Illustration Absmeier foto magnific

Warum jetzt der richtige Zeitpunkt ist, sich vorzubereiten

Quantencomputer verändern unser Leben grundlegend. Die Einsatzbereiche reichen von der Simulation winziger Teilchen über den Bereich der Kartierung bis hin zur genauen Planung medizinischer Behandlungen. Aktuell mag vieles davon noch wie Zukunftsmusik klingen. Im Bereich Cybersicherheit, insbesondere beim Privileged Access Management, sollte man aber jetzt schon planen.

Unternehmen mögen einwenden, dass Quantencomputing es nicht einmal in die »Gartner’s Top 10 Strategic Trends for 2024« geschafft habe. Aus Sicht der Analysten hat Quantencomputing bis zum Ende des Jahrzehnts zwar erheblichen Einfluss, dringender Handlungsbedarf bestehe aber nicht.

Also beruhigt abwarten bis 2030?

Besser nicht!

Cyberkriminelle verfolgen nicht selten eine »Harvest now, decrypt later«-Strategie. Das heißt, sie speichern abgezogene Daten und andere gestohlene Anmeldeinformationen, um sie zu entschlüsseln, sobald Quantencomputing breiter verfügbar ist. Denn wo herkömmliche Rechner oder Bot-Netzwerke heute scheitern, werden die Quanten-Systeme von morgen spielerisch Erfolg haben.

Quantencomputing verstehen

Der Begriff »Quantencomputing« bezieht sich auf die Anwendung der Quantenmechanik auf Computeroperationen. Qubits (Quantum Bits) sind die Teilcheneinheiten von Quantencomputern und das Äquivalent zu Atomen und Subatomar-Teilchen in der Quantenmechanik. Im Quantenzustand stellt jedes Qubit jeden möglichen Zustand oder Wert sowie seine Beziehung zu anderen Qubits gleichzeitig dar und berechnet diese. Das bezeichnet man als Superposition. Herkömmliche Rechner verarbeiten Daten nacheinander als Werte von exakt Eins oder Null. Ein Quantenrechner dagegen verarbeitet eine Kombination von 0 oder 1 gleichzeitig, da jeder Wert in mehreren Zuständen parallel existiert. Das nennt man einen physikalischen Überlagerungszustand. Erst bei einer Messung kollabieren diese Zustände zu einem exakten Wert.

Zudem interagieren und beeinflussen sich zwei Qubits augenblicklich, und auch über enorme Entfernungen hinweg. Dieses Verhalten bezeichnet man als Verschränkung. Für die Verschlüsselung in Szenarien mit zwei separaten Schlüsseln liefert dieser Effekt völlig neue Möglichkeiten. Aktuell basieren diese auf der Zufälligkeit von sequenzierten Einsen und Nullen. Quantencomputing erweitert die Zufälligkeit, so dass eine Verschlüsselung tatsächlich nicht zu knacken ist.

Die Verbindung aus Superposition und Verschränkung verdeutlicht, worin der Vorteil von Quantencomputern gegenüber klassischen Computern liegt. Ein Experiment von Google demonstriert diesen Vorsprung schon im Jahr 2019: Ein Spezialprozessor mit 54 Qubits löste eine Aufgabe in nur 200 Sekunden. Der stärkste herkömmliche Großrechner hätte für dasselbe Ergebnis 10.000 Jahre benötigt. Diese Geschwindigkeit hat einen enormen Einfluss auf die Verschlüsselung, die auf unlösbaren mathematischen Problemen beruht – zumindest innerhalb eines praktikablen Zeitrahmens.

Qubits stabil zu halten ist allerdings schwierig, weil Umgebungsrauschen den Zustand stört und zu Dekohärenz führt. Anders gesagt: Das Qubit verliert die Quanteninformation, was den praktischen Einsatz erschwert. Im Jahr 2023 gelang der Forschung jedoch ein Durchbruch.

Experten konnten die Kohärenzzeit von Qubits um fast das 1.000-fache steigern. Diese Leistung verlängert die Lebensdauer eines Qubits und »sollte den Bau und Betrieb großer Quantencomputer kostengünstiger machen«. Natürlich beeinflussen diese Entwicklungen das Privileged Access Management (PAM) wie auch die Informationssicherheit generell.

PAM in der Cybersicherheit

Während Identity und Access Management sämtliche Identitäten in einer IT-Umgebung umfasst, konzentriert sich PAM auf Privilegien, die den Zugriff auf sensible Systeme erlauben oder verweigern. Diese Systeme sind wegen der wertvollen Daten, die sie vorhalten, vorrangige Angriffsziele. Will man remote arbeitende Belegschaften absichern, braucht man im PAM eine Reihe von Ebenen und Funktionen:

Verwaltung von Anmeldeinformationen: Sicherstellen, dass Anmeldeinformationen und Secrets regelmäßig ausgetauscht (rotiert) und sicher aufbewahrt werden.
Verwaltung privilegierter Sessions: Software überwacht und protokolliert während der Sessions jeden Schritt der Nutzer in sensiblen Bereichen und begrenzt die Zugriffszeit.
Prinzip der minimalen Rechtevergabe: Begrenzen der Angriffsfläche, indem Benutzerkonten nur auf die Ressourcen zugreifen können, die sie zwingend benötigen.

