Flurfunk - Quantensprung oder Quantenhype & LLM Verwendung durch Threat Actors
Einen wunderschönen guten Abend in den Süden.
Einen wunderschönen guten Abend, nur ein paar Kilometer weiter nach oben,
gen Norden, so weit bist du ja nicht weg.
Ein paar Kilometer ja, aber es geht schon immer noch zum Teil des Weißwurst-Aquators.
Du gehörst immer noch dazu. Der Weißwurst-Aquator trennt uns noch nicht.
Dafür trennt uns aber, und da hatte ich eine Diskussion mit meinen englischen
Kollegen letzte Woche, uns trennt der Schäufele-Äquator.
Ja, der liegt bei wo nochmal?
Der liegt ungefähr bei Nürnberg. Der Schäufele-Radius ist sehr, sehr klein.
Ich habe einen Kollegen aus Feuchheim versucht, den Kollegen aus UK zu erklären.
Die waren irgendwann völlig verwirrt, als wir dann gesagt haben,
was ein gutes Schäufele ist und wo es das gibt und so weiter und dass das nur
ein sehr, sehr kleines Gebiet ist und ja, aber,
merkt man mal wieder, es gibt so,
Insel, ich würde mal sagen, Inselideen.
Der UK-Kollege wird sich wahrscheinlich auch wieder einfach nur gedacht haben, those Germans.
Ja gut, aber ich meine, kommen wir aus UK, also das denke ich mir auch ganz
oft, die mir Sachen erzählen.
Das ist ja das Schöne an dieser globalisierten Welt, dass es dann doch noch
irgendwie lokale Bräuchttürmer gibt.
Was ja ganz lustig war, oder nicht lustig, die Heimreise war eine Vollkatastrophe.
Ich glaube, mein Flug hätte irgendwie um 15 Uhr P4 gehen sollen.
Wurde dann alle 10 Minuten um weitere 30 verschoben. Das sind so die schönen Tage.
Im Flieger hat dann noch die Lufthansa gesagt, ja, die Heathrow hatte einfach
heute ganz große Probleme. Da habe ich mal nachgeschaut.
Klar, es gab schon Verspätungen, aber die einzigen vier Flüge,
die wirklich Verspätungen hatten, waren alles Lufthansa-Flüge.
Was ich schön fand.
Ich glaube, wir sind zur selben Zeit geflogen. Ich war nämlich auch vor zwei,
drei Wochen in London, auch mit Lufthansa. und hinten bin ich schon mit,
ich glaube, anderthalb Stunden Verspätung und zurück dann mit nur 45.
Ich bin da ja im Grunde genommen eigentlich jede Woche und besonders so Freitag
rausfliegen ist immer blöd.
Und ich war dann, also ich musste in Frankfurt dann echt, weil ich über Frankfurt
geflogen bin, dann echt noch zum Zugrennen und es zieht sich von diesen Z-Gates,
echt zweieinhalb Kilometer, glaube ich, habe ich getrackt.
Und dann irgendwie in den letzten Zug habe ich gedacht, reingesprungen,
war natürlich am Bahnsteig, dann kam die Durchsage 15 Minuten später.
Aber so verlässlich eine Verspätung bei der Bahn auch ist, man darf sich nicht
darauf verlassen, weil dann wird dieser Zug nach Atomuhr fahren.
Darauf kann man sich verlassen. Aber das war ganz gut, weil ich habe gemerkt,
man schafft es trotzdem als Airline mit all den Systemen, die dahinter sind,
scheinbar, dass zu viele Leute ein Flugzeug boarden.
Da war eine Person zu viel drin.
Ist das noch möglich heutzutage? Wahnsinn.
Ich habe es mich auch gefragt.
Also es gibt ja immer diese Standby-Position.
Genau.
Vielleicht merken das manche dann nicht.
Ja, aber dann darfst du ja eigentlich nicht reinkommen. Also dann müsstest du
eigentlich irgendeinen Boarding-Pass scannen und sagen, du kannst nicht rein.
Aber da war einfach ein Sitz zweimal belegt scheinbar.
