Die Bank für Inter­na­tio­na­len Zah­lungs­aus­gleich (BIZ) hat ein Posi­ti­ons­pa­pier mit dem Titel „Quan­tum-rea­di­ness for the finan­cial sys­tem: a road­map“ ver­öf­fent­licht, das die drin­gen­de Not­wen­dig­keit eines Über­gangs zu quan­ten­si­che­rer Kryp­to­gra­fie im Finanz­sys­tem her­vor­hebt. Das Papier betont, dass Quan­ten­com­pu­ter in der Lage sein könn­ten, die heu­te weit ver­brei­te­ten Ver­schlüs­se­lungs­me­tho­den zu bre­chen, was eine erheb­li­che Bedro­hung für die Ver­trau­lich­keit und Inte­gri­tät von Finanz­da­ten dar­stellt, ins­be­son­de­re durch „Har­ve­st Now, Decrypt Later“ (HNDL)-Angriffe.

Obwohl der genaue Zeit­punkt für die Ent­ste­hung eines kryp­to­gra­fisch rele­van­ten Quan­ten­com­pu­ters (CRQC) unge­wiss ist, wird erwar­tet, dass dies inner­halb der nächs­ten 10 bis 15 Jah­re gesche­hen könn­te. Daher ist es ent­schei­dend, den Über­gang zu quan­ten­si­che­ren Infra­struk­tu­ren sofort zu beginnen.

Das Papier stellt ver­schie­de­ne quan­ten­si­che­re Lösun­gen vor:

• Post-Quan­tum Cryp­to­gra­phy (PQC): Dies wird als die prak­ti­ka­bels­te kurz­fris­ti­ge Lösung ange­se­hen. PQC-Algo­rith­men kön­nen auf klas­si­schen Com­pu­tern aus­ge­führt wer­den und ihre Sicher­heit basiert auf mathe­ma­ti­schen Pro­ble­men, die sowohl für klas­si­sche als auch für Quan­ten­com­pu­ter schwie­rig zu lösen sind. Die NIST-Stan­dar­di­sie­rung spielt hier eine zen­tra­le Rol­le. Her­aus­for­de­run­gen sind jedoch grö­ße­re Schlüs­sel­grö­ßen, höhe­rer Band­brei­ten­be­darf und erhöh­te Rechenanforderungen.
• Quan­tum Key Dis­tri­bu­ti­on (QKD): Die­se Metho­de nutzt die Prin­zi­pi­en der Quan­ten­me­cha­nik für die Schlüs­sel­ge­nerie­rung und bie­tet infor­ma­ti­ons­theo­re­ti­sche Sicher­heit. QKD befin­det sich jedoch noch in der Ent­wick­lungs­pha­se und erfor­dert spe­zi­el­le Hard­ware sowie dedi­zier­te Kom­mu­ni­ka­ti­ons­lei­tun­gen, was ihre sofor­ti­ge Anwend­bar­keit und Inter­ope­ra­bi­li­tät einschränkt.
• Pre-shared keys (PSK): Bie­ten star­ke Sicher­heit, haben aber Ska­lier­bar­keits­pro­ble­me bei der Verteilung.

Für den Über­gang wer­den Best Prac­ti­ces emp­foh­len, darunter:

• Ver­tei­di­gung in der Tie­fe (Defence in Depth): Ein mehr­schich­ti­ger Sicherheitsansatz.
• Kryp­to­gra­fi­sche Agi­li­tät: Die Fähig­keit, kryp­to­gra­fi­sche Abwehr­maß­nah­men schnell anzu­pas­sen oder zu ändern.
• Hybri­de Model­le: Die Kom­bi­na­ti­on tra­di­tio­nel­ler Kryp­to­gra­fie mit neu­en quan­ten­si­che­ren Tech­ni­ken (z. B. PQC mit klas­si­scher Kryp­to­gra­fie), was von vie­len natio­na­len Behör­den emp­foh­len wird, um die Sicher­heit wäh­rend des Über­gangs zu gewährleisten.

Das Papier skiz­ziert eine Road­map für die Quan­ten­be­reit­schaft des Finanz­sys­tems, die sowohl auf sys­te­mi­scher Ebe­ne als auch für ein­zel­ne Insti­tu­tio­nen gilt. Auf sys­te­mi­scher Ebe­ne sind Enga­ge­ment, Pla­nung und Aus­füh­rung ent­schei­dend, wobei Koor­di­na­ti­on zwi­schen pri­va­ten Akteu­ren, Zen­tral­ban­ken und Auf­sichts­be­hör­den uner­läss­lich ist. Für ein­zel­ne Finanz­in­sti­tu­te umfasst dies die Sen­si­bi­li­sie­rung, die detail­lier­te Pla­nung der Migra­ti­on (ein­schließ­lich der Erstel­lung eines kryp­to­gra­fi­schen Inven­tars und der Abstim­mung mit Anbie­tern) und die ite­ra­ti­ve Aus­füh­rung mit gründ­li­chen Tests.

Zen­tral­ban­ken und der öffent­li­che Sek­tor spie­len eine zen­tra­le Rol­le bei der Steue­rung und Unter­stüt­zung die­ses Über­gangs durch Inves­ti­tio­nen in For­schung, Stan­dar­di­sie­rung und inter­na­tio­na­le Zusam­men­ar­beit. Initia­ti­ven wie das Pro­ject Leap des BIS Inno­va­ti­on Hub und Emp­feh­lun­gen von Gre­mi­en wie der G7 Cyber Expert Group unter­strei­chen die glo­ba­le Anstrengung.

Zusam­men­fas­send lässt sich sagen, dass der Über­gang zur Quan­ten­be­reit­schaft zwar erheb­li­che Anstren­gun­gen erfor­dert, aber auch eine Chan­ce bie­tet, wider­stands­fä­hi­ge­re Infra­struk­tu­ren auf­zu­bau­en und das Ver­trau­en in das Finanz­sys­tem zu sichern.