Quantum kommt: Das sagt die Datenschutzbehörde

Von Phil Muncaster • 3 December 2024

Im laufenden Wettrüsten zwischen Netzwerkverteidigern und ihren Gegnern zeichnet sich eine neue technologische Entwicklung ab, die die aktuelle Landschaft dramatisch verändern könnte. Wenn endlich voll funktionsfähige Quantencomputer auftauchen, könnte die Verschlüsselung, auf die sich der Großteil der digitalen Welt stützt, geknackt werden. Dies hat enorme Auswirkungen auf den Datenschutz, weshalb die britische Regulierungsbehörde, das Information Commissioner's Office (ICO), eine neue Anleitung für Organisationen.

Die Botschaft ist klar: Es ist an der Zeit, im Rahmen von Datenschutz-Compliance-Programmen mit der Identifizierung und Bewältigung quantenbezogener Risiken zu beginnen.

Was wird Quantencomputing bedeuten?

Regierungen und private Investoren weltweit sind Ausgaben in zweistelliger Milliardenhöhe um die Forschung im Bereich Quantencomputer zu finanzieren. Der Grund dafür ist leicht zu erkennen: Die wissenschaftlichen und mathematischen Durchbrüche, die sie verspricht, sind überwältigend. Nicht ohne Grund wird die Bedeutung des Quantencomputers mit der Nutzbarmachung von Elektrizität verglichen.

Quantencomputer basieren auf der Theorie der Quantenmechanik, deren Pionierarbeit Albert Einstein geleistet hatte und für die er den Nobelpreis erhielt. Für das ungeübte Auge scheint sie jeder Logik zu widersprechen. Quantenteilchen oder Qubits verhalten sich nicht nach den traditionellen Regeln der Physik. Sie tun seltsame Dinge, wie zum Beispiel an zwei Orten gleichzeitig zu existieren und sich vorwärts oder rückwärts in der Zeit zu bewegen.

Während heutige Computer Informationen in Nullen und Einsen verarbeiten und speichern, verwenden Quantencomputer Qubits, die gleichzeitig eine Null und eine Eins sein können. Dadurch wird die Zeit, die zum Verarbeiten von Daten, Berechnen und Lösen von Problemen benötigt wird, radikal reduziert.

Laut ICO gibt es mehrere potenzielle Anwendungsfälle für die Technologie, darunter:

Eine neue Generation von Quantensensoren und fortschrittlichen Quantenzeitmesstechnologien für den Einsatz in der medizinischen Diagnostik, der städtischen Infrastruktur und dem Management von Umweltressourcen, der Planung des Klimawandels sowie der Überwachung und störsicheren Navigation
Quantengestützte Bildgebung zur Erkennung von Personen und Objekten um Ecken oder hinter Wänden herum oder zur genaueren Identifizierung von Molekülen im Körper.
Eine neue und möglicherweise „unhackbare“ Methode zum sicheren Teilen kryptografischer Schlüssel, bekannt als Quantenschlüsselverteilung (QKD).

Das Internet entschlüsseln

Der besorgniserregendste potenzielle Anwendungsfall von Quanten ist jedoch seine Fähigkeit, die komplexen mathematischen Probleme zu lösen, auf denen die moderne asymmetrische Verschlüsselung (Public-Key-Kryptographie) basiert. Dies könnte eines Tages feindlichen Staaten oder gut finanzierten Cybercrime-Gruppen die Möglichkeit geben, alles von verschlüsseltem E-Commerce und Online-Kommunikation bis hin zu digitalen Bankdaten zu enttarnen. Die Auswirkungen auf Organisationen, die asymmetrische Verschlüsselung zum Schutz von Kundendaten und sensiblem geistigem Eigentum verwenden, liegen auf der Hand.

Tatsächlich gibt es Bedenken, dass böswillige Akteure bereits verschlüsselte Daten sammeln, um sie später im Rahmen sogenannter „Store now, decrypt later“ (SNDL)-Ansätze wieder zu entschlüsseln. Attacken. Aus diesem Grund werden verstärkt Bemühungen unternommen, Post-Quanten-Algorithmen (PQAs) zu finden, die einer quantenbasierten Entschlüsselung standhalten.

Die Dinge beschleunigen sich sicherlich. In einem Ansatz, der unterstützt wird vom britischen National Cyber Security Centre (NCSC) und dem US-amerikanischen National Institute of Standards and Technology (NIST), veröffentlichten sie die ersten drei Post-Quantum-Kryptographie (PQC)-Standards im August dieses Jahres. Die USA haben bereits Ziele für den öffentlichen Sektor festgelegt, bis 2035 auf quantensichere Systeme umzusteigen, während die britische Regierung eingeführte Milderungen für kritische Dienste und legt technische Leitlinien und Erwartungen für große Organisationen und Systembesitzer fest. Die Europäische Kommission hat die Mitgliedstaaten aufgefordert, einen Fahrplan zu entwickeln, während große Technologieunternehmen quantensichere Systeme erforschen.

