FINMA nimmt Banken zu Quantum Computing in die Pflicht

Quantencomputer öffnet einen grossen Banktresor

Mit ihrer aktuellen Aufsichtsmitteilung zu Quantum Computing nimmt die FINMA den Puls der Finanzinstitute und stellt konkrete Empfehlungen zusammen.

Die aktuelle Diskussion um KI als Risikofaktor für die Sicherheit von Banksystemen hat die Bedenken zu Cyberrisiken durch Quantencomputer etwas in den Hintergrund rücken lassen.

Die Eidgenössische Finanzmarktaufsicht FINMA richtet deshalb wieder einen Scheinwerfer auf das Thema und publiziert in ihrer Aufsichtsmitteilung die Ergebnisse einer Umfrage zu Chancen und Risiken von Quantencomputern. Zudem geht sie auf mögliche Massnahmen zur Minimierung des Cyberrisikos durch leistungsfähige Quantencomputer ein.

Wo stehen die Finanzinstitute beim Thema Quantum Computing?

Die FINMA hat Ende 2025 bei 60 Schweizer Finanzinstituten eine Umfrage zu den Chancen und Risiken von Quantum Computing (QC) durchgeführt. Ergebnis: Die Institute sind sich der Cyberrisiken von kryptografisch relevanten Quantencomputern bewusst. Meist fehlt aber eine klare Roadmap und eine ausreichend vorausschauende Planung für die Migration zu quantensicherer Verschlüsselung.

Rund zwei Drittel der von der FINMA befragten Institute rechnen damit, bis in sieben Jahren direkt von den Cyberrisiken durch QC betroffen zu sein. Ebenfalls rechnen rund zwei Drittel damit, dass ein Quantencomputer bis in spätestens zehn Jahren innerhalb von 24 Stunden eine RSA-2048-bit Verschlüsselung knacken kann.

Die befragten Institute sehen deshalb die grössten Risiken durch Quantencomputer bei der Datensicherheit. Weitere hohe Risiken werden bei einer unvollständigen Migration zu quantensicherer Verschlüsselung, fehlendem Know-how, "harvest now, decrypt later"-Angriffen sowie bei der Interoperabilität mit Legacy-Systemen gesehen.

Wer hat eine Roadmap zu quantensicherer Verschlüsselung?

Von den befragten Instituten gaben 72 Prozent an, noch keine Massnahmen zu quantensicherer Verschlüsselung geplant oder getroffen zu haben. 28 Prozent haben einen entsprechenden Strategie-Entscheid getroffen, 20 Prozent haben auch ein laufendes Projekt dazu.

Über eine konkrete Roadmap zu quantensicherer Verschlüsselung verfügen lediglich acht Prozent der Befragten. Dabei wird jeweils ein Zeitplan von vier bis fünf Jahren eingeplant, bis kritische Daten und Prozesse quantensicher sein sollen. Rund die Hälfte der befragten Institute plant in den nächsten ein bis drei Jahren eine Roadmap aufzusetzen, 43 Prozent haben dazu noch nichts festgelegt.

Das Fazit der FINMA zur Umfrage

Generell zeigt die Umfrage, dass viele Beaufsichtigte die zukünftigen Risiken durch QC zwar erkennen, konkrete Massnahmen zur Adressierung dieser Risiken hingegen erst vereinzelt ergriffen werden. Die FINMA weist in diesem Kontext auf die technischen Fortschritte in der Forschung, die lange Dauer von Migrationsprojekten sowie auf erhebliche Unsicherheiten in Bezug auf die verbleibende Zeit bis zur Entwicklung kryptografisch relevanter Quantencomputer hin.

Neben weiteren Ergebnissen der Umfrage bringt die FINMA in ihrer Aufsichtsmitteilung auch einen Katalog von empfohlenen Massnahmen, hier zusammengestellt.

Warum es wichtig ist

Kryptografisch relevante Quantencomputer existieren heute noch nicht. Die technischen Fortschritte haben aber an Dynamik gewonnen und es ist in den kommenden Jahren mit deren Entwicklung zu rechnen. Ein angemessenes Risikomanagement des Cyberrisikos durch Quantencomputer ist daher aus Sicht der FINMA notwendig.

Die Finanzmarktaufsicht regt im Hinblick auf die entstehenden Risiken durch Quantencomputer eine frühzeitige Auseinandersetzung und Mitigation dieser Risiken an – dies insbesondere aufgrund der Komplexität und des Zeitbedarfs der Migration zu quantensicheren Verschlüsselungs-Technologien, der Interdependenzen zwischen Dienstleistern und Finanzinstituten sowie aufgrund des heute bereits realen Risikos von "harvest now, decrypt later"-Angriffen.

Die FINMA will die Entwicklungen im Bereich Quanten Computing aktiv weiterverfolgen und kündigt an, das Thema verstärkt in ihre laufende Aufsichtstätigkeit aufzunehmen.