Auch die EZB warnt Banken vor KI- und Quantenrisiken

Quantencomputer mit Hinweis auf Risiken für Bankensysteme

Zentralbanken und Regulatoren werden verstärkt aktiv und sensibilieren ihre Banken auf die Risiken von Quantum Computing.

In der Schweiz hat kürzlich auch die FINMA in einer Aufsichtsmitteilung konkrete Empfehlungen für Finanzinstitute zusammengestellt, um gegen Risiken rund um Quantum Computing gewappnet zu sein, MoneyToday hat berichtet, hier

Bei Quantencomputern verhält es sich ähnlich wie bei Künstlicher Intelligenz: KI wie auch Quanten Computing bietet herausragende Chancen, auch für Finanzinstitute. Beide Technologien schaffen jedoch auch beträchtliche neue Risiken. Die neuen Möglichkeiten werden nicht nur von den Guten genutzt – die Bösen, also Cyberkriminelle, spielen vorne mit.

KI ist längst Realität, Quanten Computing holt erst Anlauf. Kryptografisch relevante Quantencomputer existieren heute noch nicht. Sicherheits-Optimisten gehen davon aus, dass es noch zehn Jahre dauern wird, bis die Technologie reif und nutzbar ist. Andere warnen, dass sich alles viel dynamischer und schneller entwickelt.

Wer recht hat, wird sich zeigen. Es ist jedoch sicher keine schlechte Idee, das Thema heute schon ernst zu nehmen und entsprechende Strategien zu entwickeln. Falls morgen schneller kommt als gedacht, bleibt keine Zeit mehr für wirkungsvolle Massnahmen.

Auch die EZB warnt Banken vor KI- und Quantenrisiken

Die Europäische Zentralbank (EZB) verschärft ihre Warnungen vor einer neuen Generation von Cyberrisiken. In einem aktuellen Schreiben an europäische Banken weist die Bankenaufsicht darauf hin, dass Künstliche Intelligenz Angreifern völlig neue Möglichkeiten eröffnet – von automatisierter Schwachstellensuche über hochskalierte Angriffs­kampagnen bis hin zu komplexeren Attacken auf kritische Finanzinfrastrukturen. Zugleich macht die EZB deutlich, dass neben KI eine zweite technologische Entwicklung strategische Bedeutung gewinnt: der Fortschritt hin zu leistungsfähigen Quantencomputern.

Die Initiative Diplomatic Council Quantum Leap (DCQL) sieht darin eine Bestätigung ihrer Forderung, Quantensicherheit nicht länger als Zukunftsthema zu behandeln, sondern als strategische Aufgabe der Gegenwart. «Die EZB sendet ein klares Signal: Die Finanzbranche muss sich nicht nur gegen die Cyberangriffe von heute schützen, sondern bereits heute die technologische Grundlage für die Bedrohungen von morgen schaffen», erklärt Harald A. Summa, Chairman von DCQL. Die EZB erwartet von bedeutenden Instituten, dass sie "unverzüglich und proaktiv Massnahmen ergreifen, um den gestiegenen Risiken zu begegnen".

Die EZB schreibt ausdrücklich, dass Fortschritte auf dem Weg zu praktisch nutzbaren Quantencomputern erhebliche Auswirkungen auf die Cybersicherheitslandschaft haben werden. Die Einführung von Post-Quantum Cryptography (PQC) wird nach Einschätzung der Europäischen Zentralbank einen längeren Zeitraum erfordern, müsse aber jetzt beginnen und erfordere nachhaltige strategische Investitionen. Die Bankenaufsicht kündigt zudem an, die Risiken für heutige Verschlüsselungsverfahren durch Quantencomputer in einem weiteren Schreiben gesondert zu adressieren. 

"Harvest now, decrypt later": Die Gefahr bereits vor dem Quantencomputer

Nach Einschätzung von DCQL besteht eine der grössten Herausforderungen darin, dass der Schaden nicht erst mit der Verfügbarkeit leistungsfähiger Quantencomputer entsteht. Angreifer können bereits heute verschlüsselte Daten abfangen und speichern, um sie später mit Quantencomputern zu entschlüsseln. Dieses Vorgehen ist unter dem Begriff "Harvest now, decrypt later" bekannt.

Besonders betroffen sind Informationen mit langer Schutzdauer wie Finanztransaktionen, Kundendaten, Identitäten, Geschäftsgeheimnisse oder staatliche Kommunikation. «Eine Bank, die erst am Tag des ersten kryptographisch relevanten Quantencomputers reagiert, kommt Jahre zu spät. Die Migration komplexer IT-Landschaften benötigt Zeit – von der Analyse aller kryptographischen Verfahren über Tests bis zur vollständigen Umstellung», betont Summa.

Viele der heute eingesetzten Sicherheitsverfahren beruhen auf Public-Key-Kryptographie wie RSA oder elliptischen Kurvenverfahren (ECC). Diese gelten gegenüber klassischen Computern als sicher, könnten jedoch durch ausreichend leistungsfähige Quantencomputer mit neuen mathematischen Verfahren grundsätzlich angreifbar werden. Deshalb arbeiten internationale Standardisierungs­gremien und Technologieanbieter bereits am Übergang zu quantenresistenten Verfahren.

