foto freepik

Wie durch sichere Verschlüsselungsmethoden Kundendaten geschützt werden können.

Eine Studie der LexisNexis Risk Solutions aus dem Jahr 2023 hat ergeben, dass jede betrügerische Transaktion Unternehmen in der EMEA-Region durchschnittlich das 3,9-fache des verlorenen Transaktionswertes kostet. Einzelhändlern in Deutschland entstehen für jeden Euro, der durch Betrug verloren geht, Kosten in Höhe von 3,43 Euro. In den Kosten sind finanzielle Verluste aufgrund von Betrug, internen Arbeitskosten, Zinsen, Gebühren und für den Ersatz oder die Wiederbeschaffung verlorener oder gestohlener Waren enthalten. Insgesamt sind 58 % der Firmen in Deutschland von einem Anstieg der Betrugsfälle in den letzten zwölf Monaten betroffen. Nun kommt eine neue Betrugsdimension dazu: Quantencomputer könnten die Verschlüsselungsmechanismen umgehen, die sowohl Kunden- als auch Händlerdaten schützen.

Quantencomputer gelten als leistungsfähig, können immens komplexe Berechnungen durchführen oder Rechenprozesse massiv beschleunigen. Im Vergleich zu einem gewöhnlichen PC kann ein Quantencomputer Operationen, für die ein herkömmlicher Computer Jahre brauchen würde, innerhalb nur weniger Minuten ausführen. Folglich werden Quantencomputer mit Leichtigkeit die Verschlüsselungsalgorithmen knacken können, die aktuell zum Schutz von Zahlungstransaktionen eingesetzt werden. Das Bedrohungspotenzial für den Onlinehandel ist enorm, wenn Cyberkriminelle mit einem leistungsstarken Quantencomputer Zugang zu zahlreichen Kunden- und Unternehmensdaten, Nachrichten und digitalen Dokumenten bekommen.

Ein Payment Service Provider wie Computop übernimmt die vollständige technische Abwicklung verschiedener Zahlarten im stationären Handel oder im E-Commerce und die Anbindung eines Webshops an Zahlungssysteme über das Internet. Die an Banken, Kreditkartenorganisationen und andere Partner im Zahlungsverkehr übermittelten Daten werden seit Jahren durch eigene Sicherheitsstandards geschützt. So stellt zum Beispiel der PCI-P2PE-Standard sicher, dass Kreditkartendaten vom Kartenterminal bis zum Ende verschlüsselt und damit während des gesamten Bezahlvorgangs vor dem Zugriff Dritter geschützt werden. Der Payment Service Provider garantiert, aufgrund zahlreicher Sicherheitschecks und Prüfungen, eine sichere Zahlungserfahrung für den Kunden.

Quantencomputer bedrohen aktuelle Verschlüsselungen

Sehr häufig wird im Zahlungsverkehr eine asymmetrische Verschlüsselung nach dem RSA-Verfahren eingesetzt. Dieses Verfahren enthält zwei sich ergänzende Schlüssel: Der öffentliche Schlüssel dient der Verschlüsselung von Nachrichten, während der private Schlüssel zum Entschlüsseln von Nachrichten eingesetzt wird. Bei symmetrischen Verschlüsselungsverfahren hingegen wird der gleiche Schlüssel für die Ver- und Entschlüsselung von Daten benutzt. Diese bieten bei entsprechender Schlüssellänge ein hohes Maß an Sicherheit, wenn der Schlüssel beim Absender und beim Empfänger bereits bekannt ist.

Da sowohl Verbraucher als auch Unternehmen darauf vertrauen, dass ihre Online-Zahlungen geschützt sind, ist es wichtig, dass sich Zahlungsdienstleister bereits frühzeitig mit neuen Verschlüsselungsmethoden beschäftigen, um finanzielle Verluste, die Gefahr durch Cyberangriffe und die Gefahr des Datendiebstahls zu verhindern.

Computop hat bereits eine Verlängerung des Schlüssels von 2.048 auf 4.096 Zeichen vorgenommen, doch eine alleinige Anpassung dieses Sicherheitsstandards wird nicht ausreichen. Ein Austausch oder ein Update der bisherigen kryptographischen Verfahren muss schnell und einfach möglich sein, um den sichersten Verschlüsselungsalgorithmus gegen den Quantencomputer einsetzen zu können. Das Thema Kryptoagilität gewinnt folglich im Quanten-Zeitalter immer mehr an Bedeutung.

Unter Kryptoagilität versteht man die Fähigkeit einer Organisation, die genutzte Kryptografie flexibel anzupassen und schnell auf neue Schwachstellen und Bedrohungen zu reagieren. Unterschiedliche Bereiche müssen reibungslos ineinandergreifen, um die Maßnahmen umzusetzen. Das bedeutet, dass Hard- und Software modular aufgebaut sind und einzelne Komponenten und Algorithmen ohne großen Aufwand ausgetauscht werden können. Zudem muss eine Erweiterung des kryptographischen Verfahrens entlang der gesamten Prozesskette möglich sein. Kryptoagile Systeme müssen flexibel sein, um verschiedene Verschlüsselungsalgorithmen zu unterstützen oder die Schlüssellängen anzupassen.

Die Investition in Kryptoagilität lohnt sich in jedem Fall, da man sich bereits heute auf zukünftige quantenbasierte Angriffe vorbereiten muss. Auch europaweit wird das Thema Datensicherheit weiter stark forciert, zum Beispiel mit DORA (Digital Operational Resilience Act); DORA zielt darauf ab, dass bestimmte Vorgaben standardisiert werden, um bestehende Vorschriften wie MaRisk oder MaGo zu erweitern. Sobald die Vorgaben für Sicherheit konkretisiert und vereinheitlicht wurden, gehört auch das Melden von Sicherheitsvorfällen und die Berichterstattung an das Management dazu. Nach dem Start von DORA am 17. Januar 2025 müssen Finanzinstitute bei einer Nichteinhaltung mit strafrechtlichen Sanktionen und sogar mit Bußgeldern rechnen, wenn sie gegen die Regelungen von DORA verstoßen.

Henning Brandt, Computop

96 Artikel zu „Verschlüsselung Quanten“

NEWS | IT-SECURITY | RECHENZENTRUM

Post-Quanten-Kryptografie: Migrate now, to be secure later

16. Mai 2024

© Fraunhofer AISEC PQC-Update 2024: Das Kompetenzzentrum Post-Quanten-Kryptografie des Fraunhofer AISEC bringt jedes Jahr etwa 100 PQC-Expertinnen und -Experten von Behörden, Unternehmen, Universitäten und Forschungseinrichtungen zusammen, um die PQC-Migration weiter voranzutreiben. Prognosen gehen davon aus, dass die ersten Quantencomputer, die aktuell gängige kryptografische Verfahren brechen können, ab den frühen 2030er Jahren verfügbar sein werden.…