Zero Trust sollte oberstes Ziel sein. Der Weg dorthin ist allerdings steinig: Quantenbedrohungen für das Privileged Access Management gehen von unterschiedlichen Komponenten aus. Längst brauchen nicht

nur menschliche Benutzer Zugriff, sondern auch IoT-Geräte und Anwendungen. Diese Maschinenidentitäten sind oft cloudbasiert und liegen somit außerhalb des traditionellen Perimeters. Zieht man dazu noch Quantencomputing in Betracht, wird Cybersicherheit ungleich komplexer.

Potenzielle Auswirkungen von Quantencomputing auf PAM

Denken Sie an Algorithmen wie AES, SHA-2, 256-Bit ECDSA und verschiedene andere Public-Key-Infrastrukturen. Seit Jahren bilden sie das Rückgrat für Prozesse wie Identifizierung, Zertifizierung, Autorisierung und Softwareverteilung.

Das liegt daran, dass es bisher keine Technologie gab, die Verschlüsselung knacken konnte – zumindest nicht ohne einige Millionen Jahre auf das Ergebnis zu warten. Es ist nicht so, dass Verschlüsselung generell nicht zu knacken ist. Vielmehr ist es mit der aktuellen Technologie nicht realistisch. Quantencomputing verwandelt dieses »derzeit noch nicht möglich« aber schnell in ein unmittelbar anstehendes Problem. Quantencomputer führen Berechnungen durch und faktorisieren Zahlen mit einer Geschwindigkeit, die weit über der heutiger Computer liegt.

Die RSA-Verschlüsselung, die Grundlage für sichere Online-Zahlungstransaktionen, multipliziert beispielsweise zwei extrem große Primzahlen, deren Ergebnis der Modulus ist. Bei einem 2048-Bit-Schlüssel (der schon heute als verhältnismäßig unsicher gilt) wäre das eine Zahl mit über 600 Stellen. Normale Computer scheitern daran, diese Zahl zu zerlegen. Der Shor-Algorithmus löst diese Aufgabe auf einem Quantenrechner dagegen problemlos.

Wenn Quantenalgorithmen aktuelle Verschlüsselungsmethoden brechen, verbessern sie auch die Kryptografie. Die Verschränkung der Qubits erlaubt die Erzeugung und Verteilung absolut zufälliger Schlüssel über weite Distanzen hinweg.

Für asymmetrische Verfahren wie RSA, die einen öffentlich sichtbaren Schlüssel nutzen, eignet sich dieser Ansatz jedoch nicht. Das stellt uns vor einige operative Herausforderungen bei der Integration von Quantencomputing in bestehende PAM-Systeme. Klar ist, dass die Identitätsvalidierung in Form von Quanten-Identity-Authentifizierungsprotokollen weiterhin integraler Bestandteil bleibt. Während einige Quantenalgorithmen wie Shor bereits etabliert sind, werden zukünftig neue Protokolle und Standards aufkommen. Darauf sollte man sich jetzt vorbereiten.

Die Quanten-Zukunft von PAM

Erste Anlaufstelle für viele Organisationen sollte die Post-Quantum Cryptography Standardization Initiative des NIST sein. Sie hält quantenresistente kryptografische Algorithmen bereit, die vor Angriffen durch Quantencomputer schützen. Die Experten wählten vier Verfahren aus, die den Angriffen der neuen Rechner standhalten:

Für die allgemeine Verschlüsselung des Datenverkehrs: Crystals-Kyber
Für digitale Signaturen:
CRYSTALS-Dilithium (der empfohlene Standardalgorithmus), FALCON (für Anwendungen, die kleinere Signaturen als Dilithium benötigen), SPHINCS+ (etwas größer und langsamer als die beiden anderen, aber aufgrund eines eigenen mathematischen Ansatzes ein wertvolles Backup). Das NIST wird diese Algorithmen für die breite Anwendung standardisieren. So werden sie Teil eines post-quantenkryptografischen Standards zum Schutz von Informationen in öffentlichen Netzwerken und für digitale Signaturen zur Authentifizierung von Identitäten.

