[datensicherheit.de, 11.04.2026] Am 14. April 2026 ist der diesjährige „Weltquantentag“ – abgeleitet von den ersten drei Ziffern der gerundeten Planck-Konstante {h = 4.14 · 10 exp(-15) eV·s} ergibt sich im englischen Datumsformat der 14. April. Utimaco nimmt diesen Tag zum Anlass, zu betonen, dass Quantencomputing ein „zweischneidiges Schwert“ ist, denn zum einen verspricht diese Technologie neue Durchbrüche in Wissenschaft und Forschung, auf der anderen Seite aber kann sie – in den falschen Händen – gefährlich für heutige Verschlüsselungssysteme werden. Unternehmen sollten sich daher bereits jetzt auf dieses Szenario vorbereiten, rät Nils Gerhardt, CTO bei Utimaco, in seiner aktuellen Stellungnahme.

Alljährlicher „Weltquantentag“ soll das Thema Quantencomputing in den Vordergrund rücken

Am 14. April 2026 wird wieder der „Weltquantentag“ begangen. „Zwar ist das Thema Quantencomputing in der deutschen Wirtschaft angekommen – laut einer Bitkom-Studie haben 100 Prozent der Unternehmen bereits davon gehört – doch die operative Verankerung hinkt weit hinterher und birgt damit das Risiko den Wirtschaftsstandort zu gefährden.“

• Diese Studie besagt demnach, dass 43 Prozent der Firmen auch ein großes Risiko für ihre IT-Sicherheit durch Quantencomputer sehen und 64 Prozent wählen somit eine riskante „Wait-and-See“-Haltung und wollen erst die Erfahrungen anderer abwarten. Erschreckenderweise hätten jedoch 34 Prozent der Unternehmen noch keinerlei vorbereitende Maßnahmen ergriffen, um ihre Daten langfristig zu schützen.

Deswegen soll der „Weltquantentag“ dazu dienen, das Thema Quantencomputing in den Vordergrund zu rücken. An diesem Tag, welcher das Bewusstsein für Quantenwissenschaft und -technologien schärfen soll, finden weltweit zahlreiche Veranstaltungen statt. Im Fokus stehen dabei zum Beispiel die Innovationen, welche sich durch Quantenrechner mit überlegener Rechenleistung zukünftig realisieren lassen könnten.

„Q-Day“ bezeichnet Tag, ab dem kommerziell verfügbare Quantencomputer erstmals in der Lage sein werden, gängige Kryptosysteme zu korrumpieren

Auf der anderen Seite könnten solche Computer, wie viele andere Hochtechnologien, in den falschen Händen zur Gefahr werden. Darauf weist ein anderer – zum Glück noch hypothetischer – Tag hin. Der „Q-Day“ bezeichnet das zukünftige Datum, an dem kommerziell verfügbare Quantencomputer erstmals in der Lage sein werden, gängige Kryptosysteme zu korrumpieren.

• Ein klassisches Bit, die kleinste Einheit digitaler Information, kann stets nur einen von zwei Zuständen annehmen: 0 oder 1. Quantenbits hingegen folgen anderen physikalischen Gesetzmäßigkeiten: Sie können sich in einer sogenannten Superposition befinden, bei der ihr Zustand nicht eindeutig festgelegt ist. Erst durch eine Messung entscheidet sich, ob das Quantenbit als 0 oder als 1 erscheint. Vereinfacht gesagt existieren Quantenbits bis zu diesem Zeitpunkt gleichzeitig in beiden Zuständen.

Diese besondere Eigenschaft eröffnet völlig neue rechnerische Möglichkeiten. Bestimmte mathematische Probleme, für deren Lösung herkömmliche Hochleistungsrechner theoretisch Jahrtausende benötigen würden, könnten mit Quantencomputern in vergleichsweise kurzer Zeit bewältigt werden.

Künftige Quantencomputer Risiko für heute gebräuchliche Kryptographie

Für die heute gebräuchliche Kryptographie stellt diese Fähigkeit ein ernstzunehmendes Risiko dar. Asymmetrische Verschlüsselungsverfahren beruhen auf schwer umkehrbaren mathematischen Operationen. Ein bekanntes Beispiel ist die Multiplikation großer Primzahlen: Das Multiplizieren selbst ist unkompliziert und kann bei kleineren Zahlen sogar per Hand oder mit einem Taschenrechner erfolgen. Die Umkehrung dieses Vorgangs, also die Zerlegung des Produkts in seine Primfaktoren, ist hingegen wesentlich aufwändiger.

• Werden die verwendeten Primzahlen ausreichend groß gewählt, stoßen selbst moderne Supercomputer an ihre Grenzen und können das Problem nicht in reeller Zeit lösen. Genau auf dieser Schwierigkeit beruht die Sicherheit asymmetrischer Kryptographie: Sie stellt den Zusammenhang zwischen öffentlichem und privatem Schlüssel her und schützt damit zentrale Anwendungen der digitalen Welt. Dazu zählen unter anderem HTTPS-Verbindungen zwischen Nutzern und Webseiten, Ende-zu-Ende-verschlüsselte Messenger-Dienste sowie zahlreiche weitere Sicherheitsmechanismen.

Sollte es gelingen, die mathematische Komplexität, zum Beispiel durch Quantencomputer, dieser Umkehrprobleme deutlich zu verringern, also die zugrundeliegenden Verschlüsselungsalgorithmen zu „brechen“, hätte das gravierende Konsequenzen für die IT-Sicherheit insgesamt.