Das ICO will Krypto-Agilität

Was bedeutet das für die Mehrheit der britischen Organisationen? Die aktuellen NIS-Vorschriften (die bald von der Gesetzentwurf zur Cybersicherheit und Widerstandsfähigkeit) umfassen Cloud-Dienste und E-Commerce-Anbieter, Organisationen, die digitale Identitäts- oder Authentifizierungsdienste anbieten, sowie Internet- und Telekommunikationsanbieter. Sie müssen das ICO entweder über eine Verletzung des Schutzes personenbezogener Daten (DSGVO) oder einen NIS-bezogenen Sicherheitsvorfall informieren, wenn:

Sie entdeckten einen SNDL-Angriff, der „ihren Dienst erheblich beeinträchtigte oder zur Offenlegung persönlicher Informationen führte“.
Bei der Umsetzung von PQC ist ihnen ein Fehler unterlaufen, der persönliche Informationen preisgab und eine Gefahr für die Rechte und Freiheiten der Menschen darstellte.

Alle anderen Organisationen sind im Rahmen der DSGVO verpflichtet, personenbezogene Daten „durch geeignete technische und organisatorische Maßnahmen“ zu schützen, die dem Risiko der Verarbeitung entsprechen und den neuesten Stand der Technik berücksichtigen. Laut ICO bedeutet dies, dass sie „die Identifizierung und Bewältigung von Quantenrisiken als Teil ihrer bestehenden gesetzlichen Verpflichtungen in Betracht ziehen sollten, um sich an neue und aufkommende Cyberbedrohungen für personenbezogene Daten anzupassen.“

Was bedeutet das in der Praxis? Wie immer sagt das ICO, dass Organisationen gemäß dem Datenschutzgesetz 2018 und der DSGVO bestimmen müssen, welche technischen Maßnahmen sie benötigen, um das „angemessene Sicherheitsniveau“ zu gewährleisten. Aber es gibt noch einen weiteren Hinweis. Die eigene Anleitung zur Verschlüsselung fordert Organisationen auf, „kryptoagil“ zu sein. Das bedeutet, den Einsatz von Verschlüsselung regelmäßig zu überprüfen und auf neue Updates und mögliche Schwachstellen zu achten.

„Es wurden neue Standards entwickelt und irgendwann in den nächsten zehn Jahren wird PQC wahrscheinlich eine akzeptierte und weithin implementierte Norm im zukünftigen Stand der Technik sein“, heißt es weiter.

Eine Checkliste zur Einhaltung der Vorschriften

Daher sollten die meisten Organisationen weiterhin personenbezogene Daten im Einklang mit den bewährten Verschlüsselungsmethoden und -standards schützen und alle Verstöße oder Lecks melden, einschließlich SNDL und alle Vorfälle, die durch Fehler bei der Implementierung von PQC verursacht werden. Das ICO fügt hinzu, dass sie proaktiv Folgendes tun sollten:

Beginnen Sie damit, sich mit der Risikoexposition „in unmittelbarer und naher Zukunft“ zu befassen, einschließlich der Identifizierung von Informationen mit hohem Risiko sowie gefährdeter Kryptografie und Systeme.
Bleiben Sie über die Entwicklung internationaler Kryptostandards und NCSC-Richtlinien gemäß NIS und UK GDPR auf dem Laufenden.
Wenn sie zusätzlich zu PQC die Implementierung von QKD oder anderer quantensicherer Technologie in Erwägung ziehen, sollten sie eine Datenschutz-Folgenabschätzung (DPIA) durchführen. Dies kann dabei helfen, zu beurteilen, ob Rechte und Freiheiten im Zusammenhang mit persönlichen Daten gefährdet sein könnten, und zu dokumentieren, welche Maßnahmen sie ergreifen, um diesen Risiken zu begegnen.
Reduzieren Sie weiterhin „weitreichende, kurz- und mittelfristige“ Cyberrisiken, die nichts mit Quantencomputing zu tun haben, und befolgen Sie dabei die wichtigsten Best Practices der Cyberhygiene zum Schutz von Daten.

Es wird noch Jahre dauern, bis Quantencomputer verfügbar sind, die asymmetrische Verschlüsselung knacken können. Aber das ist kein Grund zur Selbstzufriedenheit. Es ist besser, die Risiken heute einzuschätzen und für die Zukunft zu planen, als morgen zu übereilten (und möglicherweise teuren) Entscheidungen gezwungen zu sein.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster

Internet-Sicherheit 3 December 2025

Was das Gesetz zur Cybersicherheit und Resilienz für kritische Infrastrukturen bedeutet

Es hat lange gedauert. Bereits in der Thronrede 2024 wurde das Gesetz zur Cybersicherheit und Resilienz (CSRB) angekündigt und ist nun endlich verabschiedet…

Phil Muncaster