Wenn es um die nationale Sicherheit geht, sind Quantencomputing und die dadurch möglich werdenden multidimensionalen Rechenräume nicht länger Zukunftsmusik. Schon jetzt müssen Forschung und Politik Verschlüsselungsverfahren und Standards für Unternehmen entwickeln, damit wir unsere digitalen Daten künftig noch vor Missbrauch und Diebstahl schützen können.
"Store now, decript later" ("Jetzt speichern, später entschlüsseln"), so lautet die Formel, die Forscher alarmiert. Stephan Ehlen vom Bundesamt für Sicherheit in der Informationstechnik erklärt die Gefahr für staatliche Institutionen und Unternehmen. Eigentlich sollten Daten etwa von Bundesbehörden 30 bis 50 Jahre sicher sein. Beim Szenario "store now, decript later", werden aber schon jetzt durch Hackerangriffe vertrauliche Daten beim Datenverkehr gestohlen und gespeichert. Und diese vertraulichen, aber gut verschlüsselten Informationen könnten dann in 10 oder 20 Jahren mithilfe von Quantencomputern entschlüsselt werden. Dann hätten Kriminelle ungesicherten Zugang. Leistungsfähigere Computer wären in der Lage, heute bestehende Verschlüsselungsmechanismen zu brechen. Um das zu verhindern, fordern Forscher, muss jetzt gehandelt werden.
Cyberkriminalität nimmt immer mehr zu
Die Frage nach digitaler Sicherheit ist angesichts der aktuellen Lage berechtigt, denn Straftaten im Bereich Cyberkriminalität nehmen zu, so der Bundeslagebericht Cybercrime 2023 (externer Link). Die neuesten Erhebungen im Bereich Cyberkriminalität, die von der Bundesinnenministerin Nancy Faeser (SPD), dem Präsidenten des Bundeskriminalamts (BKA), Holger Münch, und der Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, vorgestellt wurden, sind alarmierend.
Ransomware: Erpressersoftware, die Zugriff auf Daten verhindert
Bundesweit sind für 2023 über 800 Ransomware-Fälle von Unternehmen und Institutionen dokumentiert, aber man geht von einer weit höheren Dunkelziffer aus. Ransomware ist eine Erpressungssoftware, die sich in Systeme einschleicht und den Zugriff auf Daten verhindert. Der Angriff breitet sich über das Netzwerk aus und verschlüsselt alle Daten auf den verschiedenen Servern, sodass sie nicht mehr abrufbar sind. Der Inhaber der Daten wird für die Freigabe erpresst. Mit dem Diebstahl von Daten, dem Hacken von Unternehmen und der Verschlüsselung durch Ransomware, lässt sich viel Geld verdienen. Die Rede ist von dem Geschäftsmodell "Crime-as-a-Service", also kommerzielle Cyberkriminalität.
Unterschätzte Bedrohung durch Quantencomputer
Und es wird noch schlimmer, warnen Forscher, denn Quantencomputer der Zukunft könnten Kriminellen Tür und Tor öffnen. Zum Stand der Quantencomputer-Technologie tauschen sich jährlich Forscher auf dem Netzwerk-Event vom Fraunhofer AISEC (externer Link) aus. Dieses Jahr konzentrierten sie sich auf die möglichst schnelle Anwendbarkeit von neuen Verschlüsselungsverfahren. Es geht um Kryptografie, also um Verfahren in der IT, die digitale Daten wie beispielsweise E-Mails schützt, damit sie nur von denjenigen gelesen werden können, die die Erlaubnis haben und den sogenannten Schlüssel. Dafür verwendet man kodierte Algorithmen, die immer wieder angepasst und ausgetauscht werden müssen, damit Daten sicher bleiben. Das Spezialgebiet Post-Quanten-Krytografie entwirft nun bereits Szenarien für den Tag, an dem Quantencomputer eingesetzt werden können, Rechenräume also deutlich größer und komplexer werden.
