das Identitätssystem, das den gesamten Zugang verwaltet und eine Blackbox-Umgebung darstellt, zu betrachten und zu sagen: Wie hoch ist das Risiko, das ich mit einer solchen Maschine eingehe? Und ich werde Quantum komplett herausnehmen. Wie hoch ist mein Risiko? Kenne ich mein Risiko wirklich? Was passiert mit meiner Umgebung, wenn die Maschine ausfällt? Und wenn ich dieses Risiko einschätzen kann, muss ich etwas dagegen tun.
INGO SCHUBERT: Oh, und das ist, ich meine, das ist letztendlich das richtige Risikomanagement, das ich bei vielen Unternehmen oder Organisationen im Allgemeinen vermisse, richtig? Und das muss getan werden und sollte schon seit Jahren getan werden und sollte heute getan werden, unabhängig von Quantencomputing oder nicht. Das ist also mein Punkt.
Natürlich tun sie es nicht, weil es das Richtige ist, oder? Das ist ein schwieriges finanzielles Argument, das man vorbringen kann. Da stimme ich Ihnen vollkommen zu. Aber es gibt all die anderen Gründe, warum sie es tun sollten, oder? Und noch einmal: Wenn Sie das Konzept verkaufen müssen, all das zu betrachten und herauszufinden und ein angemessenes Risikomanagement wegen des Quantencomputings zu haben, dann ist das meine Meinung, oder? Ich denke, das ist absolut der richtige Weg. Wenn das der Hebel ist, den Sie brauchen, um die Unterschrift zu bekommen, dann sollten Sie es unbedingt tun. Denn auch wenn das Quantencomputing noch 30 Jahre entfernt ist, profitieren Sie heute schon davon. Denn die Bereitschaft dazu hilft Ihnen, auch heute sicher zu sein. Sie verschwenden das Geld nicht. Ja, ich denke, das ist genau das Richtige. Und es gibt auch einige Empfehlungen und Rahmenwerke von europäischer Seite, die zum Beispiel besagen, dass man bis 2026 - und das sollte man ehrlich gesagt schon haben, wenn man DORA-konform sein will. Sie sehen vielleicht die gleichen Dinge wieder, weil Sie nicht sehen, dass einige Leute es tun. Also Sichtbarkeit und Risikomanagement bis 2026 und dann ein gewisses Maß an Bereitschaft in irgendeiner Form bis 2030 für hohe Risiken und 2035 für niedrige und mittlere Risiken, richtig? Es scheint also weit in der Zukunft zu liegen, aber, wissen Sie, wir haben bereits Ende 2025, wenn wir dies aufzeichnen, die Freigabe ist 2026.
Es ist also nur noch eine Handvoll Jahre entfernt. Und wenn Sie zum Anfang unseres Gesprächs zurückkehren, wenn Sie das Jahr-2000-Problem betrachten, dann sind Sie, wenn Sie 1999 angefangen haben, wahrscheinlich ein bisschen zu spät dran, oder? Sie müssen also jetzt vorbereitet sein, absolut, richtig.
DAVID LELLO: Ich denke, eines der Dinge, die Sie angesprochen haben und die ich für einen faszinierenden Punkt in Bezug auf die menschliche Psychologie halte, sind die Vorschriften, die europäischen Vorschriften und Dinge wie Dora. Verordnungen treten eigentlich nur in Kraft, weil die Unternehmen nachlässig sind, das Richtige zu tun.
INGO SCHUBERT: Ja, absolut.
DAVID LELLO: Und weil sie nicht das Richtige tun, sagen die Gesetzgeber, dass wir ein großes Problem in diesem Land haben werden, wenn wir uns nicht darum kümmern. Also kommen die Gesetze ins Spiel, wenn man etwas tun muss. So hat die NCSC im Vereinigten Königreich einen Leitfaden zum Thema Quantum erstellt. Und wir haben DORA in Europa. Und leider, wegen des Brexit...
INGO SCHUBERT: Sie haben etwas mitgebracht, was ich nicht habe.
DAVID LELLO: Wir fangen gerade erst an, uns mit unserem Resilienzgesetz zu befassen. Das Resilienz-Gesetz wurde für öffentliche Kommentare freigegeben. Die erste Ausgabe wurde veröffentlicht und die Kommentare sind im Gange. Und so werden wir bald eine Lesung im Parlament haben. Wir hoffen, dass wir in dieser Frage mit dem Rest der Welt gleichziehen.
INGO SCHUBERT: Nun, außer den USA. Die USA scheinen wie dieser wilde Ort auf der Landkarte zu sein, ja. Ja, das sind sie wirklich. Ja, es ist so, und ich sehe das auch, wenn ich mit US-Kollegen spreche, ja, es ist so, ja, wir haben das nicht wirklich, richtig? Aber überall sonst auf der Welt scheint es so zu sein, dass das Risikomanagement in Bezug auf Vorschriften und Verluste ein wenig ausgereifter ist, ja, das ist...
DAVID LELLO: Sie müssen es haben.
INGO SCHUBERT: Man muss sie haben, oder? Und wenn man sie durchliest, und Sie haben wahrscheinlich genauso viel oder sogar mehr davon als ich, dann sind einige dieser Dinge offensichtlich, wie zum Beispiel ein angemessenes Risikomanagement. Sie sollten wissen, was passiert, wenn das Ding kaputt geht, und Sie kennen die Konsequenzen, oder? Natürlich sollten Sie das wissen, denn Ihr Unternehmen verdient Geld, und irgendetwas hindert es daran, das zu tun. Man sollte wissen, warum und wie man das beheben kann. Und dennoch tun sie das nicht, bis sie per Gesetz dazu gezwungen werden, was in gewisser Weise traurig ist, oder?
DAVID LELLO: Da kommt leider die menschliche Natur ins Spiel. Ich habe damit zu kämpfen, denn das sind keine schwierigen Dinge, wenn man sich mit Risiken und Risikomanagement beschäftigt.
INGO SCHUBERT: Nein, aber sie brauchen Zeit.
DAVID LELLO: Und es braucht Zeit, aber es gibt so viele verschiedene Technologien, die den Prozess vereinfachen können. Wissen Sie, Computer sind dazu da, Prozesse zu automatisieren. Der Grund, warum wir Computer haben, ist, dass wir manuelle Prozesse haben, die Heerscharen von Menschen benötigen, um etwas zu tun. Mit Computern können wir all diese Prozesse automatisieren. Und mit modernen Systemen können wir sogar noch mehr automatisieren. Nehmen Sie zum Beispiel das Schwachstellenmanagement. Wenn Sie eine modernisierte Umgebung haben und Schwachstellen-Scans einführen, haben Sie einen relativ guten Überblick über Ihre technologischen Risiken.
INGO SCHUBERT: Ja. Das Gleiche gilt für uns. Identitätsmanagement. Letztendlich ist es keine Raketenwissenschaft. Ja, natürlich. Man muss all die verschiedenen Systeme miteinander verbinden, vielleicht ein paar Regeln aufstellen und all das. Aber dann hat man den Überblick und die Sicht auf die Aufgabentrennung, die Einhaltung der Vorschriften und so weiter. Und ja, es ist Arbeit. Ja, es ist eine Investition in Form von Geld und Zeit, natürlich, aber man hat etwas davon.
DAVID LELLO: Ja.
INGO SCHUBERT: Genau. Ich glaube, dass die Leute auch nicht erkennen, dass ein wahrscheinliches Risikomanagement auch etwas zurückgibt, weil man tatsächlich Dinge herausfindet, dass man vielleicht nicht so viel Geld in diese eine Absicherung investieren sollte oder dass man diese Sache belastbar macht, weil sie keine so große Auswirkung hat, während man in die andere Sache mehr investieren sollte, weil, wenn das schief geht, schlimme Dinge passieren. Ich denke, das ist auch so, und natürlich ist man sich dessen nicht bewusst, denn wenn man kein richtiges Risikomanagement betreibt, hat man keinen Überblick, wie soll man also diese Entscheidung treffen? Im Grunde genommen schaden sich die Unternehmen also selbst, wenn sie das nicht tun, oder?
