[datensicherheit.de, 12.05.2025] Laut einer aktuellen Stellungnahme von Utimaco wird der sogenannte Q-Day zu einer realen Bedrohung – und gibt Unternehmen Tipps, um sich rechtzeitig darauf vorzubereiten. „Q-Day“ bezeichnet demnach den Tag, an dem böswillige Akteure Zugang zu quantengestützten Cyberangriffen haben werden – „er könnte bereits 2030 eintreten“. Um nun weiterhin digitale Sicherheit zu gewährleisten, müsse sich die heutige Kryptographie drastisch verändern. Cindy Provin, „CSO“ bei Utimaco, führt aus, wie sich Unternehmen auf diese Herausforderung vorbereiten sollten.

Foto: UtimacoCindy Provin rät Unternehmen, ihre kryptographische Infrastruktur für mehrere Anwendungsfälle neu zu definieren

Überlegene Quanten-Rechenleistung könnte heutige gängige Verschlüsselungsverfahren aushebeln

Bereits um das Jahr 2030 könnten Quantencomputer mit kryptographischer Relevanz kommerziell verfügbar werden. „Ihre überlegene Rechenleistung würde es ermöglichen, heutige gängige und als sehr sicher geltende Verschlüsselungsverfahren zu brechen“, prognostiziert Provin. Ähnlich wie bei anderen Technologien zuvor, sei auch bei Quantencomputern von wachsender Verbreitung und sinkenden Kosten auszugehen, so dass diese früher oder später auch eine Option für Cyberkriminelle werden könnten.

„Deshalb sollten Unternehmen frühzeitig Maßnahmen ergreifen und den Umstieg auf quantensichere Algorithmen (Post Quantum Cryptography / PQC) vorbereiten.“ Auch wenn dies mit erhöhtem Aufwand und zusätzlichen Ressourcen verbunden sei – etwa durch den Einsatz komplexerer Verfahren – dürfe dieses Thema nicht aufgeschoben werden. Provin warnt: „Kommt es tatsächlich zu Angriffen auf klassische Kryptosysteme, könnten die Folgen verheerend sein!“

Quantenrechner – nicht nur eine abstrakte Bedrohung

Gefährdet sei insbesondere die asymmetrische Kryptographie, bei der die Beziehung zwischen privatem und öffentlichem Schlüssel über schwer umkehrbare mathematische Operationen hergestellt werde. „Mit aktueller Hardware ist es nicht in reeller Zeit möglich, aus einem öffentlichen Schlüssel auf den damit verknüpften aber geheimen privaten Schlüssel zu schließen.“ Die überlegene Rechenleistung der Quantenrechner könnte indes diese Grundlage moderner Kryptosysteme zunichtemachen – mit drastischen Konsequenzen:

• „Asymmetrische Kryptografie ist heute allgegenwärtig – auch wenn viele Menschen sie kaum bewusst wahrnehmen. Sie bildet die Grundlage für sichere Verbindungen im Internet (HTTPS) und schützt die Kommunikation in Messenger-Diensten wie ,WhatsApp’ durch Ende-zu-Ende-Verschlüsselung.“
• Auch digitale Nachweise, wie sie künftig in der von der EU geplanten „ID-Wallet“ gespeichert werden sollen, basierten auf diesem Prinzip. Dabei könnten Inhalte mit einem öffentlichen Schlüssel überprüft werden, während nur befugte Stellen mit entsprechenden privaten Schlüsseln zur Ausstellung berechtigt seien.
• Ebenso komme asymmetrische Kryptographie bei qualifizierten elektronischen Signaturen zum Einsatz. „Ein Angriff auf die dafür verwendeten Zertifikate könnte digitale Verträge kompromittieren, beziehungsweise wertlos machen!“

Derzeitige Vorbereitungen auf die Bedrohung durch quantenbasierte Cyberangriffe

Angesichts der realen Bedrohung durch quantenbasierte Cyberangriffe stelle sich die Frage, wie die Wirtschaft mit dem Thema umgeht. „Nur 20 Prozent der Unternehmen haben bereits mit der PQC-Migration begonnen, wie eine Umfrage von Utimaco unter mehr als 200 Organisationen in den USA, dem Vereinigten Königreich und Deutschland zeigt.“

• 34 Prozent der Befragten möchten immerhin innerhalb der nächsten ein bis drei Jahre mit der Migration beginnen,
• 21 Prozent im Zeitraum von drei bis fünf Jahren und acht Prozent in fünf bis zehn Jahren.
• 17 Prozent der Unternehmen hätten noch keine Pläne zur Umstellung auf Post-Quanten-Kryptographie.

