Quantenresilienz & Kryptographie:

2025 steht im Zeichen der Post-Quantum-Sicherheit

Im Jahr 2024 dominierte die künstliche Intelligenz die technologischen Diskussionen – von generativen KI-Anwendungen bis hin zu Deepfakes. Nun, im Jahr 2025, rückt das Thema Quantencomputing in den Fokus und verspricht, eine ähnlich transformative Rolle zu spielen.

Cyberrisiken durch Quantencomputing

Ein Quantencomputer kodiert Informationen in Form von Qubits und nutzt quantenmechanische Eigenschaften, um mit diesen Daten Berechnungen durchzuführen, die für heutige klassische Computer praktisch unmöglich sind. Und wie die künstliche Intelligenz ist auch das Quantencomputing eine disruptive Kraft, die ein breites Spektrum von Branchen zu revolutionieren verspricht, aber gleichzeitig auch neue Cyberrisiken mit sich bringt. Insbesondere wird das Quantencomputing die heutigen kryptographischen Algorithmen mit öffentlichem Schlüssel (RSA und ECC) brechen – und damit sensible Daten weltweit offenlegen und Organisationen, Einzelpersonen und Nationen angreifbar machen.

Das Jahr des Quantencomputings

Die Vereinten Nationen haben 2025 zum Internationalen Jahr der Quantenwissenschaft und -technologie erklärt. Viele der Grundlagen, Möglichkeiten und Herausforderungen für die Post-Quantum-Ära sind bereits seit einiger Zeit vorhanden. Erste Quantencomputer existieren, doch aufgrund der großen technischen Herausforderungen – darunter Licht-, Rausch- und Temperaturempfindlichkeit – und der schieren Größe liegen kommerziell nutzbare Quantencomputer noch in weiter Ferne. Trotzdem finden bereits Angriffe im Sinne von „Harvest Now, Decrypt Later“ (HNDL) statt, die auf langfristig relevante Daten wie Finanz- und Regierungsinformationen sowie langlebige Geräte wie Autos und intelligente Zähler abzielen. Und im Oktober 2024 veröffentlichten chinesische Forscher eine Methode, um mit D-Wave-Quantencomputern die RSA-Verschlüsselung zu knacken – was uns dem sogenannten Q-Day (dem Tag, an dem Quantencomputer aktuelle Verschlüsselungssysteme brechen können) immer näher bringt.

Mangelnde Transparenz

Diese Dringlichkeit wird durch den Aufstieg generativer KI, die fortschreitende Digitalisierung und die zunehmende Abhängigkeit von mobilen Ökosystemen verstärkt. Parallel dazu breitet sich der sogenannte „kryptographische Wildwuchs“ (cryptographic sprawl) weiter aus: Schlüssel, Zertifikate und Geheimnisse sind in dezentralen, cloudbasierten Umgebungen verteilt – oft ohne ausreichende Sichtbarkeit oder Verwaltung. Die meisten Organisationen haben keinen Echtzeitüberblick darüber, wo sich ihre kryptographischen Assets befinden, ob sie noch gültig sind oder ob sie den internen Sicherheitsrichtlinien entsprechen.

Die Fähigkeit, die eigene Umgebung zu schützen, beginnt jedoch mit deren Verständnis. Ohne ein vollständiges Inventar ihrer kryptographischen Assets können Organisationen weder Schwachstellen identifizieren noch sich reibungslos auf postquantenfähige Verfahren umstellen. Diese Sichtbarkeitslücke zu schließen, ist daher der erste entscheidende Schritt in Richtung Krypto-Agilität und langfristige Resilienz. Darauf aufbauend sollte eine Automatisierung erfolgen: Tools zur Schlüsselrotation, Algorithmus-Aktualisierung und Durchsetzung von Sicherheitsrichtlinien minimieren manuelle Fehler und beschleunigen die Vorbereitung in Richtung Post-Quantum-Sicherheit.

Post-Quantum-Kryptographie für quantensichere Zahlungen und Identitäten

Die Post-Quantum-Kryptographie (PQC) besteht aus neuen kryptographischen Algorithmen für öffentliche Schlüssel, die für die absehbare Zukunft sowohl vor Angriffen durch herkömmliche als auch durch Quantencomputer sicher sind. In einer Post-Quantum-Welt sind RSA- und ECC-Verschlüsselungen nicht mehr wirksam, so dass die Umstellung auf PQC für die Sicherheit von Organisationen, Einzelpersonen und Ländern unerlässlich ist. Zwei Bereiche stehen in Bezug auf Quantensicherheit besonders im Fokus:

• Quantensichere Zahlungen: Das globale Finanzsystem, das die Weltwirtschaft unterstützt, basiert auf der sicheren Bewegung von Geld und Daten und wird durch RSA- und ECC-Verschlüsselung gestützt. Quantensichere Zahlungen sind entscheidend, um Verbraucher, Finanzinstitute und Zahlungsnetzwerke vor böswilligen Akteuren zu schützen und gleichzeitig globale Vorschriften einzuhalten. Da Finanzdaten zumeist über längere Zeiträume hinweg gültig sind, gehören sie bereits zu den Hauptzielen von HNDL-Angriffen. Dies macht wiederum die Migration auf Post-Quantum-Kryptographie zu einer sofortigen Priorität für die Zahlungsindustrie.