DAVID LELLO: Und die Identitätsverwaltung trägt viel dazu bei, dies zu ermöglichen und zu unterstützen. Ja. Wissen Sie, wenn ich mit vielen Organisationen über Identität spreche, ist Identität nicht eines dieser Sicherheitsdinge, die man macht, weil es eine Versicherungspolice ist. Identität ist ein Befähiger. Sie ist ein echter Business Enabler, der Unternehmen dabei hilft, effizienter und effektiver zu arbeiten, wenn es darum geht, wie Menschen Zugang erhalten. Entscheidend ist jedoch, dass der richtige Zugriff zur richtigen Zeit und am richtigen Ort erfolgt und dass die Governance-Modelle dies tatsächlich steuern. Wenn wir uns also Ihre ITGC-Kontrollen und Finanzsysteme ansehen und uns überlegen, wie der Zugriff in Ihren Berechtigungen, Ihrer Aufgabentrennung und den damit verbundenen Mandaten gestaltet werden muss. Diese Dinge sind nicht neu. Sie sind seit Jahrzehnten im Unternehmensgesetz und in der Haushaltsordnung verankert.
INGO SHUBERT: Auf jeden Fall.
DAVID LELLO: Und die Möglichkeit, dies mit einem guten Identitätsmanagementsystem zu kontrollieren, ist jetzt gegeben. Und mit einer modernisierten Lösung wird es sogar ziemlich einfach. Es ist nicht so schwierig, wie die Leute denken.
INGO SCHUBERT: Sehen Sie uns an. Wir sprechen über Identitätssicherheits-Governance und haben mit Quantum angefangen. Es ist wie, ja, aber das ist der Punkt. Ich denke, das ist etwas, das auch ein Türöffner für einige Diskussionen bei Kunden oder in Organisationen im Allgemeinen ist, wo man sagen kann: Ja, das ist gut. Man spricht über die Quantenbedrohung und, wissen Sie, aber am Ende landet man bei Diskussionen, bei denen es nicht wirklich um Quanten geht, sondern um andere Dinge. Ja, man kann jetzt etwas tun, man sollte es jetzt tun, unabhängig davon, was in der Zukunft passiert.
DAVID LELLO: Das ist das grundlegende Hygienekonzept.
INGO SCHUBERT: Das ist das grundlegende Hygienekonzept, genau. Das ist die perfekte Art, das Thema abzuschließen. David, ich danke dir. Wir könnten wirklich stundenlang reden, jedes Mal, wenn wir uns treffen. Also, vielen Dank. Ich denke, die Quantenbedrohung mag sich weit weg anfühlen.
Das mag sein, das mag nicht sein. Aber wir hoffen, dass unsere Zuschauer und Zuhörer während dieses Gesprächs die Idee bekommen haben, dass es keine Rolle spielt, ob man heute etwas tun sollte, um auf die Quanten vorbereitet zu sein. Das tut überhaupt nicht weh.
Was Sie davon haben, kommt Ihnen heute zugute, wenn es um die Abwehr von Gefahren geht, die heute bestehen, nicht wahr? Sie müssen nicht erst 20 Jahre warten, um die Vorteile zu erkennen. Sie können sie schon heute nutzen.
Damit ist die heutige Debatte über Quantencomputer und ihre Auswirkungen auf die Identitätssicherheit abgeschlossen. Die Quantenzukunft ist Science-Fiction, und Unternehmen müssen verstehen, wo die wahren Risiken und Chancen liegen. Wenn Sie mehr über die Widerstandsfähigkeit von Identitäten und die Technologien erfahren möchten, die Unternehmen auf die Zukunft vorbereiten, besuchen Sie RSA.com. Wenn Sie über den Posteingang Zugang zu weiteren Folgen von RSA Identity Unmasked haben möchten, vergessen Sie nicht, sich zu abonnieren. Vielen Dank fürs Mitmachen und bis zum nächsten Mal.
DAVID LELLO: Danke
INGO SCHUBERT: Ich denke, dass Sie den Zuhörern in ein paar Worten beschreiben können, was Quantencomputing ist, damit wir auf dem Niveau eines Experten sind, nachdem Sie fertig sind.
DAVID LELLO: Nun, ich werde mit der grundlegenden Betrachtungsweise von Quantencomputern beginnen, denn ich denke, wenn wir anfangen, uns mit theoretischer Physik zu beschäftigen, könnten wir ein paar Leute verlieren.
INGO SCHUBERT: Jawohl.
DAVID LELLO: Bei Quantencomputern funktionieren Quantencomputer anders als herkömmliche Computer. Man sagt dem Computer, was er tun soll. Bei einem Quantencomputer funktioniert das anders. Er nutzt die Quantenmechanik, und deshalb schaut er sich in einer multidimensionalen Welt der Quantenmechanik die Daten an und sieht sie. Es liest die Daten nicht auf die gleiche Weise und kann daher Hypothesen aufstellen und mehrere Konstrukte gleichzeitig betrachten. Ein herkömmlicher Computer liest ein Buch vom Anfang bis zum Ende, ein Quantencomputer hingegen liest das Buch und sieht die Daten. Dadurch ist der Quantencomputer in der Lage, Informationen viel schneller zu verarbeiten. Und beim Lösen von Problemen ist es so, als würde man alle Probleme gleichzeitig lösen, anstatt ein Problem nacheinander zu lösen.
INGO SCHUBERT: Ja, die Algorithmen sind natürlich sehr unterschiedlich. Ja, ich denke, das ist wahrscheinlich der Grund, warum viele, und dazu zähle ich mich auch, damit zu kämpfen haben, wie man so etwas eigentlich programmiert. Ich denke, mit meinem traditionellen IT-Hintergrund hilft es mir manchmal, zu verstehen, dass ein traditioneller Computer, wie jedes Bit, ein ganz anderes Tier ist. Wenn man N Bits hat, kann man N Datenmengen speichern. Es ist null, eins, ja? Mit Quantencomputern sind es zwei hoch N, ja, das ist wie, sofort, wie, wenn dein alter Augenblick einsetzt, ist es wie, ja, das ist viel mehr, ja, in der gleichen Anzahl von Qubits in diesem Fall, richtig? Also ist die Speicherung und Verarbeitung einfach auf einer anderen Ebene, richtig? Ich denke, wir belassen es dabei, denn sonst wären wir noch tagelang hier, oder? Ich erkläre nur die Grundlagen.
Das nächste Thema, dem ich nachgehen möchte, ist der aktuelle Stand des Quantencomputings. Wo stehen wir im Moment? Denn ich denke, dass wir - und wenn die Leute, die das sehen, uns in Bletchley Park beobachtet haben - unterschiedliche Meinungen darüber haben, wo wir stehen und wo wir stehen werden. Lassen Sie uns also mit Ihnen beginnen. Was ist der aktuelle Stand des Quantencomputers?
DAVID LELLO: Ich glaube, dass sich die Quanteninformatik noch in einem frühen Stadium befindet. Es gibt also eine Reihe von Quantencomputern, und man kann tatsächlich Zeit auf Quantencomputern mieten, um Daten zu betrachten. Aber ich denke, dass es bei der Art und Weise, wie Quantencomputer entwickelt wurden, eine Reihe von Problemen gibt. Bei einigen Quantencomputern muss man Dinge wie die Temperatur sehr genau kontrollieren. So arbeitet ein Quantencomputer am absoluten Nullpunkt, also bei minus 270 Grad Celsius, was wirklich kalt ist. Dafür braucht man große Einrichtungen, große Geräte und viel Energie. Sonst verliert man den Zusammenhalt und die Stabilität der Plattform.
