Europas fehlender Plan für Quanten-Cybersicherheitsbedrohungen
Europa muss sich auf eine Zukunft vorbereiten, in der leistungsstarke Quantencomputer kommerziell verfügbar sind und es Hackern ermöglichen, zuvor verschlüsseltes Material zu entschlüsseln, so die Forderung von Experten und Industrievertretern, die gleichzeitig einen Aktionsplan fordern.
Europa muss sich auf eine Zukunft vorbereiten, in der leistungsstarke Quantencomputer kommerziell verfügbar sind und es Hackern ermöglichen, zuvor verschlüsseltes Material zu entschlüsseln, so die Forderung von Experten und Industrievertretern, die gleichzeitig einen Aktionsplan fordern.
Das European Policy Centre (EPC), eine in Brüssel ansässige Denkfabrik, veröffentlichte ein Papier, in dem eine Cybersicherheitsstrategie für Quantencomputer skizziert wird. Darin wird argumentiert, dass die EU einen koordinierten Aktionsplan benötigt, um auf „Ernteangriffe“ und künftige Quantenangriffe auf die Verschlüsselung zu reagieren.
Die Quanteninformatik ist ein sich rasch entwickelnder Bereich, der neue Möglichkeiten im Bereich der künstlichen Intelligenz bietet, da Quantencomputer die Kapazitäten von Supercomputern übertreffen.
Derzeit gelten für die EU-Regierungen die Regeln, dass sensible Dokumente zwischen 20 und 50 Jahren freigegeben werden müssen. Mit den „Download now-decrypt later“-Angriffen kann die Verschlüsselung und Verbreitung sensibler Informationen viel schneller erfolgen – schätzungsweise in sieben Jahren.
„Dieses Papier ist das Ergebnis eines Reflexionsprozesses mit Interessenvertretern aus der europäischen Politik und der Industrie und versucht, politische Empfehlungen zu geben, um die Auswirkungen von Cyber-Bedrohungen, die durch das Aufkommen eines kryptographisch bedeutsamen Quantencomputers entstehen, abzuschwächen“, sagte Andrea Rodríguez, die Autorin des Papiers und leitende Analystin für Digitalpolitik beim EPC, gegenüber EURACTIV.
Quantenangriffe auf die Verschlüsselung
Die so genannten „Harvest-Attacken“ ermöglichen es Cyberkriminellen, verschlüsselte Informationen herunterzuladen, die entschlüsselt werden können, sobald die entsprechende Technologie verfügbar ist.Dies verändert die Bedrohungslandschaft erheblich.
„Dies sind keine ‚zukünftigen Herausforderungen‘, sondern aktuelle, wie zum Beispiel Harvest-Attacken“, erklärte Rodríguez.
Die Kryptografie ist zwar der Königsweg für eine sichere digitale Kommunikation, aber die Auswirkungen von gebrochenen Kryptografiealgorithmen auf das tägliche Leben in einer Post-Quantum-Sicherheitsära würden die Entschlüsselung verschlüsselter Informationen und den Zugang zu Informationssystemen ermöglichen.
Dadurch würde die Tür zu bisher vertraulichen Informationen in vielen Bereichen geöffnet, vom Internetverkehr, Finanztransaktionen, Banken, elektronischen Reisepässen, VPNs und Bitcoin bis hin zum Diebstahl geistigen Eigentums und der Störung kritischer Infrastrukturen.
„In einer sich schnell entwickelnden Quanten- und Cybersicherheitswelt muss die Zeit für die Entscheidungsfindung und die Umsetzung von Sicherheitsmaßnahmen in Wochen und nicht in Jahren oder Jahrzehnten gemessen werden“, warnt Iva Tasheva, Cybersicherheitsexpertin bei der Beratungsfirma CyEn.
In dem Strategiepapier wird darauf hingewiesen, dass Cyberkriminelle darauf abzielen, an sensible verschlüsselte Daten zu gelangen, die noch nicht entschlüsselt werden können, um sie so lange aufzubewahren, bis Super- und Quantencomputer auf dem Markt erhältlich sind.