PQC und QKD als Bausteine einer neuen Sicherheitsarchitektur

DCQL empfiehlt Finanzinstituten ein pragmatisches, risikobasiertes Vorgehen. Der erste Schritt besteht in der Identifizierung von besonders schützenswerten Kommunikationsstrecken, wie zum Beispiel Rechenzentrums-Kopplungen, über die besonders sensible oder geschäftskritische Daten laufen. Diese müssen zuerst geschützt werden. 

Parallel, auf einer eigenen Zeitachse, ist eine möglichst vollständige Bestandsaufnahme der eingesetzten Kryptographie ("Cryptographic Inventory" oder "Cryptographic Bill of Materials", C-BOM) wichtig. Unternehmen müssen wissen, welche Algorithmen, Zertifikate, Schlüssel und Systeme sie einsetzen, um veraltete oder künftig unsichere Kryptographie gezielt zu identifizieren und schrittweise zu ersetzen.

Auf Teilerkenntnissen der C-BOM aufbauend sollten Banken Krypto-Agilität schaffen, also die Fähigkeit, Verschlüsselungs­verfahren flexibel austauschen zu können. Post-Quantum Cryptography ermöglicht neue mathematische Schutzverfahren, die auch gegenüber Quantenangriffen widerstandsfähig sein sollen. Ergänzend bietet Quantum Key Distribution (QKD) die Möglichkeit, kryptographische Schlüssel mithilfe quantenphysikalischer Prinzipien besonders sicher zu übertragen.

«Es geht nicht um eine einzelne Technologie, sondern um eine neue Sicherheitsarchitektur für das Quantenzeitalter. PQC, QKD und klassische Cyberresilienz müssen zusammengedacht werden», erklärt Dr. Florian Fröwis, Director Quantum Security bei DCQL und Fachexperte für Quantum-Safe Solutions bei ID Quantique, einem Pionier in Sachen Quantentechnologie, der zu IonQ gehört und massgeblich am Aufbau des neuen Frankfurt Financial Exchange (FFX) beteiligt ist.

Finanzplatz Frankfurt als Zentrum für Quantensicherheit

Diplomatic Council Quantum Leap errichtet derzeit am Finanzplatz Frankfurt eine Plattform, die Banken, Versicherungen Rechenzentren und Infrastrukturbetreiber zusammenbringt. Ziel ist es, den Übergang zu quantensicheren digitalen Infrastrukturen zu beschleunigen und Europas Finanzbranche unabhängiger bei Schlüsseltechnologien der nächsten Sicherheitsgeneration zu machen.

«KI verändert bereits heute die Angriffsgeschwindigkeit. Quantencomputer werden morgen die Grundlagen der Verschlüsselung verändern. Beides zusammen markiert einen Wendepunkt der Cybersicherheit», fasst Harald A. Summa zusammen. «Die Botschaft der EZB ist eindeutig: Abwarten ist keine Strategie».

Jürgen Fiedler engagiert sich bei DCQL als Risikofachmann. Er ist Mitglied des Vorstands und Chief Risk Officer der FNZ Bank sowie langjähriger Chief Risk Officer bei der Deutschen Bank mit mehr als 25 Jahren internationaler Erfahrung im Risikomanagement und regulatorischen Umfeld. Fiedler sagt über seine Branche: «Die Bedrohung durch KI ist nicht mehr hypothetisch. Die Geschwindigkeit, mit der Schwachstellen identifiziert und ausgenutzt werden können, verändert die Risikolandschaft. Cyberresilienz ist damit nicht mehr nur eine Frage der IT-Sicherheit einzelner Institute, sondern ein wesentlicher Faktor für die Stabilität des Finanzsystems. Bei der Quanten­technologie besteht die Herausforderung darin, dass viele Marktteilnehmer die Risiken noch als fernes Zukunftsszenario einstufen – obwohl die Vorbereitungen für eine quantensichere Infrastruktur bereits jetzt beginnen müssen.»

Was ist der Secure Frankfurt Financial Exchange (FFX)?

Der Secure Frankfurt Financial Exchange (FFX) ist eine souveräne, quantensichere Daten-Infrastruktur- und Plattforminitiative für den Finanzsektor. Ziel dieses Projekts ist es, unter der Führung der Initiative Diplomatic Council Quantum Leap (DCQL), Finanzinstitute vor Cyber-Bedrohungen durch künftige Quantencomputer zu schützen.

Um sensible Finanzdaten gegen das Knacken moderner Verschlüsselungen durch Quantencomputer abzusichern, setzt die FFX-Plattform auf eine quantensichere Key Distribution Platform (KDP), die dem Finanzsektor auf Mietbasis (as a Service) zur Verfügung gestellt wird. Der FFX ist Teil einer umfassenderen Strategie, die neben der sicheren Dateninfrastruktur auch den Aufbau einer souveränen "KI-Fabrik Frankfurt Rhein-Main" gemeinsam mit Nvidia umfasst.