Quantencomputer: Die (noch) unterschätzte Gefahr

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) prognostiziert den sogenannten Q-Day, also den Zeitpunkt, ab dem leistungsfähige Quantencomputer in der Lage sein werden, gängige Kryptographie-Methoden zu entschlüsseln, bereits auf das Jahr 2030.  Deshalb müssen Organisationen bereits heute erste Schritte machen, um sich gegen Hackerangriffe zu schützen, die sich der Rechenpower der Quantencomputer bedienen. 

Gefahr durch Quantencomputer: Hacker sind vorbereitet

Wie gefährdet die Einführung von Quantencomputern die Cybersicherheit von Unternehmen? Um das zu verstehen, hilft ein Blick auf zwei häufig genutzte kryptographische Verfahren. Die symmetrische Verschlüsselung setzt darauf, dass beide Kommunikationspartner den identischen, geheimen Schlüssel besitzen, mit welchem sie die Nachricht ver- und entschlüsseln können.

Die asymmetrische Verschlüsselung ist hingegen deutlich komplexer – aber auch sicherer. Sie ist aus dem digitalen Leben nicht mehr wegzudenken und wird unter anderem für digitale Signaturen oder Authentifizierungen eingesetzt. Sie arbeitet in der Regel mit einem privaten und einem öffentlichen Schlüssel, die unterschiedliche Aufgaben übernehmen. Momentan gilt die asynchrone Verschlüsselung als Goldstandard in der Kryptographie.

Absoluter Gau für die IT-Sicherheit

Das ändert sich mit der rasanten Weiterentwicklung des Quantencomputings. Denn asymmetrische Verfahren basieren auf der Lösung hochkomplexer mathematischer Probleme, die klassische Computer entweder gar nicht oder nur mit unverhältnismäßig hohem Aufwand lösen können. Die enorme Rechenleistung der Quantencomputer wird den Hackern jedoch ungeahnte Möglichkeiten eröffnen, diese Probleme zu lösen.

Im schlimmsten Fall stehen ihnen dann sämtliche Daten eines Unternehmens uneingeschränkt zur Verfügung – der absolute Gau für die IT-Sicherheit. Bereits heute beginnen viele Cyberkriminelle mit sogenannten „Harvest now – decrypt later“-Angriffen. Sie sammeln die verschlüsselten Daten und speichern diese auf Vorrat, um sie später, sobald die Quantencomputer leistungsfähig genug sind, zu entschlüsseln. Eine quantensichere Datenverarbeitung sollte also bereits jetzt ins Auge gefasst werden, noch bevor hochleistungsfähige Quantencomputer zur Verfügung stehen.

Weiterbildung: Der erste Schritt zur Post-Quanten Sicherheit              

Das BSI und Partner aus 17 weiteren EU-Staaten fordern deshalb, dass Betreiber kritischer Infrastrukturen und öffentliche Verwaltungen in die Phase der Post-Quanten-Kryptographie (PQK) übergehen und sensible Daten vor dem Diebstahl mithilfe von Quantencomputern schützen. In der Kryptographie wird dafür bereits zu neuen Methoden geforscht, die Quantenkryptographie ermöglichen.

Dafür ist die richtige Infrastruktur, wie der Zugang zu Quantencomputern, unverzichtbar. Doch neben den technischen Anforderungen wächst auch der Weiterbildungsbedarf in den Organisationen. Insbesondere für die Betreiber kritischer Infrastrukturen ist es unerlässlich, sich heute schon mit dem Thema auseinanderzusetzen.

Wie dringlich der Handlungsbedarf für eine Organisation ist, hängt von drei Faktoren ab: Wie lange muss sie die Vertraulichkeit von sensiblen Daten gewährleisten? Wie lange wird es voraussichtlich dauern, bis eine komplexe Infrastruktur entsprechend angepasst ist? Und wann wird es einen funktionierenden Quantencomputer geben? Die Frage nach der Verfügbarkeit eines Quantencomputers lässt sich noch nicht zuverlässig beantwortet. Organisationen, die für die Vertraulichkeit der Daten bzw. die Anpassung der Infrastruktur von einem langen Zeitraum ausgehen, sollten also schon jetzt damit beginnen, sich mit dem Thema auseinanderzusetzen. Denn nur wer gut informiert ist, kann die Risiken einschätzen und fundierte Entscheidungen treffen.

Gefahrenlage bewerten, Quanten-resistente Verfahrenen kennenlernen

Voraussetzung, um eine umfängliche Risikobewertung durchführen zu können, ist entsprechendes Fachwissen sowie das Bewusstsein für die Gefahren: Wie funktionieren Quantencomputer? Welche Möglichkeiten eröffnen sie für das eigene Unternehmen, aber auch für Cyberkriminelle? Welche potenziellen Bedrohungen entstehen für aktuelle Verschlüsselungsverfahren? Welche quantensicheren Verfahren gibt es und wie können diese eingeführt werden? Dabei handelt es sich um einen kontinuierlichen Lernprozess, der immer wieder die neuesten Forschungen, Entwicklungen und Risiken auf dem Gebiet betrachtet. Für Unternehmen besteht der erste Schritt darin, sich grundlegend mit der Thematik auseinanderzusetzen und passende Lernangebote in Anspruch zu nehmen. Das Internationale Jahr der Quantenforschung ist der perfekte Zeitpunkt, um in das Zeitalter des Quantencomputings einzutreten. Denn wer heute die ersten Schritte geht, wird davon profitieren, wenn Quantencomputer marktreif geworden sind.

Wissenstransfer zwischen Forschung und Industrie

Die Fraunhofer-Gesellschaft engagiert sich intensiv im Bereich des Quantencomputings, um die vielfältigen Potenziale dieser Technologie für wirtschaftliche und wissenschaftliche Anwendungen zu erforschen. Im Jahr 2021 wurde von Fraunhofer und IBM der erste Quantencomputer in Deutschland vorgestellt, der Forschenden und Unternehmen zur Verfügung steht, um an der Quantentechnologie zu forschen und eigene Anwendungen zu testen. Bereits im Jahr 2020 wurde das Fraunhofer-Kompetenznetzwerk Quantencomputing ins Leben gerufen, welches aus regionalen Kompetenzzentren mit spezifischen Forschungsschwerpunkten besteht. Die dort gesammelten Erkenntnisse fließen direkt in das Weiterbildungsangebot der Fraunhofer Academy im Bereich Quantencomputing ein. Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) forscht beispielsweise u.a. zur angewandten Kryptographie und sicheren Infrastruktur und ergänzt das Weiterbildungsangebot des Lernlabors Cybersicherheit der Fraunhofer Academy zum Thema Post-Quanten Sicherheit.

Dr. Raphaela Schätz

ist Leiterin des Lernlabor Cybersicherheit der Fraunhofer Academy.