8 Minuten Lesezeit 22 Februar 2022
IT Manager laufen durch einen Serverraum

Quantentechnologie und Cybersicherheit: Wie Firmen sich schützen können

Von Carina Kießling

Manager Technology, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Manager im Technology Consulting; Studien- und Forschungshintergrund in Physik mit einer Spezialisierung auf Quantentechnologie; Quantum Computing Leader EY Deutschland und Europe West

8 Minuten Lesezeit 22 Februar 2022

Cyberattacken werden durch Quantencomputer deutlich gefährlicher. So können sich Unternehmen schützen.

Überblick
  • Die Quantentechnologie bietet Firmen enorme Chancen, erhöht jedoch gleichzeitig das Risiko für Cyberattacken exponentiell.
  • Gängige und häufig genutzte Verschlüsselungsverfahren werden in naher Zukunft zur riesigen Sicherheitslücke.
  • Die gute Nachricht lautet: Unternehmen sind der Gefahr keinesfalls ausgeliefert. Sie können sich wirkungsvoll vor der wachsenden Bedrohung schützen.

Quantencomputer gelten als Schlüsseltechnologie des 21. Jahrhunderts. Ihr Potenzial ist kaum zu ermessen – ob für die Informationsübertragung und -verarbeitung, für höchst präzise Mess- und Abbildungsverfahren oder für die Simulation komplexer Systeme. Wissenschaftler versprechen sich von ihnen unter anderem, Krankheiten besser verstehen, Impfstoffe und Medikamente schneller entwickeln, den Verkehrsfluss optimieren oder bessere Batterien für Elektroautos oder leichtere Werkstoffe herstellen zu können. Interessant sind Quantencomputer für zahlreiche Branchen und Unternehmensbereiche: für Logistik und Produktion, für die Pharma- und Chemiebranche, die Energiewirtschaft, aber auch für Banken und Versicherungen, die mit ihrer Hilfe zum Beispiel komplexe Risikomodelle berechnen können. Es wird nahezu keinen Bereich geben, der durch Quantentechnologie nicht disruptiv verändert wird.

Quantentechnologie als große Chance – und gewaltiges Sicherheitsrisiko

Quantencomputer können bereits jetzt in kürzester Zeit Probleme lösen, für die bisherige, konventionell bitbasierte Supercomputer signifikant länger brauchen würden oder die sie gar nicht lösen könnten. Auch auf Basis der Quantentechnologie grundlegend veränderte Geschäftsmodelle sind laut den Vorreitern aus der Technologiebranche bald keine Zukunftsmusik mehr: Fünf Jahre dauert es ihrer Einschätzung nach, bis die Quantentechnologie Einzug in die meisten führenden Unternehmen gehalten haben wird. Schon heute ist es entscheidend, vorbereitet zu sein, um in der technologiegetriebenen Geschäftswelt von morgen ganz vorn mitwirken zu können.

Für Firmen gibt es jedoch einen weiteren dringlichen Grund, sich mit der neuen Technologie zu befassen: Mit der exponentiell steigenden Rechenleistung der Quantencomputer geht ein enormes Sicherheitsrisiko einher, und zwar nicht erst in ferner Zukunft. Unternehmen, die sich jetzt nicht damit auseinandersetzen, laufen Gefahr, dass Hacker, ausländische Geheimdienste, konkurrierende Unternehmen, aber auch Wirtschaftskriminelle ihre Daten stehlen und mithilfe der neuen leistungsfähigen Technologie dechiffrieren.

Damit verschärft die Quantentechnologie ein ohnehin immenses Risiko für die Unternehmen. So haben jüngste konventionelle Bedrohungen, Hackerangriffe und Fälle von Datendiebstahl gezeigt, wie anfällig das heutige Datensicherheitsmanagement ist. Erst im Dezember 2021 rief das Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgrund einer Sicherheitslücke in Javascript die Warnstufe rot aus – die kritischste Warnstufe des BSI. Sie wurde seit der Gründung des BSI lediglich viermal ausgerufen – zweimal davon im vergangenen Jahr. Der technische Fortschritt bei Quantencomputern wird die bereits vorhandenen Risiken immens verstärken und neue Bedrohungen schaffen.