Frühe Quantencomputer sind aus diesem Grund ständig durchgebrannt. Das ist also ein Problem, das gelöst und angegangen werden muss. Das andere Problem besteht darin, dass der Quantencomputer die Daten alle gleichzeitig betrachtet und dadurch eine Menge Rauschen erzeugt. Wenn man etwas wie die Bibel nehmen und sie sofort lesen müsste, anstatt sie von Anfang bis Ende durchzugehen, würde sich im Kopf eine Erzählung bilden, die unverständlich wäre. Und der Versuch, die Botschaft zu verdauen, zu verstehen und zu destillieren, wird sehr schwierig.
Das Rauschen im System hat also eine ganze Menge Probleme verursacht. Wir haben einige gute Erfolge aus Oxford gesehen, wo sie die Fehlerquote und das Rauschen innerhalb des Systems ganz erheblich reduziert haben. Aber das wahrscheinlich größte Problem ist derzeit die Anzahl der Cubits, die gleichzeitig verschränkt werden können, weil man die Kohäsion dieser Cubits verliert, wenn man anfängt, 100 oder so Cubits zu überschreiten. Die Anzahl der Qubits, die gleichzeitig verschränkt werden können, um die Informationen zu verarbeiten, ist also begrenzt. Und das bedeutet, dass die Verarbeitungsleistung und die Fähigkeit der Maschine begrenzt sind.
Es ist also noch nicht das, was wir kryptografisch relevantes Quantencomputing nennen würden, was ein großes Problem ist, aber es ist in einem Stadium, in dem es bewiesen ist. Es funktioniert. Es tut das, was die Wissenschaftler sagen, dass es funktioniert. Es geht nur noch darum, es auf die nächste Stufe zu bringen und weiter zu investieren. Alle paar Monate gibt es weitere Fortschritte oder es wird kräftig investiert, und wir sehen erste Fortschritte.
INGO SCHUBERT: Ja, und das stimmt auch. Und ich denke, wenn man Quantencomputer vergleicht, wenn man sich nur Bilder von ihnen ansieht, richtig? Von vor fünf Jahren im Vergleich zu heute würde ich sie immer noch teilweise als physikalisches Experiment bezeichnen, aber vor fünf Jahren war es ein viel physikalischeres Experiment, oder? Wenn man sich nur den physikalischen Aufbau dieser Dinger ansieht, richtig?
Es stimmt zwar, dass sie, wenn man ihnen ein Problem stellt, es viel schneller lösen können als herkömmliche Computer. Und ein Teil davon ist das, was Sie als Kohäsion bezeichnet haben. Ja, die grundlegende Kohäsion ist, wenn man das System nur eine bestimmte Zeit lang stabil halten kann. Und das wird normalerweise maximal in Sekunden gemessen, ja, oder in Millisekunden, je nachdem, um welchen Chip es sich handelt. Und das ist in vielen Fällen weit davon entfernt, nützlich zu sein. Es gibt aber einige Anwendungsfälle, in denen es Sinn macht. Stellen Sie sich das als eine Art Quanten-Coprozessor vor. Aber das Problem, das ich damit habe, ist, dass es in vielen Anwendungsfällen fraglich ist, ob man das Problem auch mit ein paar GPUs von Nvidia lösen könnte, oder?
Eines der Dinge, die ich ständig sehe, ist, dass es auch im Bereich des Quantencomputings einen großen Hype gibt. Ich denke, das überschneidet sich auch ein wenig mit dem Hype um KI. Man kann auch argumentieren, wenn das ein Hype ist, dann ist es real. Aber der Punkt ist, dass es einen großen Hype gibt und viel Geld im Umlauf ist. Ich denke, ein Teil dieses Geldes sucht jetzt nach einer Ausstiegsstrategie. Und Quantencomputing scheint attraktiv zu sein, oder? Sie pumpen also eine Menge Zeug hinein, und es gibt Unternehmen, die im Grunde genommen überbewertet und auch überbewertet sind, was ihre Versprechungen und ihre Leistungen angeht, und das gilt eigentlich für das gesamte Spektrum. In Bletchley Park hatte ich den Weidenchip von Google als Beispiel, wo Google tatsächlich eine Pressemitteilung über diesen neuen Chip herausgegeben hat, der eine großartige Fehlerkorrektur hat, und die Behauptung, die auch von der populären Presse aufgegriffen wurde, war, dass dieser Chip in fünf Minuten das tun kann, was ein traditioneller Computer in 10 Jahren tun kann. Potenz von 35 Jahren tun kann, ja, was außergewöhnlich ist, weil das Universum nur 10 hoch 25 Jahre alt ist, und wenn man es dann liest, heißt es, ja, nein, das kann es nicht, richtig, es war, als ob dieses Ding fünf Minuten lang laufen könnte, und es ist, als ob sie das millionenfach nicht tun könnten, dann würde es so sein. Und wenn man sich andere Pressemitteilungen verschiedener Unternehmen, großer und kleiner, anschaut, gibt es eine gewisse Tendenz zur Übertreibung ihrer Leistungen.
Und ich denke, dass dies leider einige der wirklichen Fortschritte übertönt, die das Quantencomputing in den letzten Jahren gemacht hat, oder? Und ich denke, und damit kommen wir zu diesem Punkt, es lässt die Bedrohung durch das Quantencomputing viel realer erscheinen, als sie in Wirklichkeit ist. Aber bevor wir uns damit befassen, warum die Welt untergehen wird, wenn Quantencomputer plötzlich auftauchen, was wären die Vorteile eines Quantencomputers, den Sie sich vorstellen? Was könnte er also viel besser als alles andere machen?
DAVID LELLO: Ich möchte darauf antworten, indem ich auch auf das eingehe, was Sie über den Quantencomputer gesagt haben, und zwar in Bezug auf den gegenwärtigen Stand der Dinge. Ich stimme zwar zu, dass es Probleme mit dem Quantencomputer gibt, aber ich denke, dass wir der Stabilität eines Quantencomputers viel näher sind, als es behauptet wird. Wenn ich zurückblicke, denke ich, dass einer der besten Wege, die Zukunft zu betrachten, der Blick in die Geschichte ist. Als ich ein junger Mann war und in einer Bank arbeitete, gab es dort einen Großrechner, einen IBM-Großrechner der alten Schule. Der Großrechner nahm einen Raum ein. Es war ein großer Raum. Es war kein kleiner Raum. Es war ein ziemlich großer Raum. Und er füllte den ganzen Raum aus. Es gab Ventile an diesem Großrechner. Er hatte drei Wasserkühltanks. Im Keller dieser Bank gab es unterirdische Schwimmbecken. Das Ding war riesig. Und nur ein paar Jahre zuvor hatten sie das Lochkartensystem in diesem Großrechner ersetzt.
Als sie den alten Hauptrechner herausnahmen, wofür Gabelstapler und sehr schwere Maschinen erforderlich waren, mussten sie sogar einige Türen herausschneiden, weil sie den Hauptrechner physisch nicht wieder einbauen konnten. Und sie ersetzten ihn durch ein Rack und einen Großrechner, der exponentiell größer war als das, was vorher da war. Im Laufe der Jahre hat sich die Entwicklung von Computern enorm beschleunigt. Und wenn wir nur 30 Jahre zurückgehen, wissen Sie, wenn Sie 40 Jahre zurückgehen, dann ist die Menge der Veränderungen, die wir sehen, einfach gewaltig.
INGO SCHUBERT: Ja.
DAVID LELLO: Und was wir jetzt mit den Quantencomputern gesehen haben, ja, es gibt frühe Indikatoren und die Wissenschaft, fühlt sich fast ein bisschen wie der alte Großrechner im Keller mit den drei Tanks an, weil man die Kühlsysteme braucht, man braucht die großen Geräte, man braucht all das, was dazu gehört. Es wird eine Menge Geld investiert. Es wird sehr viel investiert. Und diese Probleme werden gelöst werden. Und sie werden vielleicht schneller gelöst, als wir denken. Und die Fortschritte, die wir im Moment von Monat zu Monat sehen, deuten darauf hin, dass wir der Kohäsion immer näher kommen. Ich denke also, dass es ein bisschen näher sein könnte.