Und es war eine Person dann zu viel wirklich im Flieger. Und die haben scheinbar
alle ihren Boarding-Pass gescannt. Das war dann ein Riesenargument noch.
Und kann man natürlich noch später los. Aber ich fand's halt ganz interessant,
dass das überhaupt möglich zu sein scheint.
Und ich habe mich da mit ein paar Leuten unterhalten, die dann auch in der Branche
Dinge machen. Und die haben gesagt, eigentlich dürfte das nicht möglich sein.
Vielleicht wurde da der Verschlüsselungsalgorithmus des QR-Codes am Ticket.
Der war schlecht.
Der Überleitungsmeister zugeschlagen. Da wurde RSA von den Chinesen mit einem
Quantum-Computer gehackt. Das habe ich nämlich letzte Woche ganz oft gelesen.
Genau, und das erste Ziel, was sie hatten, waren die Lufthansa-Tickets.
Ja.
Nee, okay, der Übergang war schlecht, ich geb's zu.
Ich will aber gleich mal vorneweg sagen, wir werden heute über zwei,
drei Überschriften sprechen, weil wir, glaube ich, beide gemerkt haben,
so wirklich viel Spannendes passiert derzeit irgendwie nicht.
Die Überschriften klingen immer mega und dann schließt man sich das mit einem
gesunden Stück Menschenverstand so ein bisschen durch und dann denkt man,
man sich so. Ja, scheinbar ist derzeit Flaute.
Naja, ich glaube, es liegt vielleicht auch einfach wieder so an diesem typischen
Zeitraum, in dem wir uns gerade befinden. Es ist Ende des Jahres. Viel,
bei den Firmen vor allem ist gerade einfach nur noch viel auf müssen wir unser
Restbudget noch irgendwo verblasen.
Dementsprechend gibt es vielleicht so ein paar Headlines, die ein bisschen reißerischer
wirken oder reißerischer als sonst.
Es sind ja eh mal grundsätzlich sehr viel reißerische Sachen dabei und,
darüber dann halt noch versuchen irgendwie schnell ein bisschen Budget zu verballern,
damit man am Ende des Jahres halt auch gut dasteht und sagen kann,
hey, mein Budget ist quasi gen
Null, ich brauche nächstes Jahr wieder mindestens genauso viel oder mehr.
Vielleicht liegt es daran. Wilde These, aber wer weiß.
Ja, und gut, wenn halt nichts Offensichtliches passiert, ich meine,
wir können ja auch immer nur über das sprechen, was wir sehen,
dann brauchst du halt trotzdem irgendwie deine Klicks.
Und ich glaube, also ich meine, da will ich jetzt gar nicht drüber sprechen,
aber was ich letzte Woche wieder, also ich glaube, diese News war gefühlt drei
Stunden alt und es hatten schon 20 Leute wieder geschrieben,
dass ein Cyberangriff ein Unternehmen insolvent gemacht hat.
Und man muss bei diesen News immer nur eine Übung machen, man kopiert sich den
Unternehmensnamen, gibt ihn bei North Data ein und schaut sich einfach mal die
Verlustbalken der letzten drei Jahre an und dann denkt man sich,
naja, ist immer noch tragisch für das Unternehmen und mir tun die Leute da immer
noch leid, aber schreib halt bitte keinen Beitrag dazu, wo du wieder die fünf
Top-Tipps gibst, wie man Cyberangriffe verhindern kann.
Richtig. FAD ist halt immer noch mit eins der Themen, in denen manche Sales-Menschen
denken, sie können was verkaufen.
Und teilweise zieht es halt leider immer noch. Ist ein bisschen schade.
Ich will aber mal kurz in die Bresche springen für Sales-Menschen.
Oder nicht in die Bresche springen für Sales-Menschen, sondern das Problem größer machen.
Und sagen, das sind mittlerweile auch ganz, ganz viele Menschen,
die eher auf der technischen Seite anzusehen sind, die vielleicht nicht nach
irgendeinem Kommissionsmodell arbeiten,
sondern wo es halt einfach, und wir hatten schon oft darum geht,
eine Personal Brand sich irgendwie aufzubauen, weil man ja scheinbar ohne eine
Personal Brand nicht mehr überleben kann.