Unternehmen, die sich jetzt nicht mit den erhöhten Cyberrisiken durch Quantencomputer auseinandersetzen, laufen Gefahr, dass Hacker, ausländische Geheimdienste und konkurrierende Unternehmen ihre Daten stehlen und mithilfe der neuen Technologie dechiffrieren.
Carina Kießling
Manager Technology, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Welche Bedeutung haben Quantencomputer?

Bei Quantencomputern handelt es sich um eine fundamental neue Art von Computersystemen, die auf der Wechselwirkung quantenmechanischer Zustände basieren und eine neue Dimension von Rechenleistung eröffnen. Die Technologie ist hochkomplex und nicht einfach zu beschreiben, einige grundlegende Parameter verdeutlichen jedoch ihre enorme Leistungsfähigkeit. So arbeiten Quantencomputer nicht mit klassischen Bits wie in der binären Informatik, die nur den Zustand 1 oder 0 kennen. Sie arbeiten mit Quantenbits oder kurz Qubits.

Ein Qubit kann nicht nur den Zustand 1 oder 0 annehmen, sondern 1 und 0 gleichzeitig – und theoretisch unendlich viele Zustände dazwischen, dies nennt man Superposition. Zur Verdeutlichung kann eine Münze dienen: Soll sie ein klassisches Bit darstellen, liegt sie entweder mit Kopf oder Zahl nach oben, das wäre eine 0 oder eine 1. Ein Qubit dagegen lässt sich durch eine in die Luft geworfene Münze visualisieren, die sich schnell um sich selbst dreht. Bei ihr lässt sich nicht sagen, ob Kopf oder Zahl oben ist, sie befindet sich in beiden Zuständen gleichzeitig. Erst wenn der Zustand des Qubits gemessen wird, nimmt es einen diskreten Wert an.

Female IT Technician and Male Server Engineer Talk and Discuss

Whitepaper: Das IT-Sicherheitsrisiko Quantencomputer

Sind Sie gegen exponentielle Cyberbedrohungen durch Quantentechnologie gewappnet?

Jetzt herunterladen

Der maßgebliche Vorteil der Quantencomputer liegt darin, dass keine diskreten Zustände gemessen und verglichen werden, sondern mit Zustandswahrscheinlichkeiten gearbeitet wird. Dadurch kann eine exponentiell höhere Zahl an Zuständen dargestellt und eine exponentiell höhere Rechenleistung realisiert werden. Ebenso exponentiell steigt in der Folge auch das Risiko, Opfer eines Hackerangriffs zu werden.

Wann werden Quantencomputer zur Bedrohung für die Cybersicherheit?

Vorangetrieben wird die Entwicklung der Quantencomputer neben führenden Forschungseinrichtungen von Universitäten unter anderem von großen Technologiefirmen wie IBM, Google und Microsoft. So hat IBM im November 2021 einen neuen Quantencomputer vorgestellt. Statt über 65 Qubits, wie bisher üblich, verfügt er über 127 Qubits, was die Rechenleistung in neue Größenordnungen hebt. MIT und Harvard haben ein System mit 256 Qubits realisiert. Bereits 100 Qubits können mehr Zustände darstellen, als es Atome auf der Erde gibt. Ab 267 Qubits geht man davon aus, dass Quantencomputer mehr Zustände abbilden können, als Wissenschaftler die Anzahl der Atome im Weltall schätzen; in etwa 1080 Zustände.

Noch im Jahr 2022 sollen laut IBM Quantencomputer mit 433 und 1.121 Qubits folgen. Den Bau von Quantensystemen mit 1 Million Qubits sagen Experten bis zum Ende des laufenden Jahrzehnts voraus. Zu diesem Zeitpunkt – so die Prognose von Technologiefirmen wie IBM und Microsoft – wird die Quantentechnologie kommerziell weit verbreitet und standardmäßig nutzbar sein. Spätestens dann wird auch die erhöhte Sicherheitsbedrohung, die von ihr ausgeht, allgegenwärtig sein.

