Die Bedrohung mutet noch abstrakt an, kann aber Wirklichkeit werden: Cyberkriminelle sammeln systematisch verschlüsselte Daten – Zahlungsinformationen, Gesundheitsdaten, Kundenunterlagen –, um sie Jahre später mit Hilfe von Quantencomputern zu knacken. „Harvest now, decrypt later“, nennen Experten diese Strategie. Sie könnte funktioniert, denn die heute genutzten Verschlüsselungsverfahren würden zukünftigen Quantencomputern nicht standhalten.

Die G7 Cyber Expert Group, an der auch die deutsche Finanzaufsicht Bafin beteiligt ist, hat deshalb am 13. Januar einen detaillierten Fahrplan veröffentlicht. Das Ziel: Die Finanzbranche soll koordiniert auf quantensichere Kryptografie umstellen – bevor es möglicherweise zu spät ist.

Fluch und Segen zugleich

Dabei birgt Quantencomputing für Finanzinstitute zunächst einmal Chancen: Die extrem hohe Rechengeschwindigkeit könnte den Markthandel revolutionieren und Prognosemodelle genauer machen, heißt es von der Bafin. Doch genau diese Rechenpower kann die Technologie auch zu einer Waffe machen: Was heute als unknackbar gilt, könnte morgen ganz einfach entschlüsselt werden.

Die G7-Experten weisen darauf hin: Insbesondere die weit verbreiteten Verfahren der Public-Key-Kryptografie, auf denen ein Großteil der digitalen Sicherheit beruht, seien potenziell anfällig.

Aktuell ist noch unklar, wann die ersten Quantencomputer verfügbar sein könnten – auch wenn es bereits Fonds gibt, die in die Technologie zu investieren versprechen. Dennoch fordern die Experten schon jetzt prophylaktisch: Die Migration zu einer quantensichere Kryptografie sollte bis 2035 abgeschlossen sein.

Gestaffelter Zeitplan ohne Zwang

Der G7-Fahrplan setzt auf einen risikobasierten Ansatz ohne strikte Vorgaben. Kernempfehlung: Kritische Systeme sollten bereits zwischen 2030 und 2032 umgestellt sein, alle anderen bis 2035. Das entspricht auch den Zielvorgaben mehrerer nationaler Cybersicherheitsbehörden und des US-amerikanischen National Institute of Standards and Technology (NIST).

Der Zeitplan ist bewusst flexibel gehalten. Finanzinstitute sollen selbst entscheiden, welche Systeme sie mit Priorität in einen sichereren Rahmen migrieren wollen – abhängig davon, wie kritisch und systemisch bedeutsam sie eingeschätzt werden. Sie raten: Als Testfeld, um sicherere Verschlüsselungsverfahren auszuprobieren, könnten weniger kritische Anwendungen dienen. Einige Organisationen seien bereits dabei und sammelten hier Erfahrungen, bevor sie ihre Kernsysteme umstellten.

Weiterführende Experten-Insights
Anzeige
Finanzplanung für Einsteiger
Über Geld sprechen – mit Tijen Onaran
Weiterführende Experten-Insights
Anzeige
Finanzplanung für Einsteiger
Über Geld sprechen – mit Tijen Onaran

Sechs Phasen bis zur Quantensicherheit

Das Dokument skizziert einen Migrationsprozess in sechs Phasen:

  1. Bewusstsein schaffen: Personen auf Führungsebene müssen die Risiken verstehen und Verantwortliche benennen. Kritische Systeme, sensible Daten und Kommunikationsprotokolle werden kartiert.
  2. Bestandsaufnahme: Finanzinstitute erstellen ein vollständiges Inventar ihrer kryptografischen Assets und identifizieren, von welchen Drittanbietern sie möglicherweise abhängig sind. 
  3. Risikoanalyse und Planung: Die Unternehmen entwickeln Migrationspläne, die zwischen kritischen und weniger kritischen Funktionen unterscheiden. Interne Prozesse für Governance und Risikomanagement werden angepasst.
  4. Umsetzung: Quantensichere Lösungen werden schrittweise eingeführt, beginnend bei Systemen mit hoher Priorität. Das Tempo sollten die Unternehmen an die sich entwickelnde Bedrohungslage anpassen.
  5. Tests: Die migrierte Funktionen werden getestet, idealerweise auch mit umfassenden Krisenübungen.
  6. Validierung: Die neuen kryptografischen Standards sollten kontinuierlich überprüft werden, damit sie auch wirklich dauerhaft sicher sind. 

Parallel dazu empfehlen die Experten begleitende Aktivitäten: starke Governance-Strukturen aufzubauen, externe Abhängigkeiten aktiv zu managen und sich mit allen Stakeholder über das Problem auszutauschen.

Zusammenarbeit erfoderlich

Wichtig für den Erfolg der Maßnahmen sei jedoch die Koordination: Unternehmen und Organisationen sollten sich über Ländergrenzen und Institutionsgrößen hinweg um mehr Sicherheit bemühen. Insbesondere sollten sie sich mit Technologieanbietern und Cloud-Dienstleistern austauschen, um deren Migrationspläne frühzeitig zu kennen und Lieferengpässe zu vermeiden, skizzieren die G7-Experten.

Die Aufsichtsbehörden verpflichten sich ihrerseits, den jeweiligen Fortschritt des Prozesses zu ermitteln, Informationen zwischen Jurisdiktionen auszutauschen und regulatorische Konsistenz zu fördern. Auch die Bafin will sich 2026 weiter intensiv mit dem Thema befassen.

Die Krux mit den Qubits

Anders als klassische Computer, die mit Nullen und Einsen rechnen, nutzen Quantencomputer sogenannte Qubits. Diese können dank quantenmechanischer Effekte mehrere Zustände gleichzeitig einnehmen, was ihnen eine enorme Rechenleistung verleiht, zumindest theoretisch. Das Problem: Die Systeme sind extrem fehleranfällig. Qubits verlieren ihren Quantenzustand oft schon nach Mikrosekunden. Um ein einziges stabiles Qubit zu erzeugen, werden etwa 10.000 fehleranfällige physische Qubits benötigt.

Cybersicherheitsbehörden gehen davon aus, dass ein kryptografisch relevanter Quantencomputer im Verlauf der 2030er Jahre verfügbar sein könnte.