Und wenn es dazu kommt, finde ich das wirklich sehr aufregend, denn der Quantencomputer kann Daten viel schneller verarbeiten, nicht ganz so schnell, wie manche Leute behaupten, aber weil er diese Daten so viel schneller verarbeiten kann, bedeutet das, dass er Probleme betrachten und lösen kann, die vorher nicht gelöst werden konnten.
Sie kennen aus der theoretischen Physik das Konzept der Schrödingerkatze, und ist die Katze tot oder lebendig? Ist sie zerfallen? Ist sie, was ist sie? Wie ist der Zustand der Katze? Nun, der Quantencomputer wäre in der Lage, die Katze in all ihren Möglichkeiten zu sehen und somit große Probleme zu lösen, die wir bisher nicht lösen konnten.
INGO SCHUBERT: Ja, und ich denke, dass Quantencomputer in der Medizin, z. B. bei der Proteinfaltung oder so, gegenüber herkömmlichen Computern einen Vorteil haben, das ist sicher. Und es gibt andere Dinge, bei denen einfach alles mit massiven Datenmengen, die verarbeitet werden müssen, Sie wissen schon, Wettervorhersage wäre eine Sache, wie, Sie wissen schon, alles, geologische Daten, es gibt eine ganze Reihe von Anwendungsfällen, die von Computern profitieren würden.
Ich glaube nicht, denn es ist keine gerade Linie, wo er sagt, das ist in der Vergangenheit mit Transistoren passiert, das passiert wieder, also könnte es sein, es könnte nicht sein, es ist wie im Lotto, nur weil man das letzte Mal gewonnen hat, heißt das nicht, dass man das nächste Mal nicht gewinnt, es fängt jedes Mal bei Null an und besonders bei der Kohäsion, Wenn man von ein paar hundert Qubits spricht, vielleicht ein paar tausend, um einen universellen Quantencomputer zu bauen, der zum Beispiel den Shor-Algorithmus ausführen kann, was eine Bedrohung für die Kryptographie wäre. Sie sprechen von ein paar hunderttausend Qubits, richtig? Und auf dem Weg dorthin könnten wir irgendwo gegen eine Wand stoßen, richtig? Es gibt keine Garantie, dass wir diese Probleme lösen werden. Wir könnten, ja, sicher, es könnte sein, aber es gibt keine Garantie. Und gleichzeitig muss ein Quantencomputer in einem Umfeld kommerziell überleben, in dem die Rechenleistung weltweit massiv gestiegen ist, vor allem dank der GPUs, oder? Dank der KI. Nun, früher war es der ganze Bitcoin-Wahnsinn, jetzt ist es die KI. Und das, ohne dass es Fortschritte bei der Chipentwicklung gibt. Ich meine, ja, sie werden hierdurch kleiner. Wir haben die Rechenleistung massiv gesteigert, so sehr, dass der begrenzende Faktor im Grunde jetzt die Energie ist, richtig? Also elektrische Energie.
Und in dieser Umgebung muss ein Quantencomputer überleben. Nun kann man argumentieren, dass, hey, besonders für das Knacken von Schlüsseln, einige Regierungen das tun werden, gut. Ja, das ist auch in Ordnung. Sie haben genug Geld. Das interessiert sie nicht wirklich. Nun, vielleicht sollte es sie interessieren. Es sind unsere Steuern, aber nehmen wir mal an, es ist ihnen egal.
Auf dem Weg zu einem voll funktionsfähigen universellen Quantencomputer gibt es praktische Anwendungsfälle für Quantencomputer. Ich denke, das ist unbestritten. Ich behaupte nicht, dass das nicht der Fall ist. Und es gibt gute Anwendungsfälle dafür. Wie ich schon sagte, zum Beispiel die Proteinfaltung in der pharmazeutischen Forschung, oder?
Aber lassen Sie uns über die Bedrohungen sprechen, richtig? Und ich spreche nicht über den Stromverbrauch und all das, denn das haben wir heute mit herkömmlichen Geräten, richtig? Ich meine, Bedrohungen insbesondere für die IT-Sicherheit und dann ist es die Sicherheit, richtig? Denn es gibt einige, wissen Sie, ich habe Shors Algorithmus erwähnt, also sollten wir vielleicht kurz erklären, was das ist und wie es sich auf die Sicherheit auswirkt.
DAVID LELLO: Ja, also mit dem Quantencomputer, weil er die Informationen und Daten so viel schneller verarbeiten kann, ist er in der Lage, den Shaw-Algorithmus zu verwenden, um kryptografische Schlüssel zurückzuentwickeln, und wenn wir also einen kryptografischen, relevanten Quantencomputer haben, wäre er in der Lage, diese Schlüssel innerhalb von Sekunden, Minuten zu knacken.
INGO SCHUBERT: Ja.
DAVID LELLO: Die meisten Daten, die wir verbrauchen, nutzen und auf die wir zugreifen, sind daher anfällig für Angriffe.
INGO SCHUBERT: Ja. Das Argument von Schor ist, wie ich bereits erwähnt habe, dass es heute keinen Quantencomputer gibt, der so etwas ausführen könnte, weil man Hunderttausende von Qubits braucht, die zusammenhängen und eine gewisse Zeit laufen. Also ja, es sind ein paar Sekunden, aber selbst ein paar Sekunden sind heutzutage ein Problem für einen Quantencomputer. Der RSA-Algorithmus, also ein privater öffentlicher Schlüssel, der RSA, aber auch Diffie-Hellman und elliptische Kurven, ECC, verwendet, würde damit im Grunde genommen gebrochen oder in gewisser Weise ungültig gemacht. Im Grunde genommen würden also alle gängigen Algorithmen, die in den letzten Jahrzehnten verwendet wurden, gebrochen werden, oder? Sie würden mit einem Quantencomputer gebrochen werden. Natürlich würden herkömmliche Computer nach wie vor Probleme haben, also ist das keine Bedrohung für sie.
Und ja, wenn das kaputt ist, dann werden diese Algorithmen überall verwendet, ja? Das sind also, Sie wissen schon, Ihr traditionelles TLS, eine Webserver-Kommunikation, von einem Client zu einem Webserver, VPNs, E-Mail-Signaturen, Verschlüsselung von Dateien, die herumgeschickt werden und all das, Sie wissen schon, sie alle basieren oft auf RSA, ECC und oder Diffie-Hellman, richtig? Ich meine, das wäre, man könnte es tatsächlich als katastrophal bezeichnen.
DAVID LELLO: Das wäre es, absolut. Es wäre absolut katastrophal. Ich denke, je mehr ich mich damit beschäftige und je mehr Anwendungsfälle ich tatsächlich sehe, desto mehr Systeme werden ausfallen. Das ist ein globales Problem. Wie die Authentifizierung und die Authentifizierung im Finanzsystem. Selbst Dinge wie Bitcoin werden kompromittiert. Sie verwenden eine elliptische Kurvenverschlüsselung und diese würde kompromittiert werden. Die Folge ist ein kompletter Zusammenbruch des Finanzsystems, weil es kompromittiert wurde.
Ja, es kann also absolut katastrophal sein. Ich denke, dass wir in den typischen, weit verbreiteten Anwendungsfällen große Probleme sehen können, aber auch in kleineren, weniger öffentlichen Problemen, an die die Leute nicht immer denken, wenn wir über IOT und OT sprechen und über medizinische Geräte und medizinische Ausrüstung nachdenken. Nehmen Sie zum Beispiel eine Person, die eine Insulinpumpe trägt.
Wenn ich die Verschlüsselung der Insulinpumpe kompromittieren kann, kann ich jemanden töten.
INGO SCHUBERT: Ja.
DAVID LELLO: Das bedeutet, dass die Kriminalität, die hinter diesen Dingen steckt, plötzlich exponentiell an Bedeutung gewinnen kann. Und wir fangen an, Dinge wie Minority Report und Terminator-artige Anwendungsfälle zu sehen.