Angesichts dieser Entwicklungen lautet die Antwort auf die von Firmen häufig gestellte Frage „Wann wird die Bedrohung durch die Quantentechnologie Realität?“: Waren Quantencomputer bis vor einigen Jahren noch eine schillernde Zukunftsvision von Forschern, rücken insbesondere die Entwicklungen der vergangenen drei Jahre ihren künftigen Einsatz in greifbare Nähe. 2019 markierte mit der Proklamation von Quantenüberlegenheit früher als von vielen Experten erwartet einen Meilenstein in der Entwicklung des Quantencomputings. Es wurde nachgewiesen, dass Quantencomputer komplexe Problemstellungen lösen können, die für klassische Computersysteme technologisch und/oder zeitlich bisher unlösbar waren. Mit diesem Ausblick steigerte sich die Attraktivität von Investitionen in die Quantentechnologie-Entwicklung deutlich.

Wer hat Zugriff auf Quantencomputer?

Neben den großen Technologiefirmen gibt es zum Beispiel Startups und Universitäten, die über Quantenrechner verfügen. Viele Staaten bzw. Staatenvereinigungen – darunter die USA, China, Japan und die EU – investieren Milliardensummen in die Entwicklung der neuen Quantentechnologie. In absehbarer Zukunft wird es jedoch nicht so sein, dass jede Privatperson und jeder Hacker einen Quantencomputer besitzt – allein aufgrund der Kosten und der physikalischen Bedingungen, die ein solcher Rechner heute noch benötigt. So müssen beispielsweise bestimmte sehr leistungsstarke Typen von Quantencomputern nahezu auf die tiefstmögliche Temperatur von 0 Kelvin, das sind –273,15 Grad Celsius, heruntergekühlt werden. Dafür braucht es aufwändige und große Kühlungen. Was aber bereits jetzt angeboten und in Zukunft zunehmen wird, sind Cloud-Services, die von Unternehmen wie IBM, Microsoft, Amazon und Google bereitgestellt werden und Firmen, Institutionen und Privatpersonen den Zugang zur Quantentechnologie ermöglichen. Zu diesen Cloud-Services können sich Hacker Zugang verschaffen.

Welche konkreten Cyberrisiken gehen von der Quantentechnologie aus?

Einige der durch die Quantentechnologie drohenden Cybergefahren lassen sich bereits heute absehen. So werden bestimmte gängige kryptografische Chiffrierungen in naher Zukunft nahezu nutzlos sein, da sie von Quantensystemen spielend leicht gehackt werden können. Dazu zählen praktisch alle asymmetrischen kryptografischen Verschlüsselungen wie das häufig eingesetzte RSA-Verfahren. Angreifbar werden dadurch zahlreiche täglich genutzte Lösungen wie VPN-Netzwerke, E-Mail-Systeme, Online-Banking und digitale Signaturen. Beispielrechnungen zeigen das Ausmaß der Bedrohung: Für die Primfaktorzerlegung einer RSA-Verschlüsselung mit einer Schlüssellänge von 2.048 Bits würde ein herkömmliches Computersystem heute theoretisch 100.000 Jahre benötigen, wohingegen ein Quantencomputer diesen Schlüssel in weniger als zwei Minuten dechiffrieren kann, sobald die Hürde von 80 stabilen Qubits erreicht ist.

Abzuwehren gilt es aber nicht nur Echtzeitangriffe, denen Firmen zunehmend ausgesetzt sein werden. Eine große Gefahr besteht in „Harvest now – decrypt later“-Verfahren. Das bedeutet: Angreifer können verschlüsselte Daten heute schon sammeln und kopieren, um sie später mit Zugang zu Quantensystemen zu entschlüsseln. Auch wenn viele der Daten in Zukunft nicht mehr sicherheitsrelevant sein werden, sind insbesondere sensible Daten von Regierungen und öffentlichen Einrichtungen sowie Daten aus Branchen mit langen Forschungs- und Entwicklungszyklen wie der Automobilindustrie, der Luft- und Raumfahrt und dem Life-Sciences-Sektor enorm gefährdet.

Für die Primfaktorzerlegung einer RSA-Verschlüsselung mit einer Schlüssellänge von 2.048 Bits würde ein herkömmliches Computersystem heute theoretisch 100.000 Jahre benötigen, wohingegen ein Quantencomputer diesen Schlüssel in weniger als zwei Minuten dechiffrieren kann.

