Thought Leadership
Obwohl die Entwicklung von Quantencomputern noch weitgehend in den Kinderschuhen steckt, verändern sie gerade unsere IT-Sicherheit. Denn leistungsfähige Quantencomputer, die es potenziell in der Zukunft geben kann, bedrohen bereits heute etablierte Verschlüsselungsmethoden.
Dies hat nennenswerte Konsequenzen für Unternehmen. Wer nicht zeitnah handelt, riskiert möglicherweise Compliance-Verstöße, Datenschutzprobleme und Haftungsrisiken.
Warum Quantencomputer ein IT-Sicherheitsrisiko darstellen
Die größte Bedrohung durch Quantencomputer liegt in ihrer Fähigkeit, asymmetrische Verschlüsselungsverfahren zu brechen. Letztere gehören heute zum Standard für sichere Kommunikation. RSA, ECC und andere kryptografische Verfahren, die auf mathematischen Problemen wie der Primfaktorzerlegung beruhen, lassen sich mit leistungsfähigen Quantencomputern knacken.
Zwar sind solche leistungsfähigen Maschinen noch nicht massenhaft verfügbar, doch staatliche Akteure wie auch Cyberkriminelle sammeln bereits heute verschlüsselte Daten in der Hoffnung, sie später mit Quantencomputern zu entschlüsseln. Unternehmen sollten sich daher schon jetzt mit quantensicheren Alternativen befassen.
Rechtliche Risiken für Unternehmen
Die Vernachlässigung dieser Bedrohung kann rechtliche Folgen haben. Unternehmen müssen sicherstellen, dass ihre IT-Systeme den gesetzlichen Anforderungen entsprechen, insbesondere:
- DSGVO-Compliance: Unternehmen sind verpflichtet, angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Eine nicht mehr zeitgemäße Verschlüsselung kann als Verstoß gegen die DSGVO gewertet werden.
- Vertragsrechtliche Risiken: Verträge mit Geschäftspartnern enthalten oft Vertraulichkeitsklauseln. Eine unzureichende Verschlüsselung oder gar ein Datenleck durch Quantencomputer-Angriffe kann eine Vertragsverletzung darstellen und beispielsweise Schadensersatzpflichten nach sich ziehen.
- Drittstaatentransfers: Ebenfalls relevant ist das Thema bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU. Unternehmen, die sich hierfür auf Standardvertragsklauseln stützen, müssen bei der Risikobewertung bereits heute die Bedrohung durch Quantencomputer berücksichtigen.
Quantensichere Verschlüsselung – der neue Standard
Die Lösung liegt in der quantensicheren Verschlüsselung, also in der Verwendung anderer Algorithmen. Im August vergangenen Jahres hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei quantensicheren Verschlüsselungsstandards veröffentlicht. Diese Standards sollen bestimmte bestehende ablösen und eine sichere Kommunikation im Quantenzeitalter ermöglichen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät dazu, sich frühzeitig mit quantensicherer Verschlüsselung auseinanderzusetzen. Bis spätestens 2030 sollten kritische IT-Systeme auf die neuen Standards umgestellt sein, um Sicherheits- und Compliance-Risiken zu minimieren.
Handlungsempfehlungen für Unternehmen
Um mit den sich verändernden IT-Sicherheitsanforderungen Schritt zu halten, sollten Unternehmen insbesondere in folgenden Bereichen aktiv werden:
- Risikobewertung: Identifikation von IT-Systemen und Daten, die durch Quantencomputer gefährdet sind.
- Regulatorische Anforderungen prüfen: Berücksichtigung branchenspezifischer Sicherheitsstandards und Compliance-Vorgaben.
- Migrationsstrategie: Entwicklung eines Plans zur Einführung quantensicherer Verschlüsselungsverfahren.
- Partner und Dienstleister einbinden: Zusammenarbeit mit Cloud-Anbietern und anderen IT-Dienstleistern zur Einführung quantensicherer Technologien.
Fazit
Quantencomputer sind nicht nur ein Zukunftsthema, sondern betreffen die IT-Sicherheit bereits heute. Unternehmen, die sich nicht rechtzeitig mit quantensicherer Verschlüsselung befassen, riskieren möglicherweise nicht nur ihre Daten, sondern auch regulatorische Sanktionen und eine zivilrechtliche Haftung. Die gilt vor allem für Unternehmen, die mit langlebigen Daten umgehen. Wer früh handelt, ist im Vorteil.
Autorin: Dr. Juliana Kliesch, Associate bei Bird & Bird