INGO SCHUBERT: Jetzt redest du. Jetzt wird es erst richtig interessant, ja.
Okay. Aber ich meine, um auf die Verfügbarkeit von Quantencomputern zurückzukommen, das wird nicht über Nacht passieren, weil es nicht von einem Tag auf den anderen passieren wird. Nehmen wir an, jemand bekommt endlich einen Quantencomputer mit 200.000 Cubits, auf dem er zum Beispiel den Shor-Algorithmus ausführen kann. Normalerweise sind es etwa eine Million. Es gibt einige Untersuchungen, die besagen, dass man nur ein paar 100k Qubits braucht. Es ist ja nicht so, dass plötzlich jeder einen Quantencomputer hat. Nur einige Regierungen und Forschungseinrichtungen haben Zugang zu Quantencomputern. Es ist ja nicht so, dass jeder Cyberkriminelle Zugang dazu hat.
Aber die Bedrohung ist real. Ich denke, es ist ein bisschen wie das Jahr-2000-Problem. Wir haben das also schon eine Weile kommen sehen, aber wir haben etwas getan, um das zu entschärfen, und es hat sich als ein bisschen nichts herausgestellt.
DAVID LELLO: Aber nur, weil wir etwas getan haben.
INGO SCHUBERT: Ganz genau. Nur weil wir etwas getan haben, richtig? Wenn wir also nichts getan hätten, wäre das wahrscheinlich ein großes Problem gewesen, und wir haben etwas getan, und es hat sich herausgestellt, dass es in Ordnung ist, richtig? Und ich denke, es wird wahrscheinlich ähnlich sein wie in diesem Fall hier, weil es Dinge gibt, die man tun kann, was uns zur nächsten Arbeit bringt.
Ja, wir könnten also unterschiedlicher Meinung darüber sein, wie lange wir noch haben werden, oder? Also nur mal so am Rande, es gab einen MITRE-Bericht, also ein staatlich finanziertes Forschungsinstitut in den USA, der Anfang des Jahres veröffentlicht wurde, und sie haben den Algorithmus von Shor auf die frühen 2040er Jahre gelegt, wahrscheinlich eher auf die 2050er Jahre, also ist es nicht so, dass sie einen Anreiz hatten, ihn zu veröffentlichen, also war es ein solider Bericht, aber selbst wenn man sagt, dass es viel früher ist, ist es unwahrscheinlich, dass es vor den 2030ern sein wird. Ich halte es für höchst unwahrscheinlich, es sei denn, es geschieht ein Wunder. Was können Sie also heute tun, um sich auf diese Quantenapokalypse vorzubereiten?
DAVID LELLO: Ich denke, es wird definitiv viel schneller gehen als 2050. Ich glaube, ich hasse es, Vorhersagen zu machen, denn das ist unmöglich. Wenn man versucht, die Zukunft vorherzusagen, scheitert man unweigerlich, weil wir keinen übernatürlichen Verstand haben.
INGO SCHUBERT: Gut, treffen wir uns 2055. Zur gleichen Zeit, ja, damit wir darüber reden können. Wenn ich noch drinnen bin.
DAVID LELLO: Auf jeden Fall. Lassen Sie uns das tun. Gleiche Zeit, gleicher Ort. Lasst uns das tun. In Ordnung, aber wenn es früher ist, sollten wir sehen, wie wir dieses Ereignis feiern können, denn ich denke, dass bei jedem technologischen Fortschritt ein Durchbruch geschieht, und zwar zu einem bestimmten Zeitpunkt. Vielleicht geschieht er nächste Woche. Vielleicht geschieht er in 10 Jahren. Wir wissen es nicht. Aber es wird passieren, da bin ich mir sicher, denn die Wissenschaft ist da. Sie ist glaubwürdig. Es ist real. Wissen Sie, ein Sonnenblumenfeld kann schon jetzt seinen Zusammenhalt bewahren. Die Stabilität ist bei Raumtemperatur gegeben, in einem Feld, mit all den Dingen, die um es herum passieren. Tiere, die darunter herumlaufen, Umweltverschmutzung und alles andere. Ein Sonnenblumenfeld kann Zusammenhalt haben.
INGO SCHUBERT: Das ist richtig.
DAVID LELLO: Warum tun das so viele Wissenschaftler?
INGO SHCUBERT: Ja, aber sie hatten ein paar Millionen Jahre Zeit, sich zu entwickeln, oder? Das ist also mein Punkt. Dem stimme ich zu, aber sie haben einen kleinen Vorsprung, nicht wahr?
DAVID LELLO: Um auf das Thema zurückzukommen: Ich denke, eines der Probleme, die wir haben, und wir haben uns in Bletchley Park ein wenig damit befasst, ist, dass das, was wir derzeit in Bezug auf die Praxis und das, was wir als gute Praxis in Bezug auf die Verwaltung von kryptografischen Schlüsseln bezeichnen würden, meiner Meinung nach in vielen Unternehmen versagt hat. Vor ein paar Jahren gab es die SSL-Sicherheitslücke, und alle haben sich darum gerissen, die Schlüssel zu ersetzen. Das bedeutete, dass die Unternehmen sehr viel flexibler wurden, was den Austausch ihrer TLS-Schlüssel betraf, was fantastisch ist. Damit ist ein großer Teil des Problems gelöst. Wenn Sie Ihre TLS-Schlüssel flexibel einsetzen können, dann können Sie sie auch ändern. Möglicherweise müssen Sie unterwegs einige Tests durchführen, um sicherzustellen, dass alles funktioniert.
Aber Unternehmen können jetzt damit beginnen, über ihre Zertifizierungsstelle nachzudenken und darüber, wie sie ihre Schlüssel ausstellen und wie sie ihre Schlüssel auf TLS-Ebene ersetzen. Und das ist gut so. Das Problem, das wir feststellen, wenn wir in ein Unternehmen kommen, ist, dass 20 bis 30, vielleicht sogar 40% der Schlüssel nicht auf diese Weise verwaltet werden. Sehr oft ist eine Menge Hardware mit eingebetteten Schlüsseln in einer Hardware-Infrastruktur ausgestattet, und einige dieser Hardwareteile können 20 Jahre lang in Betrieb sein, und die Möglichkeit, die Schlüssel in dieser Hardware zu ändern, bedeutet, die Hardware zu ändern.
Wir haben auch eine Menge schlechter Praktiken in der Kodierung, besonders in den Tagen der monolithischen Builds, wo Anwendungen eingebettete Schlüssel in den Anwendungen selbst haben. Und wenn wir anfangen, darüber nachzudenken, ist das nicht einfach so passiert.
INGO SCHUBERT: Ich denke, das ist mein Punkt. Das war eine schlechte Praxis, unabhängig von Quantencomputing oder nicht.
DAVID LELLO: So ist es. Wenn wir also über die Idee des Q-Day nachdenken, was bei Y2K einfach war, weil wir ein Datum hatten. Wir haben kein Datum für den Q-Day.
INGO SCHUBERT: Sehr guter Punkt.
DAVID LELLO: Aber wenn es schließlich eintrifft, und es könnte morgen eintreffen, oder es könnte in 10 Jahren eintreffen, oder, wenn Sie Recht haben, in viel längerer Zeit, dann haben wir eine Situation, in der ein großer Teil der Organisation und ihrer Schlüssel nicht leicht oder einfach zu ersetzen sind, und wir werden eine Panik haben. Wir werden ein massives, massives Problem haben, wenn Daten kompromittiert werden.