Vorbereitung auf Post-Quanten-Kryptographie (PQC)

Als Reaktion auf die Bedrohungsszenarien wird bereits seit einiger Zeit die Post-Quanten-Kryptographie (PQC) entwickelt. Im Kern ähnelt dieser klassischer Kryptographie, basiert jedoch auf mathematischen Problemen, die auch von Quantencomputern nicht effizient gelöst werden können.

• Ein Beispiel ist die gitterbasierte Kryptographie. Dabei beruht die Sicherheit auf hochdimensionalen mathematischen Gittern: Um einen privaten Schlüssel aus einem öffentlichen abzuleiten, müsste der kürzeste Vektor zwischen Gitterpunkten berechnet werden. Was in drei Dimensionen noch einfach ist, wird in sehr hohen Dimensionen praktisch unlösbar.

An solchen Verfahren wird seit den 1990er-Jahren geforscht; einige gelten inzwischen als etabliert. Insbesondere die Algorithmen „CRYSTALS-Kyber“ und „CRYSTALS-Dilithium“ haben erheblich an Bedeutung gewonnen. Das US-amerikanische National Institute of Standards and Technology (NIST) hat die Algorithmen „ML-KEM“ und „ML-DSA“ als Teil der ersten 2024 veröffentlichten offiziellen PQC-Standards ausgewählt.

Gefragt ist Krypto-Agilität – eine Infrastruktur, welche verschiedene Algorithmen und schrittweisen Übergang zum Quantencomputing unterstützt

Da noch offen ist, welche Lösungen sich langfristig durchsetzen, sollten Unternehmen flexibel bleiben. Gerhardt kommentiert: „Gefragt ist Krypto-Agilität – eine Infrastruktur, die verschiedene Algorithmen unterstützt und einen schrittweisen Übergang ermöglicht.“

• Dazu gehöre die Modernisierung bestehender Systeme mit PQC-Verfahren sowie die parallele Nutzung klassischer und quantensicherer Algorithmen.

Gerhardt gibt abschließend zu bedenken: „Wahrscheinlich wird sich nicht eine einzige Lösung etablieren, sondern je nach Anwendungsfall unterschiedliche Verfahren. Diese müssen künftig weiterentwickelt und angepasst werden. Umso wichtiger ist es, schon heute die technischen Grundlagen dafür zu schaffen!“

Weitere Informationen zum Thema:

utimaco
Utimaco is a global platform provider of trusted Cybersecurity and Compliance solutions and services with headquarters in Aachen (Germany) and Campbell, CA (USA)

Medium Authority Magazine, Authority Magazine Editorial Staff, 09.09.2024
Quamputers: Nils Gerhardt Of Utimaco On The Future Of Quantum Computing

World Quantum Day April 14th
World Quantum Day is an annual celebration promoting public awareness and understanding of quantum science and technology around the world

WIKIPEDIA
Planck-Konstante

bitkom, 2026
Quantencomputing in der deutschen Wirtschaft 2026: Zwischen Erwartung und Umsetzung

datensicherheit.de, 03.04.2026
Quantencomputing: Hohe Erwartungen bei deutschen Unternehmen – mit bisher wenig Einsatz / Quantencomputing hat das Potenzial, ganze Branchen zu verändern – von der Materialforschung und der Gesundheitsversorgung über die Logistik bis hin zum Einzelhandel

datensicherheit.de, 26.03.2026
KIT-Forschung zu Quantentechnologien: Optische Kontrolle von Kernspins in Molekülen bietet neue Perspektiven / KIT-Forscher demonstrierten erstmals die optische Initialisierung und Detektion von Kernspins in einem Europium-basierten Molekülkristall – als potenziell besonders stabile Träger von Quanteninformation

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

[datensicherheit.de, 03.04.2026] Nach aktuellen Erkenntnissen des Digitalverbands Bitkom e.V. sieht die deutsche Wirtschaft Quantencomputing überwiegend als wichtige Zukunftstechnologie und Chance für das eigene Unternehmen an – doch die große Mehrheit treibt demnach dieses Thema noch nicht aktiv voran und wartet erst einmal ab: Zwei Drittel der deutschen Unternehmen ab 100 Beschäftigten (67%) sagten, Quantencomputing sei für sie eine Chance, 19 Prozent sähen eher ein Risiko und neun Prozent erwarten keinen Einfluss auf ihr Unternehmen. Aus Sicht von 80 Prozent der Unternehmen sei Quantencomputing eine wichtige Zukunftstechnologie für die deutsche Wirtschaft. 56 Prozent gingen davon aus, dass Wettbewerber Quantencomputing einsetzen würden. Grundlage dieser Angaben ist eine von Bitkom Research im Bitkom-Auftrag durchgeführte repräsentative Telefon-Umfrage unter 607 Unternehmen ab 100 Beschäftigten aus dem verarbeitenden Gewerbe und dem Dienstleistungssektor. Die Interviews seien im Zeitraum der Kalenderwochen 42 bis KW 48 des Jahres 2025 geführt worden.

Foto: Bitkom

Dr. Ralf Wintergerst rät deustchen Unternehmen: Es lohnt sich, frühzeitig Kompetenzen aufzubauen und mit Quantencomputing zu experimentieren!

Quantencomputing derzeit noch nicht in der Breite der Wirtschaft einfach zu nutzen – Abwarten dennoch nachteilig

Gleichzeitig gebe fast zwei Drittel der Unternehmen (64%) an, zunächst die Erfahrungen anderer abwarten zu wollen, bevor sie selbst aktiv werden. Nur acht Prozent beschäftigten sich bereits sehr intensiv mit dem Thema. Weitere 27 Prozent beschäftigten sich weniger intensiv damit, 42 Prozent planten, sich mit Quantencomputing zu beschäftigen oder könnten es sich für die Zukunft vorstellen.