Auch wenn die Analysen zeigen, dass Quantencomputer noch aufgrund hoher Fehleranfälligkeiten und nicht stabiler Zustände bei der Verarbeitung von Informationen nicht einsatzbereit sind und frühestens in zehn Jahren skalierbare Prozesse erwartet werden, muss schon jetzt mit Hochdruck an der Sicherung digitaler Daten gearbeitet werden. Denn leistungsfähige Quantencomputer könnten bisher sichere Datenverschlüsselungen knacken. Es geht also um Lösungen von Problemen, die erst entstehen.
Voraussetzungen für die Suche nach Lösungen
Die Community der Forscher, die etwas vom Fach versteht, sieht sich dabei durchaus gut aufgestellt, international vernetzt und auch mit ausreichend qualifizierten MINT-Absolventen gesegnet. Was aber fehlt, ist vor allem die technologische Unterstützung bei der Entwicklung von neuen Post-Quanten-Verfahren und klar strukturiere Vorgaben der Politik. Das fordert vor allem Professor Jörn Müller-Quade, Leiter der Forschungsgruppe "Kryptographie und Sicherheit" am Karlsruher Institut für Technologie und Direktor am Forschungszentrum Informatik. Eine weitere Forderung ist die nach Technologien, die technisch den Datenschutz sicherstellen und rechtssicher angewandt werden können. Gemeint sind unter anderem Software- und Hardware-Lösungen, die technische Prozesse und Methoden umfassen, die auch zum Schutz der Privatsphäre oder des Datenschutzes beitragen, beispielsweise Verschlüsselungen wie SSL/TSL.
Cyberkriminalität: Dringender Handlungsbedarf der Politik
Die Politik ist nicht untätig. Dieses Jahr wird es neue Vorgaben geben. Die Bundesregierung arbeitet an einem Handlungskonzept für die Post-Quanten-Kryptografie, das dieses Jahr herauskommen soll und Standards festlegen wird, die bis 2026 umgesetzt werden sollen. Auch die Europäische Kommission hat dieses Frühjahr Empfehlungen veröffentlicht für die Mitgliedstaaten und einen koordinierten Ansatz gefordert.
Stephan Ehlen ist überzeugt davon, dass nur eine politische Verordnung mit einer klaren Zeitschiene, bis wann alle Kryptografie neue Standards erfüllen muss, hier zielführend ist. In den USA ist das bereits erfolgt. So existiert beim National Institute of Standards and Technology NIST bereits seit 2017 ein Auswahlprozess zur Standardisierung von Post-Quanten-Kryptografie, bei dem beispielsweise Algorithmen zur Verschlüsselung und digitale Signaturen bewertet werden.
Mehr Datensicherheit: Was können Unternehmen tun?
Die Rede ist also von neuen Standards für die digitale Sicherheit der Zukunft, aber klar ist auch, dass viele Unternehmen heute noch nicht einmal die aktuellen Standards bei der Sicherung von Daten einhalten. Grund sind vor allem mangelnde Kenntnisse der eigenen Infrastruktur. Unternehmen etwa, die historisch gewachsen sind, wissen oftmals noch nicht einmal, wie viele Computer sie an welchen Standorten im Einsatz haben und mit welchem Kryptoverfahren die darauf befindlichen Daten gesichert sind. Die Experten raten daher dazu, hier organisatorische Maßnahmen zu ergreifen, um den Grundschutz herzustellen. Das bedeutet zwar nicht, die Krypto selbst zu machen, aber zu wissen, welche Verschlüsselungsverfahren man wo ansetzt. Das geht über die allseits bekannte Notwendigkeit der Wahl geeigneter Passwörter und aktueller Software hinaus.
Wer sich dazu informieren möchte, kann sich an das Bundesamt für Sicherheit in der Informationstechnik wenden oder sich die Broschüre "Informationssicherheit mit System – Der IT-Grundschutz des BSI" (externer Link) herunterladen.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!