Man braucht Wasser, man braucht Brot und man braucht eine Personal Brand.
Also spätestens, wenn du dir deinen Namen auf deine Waden tätowieren lässt,
dann bist du angekommen bei den Top-Personal Brands und Influencern.
Und jetzt mache ich die Brücke, weil wir jetzt endgültig zu dieser News kommen
wollen, in chinesischen Schriftzeichen.
Vielen Dank.
Ach, ich habe eigentlich noch viel von dir zu lernen. Das merke ich. Wahnsinn.
Jetzt erzähl doch mal, was da ganz Krasses passiert ist und wieso wir alle eigentlich
gar nicht mehr irgendwas verschlüsseln müssen, weil es ist ja eh unwichtig.
Hat eh alles keinen Sinn mehr, genau. Also ab sofort noch einen Klartext miteinander
kommunizieren und vor allem auch Passwörter austauschen, bitte.
Ähm, dies ist keine Anlageberatung äh, genau, was ist passiert ähm,
eine Universität in China tatsächlich ähm, oder beziehungsweise ein äh,
sehr renommierter chinesischer äh,
Forscher und äh, Professor hat mithilfe eines und jetzt kommt wieder der Witz
daran eines kalifornischen Quantum Computer Unternehmens also man sieht auch wieder,
ja Genau, manche Partnerschaften sind international und global über alle Konflikte hinaus.
Die haben es geschafft, mit diesem Quantum-Computer, den dieses Unternehmen
D-Wave, heißen die, gebaut haben,
haben sie es geschafft, einen 22-Bit-RSA-Integer zu knacken.
So, man ist auch wirklich, man findet auch den Keypoint 22-Bit-RSA-Integer erst
irgendwo drei, vier Zeilen in der News meistens,
weil ganz oben steht natürlich auch wieder nur eben das, wo wir wieder bei dem Reißerischen sind.
Und China knackt RSA-Encryption und damit ist alles verloren und ab sofort müssen
alle nur noch auf Post-Quantum-Encryption setzen, damit man auch ja sicher ist.
Und wenn man dann halt eben mal ein bisschen weiterliest und sich vielleicht
sogar auch noch das Paper anschaut,
was dann nämlich auch noch ein paar interessante Details offenbart,
wird man erstmal erkennen, dass der Angriff selbst,
also der Angriff auf die Verschlüsselungsmethodik, der Angriff auf die RSA-Verschlüsselung
ist sehr gezielt passiert.
Und vor allem noch mal war auf eine sehr geringe Schlüsselgröße begrenzt.
Und wenn man das Paper liest, oder auch wenn man nun mal kurz über den Extract geht,
liest man zum Beispiel eben auch hinten raus, ja, also zusätzlich haben sie
noch versucht, auch bis 50-Bit-Integer hochzugehen.
Da wurde es dann schon ein bisschen schwieriger.
Und aber was sie zum Schluss halt hinten raus immer noch quasi festgestellt haben,
ist, dass für Large-Scale-Attacks dieses Eingriffsmuster eigentlich trotzdem
immer noch nicht benutzt werden kann.
So, mit den zusätzlichen Informationen sage ich mir jetzt wieder,
okay, Fortschritt in der Forschung, das ist schon mal gut, das ist wichtig,
das ist auch wirklich was, was man eigentlich schon erwartet natürlich,
Wenn wir uns jetzt mal so in Richtung Quantenverschlüsselung und auch die Quantencomputertechnologie
heutzutage anschauen, dann ist klar,
dass gefühlt jedes Jahr diese Technologie ein bisschen weiter fortschreitet.
Sie ist definitiv ein bisschen wieder in den Schatten gerückt durch, vielen Dank AI,
aber man merkt, dass durch die Technologie definitiv die nächsten Schritte in
der Evolution der Technologie passieren werden.
Das ist unwiderruflich, würde ich sagen, das ist ganz klar.