• Dies sind Bitkom-Ergebnisse einer repräsentativen Befragung von 607 Unternehmen ab 100 Beschäftigten: Sie wurden am 31. März 2026 im Studienbericht „Quantencomputing in der deutschen Wirtschaft 2026“ veröffentlicht.

„Quantencomputing ist derzeit noch keine Technologie, die sich in der Breite der Wirtschaft einfach nutzen lässt. Quantencomputing hat aber das Potenzial, ganze Branchen zu verändern, von der Materialforschung und der Gesundheitsversorgung über die Logistik bis zum Einzelhandel“, erläutert der Bitkom-Präsident, Dr. Ralf Wintergerst. Er legt somit nahe: „Es lohnt sich, frühzeitig Kompetenzen aufzubauen und mit Quantencomputing zu experimentieren.“

Beim Quantencomputing gelten die USA momentan als führend

Unter Quantencomputing wird eine Technologie verstanden, welche Effekte der Quantenphysik nutzt, um besonders komplexe Berechnungen effizienter und schneller durchzuführen als mit herkömmlichen Computern.

• Quantencomputer könnten etwa in der Logistik, der Medikamentenentwicklung oder der Materialforschung Aufgaben lösen, welche für klassische Rechner praktisch als unlösbar gelten. Zugleich könnten sie aber auch heute gängige Verschlüsselungsverfahren potenziell aushebeln.

Im internationalen Vergleich schätzten nur drei Prozent der Unternehmen Deutschland als weltweit führend ein. 35 Prozent verorteten Deutschland im Mittelfeld, 29 Prozent als Nachzügler. Die USA gälten mit Abstand als führende Nation (32%), gefolgt von China (14%) und Japan (13%). Zwölf Prozent sähen derzeit noch keine Nation als führend.

Deutschland und Europa müssen beim Quantencomputing eine Führungsrolle einnehmen

„Europa ist in der Quanten-Forschung stark, bei der Mobilisierung von privatem Kapital und der Überführung der Forschungsergebnisse in konkrete Anwendungen tun wir uns aber noch schwer“, so Wintergerst. Sein Votum: „Deutschland und Europa müssen beim Quantencomputing eine Führungsrolle einnehmen! Hochentwickelte Fähigkeiten im Quantencomputing sind künftig eine Grundvoraussetzung für Digitale Souveränität.“

• Quantencomputing sei in der Wahrnehmung der Unternehmen eng mit dem Thema IT-Sicherheit verknüpft: 94 Prozent sähen darin grundsätzlich ein Risiko für ihre IT-Sicherheit. Dabei schätzten 44 Prozent das Risiko als „sehr groß“ oder „eher groß“ ein, 50 Prozent als zwar vorhanden, aber „eher gering“ oder „sehr gering“ ein. Zugleich habe selbst von jenen Unternehmen, die Quantencomputing nutzen oder sich für das Thema interessieren, rund ein Drittel (34%) noch keine Maßnahmen ergriffen, um sich auf damit verbundene Risiken vorzubereiten.

Immerhin 46 Prozent hätten Risikoabschätzungen oder Schwachstellenanalysen vorgenommen oder planten dies. 39 Prozent führten interne Informations- und Sensibilisierungsmaßnahmen durch oder hätten entsprechende Pläne, bei 29 Prozent gelte dies für die Umstellung auf quantensichere Verschlüsselungsverfahren und bei 22 Prozent für die Analyse kryptographischer Systeme.

Vor allem Mangel an personellen Ressourcen zur Befassung mit Einsatz und Auswirkungen von Quantencomputing

Die meisten Unternehmen hinderten aktuell fehlende personelle Ressourcen (65%), sich mit dem Einsatz und den Auswirkungen von Quantencomputing zu befassen. Dahinter folgten Unklarheiten über regulatorische Vorgaben sowie die Sorge, dass die Technologie noch nicht ausgereift sei (je 61%). 56 Prozent hätten keinen Überblick über Angebote zum Quantencomputing und geeignete Anwendungsbeispiele, 54 Prozent fehle es an Wissen über die Technologie und mögliche Risiken und 47 Prozent beklagten einen unklaren wirtschaftlichen Nutzen.

• 41 Prozent hielten den eingeschränkten Zugang zu Hardware oder Testinfrastrukturen für eine Hürde, 36 Prozent konzentrierten sich auf andere Zukunftstechnologien – und rund einem Viertel (27%) fehle ein ausreichendes Budget.

Den Unternehmen, die sich bereits für Quantencomputing interessieren oder es nutzen, würde finanzielle Förderung von Pilotprojekten helfen (69%). Ebenso wünschten sie sich einen niedrigschwelligen und vergünstigten Zugang zu Quantenplattformen, etwa über „Cloud“-Dienste (67%). Groß sei auch der Wunsch nach mehr Orientierung im Markt, beispielsweise zu Anbietern, „Tools“ und Plattformen (66%). Schulungen und Weiterbildungen (61%) sowie praxisnahe Anwendungsbeispiele (50%) stünden bei vielen ebenfalls auf der Wunschliste. „Die Unternehmen wollen keine hochtrabenden Visionen, sondern handfeste Einstiegshilfen ins Quantencomputing!“, kommentiert Wintergerst.

Bitkom veranstaltet AIDAQ-Summit in Berlin

Quantencomputing und seine Chancen für die Wirtschaft sollen auch Thema des „AiDAQ-Summit“ des Bitkom am 22. und 23. September 2026 im bcc Berlin sein. AIDAQ stehe als Akronym für „AI, Data und Quantum“.