Aber das andere Problem, das wir haben, ist eines, zu dem mir oft Fragen gestellt werden, und das ist die Bedrohung durch das ‘Jetzt sammeln, später entschlüsseln’. Und wir haben gesehen, dass Daten gestohlen werden, die seit Jahren verschlüsselt sind, ich meine, damals in diesem Land mit David Cameron, der berühmterweise sagte, dass alle unsere Daten von China gestohlen wurden, aber das macht nichts. Sie sind verschlüsselt. Wenn man also ein paar Jahre zurückgeht, ist diese Aussage zwar richtig, aber angesichts der Technologien, die wir in der Zeit mit einem Quantencomputer haben, wird das ein Problem. Und ja, natürlich altern Daten.
INGO SCHUBERT: Aber einige dieser Daten werden immer noch relevant sein. Nicht alle, aber doch einige. Ich denke also, das ist dasselbe. Sie sind da draußen geblieben, und wenn sie in fünf Jahren entschlüsselt werden, wen kümmert das schon, oder? Oder in 10 Jahren, ja. Man kann also argumentieren, dass viele der Identitätsdaten für die Authentifizierung, wenn sie in fünf oder 10 Jahren entschlüsselt werden, nicht so wichtig sind, weil sie dann schon veraltet sind. Aber es gibt viele strategische Daten, bei denen man jahrzehntelang geschädigt werden könnte, oder? Und Sie müssen nicht einmal ein Staat sein. Sie können auch eine ganz normale Firma sein, ein ganz normales Unternehmen.
DAVID LELLO: Ganz genau.
INGO SCHUBERT: Und was ist der Fall?
DAVID LELLO: Ich meine, in so vielen Unternehmen, in denen ich arbeite, gibt es Altsysteme. Tatsächlich war ich vor nicht allzu langer Zeit in einer Organisation, in der es eine Anwendung gab. Sie behandelten sie als Blackbox, und sie behandelten sie als Blackbox, weil der Quellcode verloren gegangen war. Die Person, die ihn geschrieben hat, ist schon lange weg, rühren Sie ihn nicht an. Wenn es umkippt, lautet die Antwort: Schalten Sie es ein oder aus, schalten Sie es wieder ein und beten Sie, denn das ist das Einzige, was Sie tun können. Es gibt nichts, was du tun kannst. Und dieses System kontrollierte den gesamten Zugang zu seinen Geschäften, den gesamten Zugang zu seinen Geschäften. Und wenn es kompromittiert wird, wenn es ausgeschaltet wird, dann wird die Organisation ausgeschaltet.
INGO SCHUBERT: Ein einziger Fehlerpunkt.
DAVID LELLO: Eine einzige Schwachstelle. Die Anzahl der Unternehmen, die wir besuchen, in denen es diesen Single Point of Failure gibt, ist außergewöhnlich. Die Unternehmen müssen wirklich darüber nachdenken, wie sie ihre Infrastruktur für das Identitäts- und Zugriffsmanagement modernisieren können. Wenn wir über Identitäts- und Zugriffsmanagement nachdenken, ist Identitäts- und Zugriffsmanagement der Weg zu allem. Die jüngsten Ransomware-Angriffe, die in Deutschland, Großbritannien, Italien und anderen Ländern stattgefunden haben, haben es gezeigt. Diese Ransomware-Angriffe zielen auf die Zugangskontrollsysteme ab. Sie zielen auf die Authentifizierung ab, weil sie ein weiches, leichtes Ziel ist, ob es sich nun um Active Directory oder ein System wie das von mir beschriebene handelt, die Fähigkeit, den Zugang tatsächlich zu kompromittieren, bringt die Organisation zum Erliegen, stoppt die Kommunikation, stoppt die Möglichkeit des Zugangs. Die Modernisierung des Identitätszugriffsmanagements wird in diesem Zusammenhang eine der wichtigsten Prioritäten sein.
INGO SCHUBERT: Ja, ja. Es ist schwer, dagegen zu argumentieren, denn das macht Sinn, egal wie man es betrachtet, oder? Ich denke, wenn wir auf die reine kryptografische Schlüsselverwaltung zurückkommen, wissen viele Kunden nicht, was sie haben, oder? Sie haben keinen guten Überblick darüber, wo sie verschlüsseln, wo die Schlüssel sind, wo sie digital signieren. Sie haben nicht den Überblick. Ich denke, das ist ein Teil des Problems, oder? Denn man kann nicht reparieren, was man nicht kennt. Viele der Kunden haben einfach mit der grundlegenden Cyber-Hygiene zu kämpfen. Das erlebe ich leider immer wieder, oder? Gerade heute Morgen bei einem Anruf über einen Kunden, der eine 20 Jahre alte RSA-Software einsetzt, 20 Jahre alt, richtig?
DAVID LELLO: Wow.
INGO SCHUBERT: Also, sie haben unseren Support wegen etwas angerufen, und der Support konnte nicht antworten, und es ist wie, ja, sicher, wissen Sie, wahrscheinlich war das Support-Personal, das den Anruf beantwortet hat, im Kindergarten, als diese Software herauskam, richtig? Was ich damit sagen will, ist, dass wir, solange wir diese grundlegende Cyber-Hygiene und Sichtbarkeit nicht betreiben, erstens nicht diesen Quanten-Ready-Zustand erreichen können, bei dem man für den Q-Day bereit ist. Das ist einfach nicht möglich.
Außerdem bin ich der Meinung, dass man sich keine Gedanken über Quantencomputing machen darf, bevor man das nicht repariert hat, oder? Denn wenn man nicht weiß, welche Software man benutzt, wenn man sie nicht auf dem neuesten Stand hält, ist man natürlich davon abhängig, dass die Hersteller diese Dinge reparieren, wie zum Beispiel die Implementierung von Post-Quantum-Kryptographie, richtig?
Aber wenn die Software mit der neuen Version herauskommt, mit all diesem netten Quantencomputing-Zeug, und Sie installieren sie nicht, dann existiert sie nicht, richtig? Und selbst wenn Sie das tun, wenn Ihre Richtlinien und Verfahren, z. B. für die Datenverwaltung, nicht stimmen, worüber reden wir dann hier? Wenn der Angreifer einfach Ihren Helpdesk anrufen und um Zugang bitten kann, braucht er dafür keinen Quantencomputer, oder? Sie brauchen ihn heute nicht. Sie brauchten ihn gestern nicht. Sie brauchen ihn auch morgen nicht. Sie rufen einfach Ihren Helpdesk an, wenn Ihre Richtlinien nicht stimmen, und verschaffen sich Zugang.
Es gibt also eine Menge Dinge, die schief gehen können, schief gegangen sind und schief gehen werden, die nichts mit Quantencomputern zu tun haben. Und meine Befürchtung ist, dass die Leute auf diese Quantensache, diesen Q-Day, schauen und sich von diesem netten, glänzenden Spielzeug ablenken lassen, richtig? Dabei haben sie so viele Hausaufgaben zu erledigen, die sie wahrscheinlich seit Jahrzehnten nicht mehr gemacht haben, oder? Und natürlich kann man argumentieren, dass man das tun muss, dass man Sichtbarkeit haben muss, dass man Patches dafür hat, dass man seine Verfahren verbessert. Wenn es diese Bedrohung durch Quantencomputer braucht, damit ein Kunde das tut, dann soll es so sein, oder? Ich könnte glücklich sein.
Aber ein Teil von mir denkt: "Nein, denn was passiert, wenn wir mit dem Quantencomputing auf eine Straßensperre stoßen? Ein paar Jahre lang gibt es keine wirklichen Vorteile oder Fortschritte, und dann denkt man sich: "Ach, das ist wie in den 2060er Jahren, da bin ich längst aus dem Berufsleben ausgeschieden, da muss ich mir keine Sorgen machen.
Ich werde Ihnen etwas Wissen vermitteln, ja, ich werde einige Namen nennen, ja, der deutsche Philosoph Emmanuel Kant, ja, schneiden Sie den Redakteur nicht aus, ja, das ist k, das ist k. Das ist K-A-N-T, richtig? Also nenne ich ihn von nun an Emmanuel, ja.