Und dass man jetzt halt eben schon mal immerhin diese 22-Bit-Integer-RSA-Verschlüsselung geknackt hat,
lässt einem schon mal deutlich zeigen, auf eine gewisse Größe hingesehen ist
das jetzt schon in einer Dimension möglich,
in der es ein realistisches Angriffsszenario wird.
Der Punkt ist aber halt einfach, der kein Schwein benutzt, 22 bitte RSA,
das ist kein Technologiestandard es soll wohl immer noch Firmen da draußen geben, die RSA 1024 benutzen.
Ich hoffe, die kriegen immer irgendwelche Findings oder irgendwelche Schwachstellenscanner,
hauen denen das um die Ohren, weil das ist auch natürlich schon nicht mehr Stand der Technik,
aber wenn du dir mal anschaust dass wir eigentlich so, ich sag mal,
im normalen Umfeld überall RSA 2048 sehen oder eben mehr,
dann sind wir jetzt von dem Hands-on, von dieser Hands-on-Angriffs-Methodik
wirklich noch ein gutes Stück weit entfernt.
Was bedeutet das jetzt trotzdem im Endeffekt für uns.
Definitiv das Thema weiterhin im Auge behalten und auch die Forschungsergebnisse weiter im Auge behalten,
und schauen jetzt natürlich auch wie schnell sich dann auch dieser Angriffsvektor,
den sie da eben benutzt haben und auch dieser ganz spezielle,
D-Wave weil der wirklich auch nochmal ein sehr,
konkretes Aufbau, einen sehr konkreten Aufbau hat, was diesen Angriff erst ermöglicht hat.
Also es ist auch wieder nicht so ein super fully-fledged Quantum-Computer,
sondern eben auch ein sehr spezialisierter.
Man könnte jetzt, wenn man es in AI wieder übersetzt, das ist kein LLM, sondern mehr ein SLM.
Übersetzen und da wird sich dann jetzt einfach zeigen, inwiefern man den oder
die Technologie wirklich dann auch weiterhin gehend dafür benutzen kann,
einfach die Schlüsselgröße immer größer zu machen.
Aber bis dahin müssen wir wirklich uns jetzt schon haarscharf mit Post-Quantum-Kryptographie
beschäftigen oder eben ganz,
ganz konkreter Post-Quantum-Verschlüsselung, weil die Gefahr da wäre,
dass alle unsere Daten von heute auf morgen quasi heimlich entschlüsselt werden können,
sage ich nein. Absolut nicht.
Also ich lasse jetzt mal den Verschwörungstheoretiker in mir durchkommen und
sage, wenn jemand es schafft, RSA wirklich zu knacken, Stand der Technik seit mal mindestens 2048,
dann würden wir da nicht dadurch davon erfahren.
Das ist jetzt einfach mal so als These von mir in den Raum gestellt.
Dann würden wir nicht durch irgendwie CSO online und da ist ein Paper irgendwie
in China rausgekommen davon erfahren, sondern ich glaube, dann würde man das
so ein bisschen zeitverzögert wahrscheinlich erfahren.
Dann muss ich natürlich auch noch dazu sagen, im Gegensatz zu ganz,
ganz vielen Menschen auf LinkedIn bin ich kein Quantum-Computer-Experte und
bin auch in Sachen Verschlüsselung weit weg davon Experte zu sein.
Ich kenne ungefähr, glaube ich, so die Grundkonzepte auch so ein bisschen hinter
den Schlüsseln und so weiter, aber ich bin wirklich unglaublich weit davon,
irgendwie ein Experte zu sein.
Denn was ich mir halt mal, was ich dann immer mache, ich habe mir auch dieses
Paper dann eben einfach mal angeschaut und spätestens gefühlt ab Absatz 4 verstehe
ich dann natürlich auch nicht mehr unglaublich viel.
Oder ich verstehe es vielleicht gerade noch so, aber ich kann es jetzt nicht
mehr irgendwie in den Kontext setzen und sagen, ich bewerte das jetzt.