• Dieser „AiDAQ Summit“ ist laut Bitkom die führende europäische Veranstaltung für Künstliche Intelligenz (KI), Datenökonomie und Quantentechnologie und soll mehr als 2.500 Entscheider aus Politik, Wirtschaft und Forschung zusammenbringen.

Die Teilnehmer erwarten mehr als 200 hochkarätige Redner und 140 Programmsessions auf vier Bühnen. Erstmalig übernimmt das Bundesministerium für Forschung, Technologie und Raumfahrt (BMFTR) die Schirmherrschaft.

Weitere Informationen zum Thema:

bitkom
Über uns

bitkom
Dr. Ralf Wintergerst: Präsident Bitkom / Vorsitzender der Geschäftsführung & Group CEO Giesecke+Devrient GmbH

bitkom
Studie: Quantencomputing in der deutschen Wirtschaft 2026

bitkom dataverse
Technologien & Software: Quantentechnologien / Unternehmen zum Einsatz, Potenzial und Herausforderungen

AiDAQ
22 & 23 September 2026 | bcc Berlin / AI, Data and Quantum Summit

datensicherheit.de, 26.03.2026
KIT-Forschung zu Quantentechnologien: Optische Kontrolle von Kernspins in Molekülen bietet neue Perspektiven / KIT-Forscher demonstrierten erstmals die optische Initialisierung und Detektion von Kernspins in einem Europium-basierten Molekülkristall – als potenziell besonders stabile Träger von Quanteninformation

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 05.07.2025
Quantentechnologie: EU strebt Vorreiterrolle an / Die EU-Kommission hat am 2. Juli 2025 ihre „Quantum Strategy“ vogestellt – damit soll eine führende Rolle im globalen Wettlauf um Quantentechnologien angestrebt werden

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

[datensicherheit.de, 27.01.2026] Auch wenn es noch verfrüht erscheinen mag, beim Thema Quantencomputing von „Marktreife“ zu sprechen, werden offensichtlich solche Fortschritte gemacht, welche bereits heute Auswirkungen auf die Datensicherheit haben. Christoph Schuhwerk, „CISO in Residence“ bei Zscaler, kommentiert: „Wie bei jeder Innovation interessieren sich nicht nur IT-Experten und Unternehmen für die neuen Möglichkeiten. Auch die Cyberkriminalität springt frühzeitig auf diesen Trend an. Denn mit leistungsfähigen Quantencomputern werden sich vor allem die heute gängigen asymmetrischen Verschlüsselungsverfahren, die für den Schlüsselaustausch und digitale Signaturen zentral sind, in kürzester Zeit brechen lassen.“ Sicherheitsverantwortliche müssten sich somit schon heute fragen, „wie sie auch in Zukunft sensible Unternehmensdaten zuverlässig absichern können“.

Foto: Zscaler

Christoph Schuhwerk: Sobald sensible Daten identifiziert sind, müssen sie mit zukunftssicheren, „quantum-ready“ Verschlüsselungsverfahren geschützt werden!

Angreifer planen langfristig: Gesundheitsdaten oder Architekturdiagramme für Anlagen auch noch in 20 Jahren wertvoll

Eine in der Cyberkriminalität weit verbreitete Technik lautet: „Store Now, Decrypt Later!“ Dabei suchen Cyberangreifer heute nach verschlüsselten Informationen, welche sich relativ leicht auf Netzwerkebene oder im Internet abfangen lassen, speichern diese und erwarten, die erbeuteten Daten dann in fünf bis zehn Jahren eben mithilfe von Quantencomputern zu dechiffrieren.

• Schuhwerk erläutert: „Der Inhalt von sensibler Kommunikation, die nicht an die Öffentlichkeit gelangen soll, ist für die Angreifer Gold wert. Vom Austausch sensitiver Gesundheitsdaten über Architekturdiagramme für Anlagen, die noch in 20 Jahren laufen sollen, kann dabei alles von Interesse sein.“

All diese Daten behielten ihre Relevanz über Jahrzehnte hinweg. Darauf spekulierten Malware-Akteure, um erbeutete Daten später z.B. in Erpressungsversuchen einzusetzen.

„Data Governance“ entscheidend: Bestand an Daten inventarisieren und einer Risikobewertung unterziehen

Sicherheitsteams sollten demnach jetzt damit beginnen, eine vollständige Transparenz über ihre Datenbestände und deren Speicherorte zu schaffen. „Darauf aufbauend müssen die Daten inventarisiert und einer Risikobewertung unterzogen werden, um ihre Kritikalität zu bestimmen.“

• Schuhwerk unterstreicht: „Diese Einschätzung – ,welche Daten sind über welchen Zeitraum schützenswert?‘ – ist die Grundlage für einen priorisierten Aktionsplan, der aufzeigt, wo der dringendste Handlungsbedarf beim Schutz und der Verschlüsselung besteht.“

Ebenso entscheidend sei die Überprüfung der Schnittstellen oder Zugriffsberechtigungen von Drittparteien. Dementsprechend gelte es zu erfassen, „wer oder was wirklich Zugang zu Datenbeständen benötigt und gegebenenfalls einzuschränken“.

Verschlüsselungsmethode für Daten „quantum-safe“ – „Zero Trust“ als Kontrollinstanz

„Sind die sensiblen Daten ausfindig gemacht und kategorisiert, gilt es, diese abzusichern. Die Verschlüsselungsmethode muss ,quantum-safe’ sein und veraltete Kryptographie ausgetauscht werden.“ Die Standardisierung für Post-Quantum-Kryptographie (PQC) durch das US-amerikanische NIST sei entscheidend vorangeschritten. Mit den im August 2024 final veröffentlichten Standards für Algorithmen wie „CRYSTALS-Kyber“ (Schlüsselaustausch) und „CRYSTALS-Dilithium“ (digitale Signaturen) existiere nun eine verlässliche Grundlage für die Implementierung.

