Die Europäische Zentralbank (EZB) verschärft ihre Warnungen vor einer neuen Generation von Cyberrisiken. In einem aktuellen Schreiben an europäische Banken weist die Bankenaufsicht darauf hin, dass Künstliche Intelligenz Angreifern völlig neue Möglichkeiten eröffnet – von automatisierter Schwachstellensuche über hochskalierte Angriffskampagnen bis hin zu komplexeren Attacken auf kritische Finanzinfrastrukturen. Zugleich macht die EZB deutlich, dass neben KI eine zweite technische Entwicklung strategische Bedeutung gewinnt: der Fortschritt hin zu leistungsfähigen Quantencomputern.*
Die Initiative Diplomatic Council Quantum Leap (DCQL) sieht darin eine Bestätigung ihrer Forderung, Quantensicherheit nicht länger als Zukunftsthema zu behandeln, sondern als strategische Aufgabe der Gegenwart. „Die EZB sendet ein klares Signal: Die Finanzbranche muss sich nicht nur gegen die Cyberangriffe von heute schützen, sondern bereits heute die technische Grundlage für die Bedrohungen von morgen schaffen“, erklärt Harald A. Summa, Chairman von DCQL. Die EZB erwartet von bedeutenden Instituten, dass sie „unverzüglich und proaktiv Maßnahmen ergreifen, um den gestiegenen Risiken zu begegnen.“
Die EZB schreibt ausdrücklich, dass Fortschritte auf dem Weg zu praktisch nutzbaren Quantencomputern erhebliche Auswirkungen auf die Cybersicherheitslandschaft haben werden. Die Einführung von Post-Quantum Cryptography (PQC) wird nach Einschätzung der Europäischen Zentralbank einen längeren Zeitraum erfordern, müsse aber jetzt beginnen und erfordere nachhaltige strategische Investitionen. Die Bankenaufsicht kündigt zudem an, die Risiken für heutige Verschlüsselungsverfahren durch Quantencomputer in einem weiteren Schreiben gesondert zu adressieren.
„Harvest now, decrypt later“: Die Gefahr entsteht bereits vor dem Quantencomputer
Nach Einschätzung von DCQL besteht eine der größten Herausforderungen darin, dass der Schaden nicht erst mit der Verfügbarkeit leistungsfähiger Quantencomputer entsteht. Angreifer können bereits heute verschlüsselte Daten abfangen und speichern, um sie später mit Quantencomputern zu entschlüsseln. Dieses Vorgehen ist unter dem Begriff „Harvest now, decrypt later“ bekannt.
Besonders betroffen sind Informationen mit langer Schutzdauer wie Finanztransaktionen, Kundendaten, Identitäten, Geschäftsgeheimnisse oder staatliche Kommunikation. „Eine Bank, die erst am Tag des ersten kryptographisch relevanten Quantencomputers reagiert, kommt Jahre zu spät. Die Migration komplexer IT-Landschaften benötigt Zeit – von der Analyse aller kryptographischen Verfahren über Tests bis zur vollständigen Umstellung“, betont Summa.
Viele heute eingesetzte Sicherheitsverfahren beruhen auf Public-Key-Kryptographie wie RSA oder elliptischen Kurvenverfahren (ECC). Diese gelten gegenüber klassischen Computern als sicher, könnten jedoch durch ausreichend leistungsfähige Quantencomputer mit neuen mathematischen Verfahren grundsätzlich angreifbar werden. Deshalb arbeiten internationale Standardisierungsgremien und Technikanbieter bereits am Übergang zu quantenresistenten Verfahren.
PQC und QKD als Bausteine einer neuen Sicherheitsarchitektur
DCQL empfiehlt Finanzinstituten ein pragmatisches, risikobasiertes Vorgehen. Der erste Schritt besteht in der Identifizierung von besonders schützenswerten Kommunikationsstrecken, wie zum Beispiel Rechenzentrums-Kopplungen, über die besonders sensible oder geschäftskritische Daten laufen. Diese müssen zuerst geschützt werden.
Parallel, auf einer eigenen Zeitachse, ist eine möglichst vollständige Bestandsaufnahme der eingesetzten Kryptographie („Cryptographic Inventory“ oder „Cryptographic Bill of Materials“, C-BOM) wichtig. Unternehmen müssen wissen, welche Algorithmen, Zertifikate, Schlüssel und Systeme sie einsetzen, um veraltete oder künftig unsichere Kryptographie gezielt zu identifizieren und schrittweise zu ersetzen.
Auf Teilerkenntnissen der C-BOM aufbauend sollten Banken Krypto-Agilität schaffen, also die Fähigkeit, Verschlüsselungsverfahren flexibel austauschen zu können. Post-Quantum Cryptography ermöglicht neue mathematische Schutzverfahren, die auch gegenüber Quantenangriffen widerstandsfähig sein sollen. Ergänzend bietet Quantum Key Distribution (QKD) die Möglichkeit, kryptographische Schlüssel mithilfe quantenphysikalischer Prinzipien besonders sicher zu übertragen.
„Es geht nicht um eine einzelne Technik, sondern um eine neue Sicherheitsarchitektur für das Quantenzeitalter. PQC, QKD und klassische Cyberresilienz müssen zusammengedacht werden“, erklärt Dr. Florian Fröwis, Director Quantum Security bei DCQL und Fachexperte für Quantum-Safe Solutions bei ID Quantique, einem Pionier in Sachen Quantentechnik, der zu IonQ gehört und maßgeblich am Aufbau des neuen Frankfurt Financial Exchange (FFX) beteiligt ist.
Finanzplatz Frankfurt als Zentrum für Quantensicherheit
Diplomatic Council Quantum Leap errichtet derzeit am Finanzplatz Frankfurt eine Plattform, die Banken, Versicherungen Rechenzentren und Infrastrukturbetreiber zusammenbringt. Ziel ist es, den Übergang zu quantensicheren digitalen Infrastrukturen zu beschleunigen und Europas Finanzbranche unabhängiger bei Schlüsseltechniken der nächsten Sicherheitsgeneration zu machen.
„KI verändert bereits heute die Angriffsgeschwindigkeit. Quantencomputer werden morgen die Grundlagen der Verschlüsselung verändern. Beides zusammen markiert einen Wendepunkt der Cybersicherheit“, fasst Harald A. Summa zusammen. „Die Botschaft der EZB ist eindeutig: Abwarten ist keine Strategie.“
Jürgen Fiedler, Mitglied des Vorstands und Chief Risk Officer der FNZ Bank sowie langjähriger Chief Risk Officer bei der Deutschen Bank mit mehr als 25 Jahren internationaler Erfahrung im Risikomanagement und regulatorischen Umfeld, der sich bei DCQL als Risikofachmann engagiert, sagt über seine Branche: „Die Bedrohung durch KI ist nicht mehr hypothetisch. Die Geschwindigkeit, mit der Schwachstellen identifiziert und ausgenutzt werden können, verändert die Risikolandschaft. Cyberresilienz ist damit nicht mehr nur eine Frage der IT-Sicherheit einzelner Institute, sondern ein wesentlicher Faktor für die Stabilität des Finanzsystems. Bei der Quantentechnik besteht die Herausforderung darin, dass viele Marktteilnehmer die Risiken noch als fernes Zukunftsszenario einstufen – obwohl die Vorbereitungen für eine quantensichere Infrastruktur bereits jetzt beginnen müssen.“
