Seit mehreren Jahren wird schon über Quantencomputing und die Gefahr der Entschlüsselung gängiger kryptografischer Verfahren gesprochen. Doch wie real ist dieses Risiko schon jetzt – und gibt es Ansätze, sich als Unternehmen und Institution entsprechend vorzubereiten? Der Cybersicherheits-Experte Professor Dr. Daniel Loebenberger, Abteilungsleiter Secure Infrastructure beim Fraunhofer AIESEC, spricht im Interview über den aktuellen Stand.
Die Entwicklungen im Bereich Quantencomputing machen derzeit enorme Sprünge. Wie nah an der Praxis ist die Technologie aber heute schon?
Grundsätzlich weiß man heute theoretisch relativ genau, welche Rechenmöglichkeiten es bei Quantencomputern gibt oder wie das Berechnungsmodell eines Quantencomputers aussieht. Es wird aber vermutlich noch zwischen 15 und 30 Jahren dauern, bis die Maschinen praxisrelevante Beschleunigungen von Berechnungen liefern können, die heute noch nicht möglich sind. Anwendungen gehen hier von Simulation physikalischer Systeme bis zur Optimierung heute nicht effizient lösbarer Probleme. Seriöse Abschätzungen, wann genau das der Fall sein wird sind meines Erachtens allerdings nicht möglich. Im Fall der Fälle müssen wir zusätzlich mit enormen Auswirkungen auf die Kryptographie rechnen, den Basisbausteinen der IT-Sicherheit.
Die Chancen, die sich durch Quantencomputing ergeben, sind die eine Sache. Beim Thema IT-Sicherheit sprechen wir über Risiken – schließlich können Quantencomputer potenziell bestehende Verschlüsselungsmechanismen knacken. Auf welche Folgen müsste man sich denn gefasst machen, tritt dieser Fall ein?
Grundsätzlich gilt es beim Risikomanagement zu überlegen, wie groß die Auswirkungen sind, wenn ein bestimmtes Risiko eintritt. Tritt der Fall ein, dass sich mit Quantencomputing alle gängigen Sicherheitsmechanismen umgehen lassen, kann das Schäden in exorbitanter Höhe verursachen. Auf der anderen Seite dauert es im Zweifel noch 30 Jahre, bis dieser Fall überhaupt großflächig zum Problem wird. Wenn es aber soweit ist, könnte Quantencomputing eine Wucht entfalten, die mit der Kraft einer physischen Waffe wie der Atomkraft vergleichbar ist. Da geht es beispielsweise um Angriffe auf die IT-Security der kritischen Infrastruktur, von Behörden oder der Energieversorgung.
Das klingt dramatisch. Welche Fortschritte wurden denn in dieser Hinsicht in der Kryptografie erzielt – gibt es schon Standards?
Kryptografische Verfahren zu entwickeln ist extrem kompliziert und erfordert die Arbeit sehr vieler klugen Köpfe aus der Informatik und Mathematik. Als Institution ist das National Institute of Standards and Technology (NIST) allerdings bereits dabei, Standards zu definieren. Dieses Jahr wurde dieser Prozess in die vierte Runde überführt und erste quantensichere Standards verkündet. Danach folgt aber noch ein großer Schritt – nämlich das Ganze in real genutzten IT-Systemen zu verankern.
Fachkräftemangel, gerade in der IT, macht es jetzt schon schwierig, Expert*innen für neue Verfahren und Systeme zu finden. Welchen Beitrag kann Weiterbildung leisten?
Wichtig ist das Thema Weiterbildung an der Stelle immer für die Techniker*innen – das betrifft dann entweder die Entwicklerseite oder die Product Owner. Auch technisch affine Mitarbeiter*innen auf regulatorischen Behörden profitieren davon. Denn sie haben ja die Aufgabe, zu definieren, in welche Richtung sich die Bestimmungen entwickeln sollten. Außerdem ist eine Weiterbildung für Mitarbeiter*innen in Konzernen interessant, die sich speziell mit Zukunftsthemen beschäftigen. Auf Unternehmensseite betrifft das Thema vor allem diejenigen, die Produkte mit einer jahrzehntelangen Lebensdauer herstellen, etwa Flugzeug- oder Autobauer. Denn genau da entsteht die Situation, dass sie mit kurzfristig verfügbaren Mitteln Risiken entgegentreten sollen, die während der Lebenszeit des Produkts eintreten könnten.
Unser Experte im Interview
Prof. Dr. Daniel Loebenberger
Abteilungsleitung Secure Infrastructure Fraunhofer AISEC
Dr. Raphaela Schätz ist seit Oktober 2016 für die Themenbereiche Didaktik und Qualitätsmanagement an der Fraunhofer Academy zuständig und dabei vor allem im Projekt Lernlabor Cybersicherheit tätig.
Frau Dr. Schätz studierte von 2006 bis 2011 Pädagogik an der Ludwig-Maximilians-Universität (LMU) München und promovierte dort 2016 in Pädagogischer Psychologie.
Zuvor arbeitete Frau Dr. Schätz als wissenschaftliche Mitarbeiterin an der LMU in der Arbeitsgruppe von Professor Mandl und beschäftigte sich u.a. mit den Forschungsthemen Lernen und Lehren in virtuellen Lernumgebungen sowie Evaluation.