Oft delegieren wir die Speicherung unserer elektronischen Daten an Dritte, vielleicht ohne die Risiken zu bedenken, die entstehen, wenn wir sie nicht "unter der Matratze" aufbewahren
Wir tauchen ständig in eine digitale Welt ein, so dass wir sie gar nicht mehr wahrnehmen. Viele Dinge, die früher als Science-Fiction galten, sind heute Teil unseres täglichen Lebens. Obwohl sich das Tempo der technologischen Entwicklung nach den rasanten Fortschritten der letzten Jahrzehnte etwas verlangsamt zu haben scheint, schreitet sie weiter voran. Die nächste Grenze ist das Quantencomputing und die Quantencomputer - Technologien, die, wenn sie vollständig realisiert werden, die heutigen Supercomputer überflüssig machen und sie im Vergleich dazu als langsame Taschenrechner erscheinen lassen werden.
Eine solche Effizienz und Geschwindigkeit hat jedoch auch eine Kehrseite: Alle unsere Sicherheitssysteme werden veraltet und damit mehr oder weniger leicht zu umgehen sein. Das Problem wird sich auf die gesamte digitale Landschaft auswirken und alles betreffen, von der Kommunikation bis hin zur Cloud-Speicherung, wo wir jeden Tag unwissentlich riesige Datenmengen anhäufen.
Aber das ist Musik aus einer Zukunft, die noch nicht geschrieben ist, falls sie überhaupt jemals geschrieben wird (im Mai 2023 kündigte IBM Pläne zur Entwicklung eines Quantencomputers bis 2033 an. Die Kosten? 100 Millionen Dollar). Aber gibt es ein definitives Datum? "Wie bei anderen Fortschritten in diesem Bereich handelt es sich immer um eine Frage von 5-10 Jahren", erklärt Cesare Pautasso , Professor an der Fakultät für Informatik der Università della Svizzera italiana, mit einem Hauch von Ironie, denn Fristen werden selten eingehalten. Wissenschaftler und Forscher beschäftigen sich jedoch schon seit einiger Zeit mit dieser Entwicklung und machen sich Gedanken darüber. Für uns Normalsterbliche stellt sich die Frage jedoch noch nicht, und es scheint, dass sie sich auch noch eine ganze Weile nicht stellen wird. Wir sollten uns also auf die Gegenwart konzentrieren und uns fragen, ob unsere Daten und unsere Cloud sicher sind.
Das dritte Rad am Wagen
"Das Problem, um das es hier geht, betrifft drei Parteien: zwei, die miteinander kommunizieren, und eine dritte, die versucht, ihre Kommunikation abzufangen", antwortet Pautasso. In diesem Szenario haben wir die Cloud, unsere digitalen Geräte (wie Mobiltelefone und PCs) und das Internet, das ihre Kommunikation erleichtert. Dieses Internet ermöglicht jedoch auch potenzielle Eingriffe von aussen. Experten zufolge besteht die grösste Sicherheitsherausforderung darin, die Vertraulichkeit der in die Cloud übertragenen Informationen zu gewährleisten Ist das alles einfach? Ganz und gar nicht, denn die Dinge werden schnell kompliziert, denn "es gibt eigentlich zwei Versionen der Cloud, eine private und eine Öffentliche. Die private Cloud-Version bedeutet, dass das gesamte System von einer einzigen Organisation kontrolliert wird (wenn ich zum Beispiel an der Universität bin, habe ich die Kontrolle über die Computer auf den Schreibtischen und auch über die Cloud)" Wenn die Kontrolle über die Cloud einem Dritten wie Amazon, Google, Oracle oder anderen Anbietern übertragen wird, "wird die Verantwortung geteilt: Die Daten in der Cloud sollten weiterhin den Organisationen gehören, die sie erzeugt haben, während die Cloud-Infrastruktur den Dienstanbietern gehört. Das Modell ändert sich also." Schliesslich ist dies auch einer der Gründe für den Erfolg der Cloud - es müssen keine grossen Investitionen getätigt werden, da man den benötigten Platz mietet. Aus der Sicht der Sicherheit wird die Sache jedoch kompliziert" Es ist schwierig zu bestimmen, welches der beiden Systeme besser ist, denn Sicherheit lässt sich nicht wie Geschwindigkeit quantifizieren, sondern hängt oft von der Wahrnehmung und dem Vertrauen ab.
Und in der Tat: "Unternehmen, die Cloud-Dienste verkaufen wollen, behaupten oft, dass Sicherheit schwierig ist." Es stimmt, dass diese Unternehmen über eine Vielzahl von Experten und Ingenieuren verfügen, die genau dafür arbeiten, "die Sicherheit dieser grossen Cloud-Zentren zu gewährleisten", so dass man im Allgemeinen sagen kann, dass sie "viel sicherer sind als das, was man bekommen würde, wenn jemand versuchen würde, zu Hause auf eigene Faust ein Sicherheitssystem einzurichten."
Absolute Sicherheit gibt es jedoch bei beiden Systemen nicht. So können Daten "aus verschiedenen Gründen verschwinden, etwa durch externe Faktoren, die mit dem natürlichen Zerfall des Universums zusammenhängen, da alles irgendwann kaputt geht. Schwerwiegender ist, dass Datenverluste durch vorsätzliche Handlungen verursacht werden können, z. B. durch eine Reihe von Cyberangriffen, die den Zugriff auf ein System und seine Daten unmöglich machen, gefolgt von einer Lösegeldforderung für die Wiederherstellung des Zugangs. Diese Situation wird als Ransomware bezeichnet Diese Angriffe können auch "die Kommunikation abfangen oder sich Zugang zu sensiblen Daten verschaffen und dann damit drohen, sie zu veröffentlichen, wenn man nicht zahlt" Dies ist Professor Pautasso einmal passiert: "Ich hatte eine Datenbank mit wissenschaftlichen Daten, die mit dem Internet verbunden war. Innerhalb weniger Stunden waren die Daten verschwunden, und ich erhielt eine Nachricht, dass die Daten veröffentlicht würden, wenn ich kein Lösegeld zahlen würde. Glücklicherweise löste sich das Problem von selbst, da wir eine Sicherungskopie hatten. Aus der Sicht eines Wissenschaftlers war diese Wendung der Ereignisse sogar von Vorteil, da Forscher in der Regel bestrebt sind, ihre Arbeit zu veröffentlichen und ihre Ergebnisse zu teilen. Wäre eine ähnliche Situation jedoch bei einer Bank oder einem anderen Unternehmen aufgetreten, wäre es weit weniger amüsant gewesen."
Der Ewigkeitsfaktor von redundanten Daten, im Guten wie im Schlechten
In Bezug auf die Ewigkeit der Daten erleben wir jedoch ein "digitales Paradoxon, denn es ist eine Herausforderung, ein System zu schaffen, das garantiert, dass die Informationen, die ich löschen möchte, tatsächlich entfernt werden, während die wichtigsten Informationen über die Zeit erhalten bleiben". Ein kleines Missgeschick, wie z. B. der Verlust des Anmeldepassworts, genügt, und schon sind die Daten unzugänglich. Ganz zu schweigen davon, dass Cloud-Unternehmen, wie alle Unternehmen, Probleme haben oder sogar ausfallen können, mit unvorhersehbaren Folgen für die gespeicherten Daten. Für Professor Pautasso ist daher die einzige "Strategie zur Gewährleistung der Ewigkeit unserer Daten der Versuch, so viele Kopien wie möglich zu erstellen, sowohl lokal als auch in der Cloud. Und zwar nicht nur in einer Cloud, sondern in mehreren Clouds. Das Rezept, um sie zu bewahren, ist Redundanz". In diesem Sinne "gibt es sehr interessante technische Lösungen für das Kopieren, Übertragen und Replizieren von Daten zwischen verschiedenen Festplatten, Computern und Datenzentren auf der ganzen Welt", aber das bringt uns zur anderen Seite des Paradoxons: "Wenn ich diese Redundanz schaffe und etwas löschen will, wie kann ich dann sicher sein, dass alles aus allen Kopien entfernt wurde?"