„Ob Autos, Flugzeuge oder sogar Kraftwerke – wenn die Systeme in 15 bis 30 Jahren in Betrieb sein werden, müssen sie bereits jetzt mit der Planung einer Umstellung auf quantensichere Kryptografie beginnen, denn wenn die Produkte erst einmal im Einsatz sind, wird es schwieriger, sie aufzurüsten“, sagte Zygmunt Lozinski von IBM Research gegenüber EURACTIV.
Um Informationen im Zeitalter der Post-Quanten-Sicherheit zu sichern, gibt es derzeit zwei potenzielle Lösungen für den privaten und öffentlichen Sektor: die Quantenschlüsselverteilung und die Post-Quanten-Kryptografie.
Während die Quantenschlüsselverteilung zwei Parteien die Möglichkeit bietet, einen sicheren, auf der Quantenphysik basierenden Kommunikationskanal einzurichten, umfasst die Post-Quantum-Kryptographie kryptographische Algorithmen, von denen man annimmt, dass sie quantenresistent sind.
Dennoch schließen beide Optionen ein mögliches Abhören, Authentifizierungsprobleme oder eine nachträgliche Entschlüsselung dieser Algorithmen nicht aus.
„Aus unserer Sicht ist IBM der Meinung, dass Unternehmen und Regierungen jetzt über das Versprechen des Quantencomputings und die Notwendigkeit, Daten vor Quantenhacks zu schützen, nachdenken sollten“, so Lozinski weiter.
EU-Ansatz zur Quanten-Cybersicherheit
Verglichen mit dem US-Ansatz fehlt den Bemühungen der EU zur Verhinderung von Quanten-Cyberangriffen „eine klare Strategie für den Umgang mit kurzfristigen Bedrohungen, wie zum Beispiel ‚Ernteangriffe'“, heißt es in dem Diskussionspapier.
Obwohl EuroQCI das Vorzeigeprogramm der EU für sichere Kommunikation im Quantencomputing bis 2027 ist, „lenken seine vielversprechenden Anwendungen die politischen Entscheidungsträger davon ab, den heutigen Bedürfnissen der europäischen Cybersicherheitsagenda in Bezug auf Quanten-Cybersicherheitsbedrohungen Aufmerksamkeit zu schenken“, schreibt Rodríguez.
Ein koordinierter Aktionsplan für den Quantenübergang, der klare Ziele und Zeitrahmen vorgibt und die Umsetzung der nationalen Migrationspläne zur Post-Quanten-Verschlüsselung überwacht, sollte die Lösung sein, um mit der anderen Seite des Atlantiks Schritt zu halten.
„Die Koordinierung und Zusammenarbeit innerhalb Europas muss mit diesem Ziel vor Augen intensiviert werden – das gilt sowohl für die Chancen als auch für die Herausforderungen“, so Thomas Jarzombek (MdB CDU) gegenüber EURACTIV.
Insbesondere Deutschland strebt mit seinem neuen Handlungskonzept zu Quantentechnologien eine Vorreiterrolle im globalen Wettbewerb an.
Im Gegensatz zu einer neuen Verordnung oder Richtlinie zu diesem Thema würde der Aktionsplan eine schnellere Abstimmung der strategischen Ziele zwischen den EU-Ländern und der Europäischen Kommission ermöglichen. Außerdem würde er eine stärkere Zusammenarbeit zwischen der ENISA, der EU-Agentur für Cybersicherheit, und nationalen Experten fördern, um Prioritäten und Anwendungsfälle zu ermitteln.
„Wir müssen Quanten nicht nur sichern, sondern sie auch zur Verbesserung unserer Sicherheit einsetzen. Die Versuchungen der Regierungen, sie für die Überwachung zu nutzen, sollten reguliert werden“, so Tasheva von CyEn gegenüber EURACTIV.
Die Expertin fügte hinzu, dass der Reifegrad des Sicherheitsrisikomanagements ebenfalls verbessert werden müsse, da nicht alle Daten verschlüsselt werden müssten, und auch nicht immer mit der gleichen Methode.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]
