eperi-Warnung vor dem Post-Quantum-Datenschutz-GAU

Wenn Quantencomputer vollständig einsatzbereit werden, droht eine Vielzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet zu werden

[datensicherheit.de, 04.09.2025] Sogenannte Quantencomputer werden künftig vermutlich vieles möglich machen, was bis heute noch unerreichbar scheint – dies gilt dann leider auch für Cyberkriminalität: Denn wenn Quantencomputer dann vollständig einsatzbereit werden, droht eine Vielzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet zu werden. Da dies auch Bedrohungsakteure wissen, liegt es nahe, dass von ihnen gestohlene, heute noch geschützte Daten erst einmal „geparkt“ werden und auf den richtigen Zeitpunkt gewartet wird, um diese mittels Quantencomputern zu entschlüsseln. – eperi warnt in einer aktuellen Stellungnahme vor diesem „Harvest-now-decrypt-later“-Szenario und erörtert folgende Problematik: „Viele warten mit Datenschutzmaßnahmen für die Quantencomputer-Ära, bis es so weit ist. Doch was ist, wenn die verheerendsten Datenschutzverletzungen bereits heute und damit ,Pre-Quantum’ passieren?“

Datenschutz-„Supergau“ bereits heute ernstzunehmende Herausforderung

Die Widersprüchlichkeit in den Prognosen zur Einsatzfähigkeit von Quantencomputern sei nun ein historisches Merkmal sogenannter disruptiver Technologien. „Die einen sprechen von baldigen ersten Ergebnissen, die anderen von einem Zeithorizont von 15 Jahren oder mehr.“

• Dabei wäre eine möglichst genaue Eingrenzung der Verfügbarkeit von Quantencomputern für den operativen Einsatz entscheidend.

Denn ab dem Zeitpunkt, zu dem Quantencomputer der reinen Entwicklung und Forschung dann entwachsen sind, sei die Mehrzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet. „Und das ist nur die halbe Wahrheit, denn der Datenschutz-,Supergau’ passiert vermutlich bereits heute.“

Diebstahl verschlüsselter Daten eben nicht mehr egal

Seit einiger Zeit gelte das Credo, dass Unternehmen und Organisationen ihre Daten sowohl „at-rest“ als auch „in-transit“ ordentlich verschlüsseln müssten, damit ein potenzieller Diebstahl oder ein Abfangen durch Cyberkriminelle bzw. staatlich gesteuerte Spionage ins Leere laufe. Aus der heutigen Perspektive betrachtet sei dies zutreffend: Denn aktuell könnten die Cyberkriminellen verschlüsselte Daten nicht lesen, was diese gegenwärtig noch nutzlos mache.

• Bösartige Akteure wüssten indes sehr genau, „welche Art von Daten interessant sind und auch, welche Brisanz in diesen steckt“. Da viele Daten auch in einigen Jahren noch relevant für kriminelle Handlungen sein könnten, liege es nahe, diese Daten erst einmal zu „parken“ und auf den richtigen Zeitpunkt zu warten. Insbesondere asymmetrisch verschlüsselte Daten seien wie „Rohdiamanten“: Man bekomme sie einfach und günstig.

Wer dann zu einem späteren Zeitpunkt die passenden Entschlüsselungswerkzeuge hat, könne sie Jahre nach dem eigentlichen Diebstahl, quasi im „geschliffenen“ Zustand, für ein Zigfaches der ursprünglichen Investition missbrauchen. Daher werde es kaum Cyberkriminelle geben, welche erbeutete verschlüsselte Daten „wegwerfen“. Vielmehr sei anzunehmen, dass diese ihre Beute massenhaft archivierten, um die asymmetrische Verschlüsselung bei verfügbarer „Quantum Computing“-Leistung zu entschlüsseln und zu Geld zu machen – ähnlich einer Wertanlage oder Altersvorsorge.

Klare Zielvorgabe erforderlich, denn Experten erwarten um 2029 cyberkriminelle Entschlüsselung

Laut Gartner könnten die bisher als sicher geltenden asymmetrischen Verschlüsselungsmethoden wie RSA oder ECC durch „Quantum Computing“ ab dem Jahr 2029 entschlüsselt werden. „Das sind gerade einmal vier Jahre, ein Wimpernschlag in der IT-Technologie und gleichzeitig eine Zeitspanne, in der gerade in der IT sehr viel Potenzial für Neuerungen steckt.“

• Organisationen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI), die EU-Kommission und das NIST (National Institute of Standards and Technology in den USA) forderten daher dazu auf, den künftigen cyberkriminellen Entschlüsselungsmöglichkeiten vorzubeugen und bereits heute quantensichere Verschlüsselungsverfahren einzusetzen.

