Die rasante Entwicklung von Quantencomputern in den letzten Jahren stellt eine der grössten Herausforderungen für die digitale Sicherheit dar. In einem Land wie der Schweiz, das auf stabile digitale Infrastrukturen angewiesen ist, ist es entscheidend, sich frühzeitig auf die Auswirkungen dieser Technologie vorzubereiten. Quantencomputer haben das Potenzial, viele der heute verwendeten kryptografischen Verfahren zu knacken und damit die Sicherheit von Daten, Kommunikation und Transaktionen zu gefährden. Um in Zukunft weiterhin sicher zu bleiben, müssen der öffentliche und private Sektor der Schweiz jetzt Massnahmen ergreifen und die Umstellung auf neue, quantensichere Verfahren vorantreiben, so dass die digitale Sicherheit und Resilienz des Landes langfristig gewährleistet werden kann. Hier ist insbesondere die Politik gefordert.

Quantencomputing als Bedrohung

Quantencomputer nutzen die Prinzipien der Quantenmechanik, um bestimmte Probleme viel schneller zu lösen als klassische Computer. Einige dieser Probleme bilden die Grundlage vieler Kryptografieverfahren, die heute weit verbreitet für Verschlüsselung und digitale Signaturen eingesetzt werden, und somit das Fundament der digitalen, aber auch physischen Sicherheit und des Vertrauens (Vertraulichkeit, Integrität und Authentizität) bilden. Internet­protokolle, kritische Infrastrukturen und Kreditkarten, aber auch Software­updates oder digitale Identitäten wie der Schweizer Pass setzen diese Verfahren ein.

Obwohl Quantencomputer noch nicht in der Lage sind, diese Bedrohung heute umzusetzen, gehen führende Institute und Behörden weltweit davon aus, dass dies in den kommenden fünf bis zehn Jahren eintreffen wird. Insbesondere das Szenario „Harvest Now/Decrypt Later“, in welchem heute verschlüsselte Daten aufgezeichnet und in Zukunft entschlüsselt werden können, ist für viele Sektoren schon heute relevant.

Post-Quanten-Kryptografie

In den vergangen zehn Jahren wurde vom amerikanischen NIST ein öffentlicher Wettbewerb durchgeführt, um Verschlüsselungen zu finden, die der Gefahr von Quantencomputern standhalten und die bestehenden Verfahren ersetzen kann, sogenannte Post-Quantum Kryptografie (PQK). Im August 2024 wurden drei neue Algorithmen standardisiert. Die NSA in den USA hat im Jahr 2022 einen engen Fahrplan für US-Regierungssysteme vorgelegt, der besagt, dass ab 2025 und bis spätestens 2030 (bzw. 2033) nur noch PQK eingesetzt wird. Das NIST verbietet den Einsatz der bisherigen Algorithmen ab 2035.

Auch in Europa und vielen anderen Staaten weltweit gibt es klare Aussagen. So haben sich beispielsweise im November 2024 die Cybersicher­heits­agenturen von 18 EU-Staaten zusammengeschlossen und eine klare Aufforderung an alle Sektoren veröffentlicht, die Vorbereitung und Umstellung auf die drei PQK-Algorithmen zu priorisieren.

Obwohl die Gefahr auch vom Bundesamt für Cybersicherheit der Schweiz (BACS) erkannt wurde, gibt es bisher keine deutlichen Aussagen bezüglich Dringlichkeit.

Non-Regret Actions für Kosteneffizienz und Resilienz

Die frühzeitige Planung und Implementierung von Post-Quanten-Kryptografie ist nicht nur eine Frage der Sicherheit, sondern auch der Kosteneffizienz. Eine Umstellung von IT-Umgebungen in diesem Umfang ist komplex und erfordert die Abstimmung einer Vielzahl von Komponenten um Business und Security Continuity gewährleisten. Obwohl die eigentliche Gefahr erst in der Zukunft zum Tragen kommt, müssen sich die Stakeholders bereits heute mit dem Thema auseinandersetzen und Vorbereitungen treffen, zum Beispiel mittels „non-regret Actions“. Das sind Massnahmen, die auch dann von Vorteil sind, wenn die technologische Entwicklung anders verläuft, als erwartet. Diese frühzeitigen Schritte helfen, Risiken zu minimieren und unnötige Kosten zu vermeiden.

Fazit

Die Resilienz gegenüber der Bedrohung durch Quantencomputer ist für die Schweiz nicht nur eine Frage der digitalen Sicherheit, sondern auch der langfristigen Wettbewerbsfähigkeit. Durch frühzeitige Vorbereitung und die Implementierung von Non-Regret Actions lässt sich die Umstellung auf Post-Quanten-Kryptografie effizient gestalten und gleichzeitig die Kosten minimieren. Dabei spielt die Zusammenarbeit zwischen öffentlichem und privatem Sektor eine zentrale Rolle, um Innovationen voranzutreiben und die notwendigen Umstellungen in der digitalen Infrastruktur erfolgreich umzusetzen. Nur so kann die Schweiz auch in der Ära der Quantencomputer ihre digitale Souveränität bewahren und ihre Rolle als führender technologischer Akteur sichern.

Call for action

Als Chairman der Swiss Cyber Security Days sind mir folgende Punkte wichtig: