Warum unsere aktuelle Cybersicherheit angreifbar ist

Fast alle Formen digitaler Kommunikation – von Überweisungen im Online-Banking, E-Mails oder digitalen Ausweissysteme – haben die Basis von Verschlüsselung. Diese wurzelt wiederum aus mathematischen Problemen, die für normal gebräuchliche Computer extrem schwer aus der Welt zu schaffen sind. Ein Beispiel ist das Ausklammern großer Primzahlen oder auch das „diskrete Logarithmusproblem“. 

Verfahren wie RSA und Elliptic Curve Cryptography (ECC) zählen schon seit Jahren als das Fundament der Public Key Infrastructure (PKI). Während ein ganz normaler Computer dafür Tausende von Jahren brauchen würde, könnte ein starker Quantencomputer das Gleiche in nur Minuten bewältigen.

Damit steht das Fundament unseres digitalen Vertrauens auf dem Spiel. Noch sind Quantencomputer nicht so weit – aber es gilt als sicher, dass dieser Punkt irgendwann erreicht wird.

Damit steht das Fundament unseres digitalen Vertrauens auf dem Spiel. Noch sind Quantencomputer nicht so weit – aber es gilt als sicher, dass dieser Punkt irgendwann erreicht wird.

„Erst ernten, dann kassieren“ – Warum die Bedrohung schon da ist

Ein Punkt wird in der Diskussion oft übersehen: die Zeitkomponente. Man könnte leicht denken, Quantencomputer seien ein Problem, das erst in zehn Jahren relevant wird. Doch Angreifer haben ihre Methoden längst angepasst. Mit „Erst ernten, später kassieren“ werden verschlüsselte Daten sofort gesammelt, später werden sie dann entschlüsselt, und zwar dann, wenn die Technik dafür bereit ist. Dabei geht es ganz besonders um Informationen mit langer Lebensdauer, wie medizinische Daten, Ergebnisse aus Forschungen, geistiges Eigentum oder geheime Kommunikation.

Mit anderen Worten: Auch wenn der sogenannte „Q-Day“ – also der Tag, an dem Quantencomputer gängige Verschlüsselung tatsächlich brechen können – vielleicht erst in zehn, fünfzehn oder zwanzig Jahren eintritt, ist die Gefahr schon jetzt real. Alles, was heute aufgezeichnet wird, könnte in Zukunft zur Schatzgrube für Angriffe werden.

Regulatorische Initiativen, die den Kurs vorgeben 

Die weltweiten Regulierungsmaßnahmen zeigen, wie ernst das Thema ist. In den USA verpflichtet der Quantum Cybersecurity Preparedness Act Bundesbehörden dazu, frühzeitig auf Post-Quantum-Kryptografie umzusteigen. Das Standardisierungsinstitut NIST hat nach acht Jahren Arbeit vier neue quanten resistente Algorithmen vorgestellt – drei für digitale Signaturen und einen für Schlüsselaustausch/Verschlüsselung –, die bereits in internationale Standards einfließen.

Auch die EU hat eine gemeinsame Roadmap veröffentlicht, eingebettet in ihre umfassendere Cybersicherheitsstrategie und eng verknüpft mit der NIS2-Richtlinie. Sie schreibt vor, dass kritische Infrastrukturen und besonders sensible Daten bis 2030 auf neue Verfahren umgestellt werden müssen. In Großbritannien wiederum hat das National Cyber Security Centre (NCSC) konkrete Zeitpläne ausgearbeitet, die klar machen: Organisationen müssen jetzt beginnen, um nicht ins Hintertreffen zu geraten.

Die Botschaft ist eindeutig: Der Umstieg ist keine Option, sondern Pflicht. Er wird durch gesetzliche Vorgaben forciert – und wer sich nicht vorbereitet, riskiert nicht nur rechtliche, sondern auch geschäftliche Konsequenzen.

Die praktischen Herausforderungen – mehr als nur ein technisches Update

Auf den ersten Blick mag es simpel wirken: Man ersetzt alte Verschlüsselungsalgorithmen durch neue. In der Realität ist es jedoch einer der größten technologischen Umbrüche, vor denen Unternehmen je standen. Verschlüsselung steckt überall – in geschäftskritischen Anwendungen, Betriebssystemen, Cloud-Plattformen, Programmierschnittstellen (APIs) und sogar in den Lieferketten.

Der Umstieg wird daher zu einem jahrelangen Projekt, das das gesamte Ökosystem betrifft. Neue Algorithmen mit längeren Schlüsseln können die Leistung beeinträchtigen. Ältere Systeme unterstützen oft keine aktualisierten Bibliotheken. Während der Übergangszeit sind deshalb hybride Lösungen nötig, bei denen klassische und quanten sichere Verfahren parallel laufen. Hinzu kommt: Auch quanten resistente Algorithmen sind nicht unangreifbar – fehlerhafte Implementierungen oder Seitenkanalangriffe können neue Risiken schaffen.

Genau deshalb sprechen Sicherheitsexperten von Krypto-Agilität: der Fähigkeit, Algorithmen flott zu wechseln, wenn sich Standards plötzlich ändern oder über neue Schwachstellen bekannt wird. So geht es also nicht mehr um eine „endgültige“ Lösung, sondern einfach darum, Systeme so zu gestalten, dass sie sich immer wieder und auch in Zukunft anpassen können.