• „Ein koordinierter Implementierungsfahrplan der EU-Mitgliedsstaaten für den Übergang zur Post-Quantum-Kryptographie gibt bereits eine erste Richtung vor. Darüber hinaus können Unternehmen durch einen Zero-Trust-Sicherheitsansatz dafür sorgen, dass Unbefugte keinen Zugang zu Datensätzen erhalten.“

Durch das Prinzip des „Least Privileged Access“ würden granulare Zugriffsberechtigungen eingeführt und per Richtlinien umgesetzt. Anstelle des Netzwerkzugriffs trete der Zugang auf Anwendungsebene, um laterale Bewegung in der Infrastruktur zu unterbinden. Darüber hinaus könne eine Zero-Trust-Sicherheitsplattform sicherstellen, „dass die Kommunikation von Usern und den Applikationen von Anfang an ,quantum-ready’ verschlüsselt ist“.

Zukunftsorientiert agieren, um auch zukünftig Kontrolle über eigene Daten zu behalten

Die Bedrohungslage sei angespannt und werde sich in Zukunft verschärfen – „wenn Malware-Akteure durch den Einsatz von KI einen Schritt voraus sind in der Planung ihrer Angriffe“. Umso wichtiger sei es, dass sich IT-Experten jetzt mit dem Thema der Post-Quantum-Kryptographie beschäftigen und die eigenen Unternehmensdaten sowie deren Verschlüsselung daraufhin überprüfen.

• „Zwar beginnen einige Firmen bereits mit der Integration von PQC-Bibliotheken in ihre Software, doch die überwiegende Mehrheit der Unternehmen hat dieses Risiko noch nicht auf dem Schirm. Nur wer sich bereits heute darum kümmert, behält auch zukünftig die Kontrolle über die eigenen Daten!“

Schuhwerks Fazit:

• „Angreifer sammeln heute verschlüsselte Daten, um sie in einigen Jahren mit leistungsfähigen Quantencomputern entschlüsseln zu können.“
• „Sicherheitsteams sollten ihre Daten frühzeitig inventarisieren und nach Kritikalität kategorisieren und mit entsprechenden Schutzmaßnahmen versehen.“
• „Sobald sensible Daten identifiziert sind, müssen sie mit zukunftssicheren, ,quantum-ready’ Verschlüsselungsverfahren geschützt werden.“
• „Ergänzend stärkt ein Zero-Trust-Ansatz die Sicherheit aller Unternehmensdaten.“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen.

Zscaler Blog
Christoph Schuhwerk / CISO in Residence

datensicherheit.de, 01.11.2025
Bedrohung der Datensicherheit durch Fortschritte bei Quantencomputern / Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor – Quantencomputer rechnen immer schneller und bedrohen Public-Key-Verschlüsselungen

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 04.09.2025
eperi-Warnung vor dem Post-Quantum-Datenschutz-GAU / Wenn Quantencomputer vollständig einsatzbereit werden, droht eine Vielzahl der bisherigen technischen Bemühungen für den Datenschutz obsolet zu werden

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

[datensicherheit.de, 01.11.2025] Googles Durchbruch in der Quantenforschung macht laut Dr. Adam Everspaugh, „Cryptography Advisor“ bei Keeper Security, Folgendes klar: „Den Unternehmen stehen weitreichende Veränderungen hinsichtlich des Schutzes sensibler Informationen und Daten bevor!“

Quantencomputer-Fortschritte bedrohen Daten, Finanztransaktionen, Gesundheitssysteme, „Cloud“-Plattformen, Regierungsabläufe und KRITIS

Everspaugh kommentiert: „Googles jüngster Durchbruch im Bereich der Quantenforschung markiert einen Meilenstein, der die Computersicherheit, wie wir sie heute kennen, grundlegend verändern wird.“

• Quantencomputer mit ausreichend Leistung würden die heute breit eingesetzte Public-Key-Verschlüsselung für den Schutz von persönlichen Daten, Finanztransaktionen, Gesundheitssystemen, „Cloud“-Plattformen, Regierungsabläufen oder Kritischen Infrastrukturen (KRITIS) unwirksam machen.

Die unmittelbare Sorge gelte nicht dem, was Quantencomputer heute leisten könnten, sondern dem, wozu sie in naher Zukunft fähig sein würden – ein Szenario, auf das sich Cyberkriminelle bereits vorbereiteten.

Übergang zu quantenresistenter Kryptographie angesichts rasanter Entwicklung der Quantencomputer empfohlen

„Zeitkapsel-Angriffe“, auch bekannt als „Capture now, decrypt later“, beschreiben demnach das heutige Abfangen und Speichern verschlüsselter Daten, welche in Zukunft von Cyberkriminellen unter Einsatz von leistungsfähigen Quantencomputern entschlüsselt werden.

• „Damit lassen sich sensible Informationen, die heute gestohlen werden, in einigen Jahren offenlegen und missbrauchen – sofern sich die Organisationen und Unternehmen nicht rechtzeitig vorbereiten!“, warnt Everspaugh.

Der Übergang zu quantenresistenter Kryptographie sei also keine theoretische Überlegung, sondern eine strategische Notwendigkeit. Regierungen und Aufsichtsbehörden würden zunehmend die Dringlichkeit dieser Bedrohung erkennen.

Quantencomputer-Entwicklung zwingt Organisationen, Kryptographie-Migrationspfade zu planen

„Branchenübergreifend werden Organisationen dazu angehalten, ihre Kryptographie zu überprüfen sowie Migrationspfade zu planen, um krypto-agile Frameworks einzuführen, die eine schnelle Anpassung an neue Standards ermöglichen.“

• Die Standardisierung von Post-Quanten-Algorithmen durch das NIST, darunter der Kyber-Verschlüsselungsalgorithmus, biete eine „Roadmap“ für eine sichere Migration.