Darauf sollte man bei PAM-Tools zusätzlich achten:

Quantensichere Verschlüsselung:
Eine Plattform, die Daten über die aktuellen Methoden wie Public-Key-Kryptografie hinaus absichert.
Analysen auf Quantenebene:
Automatisierte, auditfähige Berichte mit quantenfähigen Mechanismen, die ungewöhnliche Verhaltensweisen und Anomalien sofort erkennen.
Just-in-Time-Zugriff:
Rollen-basierte Zugriffsberechtigungen werden nur kurzfristig freigegeben (um die Angriffsfläche zu begrenzen), und dafür werden quantenbasierte Schlüssel genutzt. Nach getaner Arbeit erlöschen die Rechte automatisch.
Langfristige Strategien und Innovationen
Das NIST lädt sowohl Entwickler als auch Anwender zur Zusammenarbeit ein, um die Sicherheit gemeinsam zu verbessern. Dieses geteilte Wissen bringt Unternehmen und anderen gesellschaftlichen Interessengruppen klare Vorteile:
Evaluation:
Erkennen, welche der verwendeten Verschlüsselungsalgorithmen anfällig für Quantencomputing-basierte Angriffe sind.
Standardisierung:
Das NIST-Framework dient als Grundlage, um einheitliche Protokolle für verschiedene geografische Regionen und Branchen zu definieren.
Forschung:
Die Unterstützung von Forschungsprojekten, um die Chancen auf Durchbrüche bei quantenresistenten Algorithmen zu erhöhen.
Anpassung:
Eine offene Fehlerkultur im Unternehmen trägt dazu bei, ungewöhnliche Aktivitäten im Netzwerk frühzeitig zu entdecken.

Auch auf Regierungsebene laufen die Vorbereitungen: 2023 wurde in den USA das HR7535-Gesetz verabschiedet. Der Quantum Computing Cybersecurity Preparedness Act schreibt vor, dass Bundesbehörden mit der Migration auf quantenresistente Kryptografie-Systeme beginnen müssen. Sie sollten außerdem »ein aktuelles Inventar der von der Behörde genutzten Informationstechnologie, die für die Entschlüsselung durch Quantencomputer anfällig ist, erstellen und pflegen«.

Für den Übergang empfiehlt die National Security Agency bis 2025 post-quantenkryptografische Algorithmen für nationale Sicherheitssysteme zu implementieren. Eigentümer, Betreiber und Anbieter sind gehalten ihre Fortschritte gegenüber den Aufsichtsbehörden zu dokumentieren.

Quantencomputing und Zugriffsmanagement: Die zentrale Frage

Noch bleibt uns Zeit bis zum »Q-Day«. Dem Tag, an dem ein Quantencomputer die Verschlüsselungsmethoden von Banken, kritischen Infrastrukturen oder anderen Systemen mit sensiblen Datenbeständen knackt. CISOs, CIOs, Compliance- und IT-Verantwortliche, Entscheidungsträger aber auch Sicherheitsforscher, Akademiker und die eigenen Klienten und Kunden sollten dieses Zeitfenster nutzen.

Die physikalischen Effekte der Qubits (Verschränkung und Superposition) erlauben es, Zugänge so sicher wie nie zuvor zu gestalten, selbst wenn alte Verschlüsselungen dafür weichen müssen. Neue Richtlinien und Gesetze der politischen Entscheidungsträger, Innovationen aus der Forschung und Bildungsinitiativen für zukünftige Fachkräfte im Bereich Quantencomputing treiben die Dynamik an.

Was uns auch immer als Nächstes im Bereich Quantencomputing bevorsteht, Angreifer versuchen stets, administrative Rechte im Netzwerk zu erlangen, um sich dort bewegen und agieren zu können.

Deshalb rückt PAM ins Zentrum von Quanten-Cybersicherheit.

Alan Radford, Global Strategist bei One Identity

Quellen:

https://www.oneidentity.com/community/blogs/b/privileged-access-management/posts/the-impact-of-quantum-computing-on-pam-preparing-for-the-future

https://research.google/blog/quantum-supremacy-using-a-programmable-superconducting-processor/

https://www.anl.gov/article/major-milestone-achieved-in-new-quantum-computing-architecture

https://csrc.nist.gov/projects/post-quantum-cryptography

https://pq-crystals.org/dilithium/index.shtml

https://falcon-sign.info/

https://sphincs.org/

https://www.oneidentity.com/learn/what-are-verifiable-credentials-in-cybersecurity.aspx

https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF

333 Artikel zu „Quantencomputing „

Infrastruktur | Künstliche Intelligenz | Strategien | Ausgabe 11-12-2025

Quantencomputing als KI-Booster – Use Cases greifbar, ROI noch fern

19. Dezember 2025

Der Markt für Quantencomputing entwickelt sich rasant. Besondere Chancen bietet in dem Umfeld Quanten-KI – als Kombination, die sich intelligente Analytics und die enorme Rechenleistung von Quantencomputing zunutze macht. Unternehmen stehen jedoch noch vor der Herausforderung, diese sinnvoll zu nutzen.