Umstellung auf Postquanten-Kryptographie kein Nebenprojekt – sondern umfassende Transformation

Provin betont: „Dabei sollten Verantwortliche bedenken, dass die Umstellung auf Postquanten-Kryptographie kein Nebenprojekt, sondern eine umfassende Transformation ist, bei der Unternehmen ihre kryptographische Infrastruktur für mehrere Anwendungsfälle neu definieren müssen.“ Die Umstellung auf neue kryptographische Algorithmen könne für bestehende Systeme störend sein – insbesondere aufgrund längerer Schlüssel und unterschiedlicher Implementierungen.

• Bei den Unternehmen, die an einer PQC-Migration arbeiten, bevorzugten die meisten (63%) einen hybriden Ansatz, d.h. die Kombination klassischer und Post-Quantum-Kryptographie.
• 17 Prozent planten hingegen eine vollständige PQC-Implementierung.

Hardware-Anbieter und Kryptographie-Dienstleister sollten kryptoagil sind, um bei Bedarf neue, quantensichere Algorithmen aufspielen zu können

„,Quantum Key Distribution’ (QKD), eine Methode des Schlüsselaustauschs, die sich selbst Quanteneffekte zunutze macht, möchten lediglich zwölf Prozent der befragten Unternehmen als zusätzliche Sicherheitsmaßnahme implementieren.“ Gründe dafür könnten der Bedarf an neuer, hochspezialisierter Hardware sowie physikalische Einschränkungen der Übertragungswege sein.

PQC lasse sich hingegen sehr gut in bestehende Systeme integrieren. Provin abschließender Hinweis: „Unternehmen sollten jedoch darauf achten, dass Hardware-Anbieter oder Kryptographie-Dienstleister kryptoagil sind, so dass sie bei Bedarf neue, quantensichere Algorithmen auf ihre Geräte aufspielen können.“

Weitere Informationen zum Thema:

utimaco, 2025
2025 Utimaco PQC Readiness Report / Insights into PQC Migration from 200+ IT Security Professionals

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022]
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

datensicherheit.de, 19.07.2022
Quanten-Kryptographie könnte Ende der Lauschangriffe bedeuten / Abhör- sowie Manipulationsversuche beeinflussen Daten auf Quantenebene

datensicherheit.de, 03.11.2019
Schutz gegen Quantencomputer: Wettrüsten gestartet / Unternehmen sollten sich bereits heute mit dem Thema auseinandersetzen und quantensichere Datenverschlüsselung einleiten

datensicherheit.de, 28.10.2019
Quantencomputer bedrohen Absicherung vernetzter Systeme / Google hat Start für neues Computerzeitalter gesetzt

datensicherheit.de, 02.07.2019
utimaco: Standardsetzung für quantensichere Kryptographie / Vernetzte Geräte, Daten und Kritische Infrastrukturen langfristig vor möglichem Quantencomputer-Angriff schützen

[datensicherheit.de, 08.08.2018] Wir haben August 2018 – zwei Drittel dieses Jahres liegen schon fast hinter uns und damit auch eine ganze Reihe von ernsten und weitreichenden Datenschutzverletzungen, die es mühelos in die Schlagzeilen geschafft haben. Einige dieser Vorfälle sind 2018 aufgetreten, andere gehen auf das Jahr 2017 zurück, wurden aber erst jetzt bekannt. Cindy Provin, „CEO“ bei Thales eSecurity: „Das unterstreicht die harte Realität in Sachen Cyber-Sicherheit.“

Datenschutzverletzung bei 50 Prozent der Befragten

„Wir haben vor kurzem den jährlichen ,Data Threat Report: Retail Edition‘ veröffentlicht, und die Ergebnisse zeigen deutlich, dass diese Sicht der Dinge nicht übertrieben ist. Insbesondere die Retail-Branche in den USA hat schlechte Nachrichten zu vermelden“, erläutert Provin: 50 Prozent der Befragten hätten im letzten Jahr eine Datenschutzverletzung erlitten – und damit mehr als doppelt so viele Betroffene wie im Vorjahr mit noch 19 Prozent.
Die gute Nachricht in der schlechten sei, dass die Branche auf diesen immensen Anstieg mit höheren Investitionen in die IT-Sicherheit reagiert habe: 84 Prozent der befragten Unternehmen wollten mehr Geld für IT-Sicherheit ausgeben. Für die Unternehmen, die bereits Opfer eines Datenschutzvorfalls geworden sind und daraufhin in die Infrastruktur und/oder Personal investiert haben, um in Zukunft besser geschützt zu sein, sei das allerdings nur die „Spitze des Eisbergs“. Als nächstes stehe dann auf der Kommunikationsagenda, die wenig erfreulichen Nachrichten den Betroffenen mitzuteilen.

Firmen sollten sich in die Lage ihrer Kunden versetzen!