Deutscher Philosoph, 18. Jahrhundert, und er hat viele kluge Dinge gesagt. Aber eines der klügsten Dinge, das ich glaube, ist, dass man das Richtige tut, weil es das Richtige ist, oder? Nicht, weil man damit bei irgendeiner Gottheit Pluspunkte sammelt oder so. Man tut es, weil es das Richtige ist.
Und einen guten Überblick darüber zu haben, wo man verschlüsselt, wie man verschlüsselt, über Richtlinien, Verfahren und Patches und all das, das ist das Richtige, unabhängig davon, ob Quantencomputing noch 10 Jahre entfernt ist, 20, 30 Jahre. Das spielt keine Rolle. Sie müssen das tun. Das hätte man schon in den letzten 20 Jahren tun sollen. Das ist im Wesentlichen ein Punkt. Ich denke, hier sind wir uns einig. Ja, absolut. Ich denke, die Motivation, die dahinter steckt, ist der Punkt, an dem wir uns nicht einig sind, weil wir unterschiedliche Meinungen darüber haben, wo das Quantencomputing steht und wo es stehen wird. Aber wenn es einen Kunden gibt, der sagt, ich muss auf Quantencomputing vorbereitet sein, dann ist der Aufwand nicht umsonst.
DAVID LELLO: Nein, absolut nicht. Ich denke auch, Ingo, eines der Dinge, die mich immer wieder herausfordern, ist die Tatsache, dass wir viel Zeit mit Vorständen großer Unternehmen verbringen und mit Finanzdirektoren und dergleichen sprechen. Ein Unternehmen existiert, um ein Produkt oder eine Dienstleistung zu liefern, und wenn es im privaten Sektor ist, um einen Gewinn zu erzielen, es sei denn natürlich, es handelt sich um eine Wohltätigkeitsorganisation, aber darüber wollen wir uns nicht den Kopf zerbrechen, so dass die Idee, Geld auszugeben, nur weil es das Richtige ist, wenn es mir eine negative Rendite beschert, für Finanzleute schwierig und herausfordernd wird. Und so wird das Investieren in etwas, weil es das Richtige ist, eher zu einer philosophischen Diskussion. Ich glaube nicht, dass das unbedingt der richtige Ansatz ist.
INGO SCHUBERT: Nun, ja, absolut.
DAVID LELLO: Auch wenn ich Ihnen absolut zustimme, 100%, würde ich aus der Perspektive meines Glaubens immer das Richtige tun wollen. Aber die Realität sieht so aus, dass die Unternehmen dafür nicht existieren. Sie existieren nicht, um das Richtige zu tun. Manchmal sind sie sogar ein bisschen unmoralisch.
INGOSCHUBERT: Wirklich? Das höre ich zum ersten Mal. Ich werde mir das notieren.
DAVID LELLO: Ich denke, was Sie tun, ist, dass wir es auf eine andere Art und Weise betrachten, und ich denke, eine der Realitäten, die wir sehen und die auf Resonanz stoßen und die die Menschen verstehen, ist das Messen und Erkennen und Erkennen, was meine Risikoexposition im Zusammenhang mit einer bestimmten Umgebung ist, und wir müssen es mit etwas Greifbarem verbinden, wir müssen immer wieder darauf zurückkommen, wie baue ich einen Fall für Veränderung in dieser Welt auf, ja, und wie sieht Veränderung überhaupt aus? Eine der Herausforderungen, die wir uns selbst gestellt haben, als wir anfingen, Organisationen bei der Lösung dieses Problems zu helfen, war, dass es eigentlich keinen Rahmen gibt, der sich mit der Quantenvorbereitung befasst. Es gibt keins.
Also haben wir einen geschrieben. Wir haben einen Standard geschrieben, um zu sagen: Hier ist ein Ansatz für die Betrachtung von Quanten. Wir haben verschiedene Standards von NIST und Good Practice, ISF und andere Dinge herangezogen, um ein Modell und einen Rahmen zu entwickeln, mit dem wir anfangen können, es zu betrachten. Das ermöglicht es uns, ein System wie das Identitätssystem, das den gesamten Zugang verwaltet und eine Blackbox-Umgebung darstellt, zu betrachten und zu sagen: Wie hoch ist das Risiko, das ich mit einer solchen Maschine eingehe? Und ich werde Quantum komplett herausnehmen. Wie hoch ist mein Risiko? Kenne ich mein Risiko wirklich? Was passiert mit meiner Umgebung, wenn die Maschine ausfällt? Und wenn ich dieses Risiko einschätzen kann, muss ich etwas dagegen tun.
INGO SCHUBERT: Oh, und das ist, ich meine, das ist letztendlich das richtige Risikomanagement, das ich bei vielen Unternehmen oder Organisationen im Allgemeinen vermisse, richtig? Und das muss getan werden und sollte schon seit Jahren getan werden und sollte heute getan werden, unabhängig von Quantencomputing oder nicht. Das ist also mein Punkt.
Natürlich tun sie es nicht, weil es das Richtige ist, oder? Das ist ein schwieriges finanzielles Argument, das man vorbringen kann. Da stimme ich Ihnen vollkommen zu. Aber es gibt all die anderen Gründe, warum sie es tun sollten, oder? Und noch einmal: Wenn Sie das Konzept verkaufen müssen, all das zu betrachten und herauszufinden und ein angemessenes Risikomanagement wegen des Quantencomputings zu haben, dann ist das meine Meinung, oder? Ich denke, das ist absolut der richtige Weg. Wenn das der Hebel ist, den Sie brauchen, um die Unterschrift zu bekommen, dann sollten Sie es unbedingt tun. Denn auch wenn das Quantencomputing noch 30 Jahre entfernt ist, profitieren Sie heute schon davon. Denn die Bereitschaft dazu hilft Ihnen, auch heute sicher zu sein. Sie verschwenden das Geld nicht. Ja, ich denke, das ist genau das Richtige. Und es gibt auch einige Empfehlungen und Rahmenwerke von europäischer Seite, die zum Beispiel besagen, dass man bis 2026 - und das sollte man ehrlich gesagt schon haben, wenn man DORA-konform sein will. Sie sehen vielleicht die gleichen Dinge wieder, weil Sie nicht sehen, dass einige Leute es tun. Also Sichtbarkeit und Risikomanagement bis 2026 und dann ein gewisses Maß an Bereitschaft in irgendeiner Form bis 2030 für hohe Risiken und 2035 für niedrige und mittlere Risiken, richtig? Es scheint also weit in der Zukunft zu liegen, aber, wissen Sie, wir haben bereits Ende 2025, wenn wir dies aufzeichnen, die Freigabe ist 2026.
Es ist also nur noch eine Handvoll Jahre entfernt. Und wenn Sie zum Anfang unseres Gesprächs zurückkehren, wenn Sie das Jahr-2000-Problem betrachten, dann sind Sie, wenn Sie 1999 angefangen haben, wahrscheinlich ein bisschen zu spät dran, oder? Sie müssen also jetzt vorbereitet sein, absolut, richtig.
DAVID LELLO: Ich denke, eines der Dinge, die Sie angesprochen haben und die ich für einen faszinierenden Punkt in Bezug auf die menschliche Psychologie halte, sind die Vorschriften, die europäischen Vorschriften und Dinge wie Dora. Verordnungen treten eigentlich nur in Kraft, weil die Unternehmen nachlässig sind, das Richtige zu tun.
INGO SCHUBERT: Ja, absolut.
DAVID LELLO: Und weil sie nicht das Richtige tun, sagen die Gesetzgeber, dass wir ein großes Problem in diesem Land haben werden, wenn wir uns nicht darum kümmern. Also kommen die Gesetze ins Spiel, wenn man etwas tun muss. So hat die NCSC im Vereinigten Königreich einen Leitfaden zum Thema Quantum erstellt. Und wir haben DORA in Europa. Und leider, wegen des Brexit...
INGO SCHUBERT: Sie haben etwas mitgebracht, was ich nicht habe.