Was sind quantensichere Verschlüsselungsverfahren?

Für Firmen gibt es jedoch auch eine gute Nachricht: Die Bedrohung der Cybersicherheit durch Quantencomputer ist keinesfalls unendlich. Es gibt Möglichkeiten, sich zu schützen. So sind bereits heute Simulationen und Berechnungen möglich, die zeigen, welche Verschlüsselungen bedroht sind und welche nicht. So ist zum Beispiel im Gegensatz zur asymmetrischen die symmetrische Verschlüsselung wie bei AES-Verfahren unter der Annahme bisheriger Quantenalgorithmen und Quantencomputer-Entwicklung weitgehend quantensicher. Hier werden voraussichtlich lediglich längere Schlüssel erforderlich sein, damit sie auch einer Entschlüsselung durch Quantencomputer standhalten. Bislang ist das Austauschen von gängigen und als sicher geltenden Schlüsseln in Unternehmen allerdings eher die Ausnahme und Firmen sollten den Vormarsch dringend vorantreiben.

Wichtige Hinweise darauf, wie Unternehmen ihre Daten auch mit asymmetrischen Verfahren sicher verschlüsseln können, gibt die Disziplin der Post-Quanten-Kryptografie. Sie beschäftigt sich mit der Entwicklung kryptografischer Verfahren, die nach aktuellem Kenntnisstand auch mit leistungsstarken Quantencomputern nicht gehackt werden können, und zeigt Firmen damit konkrete Handlungsoptionen auf.

Wie können sich Unternehmen schützen?

EY unterstützt Firmen dabei zu erkennen, wie gut ihre Cybersicherheit und ihr Geschäftsmodell für das Quantenzeitalter gewappnet sind und wie sie ihr Risiko, Opfer von Quantenangriffen zu werden, reduzieren können. Im Hinblick auf die Bedrohung durch Quantencomputer kommt es insbesondere bei langfristig schützenswerten Daten darauf an, diese vor der Konkurrenz sicher zu machen. Bei der Neu- und Weiterentwicklung von Sicherheitsanwendungen sollte vor allem auch darauf geachtet werden, die kryptografischen Mechanismen möglichst flexibel zu gestalten, um auf alle denkbaren Entwicklungen reagieren, kommende Standards umsetzen und möglicherweise in Zukunft Algorithmen, die nicht mehr das erforderliche Sicherheitsniveau garantieren, austauschen zu können. Das Schlagwort lautet Kryptoagilität.

Letztlich sollten Firmen bei der notwendigen Auseinandersetzung mit der Quantentechnologie nicht vergessen: Auch für die Cybersicherheit der Unternehmen ist die neue Technologie Risiko und Chance zugleich. So drohen Quantencomputer aktuelle kryptografische Protokolle nutzlos zu machen, während sie gleichzeitig den Weg für eine neue Generation kryptografischer Algorithmen und Sicherheitsleistungen bahnen, die besonders immun gegen konventionelle Cyberattacken sind und den künftig unausweichlichen Quantenangriffen standhalten.

Fazit

Quantencomputer werden Firmen bereits in naher Zukunft große Chancen eröffnen. Gleichzeitig erhöhen sie jedoch das Risiko für Cyberattacken. Das gilt nicht nur für künftige Echtzeitangriffe. Hochgefährlich sind bereits heute „Harvest now – decrypt later“-Verfahren, bei denen Kriminelle, ausländische Geheimdienste oder konkurrierende Unternehmen verschlüsselte Daten stehlen und dechiffrieren, sobald Quantencomputer ausreichend leistungsstark und einfacher zugänglich sind. Um sich heute und in Zukunft vor Angriffen zu schützen, sollten Unternehmen ihren kryptografischen Fußabdruck ermitteln und eine Roadmap für den Übergang zu quantensicheren Verschlüsselungsmethoden erstellen.

Über diesen Artikel

Von Carina Kießling

Manager Technology, Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft | Deutschland

Manager im Technology Consulting; Studien- und Forschungshintergrund in Physik mit einer Spezialisierung auf Quantentechnologie; Quantum Computing Leader EY Deutschland und Europe West