Abschließend merkt Everspaugh an: „Führende Technologieunternehmen wie Apple, Google und Cloudflare testen bereits hybride Verschlüsselungsmodelle, die klassische und quantenresistente Algorithmen kombinieren – ein pragmatischer Ansatz, der aktuelle Leistung mit zukünftiger Sicherheit in Einklang bringt.“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

Linkedin
Dr Adam Everspaugh

The Guardian, Dan Milmo, 22.10.2025
Google hails breakthrough as quantum computer surpasses ability of supercomputers / Algorithm performed task beyond capability of classical computers, although experts say real-world application still years away

WELT, 28.10.2025
Meilenstein: „13.000 Mal schneller als ein Supercomputer“ – Google stellt Super-Algorithmus vor

datensicherheit.de, 16.09.2025
Daten als Beute auf Vorrat: Cyberkriminelle setzen auf Fortentwicklung der Quantencomputer / US-Behörde NIST empfiehlt neue Kryptographie-Standards: Quantencomputer werden bald heute noch als sicher geltende Verschlüsselungen in Sekunden knacken können

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

[datensicherheit.de, 16.09.2025] Mit großen Erwartungen an die Weiterentwicklung von Quantencomputern gehen Cyberkriminelle offenbar bereits jetzt dazu über, Daten „auf Vorrat“ zu erbeuten. So warnt auch Udo Fink, „Senior Manager Security Central, Northern, and Eastern Europe (CNEE) & Digital Identity EMEA“ bei DXC Technology, in seiner aktuellen Stellungnahme, dass diese aktuell an einer neuen Strategie arbeiten: „Daten jetzt stehlen – später entschlüsseln.“ Der Grund für diesen zeitversetzten Plan sei eben der Vormarsch von Quantencomputern. Diese neuen „Superrechner“ werden demnach schon bald in der Lage sein, heute noch sicher erscheinende Verschlüsselungsverfahren für Daten einfach zu knacken. Hacker hätten dann leichtes Spiel, auf sensible Daten von Unternehmen, Behörden und Kritischen Infrastrukturen (KRITIS) zuzugreifen. Fink betont: „Der Wettlauf gegen die Zeit hat begonnen. In den USA empfiehlt die zuständige Bundesbehörde NIST die Umstellung auf neue Kryptographie-Standards. Unternehmen sollten keine Zeit verlieren, sich auf die Chancen und Risiken der ,Quanten-Zukunft’ vorzubereiten!“

Foto: DXC Technology

Udo Fink warnt, dass heute entwendete Daten in Zukunft mit Quantencomputern entschlüsselt werden können

Quantencomputer künftig mit alarmierender Geschwindigkeit in der Lage, heutige Verschlüsselungsstandards zu konterkarieren

Quantencomputer seien in der Lage, eine Vielzahl von Informationsflüssen parallel zu verarbeiten. Damit lösten sie sehr komplexe Aufgaben, an denen klassische Computer aufgrund zu langer Berechnungszeiten bislang scheiterten.

• „So sollen ,Superrechner’ beispielsweise helfen, neue Werkstoffe für die Materialforschung oder Krebsmedikamente zu entwickeln. Aktuell noch undenkbare Simulationen – etwa für Wettervorhersagen oder Finanzmarktanalysen – werden möglich.“

Neben den großartigen Chancen berge diese Technologie indes Risiken. „Denn Quantencomputer sind mit alarmierender Geschwindigkeit in der Lage, heutige Verschlüsselungsstandards zum Schutz sensibler Informationen zu knacken.“ Dies sei eine potenzielle Gefahr für Verbraucher, Unternehmen, Behörden und KRITIS-Betreiber.

Quantencomputer werden zum Entschlüsseln nur noch Sekunden benötigen

Ein Vergleich verdeutliche die Dimension der neuen Gefahr: Der aktuell leistungsstärkste klassische Computer bräuchte mehr als eine Milliarde Jahre, um unsere heutigen Verschlüsselungsstandards auszuhebeln. „Ein produktionsreifer Quantencomputer würde diese Kryptographiemethode in wenigen Sekunden knacken.“

• Auf diese beunruhigende Erkenntnis werde nun in den USA reagiert: „Auf Initiative der Bundesbehörde National Institute for Standards and Technology (NIST) entwickelten Fachleute aus der ganzen Welt neue Standards für sichere Kryptographiemethoden in der ,Post-Quanten-Zeit’. Das NIST wählte anschließend bestimmte Verfahren für die Standardisierung aus.“

In den USA stellten Behörden inzwischen neue Anforderungen an zukunftssicheren Datenschutz in ihren Lieferketten. „Damit werden Unternehmen in der freien Wirtschaft erreicht. Um Behörden und Unternehmen weltweit bei der Einführung zukunftssicherer Kryptografie zu helfen, bietet DXC Technology die Umstellung mit einer dafür eingerichteten ,Security Practice’ an.“

Cybersicherheit erfordert dynamische Anpassung im Kontext der Fortentwicklung der Quantencomputer

IT-Experten betrachteten Cybersicherheit dabei als einen dynamischen Prozess, welcher permanent an neueste Kryptographiemethoden angepasst werden müsse. „Zunächst bewerten die DXC-Fachleute dabei die aktuellen Verschlüsselungsprotokolle innerhalb der gesamten IT-Architektur – von der Hardware im Datencenter bis zu APIs und mobilen Geräten.“

• Dank Künstlicher Intelligenz (KI) ließen sich dabei riesige Datenmengen untersuchen und mögliche Schwachstellen mit hoher Genauigkeit identifizieren.

