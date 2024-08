Der Wettlauf um den Bau des ersten großen Quantencomputers, der moderne Verschlüsselungsverfahren mit nur wenigen handgeschriebenen Codezeilen knacken kann, ist in vollem Gange. Für heute gängige Cybersicherheitslösungen, die bereits mit weit weniger leistungsfähigen Angriffen zu kämpfen haben, ist diese Entwicklung eine Katastrophe.

Heutige Quantencomputer sind zwar noch fehleranfällig und verfügen nicht über die nötige Rechenleistung. Doch immer mehr Experten warnen, dass der so genannte Q-Day früher als erwartet eintreten könnte. Für Unternehmen beginnt ein Wettlauf mit der Zeit.

Jüngste Entwicklungen zeigen, dass wir dem Quanten-Zeitalter immer näher kommen. Anfang 2023 sorgten Wissenschaftler der Chinesischen Akademie der Wissenschaften kurzzeitig für weltweite Aufregung mit der Meldung, ein 372- Qbit -Quantencomputer könne den RSA-Algorithmus entschlüsseln. Diese Behauptung hat sich zwar nicht bewahrheitet – andere Forscher fanden Schwachstellen im Verfahren –, aber sie hat demonstriert, wie Hacker aktiv nach Methoden suchen, mit mehr Qbits und besserer Fehlerkorrektur bestehende Verschlüsselungsmethoden zu knacken. Michele Mosca, ein Pionier im Bereich der Post-Quanten-Kryptografie (PQC) an der University of Waterloo, prognostiziert, dass es voraussichtlich noch etwa 15 Jahre dauern wird, bevor Quantencomputer Verschlüsselungen entziffern können.

Im Mittelpunkt des Quanten-Cybersicherheitsrisikos stehen zwei Algorithmen, die in den 1990er Jahren entwickelt wurden – der Shor-Algorithmus für die Public-Key -Kryptografie mit öffentlichen Schlüsseln und der Grover-Algorithmus für die symmetrische Verschlüsselung. Auf einem ausreichend leistungsfähigen Quantencomputer ausgeführt, könnten diese leistungsstarken mathematischen Verfahren potenziell die Verschlüsselungscodes knacken, die heute nahezu die gesamte digitale Kommunikation, vertrauliche Daten sowie kritische Infrastrukturen schützen.

Ein Wettlauf mit der Zeit

Weil ungewiss ist, wann genau dieser Q-Day eintreten wird, rät Mosca Unternehmen, drei wichtige Faktoren zu berücksichtigen: die voraussichtliche Aufbewahrungszeit ihrer Daten (A) und wie lange diese geschützt werden müssen, die geschätzte Migrationszeit (B) – also wie viele Jahre eine Umstellung ihrer Sicherheitssysteme dauern würde – sowie den Zeitrahmen für neue Bedrohungen (C) und wann große Quantencomputer voraussichtlich in der Lage sein werden, heutige Verschlüsselungsverfahren zu knacken.

Ist die Summe der beiden ersten Zeitintervalle – Aufbewahrungszeit plus Migrationszeit – größer als der Zeitrahmen für den Q-Day (also A+B>C), dann sind Unternehmen einem größeren Risikozeitfenster ausgesetzt. Angreifer könnten nämlich bereits im Vorfeld verschlüsselte Daten stehlen und horten, um sie später mithilfe von Quantencomputern zu lesen.

Für Unternehmen bedeutet das: Sie müssen sich schon jetzt auf den Q-Day vorbereiten. Sonst könnten die Auswirkungen verheerend sein, von Datendiebstahl bis hin zu Risiken für kritische Infrastrukturen. Hacker könnten etwa vertrauliche Daten wie E-Mails, Aufzeichnungen und geistiges Eigentum abgreifen und entziffern. Verschlüsselte Kommunikationskanäle wie VPN, Videokonferenzen, Telefongespräche und Messaging-Apps könnten angreifbar werden und damit Schwachstellen in der Kommunikation verursachen. Und wichtige Infrastrukturen wie Stromnetze, Telekommunikationsnetze, Verkehrssysteme sowie andere Systeme, die auf Public-Key-Kryptografie beruhen, wären anfällig für Störungen, Abschaltungen oder sogar die Übernahme durch böswillige Akteure.

Angriffe wie der auf den Drittanbieter Infosys McCamish Systems, bei dem die personenbezogenen Daten von über 6 Millionen Kunden betroffen waren, verdeutlichen, wie auch die verschlüsselten Daten und Transaktionssysteme des Finanzsektors nach dem Q-Day ohne quantensichere kryptografische Schutzmaßnahmen noch stärker gefährdet wären. Bei dem Vorfall konnten Cyberkriminelle Sozialversicherungsnummern, E-Mail-Adressen und Geburtsdaten von Kunden der Bank of America ausspähen – also genau die Arten von sensiblen Daten, die durch Code-knackende Quantencomputer einem erhöhten Risiko ausgesetzt sind.