Kurzum, es gibt viele verschiedene Probleme. Ein weiterer interessanter Aspekt ist beispielsweise die Datenhoheit. Die Cloud ist ein abstraktes Konzept, bei dem nicht klar ist, wo genau die Daten gespeichert sind. Sie ist jedoch eine sehr konkrete Realität, die von Unternehmen aus Europa, Amerika, Asien und der Schweiz kontrolliert wird. Es besteht der Eindruck, dass es im Internet eine "Zollstelle" gibt, die den Zugang kontrollieren und sperren kann. Da die Kommunikation im Internet jedoch universell ist, ist es klar, dass auf meine Daten zugegriffen werden kann, wenn sie in der Schweiz liegen und ich keine Vorkehrungen treffe, um den Zugriff von beispielsweise Amerika aus zu verhindern." Der Wendepunkt für die Sicherheit war der Fall Snowden, der aufzeigte, dass "wenn man Daten in der Cloud speichert, sie nicht mehr privat sind", da die amerikanische Regierung alles, was dort abgelegt wurde, ohne jegliche Einschränkung mitgenommen hat. Infolgedessen "hat die Verwendung von Verschlüsselung seither erheblich zugenommen, um diese Praktiken zu erschweren."
Verschlüsselung an, Verschlüsselung aus
Mit der Einführung von Quantencomputern in nicht allzu ferner Zukunft, "die eine exponentiell höhere Rechenleistung haben als heutige Computer", wird die Verschlüsselung jedoch wahrscheinlich ein Ende haben, zumindest so, wie wir sie kennen. Sie können in wenigen Augenblicken Berechnungen durchführen, für die heutige Maschinen Jahre brauchen würden. Diese Fähigkeit könnte sie in die Lage versetzen, "alle verschlüsselten Daten zu entschlüsseln" Derzeit gibt es bereits Angriffe nach dem Motto "jetzt speichern, später entschlüsseln", bei denen Hacker Daten stehlen, um sie in der Zukunft mit Post-Quantum-Algorithmen zu entschlüsseln. Dies ist ein wichtiger Forschungsbereich an der USI, der von Professor Stefan Wolf geleitet wird, da die potenziellen Probleme, die sich daraus ergeben, zahlreich und schwerwiegend sein könnten. Pautasso nennt nur eines, das uns alle betrifft: "Wenn ich einen Computer besässe, der alle Kreditkartentransaktionen im Internet entschlüsseln könnte, wäre das eine Katastrophe für den elektronischen Handel Wie bereits erwähnt, haben Quantencomputer das Potenzial, komplexe Berechnungen in sehr kurzer Zeit durchzuführen, was die derzeitigen kryptografischen Algorithmen überflüssig machen könnte. Diese Algorithmen beruhen auf der Schwierigkeit, mathematische Probleme zu lösen, und die Weiterentwicklung von Quantencomputern stellt ein Risiko dar, da sie unsere Systeme und unsere Kommunikation anfällig für Angriffe machen. Dies ist ein grosses Problem, da es nicht nur die Privatsphäre und den Online-Handel betrifft, sondern auch die in der Cloud gespeicherten Daten, wo sensible Informationen aufbewahrt werden. Um diesen Bedrohungen zu begegnen, muss die Post-Quantum-Kryptografie (PQC) neue Algorithmen entwickeln, die solchen Angriffen standhalten können. Digitalunternehmen wie Google und Apple arbeiten bereits mit weltweit führenden Forschungszentren zusammen, um neue Sicherheitsprotokolle zu entwickeln. Dabei kann es sich um reine Post-Quantum-Methoden oder um hybride Ansätze handeln, die traditionelle und Quantenkryptografie kombinieren - ein weiterer vielversprechender Forschungsbereich. Letztlich müssen Unternehmen und Organisationen, die Cloud-Dienste nutzen, ihre Sicherheitsinfrastrukturen aktualisieren, um Post-Quantum-Technologien zu integrieren. Es wird für sie von entscheidender Bedeutung sein, die neuen Quantensicherheitsvorschriften einzuhalten.
