Die Quantenrevolution naht – und mit ihr eine der größten Sicherheitsherausforderungen der digitalen Geschichte. Unternehmen, die heute nicht handeln, riskieren morgen den Verlust ihrer sensibelsten Daten.
Quantencomputer als Sicherheitsrisiko: Warum die Vorbereitung jetzt beginnen muss
Leistungsfähige Quantencomputer könnten gängige Verschlüsselungsstandards brechen, bevor die Mehrheit der Unternehmen ihre Systeme angepasst hat. Experten vergleichen das Szenario mit dem Y2K-Problem der Jahrtausendwende – mit dem Unterschied, dass die Konsequenzen diesmal gravierender ausfallen könnten.
Das Kernproblem: Verschlüsselung unter Druck
Die heute am weitesten verbreiteten asymmetrischen Verschlüsselungsverfahren – darunter RSA und elliptische Kurvenkryptografie – basieren auf mathematischen Problemen, die klassische Computer nicht in vertretbarer Zeit lösen können. Ein ausreichend leistungsfähiger Quantencomputer könnte diese Verfahren mit dem sogenannten Shor-Algorithmus jedoch in Stunden oder wenigen Tagen knacken. Betroffen wären nicht nur verschlüsselte Kommunikation und digitale Signaturen, sondern auch Blockchain-basierte Systeme wie Kryptowährungen.
Der entscheidende Unterschied zu Y2K liegt in der Natur des Problems: Beim Millenniumsfehler gab es ein klares Datum und eine bekannte technische Lösung. Beim Quantenrisiko ist weder der Zeitpunkt des Bedrohungseintritts präzise vorhersagbar, noch existiert bislang ein einheitlicher Migrationsstandard für alle Anwendungsfälle.
„Harvest Now, Decrypt Later” als akute Bedrohung
Sicherheitsforscher warnen vor einer Strategie, die staatliche Akteure und kriminelle Organisationen bereits heute verfolgen könnten: das massenhafte Abschöpfen verschlüsselter Daten, um sie zu einem späteren Zeitpunkt mit Quantencomputern zu entschlüsseln.
Für Branchen mit langfristig sensiblen Daten – etwa Gesundheitswesen, Rüstung, Finanzdienstleistungen oder Behörden – ist dieses Szenario keine theoretische Zukunftsgefahr, sondern ein aktuelles operatives Risiko.
Post-Quanten-Kryptografie: Standards existieren, Umsetzung fehlt
Das NIST (National Institute of Standards and Technology) hat 2024 die ersten standardisierten Post-Quanten-Kryptografie-Algorithmen veröffentlicht, darunter ML-KEM (ehemals CRYSTALS-Kyber) und ML-DSA. Diese Verfahren sind so konzipiert, dass sie auch Angriffen durch Quantencomputer standhalten.
Die eigentliche Herausforderung liegt jedoch in der Migration: Unternehmen müssen sämtliche kryptografischen Abhängigkeiten in ihrer IT-Infrastruktur identifizieren – ein Prozess, der bei komplexen Systemlandschaften Jahre dauern kann.
Hinzu kommt, dass viele Unternehmen keinen vollständigen Überblick über eingesetzte Kryptografiebibliotheken in Drittanbieter-Software, Embedded Systems oder Legacy-Anwendungen haben.
Die Erstellung einer sogenannten Cryptographic Bill of Materials gilt als erster notwendiger Schritt – ist aber in der Praxis ausgesprochen aufwendig.
Zeitdruck ist real – auch wenn Quantencomputer noch nicht bereit sind
Aktuelle Quantencomputer sind noch weit davon entfernt, praxisrelevante Verschlüsselung zu brechen. Schätzungen aus der Forschungsgemeinschaft gehen von einem Zeithorizont von fünf bis fünfzehn Jahren aus, bis fehlertolerante Quantencomputer mit ausreichend Qubits für diesen Zweck verfügbar sein könnten.
Angesichts der Komplexität typischer Migrationsvorhaben in Großunternehmen ist dieser Zeitraum jedoch knapper als er erscheint.
Einordnung für deutsche Unternehmen
Für deutsche Unternehmen, insbesondere in regulierten Branchen wie Finanzwesen, Energie und Gesundheit, empfiehlt sich ein strukturierter Einstieg:
- Bestandsaufnahme aller kryptografischen Verfahren im Einsatz
- Priorisierung besonders schützenswerter Daten und Systeme
- Orientierung an BSI-Empfehlungen zur Post-Quanten-Migration
- Frühzeitige Einbindung von Fachabteilungen und Management
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits Migrationsempfehlungen für Post-Quanten-Kryptografie veröffentlicht und rät Unternehmen, jetzt mit der Planung zu beginnen.
Wer die Migration auf quantensichere Standards als reines IT-Projekt betrachtet, unterschätzt den organisatorischen Aufwand – und möglicherweise das Zeitfenster, das noch zur Verfügung steht.
Quelle: New Scientist Tech – „Quantum computers could usher in a crisis worse than Y2K”