Und was ich dann schon ganz gerne mache ist, da nutze ich dann wiederum halt
irgendwas wie ein GPT oder ein Gemini oder so und versuche zumindest mal so
ein bisschen dümmere Fragen zu stellen.
Und auch da vertraue ich natürlich nicht blind darauf, was ausgespuckt wird,
aber schon so ein bisschen.
Und ich glaube, du hast im Grunde genommen alles gesagt.
Also A, was ich so ein bisschen mitgenommen habe und was ich auch auf Reddit
so ein bisschen gelesen habe, ist, dass viele gesagt haben, dass dieser D-Wave-Quantencomputer
im Grunde genommen dafür vielleicht gerade jetzt noch gut war.
Aber sobald wir jetzt in irgendwie mehr Bits gehen, dann irgendwann auch eigentlich
gar nicht wirklich geeignet ist, weil der beim Faktorisieren großer Zahlen,
glaube ich, gar nicht so wirklich geeignet ist.
Das heißt, die halten es, und ich weiß jetzt natürlich auch immer nicht,
wie glaubhaft Leute auf Reddit sind, aber ich finde es glaubhafter als manche Leute auf LinkedIn.
Haben sie zumindest so ein bisschen dargelegt, dass es in dem Setup wahrscheinlich
gar nicht so einfach wäre, das Ganze dann auch irgendwann wirklich noch weiter zu cracken.
Dann auch so ein bisschen, dass die Algorithmen, die derzeit verwendet werden,
eigentlich gar nicht fortgeschritten genug sind, um irgendwie größere Verschlüsseleffizienz
zu knacken und natürlich auch, dass es im Grunde genommen diese ganze Entwicklung,
auf die wir da schauen, natürlich alles andere als linear verläuft.
Also man kann jetzt nicht sagen, wir haben innerhalb von zwei Jahren es geschafft,
22-Bit zu machen, also rechnen wir jetzt einfach mal hoch und faktorisieren
vielleicht noch irgendwie was ein und dann sind wir irgendwann auf 2048,
sondern das läuft halt einfach nicht linear.
Das ist ganz, ganz stark abhängig von der Forschung, das ist teilweise wahrscheinlich
auch ein bisschen abhängig von der Hardware unten drunter.
Aber was ich gesehen habe, dass D-Wave, also das Unternehmen dahinter,
ist ein kanadisches, glaube ich, wenn ich es richtig sehe.
Dachte Kalifornien.
Aus Kalifornien? Echt?
Dachte Kalifornien.
Muss man anschauen. Aber zumindest hat die Aktie Palo Alto.
Das ist sowas von Kalifornien. Palo Alto.
Dann gibt es noch ein anderes D-Wave.
Ja, wenn es kanadisch ist, machen die vielleicht irgendwas mit Wellen.
Machen die irgendwas mit Wellen.
Aber die haben zumindest am Nestec gelistet. Finde ich ganz interessant.
Wird mich mal interessieren, ob das irgendwie irgendeinen Impact auf die Aktie hatte.
Weil manchmal bin ich einfach total erstaunt. Und wir reden hier ja oft auch
so ein bisschen über die ganzen monetären Dinge dahinter.
Ich finde es immer noch spannend, wie unglaublich wenig Einfluss so manche Security
News, die bei uns in der Branche riesig groß gemacht werden,
auf die individuellen Unternehmen dahinter ganz oft haben.
Also ich finde es zum Beispiel auch immer spannend, wenn so analysiert wird,
hier wurde ein Unternehmen gebreacht, das war massig in der Presse.
Es gibt so einen Typen, der das immer analysiert und dann so ein bisschen aufbereitet.
Es hat seltenst irgendeine langanhaltende Einwirkung auf irgendeinen Börsenverlauf
und deswegen glaube ich auch immer dieses Ganze, die müssen es halt spüren. Weiß ich nicht.
Also ich meine, ich glaube, das letzte Unternehmen, wo wir es schon ein bisschen
mehr gespürt haben, war Vata.
Die waren davor aber halt auch schon unglaublich.
Genau, die waren schon davor auch ziemlich schon auf dem Absteigen,