Wenn der gesetzlichen Anzeigepflicht nachgekommen werden muss, könne das schnell „knifflig und komplex“ werden. Die Lage sei zudem von Fall zu Fall und von Land zu Land unterschiedlich. Etliche Firmen sähen sich mit der DSGVO (GDPR) erstmalig mit einer Anzeigepflicht von Datenschutzverletzungen konfrontiert. Diese Anzeige habe zeitnah, nämlich innerhalb von 72-Stunden nach dem Bekanntwerden einer Datenschutzverletzung zu erfolgen. Eine Firma müsse dann sowohl die betreffende Aufsichtsbehörde in Kenntnis setzen als auch alle, die potenziell betroffen sind, informieren.
Hierbei gelte es, ein empfindliches Gleichgewicht zwischen den regulatorischen Anforderungen und der Informationspflicht gegenüber den eigenen Kunden zu wahren. Provin: „Das Ergebnis ist eine meist alles andere als befriedigende Kommunikation. Ich für meinen Teil bin überzeugt, dass Firmen einen Schritt zurücktreten und sich in die Lage ihrer Kunden versetzen sollten. Was würden Sie hören wollen, wenn Sie erfahren von einer Datenschutzverletzung betroffen zu sein? Welche Schritte würden Sie erwarten?“

Vier Erwartungen an Unternehmen nach einen Schadensfall:

Im Wesentlichen würde Provin persönlich vier Dinge von einem Unternehmen erwarten, bei dem sie Kundin ist:

1. Für sie sei es nicht ganz unwesentlich zu erfahren, dass ihre Daten vielleicht gerade im„Dark Web“ verkauft werden oder sonstigen Risiken ausgesetzt sind. Für sie sei dies eine „große Sache“ – und so erwarte sie, dass sich das Unternehmen entsprechend um sie und ihre Daten sorgt.
2. Das allein reiche natürlich nicht, wenn sie handlungsfähig bleiben will. Einfach gesagt: Sie brauche so viele und so klare Informationen wie möglich, wie sie sich jetzt gegen potenziellen Identitätsdiebstahl und den Missbrauch ihrer Daten auf lange Sicht schützen kann.
3. Im Idealfall gehe das Unternehmen noch einen Schritt weiter und empfehle vertrauenswürdige Websites, die kostenloses Kredit-Monitoring anbieten, und Dienste, die bei einem Identitätsdiebstahl hilfreiche Maßnahmen zur Wiederherstellung anbieten.
4. Es sollte eine Art Service-Hotline geben, bei der sie weitere Informationen in Realzeit bekommt. Wenn es ohnehin schon zu einer Datenschutzverletzung gekommen ist, sei dann der beste Zeitpunkt offen und transparent zu kommunizieren – auch den unbequemen Fakt, dass es Zeit kostet, den Vorfall aufzuklären. Das sei im Bereich Cyber-Kriminalität nicht anders als bei der Aufklärung von anderen Straftaten.

Unternehmen sollten erlittenen Vertrauensverlust wiedergutmachen!

„Das sind sehr grundlegende Dinge, die Firmen tun können und tun sollten. Die Erfahrung der letzten Jahre hat aber gezeigt, dass dies längst nicht immer so ist. Ich erinnere mich an einen Fall bei dem ein Unternehmen per E-Mail einen Datenschutzvorfall anzeigte. Ausgerechnet diese E-Mail wirkte alarmierend verdächtig. Nicht nur, dass sie von einer unklaren Subdomain aus verschickt wurde. Nein, die Nutzer wurden zusätzlich aufgefordert auf einen Link zu klicken, der scheinbar lauter Kauderwelsch enthielt“, berichtet Provin.
In der wichtigen Zeit direkt nach einer Datenschutzverletzung sollte sich jedes Unternehmen darauf konzentrieren, den erlittenen Vertrauensverlust bei seinen Kunden wiedergutzumachen. Hier habe man ein Beispiel wie man es nicht machen sollte. Die betreffende E-Mail habe exakt wie die eines Scammers gewirkt, obwohl es sich tatsächlich um eine legitime Nachricht gehandelt habe. „Das Unternehmen hat sich damit wohl eher einen Bärendienst erwiesen“, so Provin.

Richtig kommunizieren, um Loyalität der Kunden zu bewahren!

Datenschutzverletzungen seien inzwischen allgegenwärtig. Deswegen sei es an der Zeit zu erkennen, dass die Anzeigepflicht sich ganz erheblich auf eine Unternehmensmarke auswirke. In turbulenten Zeiten wie diesen hätten Unternehmen es in der Hand, selbst die Voraussetzungen zu schaffen wie sich eine betroffene Marke wieder erholen kann.
Der Schlüssel liege darin, wie eine Firma mit ihren Kunden kommuniziert. „Kommunikation ist einer der wichtigsten Schritte, wenn es darum geht sich die Loyalität seiner Kunden entweder zu bewahren oder sie endgültig zu verspielen“, unterstreicht Provin.

Weitere Informationen zum Thema:

THALES
2018 Thales Data Threat Report – Retail Edition

datensicherheit.de, 16.076.2018
Digitale Assistenten: Verbraucher befürchten Datenmissbrauch

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen