Die dringende Rolle der Finanzbranche bei der Vorbereitung auf die Quantenbedrohung

Das Nationales Cyber-Sicherheitszentrum (NCSC) warnt, dass das jahrelange Sammeln und Speichern riesiger Datenmengen zwar kostspielig sei, die Einführung von Quantencomputern im nächsten Jahrzehnt solche Bemühungen jedoch für Hacker lohnenswert machen könnte. „Angesichts der Kosten für die jahrzehntelange Speicherung riesiger Mengen alter Daten dürfte sich ein solcher Angriff nur bei sehr wertvollen Informationen lohnen“, so die NCSC erklärte.  

Anne Neuberger, stellvertretende nationale Sicherheitsberaterin der USA für Cybersicherheit und neue Technologien, betonte hierzu: „Sicherlich gibt es einige Daten, die zeitkritisch sind, wie etwa ein Schiff, das Waffen in ein sanktioniertes Land transportiert. In acht Jahren ist uns das wahrscheinlich egal.“ Auch bei einer Online-Zahlung werden die Kartendaten übermittelt und Banken die Transaktion fast sofort genehmigen oder ablehnenSelbst wenn jemand diese Daten jetzt aufzeichnet, wären sie später wertlos, da die Transaktion sofort verarbeitet wird.

Dies begrenzt das Risiko eines „Jetzt ernten, später entschlüsseln” Angriff. Für persönliche Zahlungen mit Chip und PIN, manchmal das Terminal stellt keine Echtzeitverbindung zur Bank her (z. B. in Flugzeugen oder in abgelegenen Gebieten). Diese sind auf die Karteneigene Authentifizierung, das RSA verwendet/ECC. Quantencomputer könnten in Zukunft diese Authentifizierung fälschen, wodurch es möglich ist, die Sicherheitsvorkehrungen ohne Zustimmung der Bank zu umgehen. 

Angesichts der Bedeutung sensibler Daten muss der Finanzsektor die Führung übernehmen bei der Einführung Post-Quanten-KryptographieDa der Einsatz außergewöhnlich hoch ist, könnte ein erfolgreicher, quantenbasierter Cyberangriff Vermögenswerte in Billionenhöhe gefährden, Märkte stören und Kartenzahlungs- oder PCI-Daten kompromittieren. In der Finanzbranche dauern Sicherheitsupgrades Jahre. Karten, Terminals und Backend-Systeme müssen alle gleichzeitig geändert werden – ein Prozess, der nicht über Nacht ablaufen kann.  

Verstehen bestehender Bankprotokolle

Die meisten Kartentransaktionen weltweit basieren auf dem EMV-Standard, der fast 90 % der persönlichen Kartenzahlungen abdeckt. Dieser Standard verwendet asymmetrische Kryptografie (RSA) zur Authentifizierung von Karten und symmetrische Kryptografie zur Generierung von Transaktionszertifikaten, um die Sicherheit der Transaktion zu gewährleisten. 

EMV-Karten verwenden drei Hauptauthentifizierungsmethoden. Mit der statischen Datenauthentifizierung (SDA) kann eine Karte signierte statische Daten senden, um ihre Authentizität zu beweisen, ist aber anfällig für Klonen. Die dynamische Datenauthentifizierung (DDA) verbessert die Sicherheit, indem die Karte während einer Transaktion eine Challenge signiert, wodurch spätere Transaktionsschritte jedoch weniger geschützt sind. Die kombinierte Datenauthentifizierung (CDA) verstärkt diesen Prozess durch zusätzliche Signaturen und ist damit die derzeit sicherste Methode. Offline-Transaktionen, bei denen keine Live-Internet-Verifizierung möglich ist, hängen stark von diesen durch Public-Key-Kryptografie gesicherten Authentifizierungsmethoden ab. Dies birgt ein potenzielles Risiko, da Quantencomputer diese kryptografischen Schutzmechanismen irgendwann fälschen könnten. 

