OTS: Diplomatic Council - Diplomatischer Rat / Think Tank DCQL warnt ...


Think Tank DCQL warnt Finanzbranche vor Quantum Crime

Frankfurt (ots) -

- Diplomatic Council Quantum Leap (DCQL) fordert verstärkte Zusammenarbeit von

Werbung

Aufsichtsbehörden, Banken und Rechenzentrumsbetreibern zur beschleunigten

Vorbereitung auf das Quantenzeitalter

- Chairman Harald A. Summa: "Die nächste Cyberkrise könnte schneller kommen als

viele denken"

- Quantensicherheitsexperte Dr. Florian Fröwis: "Post-Quantum Cryptography muss

jetzt ausgerollt werden. Für dauerhafte Sicherheit wird ein zusätzlicher

Werbung

physikalischer Layer benötigt."

- Bankvorstand Jürgen Fiedler: "Viele in der Branche unterschätzen, dass sich

mit der Quantentechnologie eine fundamentale Herausforderung für die

Sicherheit digitaler Infrastrukturen abzeichnet. Wer erst reagiert, wenn diese

Risiken unmittelbar sichtbar werden, handelt zu spät."

Die Initiative Diplomatic Council Quantum Leap (DCQL) appelliert an die

Werbung

Aufsichtsbehörden der Finanzbranche sowie Banken, Versicherungen, Börsen und die

Betreiber von Finanzrechenzentren, Quantensicherheit als strategisches Cyber-

und operationelles Risiko in den Risikoregistern zu verankern und mit hoher

Priorität zu behandeln. Nach Ansicht der Experteninitiative wird die Bedrohung

durch Quantum Crime von vielen Marktteilnehmern unterschätzt. Im Vordergrund

steht dabei die Befürchtung, dass Quantencomputer künftig

Verschlüsselungsalgorithmen, die heute noch als sicher gelten, knacken könnten

und damit im großen Stil an vertrauliche Bankdaten herankämen. "Der sogenannte

Q-Day könnte schneller kommen als viele es für möglich halten", mahnt

DCQL-Chairman Harald A. Summa zur Eile. Betroffen wären beispielsweise der

Online-Banking-Zugang, der Zahlungsverkehr, Kreditkarten- und

Geldautomatensysteme, der Börsen- und Wertpapierhandel, der Interbankenverkehr

über SWIFT, die Kommunikation zwischen Banken und Rechenzentren sowie digitale

Signaturen für Transaktionen und Verträge.

Auslöser der aktuellen Warnung sind die jüngsten Entwicklungen rund um das

KI-System "Mythos" von Anthropic. Das System hat innerhalb kürzester Zeit

Tausende kritischer Sicherheitslücken in Softwareprodukten identifiziert.

Darunter befanden sich Schwachstellen, die teilweise seit mehr als 20 Jahren

unentdeckt geblieben waren.

"Mythos hat gezeigt, wie schnell vermeintlich sichere IT-Systeme plötzlich im

Feuer stehen können", erklärt Jürgen Fiedler, Mitglied des Vorstands und Chief

Risk Officer der FNZ Bank sowie langjähriger Chief Risk Officer bei der

Deutschen Bank mit mehr als 25 Jahren internationaler Erfahrung im

Risikomanagement und regulatorischen Umfeld. Fiedler, der sich bei DCQL als

Risikofachmann engagiert, weiß aus zahlreichen Gesprächen auf Vorstandsebene in

der Finanzbranche: "Die Bedrohung durch KI ist nicht mehr hypothetisch. Die

Geschwindigkeit, mit der Schwachstellen identifiziert und ausgenutzt werden

können, verändert die Risikolandschaft bereits heute. Cyberresilienz ist damit

nicht mehr nur eine Frage der IT-Sicherheit einzelner Institute, sondern ein

wesentlicher Faktor für die Stabilität des gesamten Finanzsystems. Dasselbe gilt

für Quantentechnologie: Die Bedrohung wird erkannt, ihre potenzielle Tragweite

für Verschlüsselung und Datensicherheit jedoch häufig noch unterschätzt. Aus

Sicht des Risikomanagements erleben wir derzeit keine evolutionäre, sondern eine

strukturelle Veränderung der Bedrohungslage, durch KI ebenso wie durch

Quantentechnologie."

Finanzbranche sollte bei Quantensicherheit mehr Gas geben

"Die Finanzbranche sollte beim Thema Quantensicherheit mehr Gas geben",

empfiehlt Dr. Florian Fröwis, Director Quantum Security bei DCQL und Fachexperte

für Quantum-Safe Solutions bei ID Quantique, einem Pionier in Sachen

Quantentechnologie, der zu IonQ gehört. Er begründet dies mit dem sogenannten

"Harvest Now, Decrypt Later"-Szenario (HNDL). Dabei werden verschlüsselte Daten

bereits heute abgefangen und gespeichert, um sie in Zukunft mit leistungsfähigen

Quantencomputern zu entschlüsseln. Internationale Sicherheitsbehörden und

Standardisierungsgremien wie das US-amerikanische National Institute of

Standards and Technology (NIST) warnen seit Jahren vor diesem Risiko. Doch die

Geschwindigkeit, mit der die Branche auf diese zunehmend reale Bedrohung

reagiert, variiert je nach Institut.

Quantensicherheitsexperte Dr. Florian Fröwis hat dabei festgestellt, dass viele

Banken unabhängig voneinander an Lösungen arbeiten, was zu einem "globalen Kampf

um die Spezialisten" geführt habe. "Besser wäre ein untereinander und mit den

Regulierungsbehörden abgestimmtes gemeinsames Vorgehen", rät er. In Deutschland

arbeitet hierzu die Deutsche Kreditwirtschaft (DK), in der sich die Deutsche

Bank, die Commerzbank sowie Sparkassen und Genossenschaftsbanken organisiert

haben, eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)

zusammen, lobt Fröwis. Besonders zu begrüßen seien die konkreten

branchenspezifischem Analysen and Vorschläge, insbesondere der Einsatz von

vorverteilten symmetrischen Schlüsseln, sogenannten "Pre-Shared Keys", auch wenn

im DK-Positionspapier die Verteilung als ein noch ungelöstes Problem dargestellt

wird.

Vereinfacht gesagt handelt es sich dabei um Schlüssel, die Computer bereits vor

dem eigentlichen Datenaustausch sicher miteinander teilen, um sie anschließend

für eine besonders widerstandsfähige Verschlüsselung nutzen zu können. Genau

dieser Austausch erfolgt heute meist über Verfahren, die künftige

Quantencomputer angreifen könnten.

Dr. Florian Fröwis: "Historische Chance für die Sicherheitsarchitektur der

Finanzwirtschaft"

Dr. Florian Fröwis sieht die Herausforderungen, die mit der Umstellung auf

Quantensicherheit verbunden sind, als historische Chance, die über Jahrzehnte

gewachsene IT-Sicherheitsarchitektur der Finanzinstitute neu zu überdenken. Sein

Credo: Nicht nur die Verschlüsselungsverfahren austauschen, sondern eine neue

Plattform für quantensicheren Schlüsselaustausch etablieren, was einer

Automatisierung der im DK-Positionspapier geforderten Pre-Shared Keys

entspricht.

Er begründet: Der Wechsel auf Post-Quantum Cryptography (PQC), also

quantensichere kryptographische Verfahren, sei zwar wichtig, aber letztlich

werde dabei nur ein Algorithmus durch einen neuen ersetzt, der nach heutigem

Kenntnisstand quantensicher ist. Doch egal, welche ausgefeilten PQC-Algorithmen

eingesetzt werden, könne deren Sicherheit nicht mathematisch bewiesen werden,

sondern beruhe lediglich auf Abschätzungen und Expertenmeinungen. "Im

Umkehrschluss bedeutet dies, dass HNDL mit PQC immer ein Risiko bleiben wird.

Sollte sich ein PQC-Algorithmus als angreifbar herausstellen, verlieren damit

verschlüsselte Daten auch rückwirkend ihre Vertraulichkeit", umreißt Fröwis die

Dimension der Bedrohung durch Quantum Crime.

Zudem werde der bloße Algorithmen-Tausch langfristig zu nachteiligen

Kompromissen zwischen der Sicherheit und der Verfügbarkeit von Services führen.

Da die PQC-Algorithmen tendenziell immer aufwendiger würden, stießen wichtige

Kommunikationsprotokolle wie IPsec oder TLS an ihre Grenzen und

geschäftskritische Services könnten ausfallen. Weitsichtiger sei es, den

Schlüsselaustausch modular über eine eigene Plattform zu betreiben. Damit kann

beides gleichzeitig erreicht werden: Sicherheit und Ausfallsicherheit und es

löst das Pre-Shared-Keying-Problem, das Die Deutsche Kreditwirtschaft in ihrem

"Position Paper of the German Banking Industry Committee on the Impact of the

Development of Quantum Computers" vom Mai letzten Jahres beschreibt.

Langfristig sicher sind nur quantengeschützte Glasfaser-Infrastrukturen

Langfristig sicher sei nur der zügige Aufbau einer neuen quantengeschützten

Infrastruktur nach dem Vorbild von JP Morgan Chase; die größte Bank der USA gilt

als Vorreiter auf diesem Gebiet. Die sogenannte Duale Strategie sieht vor, PQC

durch eine physikalische Technologie über optische Netzwerke (Glasfaser und

Satellit) zu ergänzen. Dr. Florian Fröwis spricht von einem "neuen Layer, der

Quantenangriffe physikalisch unmöglich" mache. "Diese Technologie heißt

'Quanten-Schlüsselverteilung', ist mathematisch beweisbar sicher und neben PQC

die ideale Ergänzung in der vorgeschlagenen Schlüsselverteil-Plattform",

argumentiert der Experte. Der Fachterminus dafür lautet "Quantum Key

Distribution" (QKD). Dadurch werde auch die DK-Forderung nach langfristig

sicheren Schlüsseln erfüllt.

Auf QKD-Basis könne das Verschlüsselungsverfahren jederzeit an steigende

Sicherheitsanforderungen aufgrund von Fortschritten bei der Quantentechnologie

angepasst werden, betont der Experte. Fröwis: "Diese Krypto-Agilität ist

notwendig, um den Finanzsektor dauerhaft vor Quantum Crime zu schützen." Wie

angreifbar bloße Software-Verfahren seien, habe Mythos "auf erschreckende Weise"

vorgeführt.

"Es bleibt zu hoffen, dass die Branche vom Mythos-Moment gelernt und sowohl bei

Künstlicher Intelligenz als auch bei Quantensicherheit aufs Gaspedal drückt",

sagt DCQL-Chef Harald A. Summa. Er verweist auf Untersuchungen, wonach nicht

einmal fünf Prozent der Bank-Websites quantensicher seien. "Der noch wichtigere

Umbau der IT-Kernbanksysteme etwa für den Zahlungsverkehr hinkt bei praktisch

allen Finanzinstituten der Planung weit hinterher", weiß er aus Gesprächen mit

vielen Bankvorständen.

Jürgen Fiedler ergänzt: "Die Finanzbranche wird bei Künstlicher Intelligenz und

Quantencomputing häufig von falschen Annahmen geleitet. Viele Strategien

orientierten sich an linearen technologischen Verbesserungen. Tatsächlich ist

jedoch mit einer exponentiellen Entwicklung zu rechnen."

Alle KRITIS-Betreiber sind betroffen

Die Quantum-Crime-Gefahr betrifft alle Unternehmen und Öffentlichen

Verwaltungen, betont DCQL. Zwar sei die Finanzbranche besonders gefährdet, weil

Banken, Zahlungsdienstleister und Versicherungen hochsensible Daten verwalten,

deren Vertraulichkeit über Jahrzehnte hinweg gewährleistet sein müsse. "Aber

letztlich ist jeder KRITIS-Betreiber gefordert", erklärt Harald A. Summa. Zu den

Kritischen Infrastrukturen (KRITIS) gehören beispielsweise auch Einrichtungen

der Energie- und Wasserversorgung, das Gesundheitswesen und die

Telekommunikation, deren Ausfall erhebliche Folgen für die öffentliche

Sicherheit, die Wirtschaft und das tägliche Leben der Bevölkerung hätte.

Die Initiative Diplomatic Council Quantum Leap bietet Behörden,

Aufsichtsstellen, Finanzinstituten und Betreibern kritischer Infrastrukturen an,

unabhängige Experten aus den Bereichen Post-Quantum-Kryptografie,

Quantennetzwerke, Kryptographie-Migration und Cybersecurity zur Verfügung zu

stellen, um entsprechende Initiativen zu unterstützen.

Zugleich ist die DCQL-Initiative selbst in enger Kooperation mit dem Deutschen

Internet Exchange (DE-CIX) damit befasst, in Frankfurt eine quantensichere

Kommunikations-Infrastruktur für die Finanzwelt zu errichten, die den

Anforderungen der Deutschen Kreditwirtschaft DK genügt. Der Secure Frankfurt

Financial Exchange bietet quantensichere Datenübermittlung "as-a-Service" an

(QaaS). Das hat für die Institute den Vorteil, dass sie nicht selbst eine neue

technische Infrastruktur errichten und betreiben müssen, sondern

Quantensicherheit als Service beziehen können. Dadurch profitieren sie auch

unmittelbar von allen Fortschritten in der Resilienz gegenüber Quantenangriffen,

die vom Secure Frankfurt Financial Exchange umgesetzt werden.

Der Secure Frankfurt Financial Exchange (FFX) ist eine souveräne, quantensichere

Daten-Infrastruktur- und Plattforminitiative für den Finanzsektor. Ziel dieses

Projekts ist es, unter der Führung der Initiative Diplomatic Council Quantum

Leap (DCQL), Finanzinstitute vor Cyber-Bedrohungen durch künftige

Quantencomputer zu schützen. Um sensible Finanzdaten gegen das Knacken moderner

Verschlüsselungen durch Quantencomputer abzusichern, setzt die FFX-Plattform auf

eine quantensichere Key Distribution Platform (KDP), die dem Finanzsektor auf

Mietbasis ("as-a-Service") zur Verfügung gestellt wird. Der FFX ist Teil einer

umfassenderen Strategie, die neben der sicheren Dateninfrastruktur auch den

Aufbau einer souveränen "KI-Fabrik Frankfurt Rhein-Main" gemeinsam mit Nvidia

umfasst.

Pressekontakt:

Presseagentur: euromarcom public relations,

mailto:team@euromarcom.de, http://www.euromarcom.de

Weiteres Material: http://presseportal.de/pm/83471/6309599

OTS: Diplomatic Council - Diplomatischer Rat

Werbung