Quantencomputing: Abwarten ist keine Strategie, sondern ein Risiko

Eine futuristisch anmutende Vision wird zur konkreten Herausforderung für Unternehmen. Interview mit Jon France, CISO bei ISC2.

Jon France ist CISO bei ISC2

Quantencomputing ist nicht mehr nur eine Zukunftsvision – es hält zunehmend Einzug in die reale Welt. Laut der ISC2 Cybersecurity Workforce Study glauben 36 Prozent der Cybersicherheitsexperten, dass Quantencomputing die Sicherheitslage ihres Unternehmens negativ beeinflussen wird. Trotz dieser wachsenden Erkenntnis hinken konkrete Vorbereitungen hinterher. Zur Bewältigung dieses Problems hat der Verband für Fachkräfte im Bereich Cybersicherheit, ISC2, eine Quantum Transition Task Force eingerichtet. Diese Arbeitsgruppe bietet der Cybersicherheits-Community fachkundige Beratung, praktische Einblicke und Empfehlungen für den Aufbau von Krypto-Agilität zur Vorbereitung auf eine Post-Quanten-Zukunft.

Computing sprach mit ISC2-CISO Jon France.

Warum ist das Bewusstsein für die Risiken des Quantencomputings in vielen Unternehmen noch immer so gering?

Während Quantencomputer langsam auf den Radar von Unternehmen gelangen, sind das Bewusstsein und Verständnis dafür noch gefährlich gering ausgeprägt. Zu viele betrachten Quantencomputer immer noch als „ein Jahrzehnt entfernt“, was zu Selbstzufriedenheit führt. Wie das britische NCSC (National Cyber Security Centre) warnt, könnte dieser Übergang das Y2K-Problem wie eine Lappalie erscheinen lassen. Das Problem besteht nicht nur in der Anerkennung, sondern auch die Priorisierung. Viele Unternehmen konzentrieren sich nach wie vor auf die dringenden Bedrohungen von heute und verschieben die Vorbereitungen für morgen. Aber zu warten, bis die Quantentechnologie ausgereift ist, ist einfach zu spät.

Die neuen NIST-PQC-Standards gelten als Meilenstein – warum haben sie Ihrer Einschätzung nach trotzdem noch wenig praktische Wirkung in der Industrie?

Das US-amerikanische National Institute of Standards and Technology (NIST) hat kürzlich neue Standards für die Post-Quanten-Kryptografie (PQC) formalisiert. Das ist ein wichtiger Meilenstein für die Gewährleistung der zukünftigen Widerstandsfähigkeit, aber das Bewusstsein und die Akzeptanz dafür sind jedoch nach wie vor begrenzt. Außerhalb hochspezialisierter Teams betrachten viele PQC nach wie vor als abstrakte akademische Übung und nicht als dringende operative Priorität. Dies ist sowohl ein Versagen der Führungskräfte als auch der Kommunikation. Ohne das Engagement der Vorstände und der obersten Führungsebene liegen wichtige kryptografische Upgrades weiterhin auf Eis.

Regierungen und kritische Infrastruktursektoren sind hier Vorreiter, aber eine breitere Akzeptanz in der Industrie ist dringend erforderlich.

Welche weit verbreiteten Missverständnisse über Quantencomputing und seine Bedrohungen begegnen Ihnen aktuell am häufigsten?

Eines der gefährlichsten Missverständnisse ist, dass Quantencomputing nach wie vor Science-Fiction ist. Während groß angelegte Quantenmaschinen noch in der Entwicklung sind, warten die Gegner nicht ab. Sie stehlen bereits heute verschlüsselte Daten, um sie später, wenn die Technologie ausgereift ist, zu entschlüsseln – eine Taktik, die als „harvest now, decrypt later“ bekannt ist. Ein weiterer Mythos ist, dass nur Regierungen oder kritische Infrastrukturen sich Sorgen machen müssen. In Wahrheit muss jedes Unternehmen, das mit sensiblen Daten umgeht, unabhängig von seiner Größe, Vorkehrungen für Quantenresilienz treffen.

Welche konkreten Chancen und Risiken sehen Sie für Unternehmen im Zusammenhang mit den Fortschritten der Quantenphysik – und warum überwiegen kurzfristig die Risiken?

