Sicherheit und Vertrauen sind zentrale Bestandteile für einen reibungslosen Ablauf unseres täglichen Lebens. Insbesondere in der digitalen Welt sind Vertraulichkeit und Glaubwürdigkeit von Daten die Grundvoraussetzungen für Online-Banking, -Shopping und E-Mails, dank geschützten Transaktionen, sicherer Anmeldung sowie digital signierten Dokumenten. Aber auch ausserhalb des Internets vertrauen wir auf Kreditkarten, E-Pässe und sicheres Telefonieren mit dem Handy.
Hinter all diesen Aktivitäten in unserem Alltag stecken vielfach kryptografische Verfahren, die seit Jahrzehnten unsere Kommunikation verlässlich verschlüsseln und für Schutz und Vertrauenswürdigkeit unserer Daten sorgen. Dieser Schutz droht nun, im Lichte einer voranschreitenden Umwälzung der Computertechnik, wirkungslos zu werden.
Es geht um die Entwicklung von Quantencomputern. Bisher Unmögliches könnten diese neuen Rechner möglich machen. Quantencomputer nutzen Phänomene der Quantenphysik, um unter anderem Moleküle schneller und exakter zu simulieren, das Risiko von Investmentportfolios zeitnah zu berechnen und optimale Routen für weltumspannende Schiffs- oder Flugzeugflotten zu eruieren. Weltkonzerne, Start-ups und Hochschulen sind mit Erforschung, Bau und Kommerzialisierung von Hardware und Software für diese Rechner des 21. Jahrhunderts beschäftigt.
Aber neben dem immensen Nutzen, den sie verspricht, birgt die Quantencomputer-Technologie auch ein Risiko: In falschen Händen könnte sie dazu genutzt werden, die kryptografische Basis unserer digitalen Existenz über Bord zu werfen. Einer der Gründe dafür ist ein in den 1990er-Jahren für den Einsatz in Quantencomputern erdachter Algorithmus, benannt nach seinem Erfinder, dem Mathematiker Peter Shor. Shors Algorithmus kann nämlich die geläufigsten Methoden der Verschlüsselung und des digitalen Signierens knacken. Damit wären praktisch alle unsere Online-Tätigkeiten und Daten Cyberangriffen exponiert.
Hilfe naht
Doch zum Glück sind wir nicht wehrlos gegen zukünftige Cyberkriminelle im Besitz eines Quantencomputers. Neuartige kryptografische Algorithmen, die auch Angriffen mit der neuen Technologie standhalten, wurde in einem mehrjährigen Wettbewerb des US-amerikanischen National Institute of Technology (NIST) auserkoren und sind verfügbar – drei davon erfunden von Forschern im IBM-Forschungslabor in Rüschlikon. Die Standardisierung für die Anwendung in IT-Systemen wird bald veröffentlicht sein. Nun ist es an Unternehmen und Regierungen, diesen modernsten, vor Quantencomputern sicheren kryptografischen Schutz in Produkte, Dienstleistungen und Betrieb einzubauen.
Doch nicht überall scheint das Bewusstsein für die Dringlichkeit der Umstellung vorhanden zu sein. Anders als in den USA oder der EU, wo das Thema die Agenda der Regierung erreicht hat, hat die Schweiz noch keine nationale Strategie zur Gewährleistung der Datensicherheit im Zeitalter der Quantencomputer. Es gilt jedoch, keine Zeit zu verlieren. Experten sind sich zwar uneinig darüber, wann genau ein «kryptografisch relevanter» Quantencomputer verfügbar sein wird. In Fachkreisen geht man jedoch davon aus, dass bereits innerhalb der nächsten zehn Jahren eine realistische Chance dafür besteht. So sehen das auch NIST, das deutsche BSI oder das britische NCSC.
Heute rüsten für morgen
Doch der Fokus auf einen zukünftigen Tag, der die Zäsur markieren wird, ist jedoch irrelevant. Vielmehr ist die Herausforderung als ein Prozess anzusehen, der viel Zeit in Anspruch nehmen wird. Die Geschichte lehrt, dass Migrationen dieses Ausmasses komplex sind und selten reibungslos ablaufen. Regierungen und Unternehmen sind deshalb gut beraten, sich bereits heute mit der Thematik auseinanderzusetzen und Strategien für die Umstellung zu planen, beispielsweise kombiniert mit Modernisierungs-, Cloud-Migration- oder Beschaffungsprojekten. Eine spätere Hauruck-Übung kommt ansonsten teuer zu stehen. Zudem ist jeder Tag, der ohne quantensicheren kryptografischen Schutz vergeht, eine weitere Chance für Übeltäter. Hacker können nämlich verschlüsselte Daten heute stehlen und dann entschlüsseln, wenn sie Zugang zu einem zukünftigen Quantencomputer mit der nötigen Rechenleistung bekommen. Man stelle sich vor, welchem Schaden damit der Finanzplatz Schweiz ausgesetzt wäre, wo Bankkundendaten über Jahrzehnte geschützt bleiben müssen.
Unter diesen Voraussetzungen ist zu hoffen, dass auch in der Schweiz bald klarere Strategien und Richtlinien geschaffen werden, wie der drohenden Gefahr für Datensicherheit und -vertrauen in unserem Alltag begegnet werden muss.
Die Autoren
Dr. Marc Stoecklin ist Principal Research Scientist und Vorsteher der Abteilung Security Research am IBM-Forschungslabor in Rüschlikon. Er leitet zudem die Strategie Quantensichere Kryptographie bei IBM Research. Marc Stoecklin hat an der ETH Lausanne Kommunikationssysteme studiert und ebenfalls in demselben Bereich mit Spezialisierung auf Netzwerksicherheit und maschinelles Lernen promoviert.
Dr. Alain Gut ist Vorstandsmitglied bei
Swico und Director Public Affairs bei IBM Schweiz, nachdem er zuvor für den Geschäftsbereich Public und als Mitglied der Geschäftsleitung für das Software-Geschäft in der Schweiz und Österreich verantwortlich war. Alain Gut setzt sich in mehreren Kommissionen und Gremien für die Themen Informatik in der Bildung, Cyber-Sicherheit, Mobilität, Datenpolitik und Nachhaltigkeit ein.