Die Grundlage dafür liefere die im Juni 2025 veröffentlichte „Roadmap“ der NIS-Kooperationsgruppe, welche auf eine koordinierte „Post Quantum Kryptographie“- Transition (PQC) in allen Mitgliedstaaten mit klar definierten Meilensteinen abziele:

• Bis 31.12.2026:
  – Entwicklung nationaler „PQC-Roadmaps“
  – Einbindung von Stakeholdern und Durchführen von Risikoanalysen
  – Start der Pilotprojekte für „High- & Medium-Risk“-Anwendungen
• Bis 31.12.2030:
  – Abschluss der PQC-Umstellung für „High-Risk“-Anwendungsfälle
  – Finalisierung der Umsetzungspläne für „Medium-Risk“-Szenarien
• Bis 31.12.2035:
  – Abschluss der PQC-Transition für möglichst viele Medium- und „Low-Risk“-Systeme

Unternehmen bereits heute aufgerufen, für Datenschutz im Kontext der „Post Quantum Kryptographie“ zu sorgen

Eine Verschlüsselung von Daten sei nur dann wirksam, wenn die Verschlüsselung für den Weg der Übertragung und in der „Cloud“ funktioniere, ohne Funktionen in den angestammten Anwendungen einzuschränken. Die Lösung für dieses Problem liege in einem Verschlüsselungs-„Gateway“ (wie z.B. „eperi sEcure“), welches „die relevanten Daten mit zukunftssicheren Algorithmen verschlüsselt und trotz einer ununterbrochenen Verschlüsselung die Ver- und Bearbeitung der Daten in ihren Anwendungen zulässt“.

• Durch das neue Erweiterungsmodul „eperi QuantumEdge“ ließen sich die Vorbereitungen für die „Post-Quantum“-Ära maßgeblich abkürzen. Unternehmen profitierten von einer sicheren, schrittweisen Migration hin zu einer hybriden oder vollständig postquanten-resistenter Transportverschlüsselung. Damit erhielten Unternehmen nicht nur ein Werkzeug für eine sicher „Post-Quantum“-Verschlüsselung, sondern gleichzeitig auch ein Migrations-„Tool“, mit welchem bisherige verschlüsselte Datenbestände auf das quantensichere Schutzniveau mit einem hohen Grad an Automatisierung angehoben werden könnten. Mit Hilfe eines „Dashboards“ hätten Unternehmen zudem über ihren gesamten Datenverkehr hinweg Klarheit, „welche Verschlüsselungsalgorithmen von eingesetzten Anwendungen, Diensten und Endpunkten genutzt werden – unabhängig davon, ob sie bekannt oder Teil der ,Schatten-IT’ sind“.

Durch die Analyse bestehender Verbindungen erkenne diese Lösung PQC-kompatible Systeme und ermögliche hybride TLS-Verbindungen (klassisch sowie postquanten-resistent). Auf diese Weise werde die PQC-Transition transparent, steuerbar und ohne Eingriff in bestehende Anwendungen umsetzbar – ideal zur Einhaltung aktueller und kommender „Compliance“-Vorgaben. Die zusätzliche „Reporting“-Funktion diene auch als Nachweis für Stakeholder wie Versicherungen, Banken oder Kunden und Partner.

Weitere Informationen zum Thema:

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI
Quantenbedrohung voraus – Wie Sie Ihre Cloud-Daten zukunftssicher schützen / Zukunftssichere Cloud-Sicherheit beginnt heute

EPERI, Ricardo Izzi, 05.08.2025
Post-Quantum Cryptography (PQC): Warum jetzt der richtige Zeitpunkt für Ihre Transition ist / Quantencomputer stehen kurz davor, klassische Verschlüsselung obsolet zu machen. Erfahren Sie, wie Ihr Unternehmen mit Post-Quantum Cryptography jetzt sicher in die Zukunft startet.

Gartner, Mark Horvath, 30.09.2024
Begin Transitioning to Post-Quantum Cryptography Now / Quantum computing will render traditional cryptography unsafe by 2029. It’s worth starting the post-quantum cryptography transition now.

NIST NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, Dustin Moody, März 2025
NIST PQC – The Road Ahead

Europäische Kommission
NIS-Kooperationsgruppe

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten