NIST Post Quantum Cryptography Wettbewerb geht in die vierte Runde

Beim US-amerikanischen NIST ist am 5. Juli 2022 die dritte Runde des öffentlichen Wettbewerbs zur Auswahl von Verfahren für quantencomputersichere kryptographische Verfahren, Post Quantum Cryptography (PQC), zu Ende gegangen.

Nachdem bereits in den vorangegangen Runden kräftig aussortiert worden war, wurde nun ein einziges Schema (CRYSTALS-Kyber) für Verschlüsselung & Schlüsselaustausch ausgewählt. Für digitale Signaturen schafften es immerhin drei Verfahren – CRYSTALS-Dilithium, FALCON und SPHINCS+ – in die Standardisierung, die nun etwa zwei Jahre in Anspruch nehmen soll.

UPDATE 5. August 2022: Dazu sind nach dem Ausscheiden von SIKE noch drei weitere Verfahren auf dem Prüfstand.

Da dies jedoch auch im besten Fall zu wenige Verfahren sind, um sicherzustellen, dass mindestens eines pro Anwendungsfall auch die nächsten Jahre der Forschung und Kryptoanalyse überleben wird, gibt es nun zusätzlich einen neuen Aufruf zu einer vierten Runde, in der weitere Verfahren eingebracht und diskutiert werden sollen.

Datenschutz made in USA: NIST Privacy Framework und CCPA

Die amerikanische Standardisierungsbehörde NIST hat Version 1.0 ihres „Privacy Frameworks“ veröffentlicht. Es stellt keinen verpflichtenden Standard wie die DSGVO dar, ist jedoch insofern bemerkenswert, als dass sich sogar die föderale Ebene in den USA inzwischen langsam in Richtung Datenschutz bewegt. Im progressiven Kalifornien wurde bereits 2018 eine Regulierung beschlossen, die in einer Reihe von Punkten der europäischen ebenbürtig ist. Nun ist der CCPA (California Consumer Privacy Act) am Jahresanfang in Kraft getreten.

https://www.nist.gov/privacy-framework

https://datenschutz-generator.de/california-consumer-privacy-act-ccpa-dsgvo/

Firmen buhlen um IT-Sicherheitsfachkräfte

Einzelmaßnahmen werden nicht ausreichen.

„Der deutsche Security-Markt steht aktuell unter den Zeichen eines akuten Fachkräftemangels und der neuen Datenschutz-Grundverordnung DSGVO“

ISG Provider Lens™ Study – Cyber Security Solutions & Services 2019

Seit Jahren zeichnet sich ein Defizit an Sicherheitsfachleuten ab – nicht nur in Deutschland, sondern weltweit. So prognostiziert ISC² in seiner aktuellen Cybersecurity Workforce Studie:

„The Asia/Pacific region is suffering from the largest shortfall of about 2.14 million with North America having the next biggest need with 498,000 workers needed, then EMEA at 142,000 and Latin America at 136,000.“

(ISC)² Cybersecurity Workforce Study 2018

Firmen und Organisationen versuchen nun, diese Lücken individuell zu schließen. Dazu gehören Ersatzmaßnahmen wie Bug-Bounty-Programme, bei denen die Organisation die Suche und Identifikation von Sicherheitslücken an Dritte verlagert.

Weitere Aktionen zielen auf die Identifikation und Förderung von Nachwuchs im Rahmen von Hacking-Wettbewerben oder Einrichtung von Center of Expertise.

All diese Maßnahmen zielen primär auf eher technisch orientierte Mitarbeiter, z. B. Penetrationstester oder Softwareentwickler. Dabei werden in Sicherheitsumfeld noch weitere Experten gesucht, z. B. Spezialisten, die ein unternehmensweite Sicherheitsmanagement konzeptionieren, dokumentieren und im laufenden Betrieb pflegen oder Generalisten, die die gefundenen Schwachstellen mit den betrieblichen Belangen in Zusammenhang bringen und die sich daraus ergebenden Risiken bewerten.
Hinzu kommt noch, dass die Aufgaben und Anforderungen an eine Sicherheitsfachkraft in der Firma A unterschiedlich zu denen in Firma B sind, auch wenn die Stellenbeschreibungen und Stellentitel durchaus identisch klingen.

Andere Wege werden nun in den USA eingeschlagen. In der NIST Special Publication SP 800-181 wird im Rahmen der National Initiative for Cybersecurity Education (NICE) ein umfangreiches „Cybersecurity Workforce Framework beschrieben, das im Detail die Bereiche, Rollenbezeichnungen und Aufgaben der verschiedenen Rollen in einer Security-Organisation beschreibt. Weiterhin sind zu jeder dieser Rolle auch das erforderliche Wissen und die Fähigkeiten aufgelistet.

Diese umfangreiche Standardisierung soll es einmal den Arbeitgebern erleichtern, die internen Positionen mit geeignetem Personal zu besetzen.
Gleichzeitig wird den Mitarbeitern und Ausbildungsinstitutionen die erforderlichen Anforderungen an bestimmte Rollen eindeutig mitgeteilt, so dass sich potentielle Kandidaten bereits im Vorfeld entsprechen schulen können und sich idealerweise nur für die Positionen bewerben, die ihrem Wissen und den Fähigkeiten entsprechen.

Mit diesem Framework ergeben sich nun vielfältige Möglichkeiten und Vorteile für alle Beteiligten. Ein Beispiel für das Einsatzfeld der Informationen aus dem NICE Framework finden sich auf dem Portal von Cyberseek.org. Dieses Portal stellt Arbeitgebern und Stellensuchenden, aber auch Ausbildungsstätten und anderen Interessierten verwertbare Informationen über den Cybersecurity-Stellenmarkt (in den USA) zur Verfügung.

Dazu bietet das Portal im Moment zwei interaktive Anwendungen:

  1. Cybersecurity Career Pathway – informiert den Interessenten über typische Cybersecurity-Rollen und die dazugehörigen Karrieremöglichkeiten inklusive aktuell offene Positionen und Durchschnittsgehalt auf Basis des NICE-Frameworks.
  2. Cybersecurity Workforce Heat Map – gibt dem Stellensuchendem einen geographischen Überblick über den Stellenmarkt und gesuchte Positionen inklusive den dazugehörigen Fähigkeiten auf Basis des NICE-Frameworks.

Cybersecurity Supply/Demand Heat Map (CyberSeek)

Fazit

Um den Fachkräftemangel im IT-Security-Umfeld zu minimieren, bedarf es zuerst einer einheitlichen Definition der Aufgaben, Fähigkeiten und Fertigkeiten. Dieser Standard kann dynamisch erweitert werden und als Basis für weitere Anwendungen genutzt werden, was sowohl den Organisationen, aber auch den stellensuchenden Interessenten entgegenkommt.