Thought Leadership
Die derzeit verwendeten Verschlüsselungstechnologien könnten durch künftige Quantencomputer geknackt werden. In einer gemeinsamen Initiative fordert das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit Cybersicherheitsbehörden aus 17 EU-Staaten nun einen zügigen Übergang zur Post-Quanten-Kryptographie (PQK).
Konkrete Bedrohung durch „Store now, decrypt later“
Angreifer könnten bereits heute verschlüsselte Daten sammeln, um sie später mit leistungsfähigen Quantencomputern zu entschlüsseln. Diese als „Store now, decrypt later“ bekannte Angriffsstrategie stellt vor allem für sensible Daten eine erhebliche Bedrohung dar. Die Behörden empfehlen daher, kritische Systeme spätestens bis Ende 2030 auf quantensichere Verschlüsselung umzustellen.
„Leistungsfähige Quantencomputer könnten zukünftig ein riesiges Potential bieten. Gleichzeitig bedrohen sie aber auch die Sicherheit unserer gesamten digitalen Infrastruktur“, warnt BSI-Präsidentin Claudia Plattner. „Deshalb müssen wir jetzt handeln und Schutzmaßnahmen ergreifen.“
Maßnahmenplan vorgelegt
Die EU-Behörden haben einen konkreten Aktionsplan entwickelt, der vier zentrale Schritte umfasst: „Wir fordern die öffentliche Verwaltung, Anbieter kritischer Infrastrukturen, IT-Anbieter sowie die gesamte Industrie auf, den Übergang zur Quantenkryptographie zur obersten Priorität zu machen, heißt es in dem gemeinsamen Statement. „Organisationen und Regierungen sollten jetzt mit dem Übergang beginnen, indem sie an den folgenden Schritten arbeiten.“
Erstens sollen Organisationen eine Quantum-Bedrohungsanalyse durchführen. Diese beinhaltet eine vollständige Bestandsaufnahme der schützenswerten Assets sowie aller Anwendungen, die Kryptographie einsetzen.
Zweitens wird die Entwicklung einer risikoorientierten Roadmap gefordert. Diese muss sowohl die Sensibilität der Daten als auch deren erforderliche Schutzperiode berücksichtigen. Ein besonderer Fokus liegt dabei auf der Krypto-Agilität: Systeme sollen flexibel genug sein, um einen robusten Übergang zur Post-Quanten-Kryptographie zu gewährleisten.
Der dritte Schritt umfasst die konkrete Migrationsplanung. Unternehmen und Behörden müssen ihre Geschäftsprozesse priorisieren und entsprechende Budgets für die Umstellung einplanen.
Als vierten Punkt betonen die Behörden die Notwendigkeit weiterer Forschung im Bereich der Post-Quanten-Kryptographie sowie die Fortsetzung der Standardisierungsbemühungen.
Experten gehen laut BSI davon aus, dass die aktuell eingesetzten Public-Key-Verschlüsselungsverfahren wie RSA und ECC in den 2030er Jahren durch Quantencomputer gebrochen werden könnten. Die Behörden betonen, dass die Implementierung von Post-Quanten-Kryptographie für das künftige Cybersicherheitsrisikomanagement sowohl auf staatlicher als auch auf unternehmerischer Ebene unerlässlich sein wird.