DAVID LELLO: Wir fangen gerade erst an, uns mit unserem Resilienzgesetz zu befassen. Das Resilienz-Gesetz wurde für öffentliche Kommentare freigegeben. Die erste Ausgabe wurde veröffentlicht und die Kommentare sind im Gange. Und so werden wir bald eine Lesung im Parlament haben. Wir hoffen, dass wir in dieser Frage mit dem Rest der Welt gleichziehen.
INGO SCHUBERT: Nun, außer den USA. Die USA scheinen wie dieser wilde Ort auf der Landkarte zu sein, ja. Ja, das sind sie wirklich. Ja, es ist so, und ich sehe das auch, wenn ich mit US-Kollegen spreche, ja, es ist so, ja, wir haben das nicht wirklich, richtig? Aber überall sonst auf der Welt scheint es so zu sein, dass das Risikomanagement in Bezug auf Vorschriften und Verluste ein wenig ausgereifter ist, ja, das ist...
DAVID LELLO: Sie müssen es haben.
INGO SCHUBERT: Man muss sie haben, oder? Und wenn man sie durchliest, und Sie haben wahrscheinlich genauso viel oder sogar mehr davon als ich, dann sind einige dieser Dinge offensichtlich, wie zum Beispiel ein angemessenes Risikomanagement. Sie sollten wissen, was passiert, wenn das Ding kaputt geht, und Sie kennen die Konsequenzen, oder? Natürlich sollten Sie das wissen, denn Ihr Unternehmen verdient Geld, und irgendetwas hindert es daran, das zu tun. Man sollte wissen, warum und wie man das beheben kann. Und dennoch tun sie das nicht, bis sie per Gesetz dazu gezwungen werden, was in gewisser Weise traurig ist, oder?
DAVID LELLO: Da kommt leider die menschliche Natur ins Spiel. Ich habe damit zu kämpfen, denn das sind keine schwierigen Dinge, wenn man sich mit Risiken und Risikomanagement beschäftigt.
INGO SCHUBERT: Nein, aber sie brauchen Zeit.
DAVID LELLO: Und es braucht Zeit, aber es gibt so viele verschiedene Technologien, die den Prozess vereinfachen können. Wissen Sie, Computer sind dazu da, Prozesse zu automatisieren. Der Grund, warum wir Computer haben, ist, dass wir manuelle Prozesse haben, die Heerscharen von Menschen benötigen, um etwas zu tun. Mit Computern können wir all diese Prozesse automatisieren. Und mit modernen Systemen können wir sogar noch mehr automatisieren. Nehmen Sie zum Beispiel das Schwachstellenmanagement. Wenn Sie eine modernisierte Umgebung haben und Schwachstellen-Scans einführen, haben Sie einen relativ guten Überblick über Ihre technologischen Risiken.
INGO SCHUBERT: Ja. Das Gleiche gilt für uns. Identitätsmanagement. Letztendlich ist es keine Raketenwissenschaft. Ja, natürlich. Man muss all die verschiedenen Systeme miteinander verbinden, vielleicht ein paar Regeln aufstellen und all das. Aber dann hat man den Überblick und die Sicht auf die Aufgabentrennung, die Einhaltung der Vorschriften und so weiter. Und ja, es ist Arbeit. Ja, es ist eine Investition in Form von Geld und Zeit, natürlich, aber man hat etwas davon.
DAVID LELLO: Ja.
INGO SCHUBERT: Genau. Ich glaube, dass die Leute auch nicht erkennen, dass ein wahrscheinliches Risikomanagement auch etwas zurückgibt, weil man tatsächlich Dinge herausfindet, dass man vielleicht nicht so viel Geld in diese eine Absicherung investieren sollte oder dass man diese Sache belastbar macht, weil sie keine so große Auswirkung hat, während man in die andere Sache mehr investieren sollte, weil, wenn das schief geht, schlimme Dinge passieren. Ich denke, das ist auch so, und natürlich ist man sich dessen nicht bewusst, denn wenn man kein richtiges Risikomanagement betreibt, hat man keinen Überblick, wie soll man also diese Entscheidung treffen? Im Grunde genommen schaden sich die Unternehmen also selbst, wenn sie das nicht tun, oder?
DAVID LELLO: Und die Identitätsverwaltung trägt viel dazu bei, dies zu ermöglichen und zu unterstützen. Ja. Wissen Sie, wenn ich mit vielen Organisationen über Identität spreche, ist Identität nicht eines dieser Sicherheitsdinge, die man macht, weil es eine Versicherungspolice ist. Identität ist ein Befähiger. Sie ist ein echter Business Enabler, der Unternehmen dabei hilft, effizienter und effektiver zu arbeiten, wenn es darum geht, wie Menschen Zugang erhalten. Entscheidend ist jedoch, dass der richtige Zugriff zur richtigen Zeit und am richtigen Ort erfolgt und dass die Governance-Modelle dies tatsächlich steuern. Wenn wir uns also Ihre ITGC-Kontrollen und Finanzsysteme ansehen und uns überlegen, wie der Zugriff in Ihren Berechtigungen, Ihrer Aufgabentrennung und den damit verbundenen Mandaten gestaltet werden muss. Diese Dinge sind nicht neu. Sie sind seit Jahrzehnten im Unternehmensgesetz und in der Haushaltsordnung verankert.
INGO SHUBERT: Auf jeden Fall.
DAVID LELLO: Und die Möglichkeit, dies mit einem guten Identitätsmanagementsystem zu kontrollieren, ist jetzt gegeben. Und mit einer modernisierten Lösung wird es sogar ziemlich einfach. Es ist nicht so schwierig, wie die Leute denken.
INGO SCHUBERT: Sehen Sie uns an. Wir sprechen über Identitätssicherheits-Governance und haben mit Quantum angefangen. Es ist wie, ja, aber das ist der Punkt. Ich denke, das ist etwas, das auch ein Türöffner für einige Diskussionen bei Kunden oder in Organisationen im Allgemeinen ist, wo man sagen kann: Ja, das ist gut. Man spricht über die Quantenbedrohung und, wissen Sie, aber am Ende landet man bei Diskussionen, bei denen es nicht wirklich um Quanten geht, sondern um andere Dinge. Ja, man kann jetzt etwas tun, man sollte es jetzt tun, unabhängig davon, was in der Zukunft passiert.
DAVID LELLO: Das ist das grundlegende Hygienekonzept.
INGO SCHUBERT: Das ist das grundlegende Hygienekonzept, genau. Das ist die perfekte Art, das Thema abzuschließen. David, ich danke dir. Wir könnten wirklich stundenlang reden, jedes Mal, wenn wir uns treffen. Also, vielen Dank. Ich denke, die Quantenbedrohung mag sich weit weg anfühlen.
Das mag sein, das mag nicht sein. Aber wir hoffen, dass unsere Zuschauer und Zuhörer während dieses Gesprächs die Idee bekommen haben, dass es keine Rolle spielt, ob man heute etwas tun sollte, um auf die Quanten vorbereitet zu sein. Das tut überhaupt nicht weh.
Was Sie davon haben, kommt Ihnen heute zugute, wenn es um die Abwehr von Gefahren geht, die heute bestehen, nicht wahr? Sie müssen nicht erst 20 Jahre warten, um die Vorteile zu erkennen. Sie können sie schon heute nutzen.
Damit ist die heutige Debatte über Quantencomputer und ihre Auswirkungen auf die Identitätssicherheit abgeschlossen. Die Quantenzukunft ist Science-Fiction, und Unternehmen müssen verstehen, wo die wahren Risiken und Chancen liegen. Wenn Sie mehr über die Widerstandsfähigkeit von Identitäten und die Technologien erfahren möchten, die Unternehmen auf die Zukunft vorbereiten, besuchen Sie RSA.com. Wenn Sie über den Posteingang Zugang zu weiteren Folgen von RSA Identity Unmasked haben möchten, vergessen Sie nicht, sich zu abonnieren. Vielen Dank fürs Mitmachen und bis zum nächsten Mal.