Die Quantenphysik wird letztlich zu Durchbrüchen in Bereichen wie Logistik, Medizin und Materialwissenschaften führen. Diese Vorteile befinden sich jedoch noch in der Forschungsphase. Die ersten Auswirkungen auf die reale Welt werden für Unternehmen wahrscheinlich negativ sein: Angreifer werden die Quantenphysik ausnutzen, um die heutige asymmetrische Verschlüsselung zu knacken. Deshalb ist es unerlässlich und essenziell, sich auf quantensichere Kryptografie zu konzentrieren und Krypto-Agilität aufzubauen.

Wie schätzen Sie die aktuellen technologischen Entwicklungen im Bereich Quantencomputing bis 2025 ein, und wo sehen Sie dabei die größten Herausforderungen für die Industrie?

Der Fortschritt beschleunigt sich weiter. Auf der Hardware-Seite sehen wir Fortentwicklungen bei der Qubit-Dichte, der Kohärenz und der Fehlerkorrektur. Parallel dazu treibt Europa die Entwicklung von Mathematik und Algorithmen für geschäftliche und gesellschaftliche Anwendungen voran. Mit der Fertigstellung der NIST-PQC-Standards, den Fortschritten von ETSI und anderen Normungsgremien sowie der Festlegung einer Roadmap für 2035 durch das britische NCSC, sind die Grundlagen für den Übergang geschaffen. Die Herausforderung liegt weniger in der technologischen Bereitschaft als vielmehr in den Investitionen, dem Bewusstsein und der Vorbereitung der Industrie – und diese Lücke muss schnell geschlossen werden.

Inwiefern verstärken sich die Risiken durch KI und Quantencomputing gegenseitig, und warum müssen Unternehmen beide Bereiche gleichzeitig adressieren?

Risiken im Zusammenhang mit KI sind bereits spürbar – von Deepfakes bis hin zu automatisierten Angriffen. Unsere Untersuchungen zeigen, dass fast die Hälfte (48 Prozent) der Cybersicherheitsexperten davon ausgeht, dass KI sich negativ auf die Sicherheit von Unternehmen auswirken wird, und mehr als ein Drittel (34 Prozent) gibt an, dass ihren Teams Kenntnisse im Bereich KI fehlen. Quantencomputer verschärfen diese Situation zusätzlich, indem sie die Grundpfeiler der Informationssicherheit bedrohen: die Kryptografie. Angesichts von Milliarden von Geräten und Anwendungen, die in Branchen wie dem Bank-, Finanz- und Gesundheitswesen auf asymmetrische Verschlüsselung setzen, ist das Risiko enorm. Es geht nicht darum, sich zwischen KI und Quantencomputern zu entscheiden, sondern zu erkennen, dass beide Bereiche dringend Aufmerksamkeit erfordern.

Welche Maßnahmen sollten Unternehmen jetzt konkret ergreifen, um sich auf eine Post-Quanten-Zukunft vorzubereiten?

Um vorbereitet zu sein, sollten Unternehmen sofortige Maßnahmen ergreifen:

Erstens: Identifizieren Sie, wo Verschlüsselung eingesetzt wird, welche Systeme einfach zu aktualisieren sind und welche komplexen Herausforderungen diese mit sich bringen, etwa bei IoT-Geräten.

Zweitens: Stellen Sie sicher, dass Systeme schnell auf neue, quantensichere Algorithmen umgestellt werden können, sobald sich die Standards etabliert haben.

Drittens: Resilienz lässt sich nicht allein durch Technologie erreichen. Die Weiterbildung bestehender Cyber-Teams und die Förderung von Nachwuchstalenten sind unerlässlich, um eine Belegschaft aufzubauen, die in der Lage ist, den Übergang zur Post-Quanten-Ära zu bewältigen.

Was muss passieren, damit die Industrie die Vorbereitungs- und Awareness-Lücke in Bezug auf Quantencomputing schnell genug schließen kann – und welche Rolle spielt dabei die ISC2 Quantum Transition Task Force?

Quantencomputer werden unsere Herangehensweise an Technologie und Sicherheit grundlegend verändern. Ohne frühzeitige, bewusste Vorbereitung werden jedoch die Risiken schneller eintreten als die Vorteile. Die ISC2 Quantum Transition Task Force kann Fachleuten im Bereich der Cybersicherheit Leitlinien und praktische Tools zur Verfügung stellen, um die Vorbereitung zu beschleunigen. Denn wenn es um Quantencomputer geht, ist Abwarten keine Strategie, sondern ein Risiko.