Um diese Systeme zukunftssicher zu machen, haben Forscher die Post-Quantum-Kryptografie (PQ-Kryptografie) getestet, die neue Verschlüsselungstechniken verwendet, die Angriffen von Quantencomputern standhalten sollen.

Praxistests der PQ-Sicherheit

In Tests in der realen Welt, NIST-Forscher Ziel war es, Kartenzahlungen durch die Verbesserung bestehender EMV-Zahlungsprotokolle vor zukünftigen Bedrohungen durch Quantencomputer zu schützen. Zwei Standardprotokolle wurden modifiziert, um Post-Quantum (PQ)-Kryptografiealgorithmen zu integrieren – fortschrittliche Verschlüsselungsmethoden, die Quantenangriffen standhalten. Um einen reibungslosen Übergang und kontinuierliche Nutzbarkeit zu gewährleisten, wurden diese neuen Protokolle als Hybridmodus konzipiert, der die bestehende RSA/ECC-Verschlüsselung mit PQ-Algorithmen kombiniert. Dieser Ansatz gewährleistet die Abwärtskompatibilität, sodass ältere Karten und Zahlungsterminals während der Umstellung auf PQC unterbrechungsfrei funktionieren. 

Die aktualisierten Protokolle wurden auf physischen Bank-Smartcards mit Chips implementiert, und die Forscher testeten ihre Leistung bei Live-Zahlungstransaktionen. Sie maßen kritische Faktoren wie den benötigten Speicher auf der Karte, die Transaktionsverarbeitungszeit und den zusätzlichen Kommunikationsaufwand durch die PQ-Verschlüsselung. 

Karte und Terminal stellen zunächst eine gemeinsamer geheimer Schlüssel über PQ-Algorithmen. Anschließend verwenden sie symmetrische Verschlüsselung (schnell) für die PIN-Verifizierung und Transaktionszertifikate. Im Hybridmodus signieren und verschlüsseln sie Daten sowohl mit RSA/ECC- als auch mit PQ-Algorithmen. Dieser doppelte Schutz stellt sicher, dass Kartentransaktionen auch bei unvorhergesehenen Zuverlässigkeitsproblemen der PQ-Kryptografie sicher und funktionsfähig bleiben. 

Gefundene Herausforderungen

Beim Testen quantensicherer Zahlungskarten sind die Forscher auf mehrere Herausforderungen gestoßen. 

Eines der größten Probleme besteht darin, dass die Post-Quantum-Kryptografie im Vergleich zu aktuellen Verschlüsselungsmethoden wesentlich umfangreichere Schlüssel und digitale Signaturen erfordert. Dies führt zu längeren Transaktionszeiten und einem deutlich höheren Speicherbedarf auf Bank-Smartcards. 

Eine weitere große Einschränkung ist die Hardware. Bestehende Karten und Zahlungsterminals verfügen über begrenzte Speicherkapazität und Rechenleistung, was die effiziente Verarbeitung von PQ-Algorithmen erschwert. Der Austausch oder die Aufrüstung dieser Hardware ist eine komplexe Aufgabe, insbesondere angesichts der Größe des globalen Bankensystems. Da weltweit Milliarden von Karten und Zahlungsterminals im Einsatz sind, können Banken nicht über Nacht auf PQ-fähige Systeme umsteigen. 

Trotz dieser Hürden bestätigte die Studie, dass es technisch möglich ist, Zahlungskarten mithilfe von PQ-Kryptografie gegen Quantenangriffe zu schützen. Leistungsengpässe und Hardwareeinschränkungen stellen jedoch weiterhin erhebliche Hindernisse dar. Die Ergebnisse unterstreichen die Dringlichkeit, jetzt mit der Vorbereitung und Aufrüstung der Hardware zu beginnen, um sicherzustellen, dass die Finanzbranche bereit ist, bevor Quantencomputer so weit fortgeschritten sind, dass sie aktuelle RSA- und ECC-Kryptografiesysteme knacken können. 