• Quantensichere Identitäten: Stellen Sie sich vor, Ihre Sozialversicherungsnummer, Ihr Geburtsdatum, Ihre medizinischen Unterlagen und andere persönliche Daten wären für die Öffentlichkeit sichtbar. Oder es läge der Zugang offen zu allen unzähligen Geräten, die unser Stromnetz, Wasseraufbereitungsanlagen, Verkehrssysteme und andere kritische Infrastrukturen steuern und schützen. Genau darum geht es bei der Quantenbedrohung für Identitäten – menschlich und geräteseitig. Entschlüsselte persönliche Informationen zur Identität würden Einzelpersonen extrem anfällig für Identitätsdiebstahl, Betrug, unbefugten Kontozugriff, Erpressung und andere Bedrohungen machen; während ungesicherte kritische Infrastrukturen eine Nation und ihre Bürger für Cyberangriffe verwundbar machen würden. Hinzu kommt, dass sowohl personenbezogene Daten als auch kritische Infrastrukturen bereits Ziel von HNDL-Angriffen sind – wobei es sich bei ersteren häufig um langlebige Daten handelt und letztere häufig von langlebigen Geräten kompromittiert werden. Daher hat die PQC-Migration für Organisationen und Regierungen auf der ganzen Welt höchste Priorität, um quantensichere Identitäten für Verbraucher, Mitarbeiter, Bürger und Geräte zu gewährleisten.
  Wettlauf um die Vorherrschaft im Quantencomputing

In Anlehnung an die KI hat auch das Quantencomputing das Potenzial, die globalen Machtverhältnisse zu verändern. Die USA und China befinden sich bereits in einem Wettlauf um die Vorherrschaft in der Quanteninformatik, ähnlich dem Wettlauf ins All mit Russland in der Vergangenheit. In Zeiten eskalierender geopolitischer Spannungen sollte uns auch dieser Sicherheitsfaktor bewusst sein. Zudem vervielfacht die Kombination von Quantentechnologie und künstlicher Intelligenz exponentiell die Chancen und Risiken, die mit jeder einzelnen dieser disruptiven Kräfte verbunden sind.

NIST-Projekt zur Migration auf Post-Quantum-Kryptographie

Die gute Nachricht: Das National Institute of Standards and Technology (NIST) hat im August 2024 die ersten drei PQC-Standards veröffentlicht, gefolgt von der Genehmigung von 14 neuen digitalen Signieralgorithmen für die PQC-Standardisierung im Oktober 2024. Als globale Herausforderung erfordert das Thema Post-Quantum einen globalen Ansatz. Und auch wenn das NIST eine US-Institution ist, gilt es als „Goldstandard“ im Bereich der Cybersicherheit – sowohl der PQC-Wettbewerb als auch der Standardisierungsprozess sind seit Beginn im Jahr 2016 global ausgerichtet.

Vorbereitung auf die Post-Quantum-Ära

Zusammen mit Partnern aus 17 weiteren Mitgliedsstaaten der Europäischen Union hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im November 2024 eine gemeinsame Erklärung zum Thema Post-Quanten-Kryptographie veröffentlicht. Darin werden Wirtschaft, Betreiber kritischer Infrastrukturen sowie die öffentliche Verwaltung dazu aufgefordert, den Übergang zu Post-Quanten-Kryptographie umgehend einzuleiten. Auch die notwendigen Schritte für diesen Übergang werden beschrieben. Während einige Behörden, die Zugang zu umfangreichen personenbezogenen Daten und sensiblen Informationen von Regierungen haben, bereits aktiv die ersten NIST-PQC-Standards in ihre Systeme integrieren, sieht die Situation im Allgemeinen eher besorgniserregend aus. Zu diesem Ergebnis kam nicht nur eine vom BSI durchgeführte Studie als auch die von Entrust in Auftrag gegebene Untersuchung „PKI- und Post-Quantum-Trends 2024“. Letztere zeigte, dass im Jahr 2024 weniger als die Hälfte der weltweiten Organisationen (41 %) aktiv auf Post-Quantum vorbereitet waren. Erst kürzlich hat auch das Quantum Safe Financial Forum von Europol einen dringenden Aufruf zum Handeln an Finanzinstitute und politische Entscheidungsträger gerichtet und sie aufgefordert, dem Übergang zur quantensicheren Kryptographie Priorität einzuräumen.

Das Jahr 2025 muss daher tatsächlich das Jahr sein, in dem auf der ganzen Welt Unternehmen und Institutionen jeder Art und Größe über das Lernen und Prototyping von PQC hinausgehen. Es ist nun Zeit aktiv zu werden – wobei die Vorbereitung auf den „Q-Day“ nicht bedeutet, angemessen zu reagieren, sondern sich neu aufzustellen. Und auch wenn die Migration auf PQC eine Herausforderung darstellt – sie ist zugleich auch eine Chance, die Verwaltung kryptographischer Infrastrukturen über alle Branchen hinweg zu verbessern und in Zukunft von mehr Transparenz und reduzierter Komplexität zu profitieren.