Vorbereitung auf PQC

Der folgende Fahrplan wurde in Zusammenarbeit mit der Abteilung für Heimatschutz (DHS) und NIST (Nationales Institut für Standards und Technologie) Organisationen bei der Vorbereitung auf Post-Quanten-Kryptographie (PQC). Es unterstreicht die Notwendigkeit eines Übergangs von aktuellen kryptografischen Methoden (wie RSA/ECC) zu quantenresistenten Algorithmen, bevor Quantencomputer leistungsfähig genug werden, um bestehende Verschlüsselungen zu knacken. 

1. Zusammenarbeit mit Normungsorganisationen

   Organisationen wird empfohlen, ihre wichtigsten Stakeholder anzuweisen, ihr Engagement bei Organisationen zur Entwicklung von Standards zu verstärken, wie beispielsweise NIST, PCI-DSS für die neuesten Entwicklungen in Bezug auf notwendige Algorithmen und abhängige Protokolländerungen.

2. Inventarisierung kritischer Daten

   Jede Organisation verfügt über Daten, die bei einer späteren Entschlüsselung ernsthaften Schaden anrichten könnten. Dazu gehören sensible persönliche Informationen (Geheimschrift wird in der gesamten Infrastruktur eingesetzt. Dazu gehört die Auflistung aller Software, Hardware und Anwendungen, die auf Verschlüsselung angewiesen sind. Sobald diese Bestandsaufnahme abgeschlossen ist, können die Teams bewerten, welche kryptografischen Methoden anfällig für Quantenangriffe sind, und die Kosten und den Aufwand abschätzen, um sie durch quantensichere Alternativen zu ersetzen. Ohne diesen Schritt laufen Unternehmen Gefahr, versteckte Schwachstellen zu übersehen.

3. Identifizierung interner Standards

   Interne kryptografische Standards und Richtlinien definieren, wie eine Organisation verwaltet Verschlüsselung, kauft Technologie und pflegt Datenschutzrichtlinien. Diese Regeln basieren auf aktuellen Verschlüsselungsmethoden wie RSA und ECC. Mit der Umstellung auf Post-Quanten-Kryptografie müssen diese internen Standards aktualisiert werden, um zukünftigen Sicherheitsanforderungen gerecht zu werden. Dies bedeutet eine Überarbeitung kryptografischer Kontrollen, Richtlinien, Standards, SLAs und interner Compliance-Maßnahmen, um sicherzustellen, dass PQC bei seiner Implementierung vollständig in den Organisationsprozessen unterstützt wird.

4. Identifizierung der Public-Key-Kryptographie

   Aus der Bestandsaufnahme sollten Organisationen erkennen, wo und zu welchem ​​Zweck Public Key Kryptographie verwendet wird, und beurteilen Sie, welche Systeme am anfälligsten für Quantenbedrohungen sind.

5. Priorisierung der zu ersetzenden Systeme

   Nicht jedes System muss sofort aktualisiert werden, daher ist die Priorisierung entscheidend. Die Priorisierung eines Systems gegenüber einem anderen für die kryptografische Umstellung hängt stark von den Funktionen, Zielen und Anforderungen des Unternehmens ab. Ergänzend zu den Priorisierungsbemühungen sollten Unternehmen bei der Bewertung eines quantenanfälligen Systems die folgenden Faktoren berücksichtigen:

   • Ist das System im Hinblick auf die organisatorischen Anforderungen ein wertvolles Gut?
   • Was schützt das System (z. B. Schlüsselspeicher, Passwörter, Root-Schlüssel, Signaturschlüssel, personenbezogene Daten, sensible personenbezogene Daten)?
   • Mit welchen anderen Systemen kommuniziert das System?
   • In welchem ​​Umfang tauscht das System Informationen mit Bundesbehörden aus?
   • In welchem ​​Umfang gibt das System Informationen an andere Stellen außerhalb Ihrer Organisation weiter?
   • Unterstützt das System einen kritischen Infrastruktursektor?
   • Wie lange müssen die Daten geschützt werden?
6. Planen Sie den Übergang

   Mithilfe der Inventar- und Priorisierungsinformationen sollten Unternehmen eine Strategie für Systemübergänge nach der Veröffentlichung des neuen Post-Quantum-Kryptografiestandards entwickeln. Übergangspläne sollten die Schaffung kryptografischer Agilität berücksichtigen, um zukünftige Anpassungen zu erleichtern und Flexibilität bei unerwarteten Änderungen zu gewährleisten. Cybersicherheitsbeauftragte sollten Leitlinien für die Erstellung von Übergangsplänen bereitstellen.

Aktuelle Schätzung der benötigten Finanzierungshöhe

Bundesagenturen, das mit dem Office of Management and Budget (OMB) und dem Office of the National Cyber ​​Director (ONCD) zusammenarbeitet, sowie mit CISA und NIST, ergreift strukturierte Maßnahmen, um die Informationstechnologie der US-Regierung vor zukünftigen Bedrohungen durch Quantencomputer zu schützen. Die Bemühungen konzentrieren sich auf drei Hauptaktivitäten. 

1. Entwicklung einer ersten Bestandsaufnahme der in den Informationssystemen der Agenturen (mit Ausnahme der nationalen Sicherheitssysteme (NSS)) vorhandenen kryptografischen Systeme;  
2. Entwicklung von Kostenschätzungen für den Übergang; und 
3. Entwicklung von Priorisierungskriterien für den Übergang. 

Jedes Jahr müssen die Agenturen dem OMB und dem ONCD ein aktualisiertes Inventar mit detaillierten quantenanfällige Kryptographie auf ihren priorisierten Systemen zusammen mit Schätzungen der Migrationskosten. Basierend auf den neuesten Daten prognostiziert ONCD, dass die Gesamtkosten für die Umstellung priorisierter Bundessysteme auf PQC zwischen 2025 und 2035 zur Verfügung wird erreichen ungefähr 7.1 Milliarden US-Dollar (in US-Dollar von 2024). Inzwischen schätzen das Verteidigungsministerium, das Büro des Direktors des Nationalen Nachrichtendienstes und der Nationale Leiter des NSS unabhängig voneinander den Finanzierungsbedarf für die Migration von Geheim- und Verteidigungssystemen. 

Diese frühen Prognosen sind mit einem hohen Maß an Unsicherheit behaftet, da die Agenturen ihre Inventare und Kostenmodelle noch verfeinern. Die Schätzungen sind derzeit grobe Größenordnung, keine genauen Berechnungen. Die Agenturen werden diese Zahlen weiterhin jährlich überarbeiten, wenn sie Erfahrungen sammeln und ihre Methoden verbessern. 

Eine wesentliche Herausforderung besteht darin, dass einige föderale Systeme neue kryptografische Algorithmen können nicht einfach übernommen werden weil sie in Hard- oder Firmware fest verdrahtet sind oder die Kapazität für den Austausch fehlt. Der vollständige Austausch dieser Systeme trägt erheblich zu den voraussichtlichen Gesamtkosten der Migration bei. 

Wie kann Encryption Consulting den PQC-Übergang unterstützen?

Wenn Sie sich fragen, wo und wie Sie Ihre Post-Quanten-Reise beginnen sollen, Verschlüsselungsberatung steht Ihnen zur Seite. Wir sind Ihr zuverlässiger Partner und begleiten Sie mit Klarheit, Vertrauen und praxisnaher Expertise durch jeden Schritt.   

Kryptografische Erkennung und Inventarisierung

Dies ist die grundlegende Phase, in der wir Transparenz in Ihre bestehende kryptografische Infrastruktur schaffen. Wir identifizieren, welche Systeme durch Quantenbedrohungen gefährdet sind und bewerten, wie gut Ihr aktuelles Setup vorbereitet ist, einschließlich Ihrer PKI, HSMs und Anwendungen. Ziel ist es, zu ermitteln, welche kryptografischen Assets vorhanden sind, wo sie verwendet werden und wie kritisch sie sind. Umfassendes Scannen von Zertifikaten, kryptografischen Schlüsseln, Algorithmen, Bibliotheken und Protokollen in Ihrer gesamten IT-Umgebung, einschließlich Endpunkten, Anwendungen, APIs, Netzwerkgeräten, Datenbanken und eingebetteten Systemen. 

Identifizierung aller Systeme (lokal, Cloud, Hybrid), die Kryptografie verwenden, wie z. B. Authentifizierungsserver, HSMs, Load Balancer, VPNs und mehr. Erfassung wichtiger Metadaten wie Algorithmustypen, Schlüsselgrößen, Ablaufdaten, Ausstellungsquellen und Zertifikatsketten. Aufbau einer detaillierten Inventardatenbank aller kryptografischen Komponenten als Grundlage für Risikobewertung und -planung. 

PQC-Bewertung

Sobald die Transparenz hergestellt ist, führen wir Interviews mit wichtigen Stakeholdern, um die kryptografische Landschaft auf Quanten-Schwachstellen zu untersuchen und zu bewerten, wie gut Ihre Umgebung auf die PQC-Umstellung vorbereitet ist. Wir analysieren kryptografische Elemente auf ihre Anfälligkeit für Quantenbedrohungen, insbesondere solche, die auf RSA, ECC und anderen bald knackbaren Algorithmen basieren. Wir überprüfen, wie Public Key Infrastructure und Hardware-Sicherheitsmodule konfiguriert sind und ob sie die Integration von Post-Quantum-Algorithmen unterstützen. Analysieren von Anwendungen auf fest codierte kryptografische Abhängigkeiten und Identifizieren derjenigen, die ein Refactoring erfordern. Erstellen eines detaillierten Berichts mit einer Bestandsaufnahme anfälliger kryptografischer Assets, der Bewertung des Risikoschweregrads und der Priorisierung für die Migration. 

PQC-Strategie und -Roadmap

Nachdem wir die Risiken identifiziert haben, entwickeln wir gemeinsam mit Ihnen eine individuelle, schrittweise Migrationsstrategie, die Ihren geschäftlichen, technischen und regulatorischen Anforderungen entspricht. Wir entwickeln eine maßgeschneiderte PQC-Einführungsstrategie, die Ihre Risikobereitschaft, branchenübliche Best Practices und Ihre Zukunftssicherheit berücksichtigt. Wir entwickeln Systeme und Workflows, die den einfachen Wechsel kryptografischer Algorithmen bei sich weiterentwickelnden Standards unterstützen. Wir aktualisieren Sicherheitsrichtlinien, Schlüsselverwaltungsverfahren und interne Compliance-Regeln, um sie an NIST und NSA anzupassen (CNSA 2.0) Empfehlungen. Erstellen Sie einen schrittweisen Migrationsfahrplan mit kurz-, mittel- und langfristigen Zielen, unterteilt in überschaubare Phasen wie Pilotphase, Hybridbereitstellung und vollständige Implementierung. 

Anbieterbewertung und Proof of Concept

In dieser Phase unterstützen wir Sie bei der Identifizierung und Erprobung der richtigen Tools, Technologien und Partner, die Ihre Post-Quantum-Ziele unterstützen können. Wir unterstützen Sie bei der Definition der technischen und geschäftlichen Anforderungen für RFIs/RFPs, einschließlich Algorithmus-Unterstützung, Integrationskompatibilität, Leistung und Anbieterreife. Wir identifizieren die Top-Anbieter von PQC-fähigen PKI-, Schlüsselverwaltungs- und Verschlüsselungslösungen. Wir führen PoC-Tests in isolierten Umgebungen durch, um Leistung, Integrationsfreundlichkeit und allgemeine Eignung für Ihre Anwendungsfälle zu bewerten. Wir liefern Ihnen eine Anbietervergleichsmatrix und einen Empfehlungsbericht basierend auf realen PoC-Ergebnissen. 

Pilottests und Skalierung

Vor der vollständigen Implementierung validieren wir alles in kontrollierten Pilotprojekten, um die Praxistauglichkeit sicherzustellen und Geschäftsunterbrechungen zu minimieren. Wir testen die neuen kryptografischen Modelle in einer Sandbox oder einer Nicht-Produktionsumgebung, typischerweise für ein oder zwei Anwendungen. Wir validieren die Interoperabilität mit bestehenden Systemen, Drittanbieter-Abhängigkeiten und Legacy-Komponenten. Wir holen Feedback von IT-Teams, Sicherheitsarchitekten und Fachabteilungen ein, um den Plan zu optimieren. Sobald alles erfolgreich getestet ist, unterstützen wir einen reibungslosen, skalierbaren Rollout, ersetzen veraltete kryptografische Algorithmen schrittweise, minimieren Störungen und gewährleisten die Sicherheit und Konformität Ihrer Systeme. Wir überwachen die Leistung kontinuierlich und sorgen für kontinuierliche Optimierung, um Ihre Quantenabwehr stark, effizient und zukunftssicher zu halten. 

PQC-Implementierung

Sobald der Plan steht, geht es an die Umsetzung. In der letzten Phase führen wir die vollständige Migration durch und integrieren PQC in Ihre Live-Umgebung, wobei wir Compliance und Kontinuität gewährleisten. Wir implementieren Hybridmodelle, die klassische und quantensichere Algorithmen kombinieren, um die Abwärtskompatibilität während der Umstellung zu gewährleisten. Wir führen PQC-Support für Ihre PKI, Anwendungen, Infrastruktur, Cloud-Dienste und APIs ein. Wir bieten Ihren Teams praxisorientierte Schulungen sowie eine detaillierte technische Dokumentation für die laufende Wartung. Wir richten Überwachungssysteme und Lifecycle-Management-Prozesse ein, um die kryptografische Integrität zu verfolgen, Anomalien zu erkennen und zukünftige Upgrades zu unterstützen. 

Der Umstieg auf quantensichere Kryptografie ist ein großer Schritt, den Sie jedoch nicht alleine bewältigen müssen. Mit Encryption Consulting an Ihrer Seite erhalten Sie die richtige Beratung und das nötige Fachwissen, um eine robuste, zukunftsfähige Sicherheitslage aufzubauen.  

Sprechen Sie uns an [E-Mail geschützt]  und lassen Sie uns einen individuellen Fahrplan erstellen, der auf die spezifischen Anforderungen Ihres Unternehmens abgestimmt ist. 

Fazit

Zusammenfassend lässt sich sagen, dass der Übergang zur Post-Quanten-Kryptografie für den Finanzsektor von entscheidender Bedeutung ist, da zukünftige Quantencomputer aktuelle Verschlüsselungsmethoden zur Sicherung von Kartenzahlungen, Banksystemen und digitalen Transaktionen knacken könnten. Studien haben bereits gezeigt, dass die Entwicklung quantenresistenter Zahlungsprotokolle technisch machbar ist. Herausforderungen wie größere kryptografische Schlüssel, langsamere Verarbeitungsgeschwindigkeiten und kostspielige Hardware-Upgrades bleiben jedoch bestehen. Eine frühzeitige Vorbereitung durch die Inventarisierung von Systemen, das Testen hybrider Verschlüsselungsmodelle und die Anpassung an kommende NIST-Standards ist unerlässlich, um sensible Finanzdaten zu schützen und das ununterbrochene Vertrauen in globale Zahlungsnetzwerke zu gewährleisten, wenn Quantencomputing Realität wird.