Auf diese Weise erfassten die Experten alle kritischen Systeme, Anwendungen und Informationen, welche potenzielle Einfallstore für Hacker-Angriffe mit Quantencomputern sein könnten. „Unternehmen erhalten dann einen Fahrplan, wie die Datensicherheit an das ,Quanten-Zeitalter’ angepasst und auf Dauer gewährleistet bleibt.“

„Harvest now – de-encrypt later“, – Quantencomputer als neue Schlüsseltechnologie mit enormen Chancen wie Risiken

„In der Praxis beobachten wir, dass immer mehr Unternehmen neue Verschlüsselungsverfahren einführen – der Wettlauf um die Sicherheit hat längst begonnen“, berichtet Fink. Dies zeigen auch die jüngsten groß angelegten Hacker-Angriffe, „bei denen riesige Datenmengen erbeutet wurden“. Jeder Einzelne müsse davon ausgehen, „dass seine Identität schon zwei bis dreimal gestohlen wurde“. Viele dieser Angriffe seien wahrscheinlich von staatlichen Akteuren gesteuert.

• „Quantencomputing ist eine neue Schlüsseltechnologie mit enormen Chancen aber auch Risiken. Kurzfristig entstehen große Gefahren, wenn Cyberkriminelle Quantencomputer zum Hacken einsetzen. Unsere heute üblichen Verschlüsselungsmethoden zum Schutz sensibler Daten sind dagegen nicht mehr ausreichend.“

Hacker verfolgten aktuell bereits die Strategie: „Harvest the data now – de-encrypt later“. Fink erläutert abschließend: „Die heute entwendeten Daten werden erst in Zukunft mit Quantencomputern entschlüsselt. Umso wichtiger, sensible Daten so schnell wie möglich ,quantensicher’ zu machen. Die Risikoplanung für das ,Post-Quanten-Zeitalter’ muss jetzt beginnen!“

Weitere Informationen zum Thema:

DXC TECHNOLOGY
Reduce risk with end-to-end cybersecurity services / Our expert services and threat intelligence help you build in cybersecurity across your IT environment and operations

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

[datensicherheit.de, 29.08.2025] Laut einer aktuellen Warnung von ESET hat Schadsoftware quasi die nächste Stufe ihrer Evolution erreicht: ESET-Forscher haben nach eigenen Angaben kürzlich eine Ransomware entdeckt, welche mit Hilfe Künstlicher Intelligenz (KI) selbständig arbeitet. ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft „PromptLock“ unter dem Namen „Filecoder.PromptLock.A“ ein. Diese Malware kann demnach autonom entscheiden, welche Dateien sie durchsucht, kopiert und verschlüsselt.

[eset-promptlock.jpg]
Abbildung: ESET

Ransomware entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden

ESET-Sicherheitsexperten haben nach eigenen Angaben eine neue Schadsoftware entdeckt, welche KI erstmals gezielt für Ransomware nutzt: „Das Programm mit dem Namen ,PromptLock’ verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen.“

• Genau dies mache es so besonders: „Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist ,PromptLock’ ein deutliches Warnsignal!“ Diese Software generiere sogenannte Lua-Skripte, welche plattformübergreifend auf „Windows“, „Linux“ und „macOS“ funktionierten.

Je nach System durchsuche „PromptLock“ lokale Dateien, analysiere sie und entscheide anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv.

Ransomware laut ESET nur ein Vorgeschmack auf das, was noch kommen könnte

„Für die Verschlüsselung verwendet ,PromptLock’ den ,SPECK’-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache ,Golang’. Erste Varianten sind auf der Analyseplattform ,VirusTotal’ aufgetaucht.“ Zwar geht ESET derzeit davon aus, „dass es sich um ein ,Proof-of-Concept’ handelt – also um eine Art Machbarkeitsstudie“ – doch die Gefahr sei real.

• „Das Aufkommen von Werkzeugen wie ,PromptLock ist eine bedeutende Veränderung in der Cyberbedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen“, kommentiert Anton Cherepanov, IT-Sicherheitsforscher bei ESET. Er gibt zu bedenken: „Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen.“

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, welches lokal über eine API (Standardisierte Programmierschnittstelle) angesteuert wird. Die KI erstelle die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur „Cloud“. Selbst die „Bitcoin“-Adresse für die Erpressung sei im Prompt eingebaut – diese führe kurioserweise zu einer scheinbar dem „Bitcoin“-Erfinder Satoshi Nakamoto gehörenden „Wallet“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Anton Cherepanov / Senior Malware Researcher

infosec.exchange, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes…

X, ESET Research, 26.08.2025
The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs:

X, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. / The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 21.07.2025] Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden mit teils weitreichenden Auswirkungen für Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ veröffentlicht. Demnach können unter anderem spezielle Teams Kontrollen auch hinsichtlich der Verschlüsselungstechnologie durchführen – wenn also z.B. ein Finanzunternehmen „Cloud“-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Schlüssel nachzuweisen, auch bei redundanten oder ausgelagerten Systemen. Was Unternehmen jetzt im Bereich der Verschlüsselungstechnologie beachten sollten, erörtert Andreas Steffen, CEO von eperi, in seiner aktuellen Stellungnahme:

Foto: eperi

Andreas Steffen legt Finanzunternehmen im DORA-Kontext dringend nahe, die volle Kontrolle – sowohl technisch als auch rechtlich und organisatorisch – zu übernehmen

Das DORA-Inkrafttreten zwingt betroffene Organisationen sich auf ein neues Kontrollniveau vorzubereiten

Steffen berichtet: „Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten ,DORA Oversight Guide’, ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert.“ Im Zentrum stehe der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von „Cloud“-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien.

• Doch diese Anleitung enthalte weit mehr als nur organisatorische Hinweise: „Insbesondere Artikel 5.4.1 des Leitfadens stellt klar, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen – mit gravierenden Folgen für alle Finanzunternehmen, die ,Hyperscaler’ wie Microsoft, Amazon oder Google nutzen.“

Er kommentiert: „Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten und die Zeit drängt, falls es noch nicht bereits geschehen ist.“

„DORA Oversight Guide“ im Kurzüberblick

Der 32-seitige Leitfaden beschreibe detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausübten. Ein zentraler Mechanismus seien die „Joint Examination Teams“ (JETs), welche grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführten.

• Ziel sei es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter Kritischer Infrastrukturen (KRITIS) das Risiko- und Resilienzprofil des Finanzsektors nicht gefährdeten.

Besonders relevant, so Steffen: „Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:

1. Sicherheitsvorgaben für Subunternehmer (Subcontracting),
2. Verwendung starker Verschlüsselung,
3. Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.

Artikel 5.4.1 im „DORA Oversight Guide“ von weitreichender Bedeutung

Artikel 5.4.1 im „Oversight Guide“ sei besonders bedeutsam: „Dort heißt es sinngemäß, dass Aufsichtsbehörden Empfehlungen abgeben dürfen, die auch kryptographische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.“

• Das bedeutet konkret: „Wenn ein Finanzunternehmen ,Cloud’-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen.“

Damit rücke ein bislang oft vernachlässigter Punkt in den Fokus. „Wer kontrolliert die Daten und wer hält die Schlüssel in der Hand?“

Klassische „Cloud“-Verschlüsselung reicht nicht mehr aus

Viele Finanzunternehmen setzten bereits auf Verschlüsselung. Doch oft würden Schlüssel in der „Cloud“ selbst gespeichert oder durch den Anbieter verwaltet. Das Problem dabei laut Steffen:

• „Die Datenhoheit ist nicht vollständig gewährleistet.
• Im Fall von Subcontracting (z.B. bei global verteilten Rechenzentren) fehlt der Überblick.
• Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. ,Compliance’-Risiken.“

Die Anforderungen aus dem „DORA Oversight Guide“ verlangten somit ein „neues Niveau an Transparenz und Kontrolle“.

DORA-Anforderungen einhalten – Schlüsselhoheit behalten

Steffen führt aus: „Eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist, verschlüsselt Daten, bevor sie die ,Cloud’ erreichen – client-seitig und format-erhaltend, damit sie im Hintergrund weiterverarbeitet werden können.“

Eine Verschlüsselungsarchitektur sollte vier wichtige Aspekte sicherstellen:

1. Die Schlüsselkontrolle bleibt vollständig beim Unternehmen. Weder „Cloud“-Anbieter noch Dritte haben Zugriff.
2. Sie ist kompatibel mit „Microsoft 365“, „Salesforce“ und anderen Web-Applikationen.
3. Sie erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS-2, DSGVO.
4. Es ergeben sich keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration.

Mit dieser Architektur könnten Unternehmen gegenüber Aufsichtsbehörden nachweisen, dass die kryptographischen Schutzmaßnahmen vollständig unter ihrer Kontrolle stehen – eben genau das, was Artikel 5.4.1 fordert.

Schlüssel in der Hand – Kontrolle anerkannt

Der neue „DORA Oversight Guide“ zeige unmissverständlich, dass Aufsichtsbehörden die ITK-Drittdienstleister künftig genau unter die Lupe nähmen.

• „Für Finanzunternehmen bedeutet das, dass nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, die Anforderungen erfüllt.“

Als Lösung benennt Steffen beispielhaft „eperi sEcure“: Damit behielten Finanzunternehmen die volle Kontrolle – sowohl technisch, rechtlich und organisatorisch, um die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld zu schaffen.

Weitere Informationen zum Thema:

eba European Banking Authority & eiopa European Insurance and Occupational Pensions Authority & ESMA European Securities and Markets Authority, 15.07.2025
Digital Operational Resilience Act (DORA): Oversight of critical third-party providers / Guide on oversight activities

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI, 20.07.2023
eperi ernennt Andreas Steffen zum neuen CEO / Sein Ziel: Mit der eperi Verschlüsselungstechnologie zum führenden Anbieter für den Datenschutz in der Cloud zu werden

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 16.07.2025] Auch Capgemini warnt in einer aktuellen Stellungnahme, dass der rasante Fortschritt im Bereich Quantencomputing die Wirksamkeit heutiger Verschlüsselungsverfahren bedroht – und führt hierzu Erkenntnisse aus der neuen Studie des Capgemini Research Institute mit dem Titel „Future encrypted: Why post-quantum cryptography tops the new cybersecurity agenda“ an. Insbesondere Angriffe nach dem Prinzip „Harvest-now, decrypt-later“ rücken demnach das Thema Quantensicherheit in den Fokus – dabei handelt es sich um das Sammeln heute noch verschlüsselter Daten, um sie dann später mit Hilfe von Quantencomputern zu entschlüsseln. Das Capgemini Research Institute führte für die Studie nach eigenen Angaben eine Umfrage unter 1.000 Unternehmen mit einem Jahresumsatz von mindestens einer Milliarde US-Dollar im Zeitraum April bis Mai 2025 durch – aus 13 Branchen und 13 Ländern in der Asien-Pazifik-Region, Europa und Nordamerika.

Abbildung: Capgemini Research Institute

Capgemini-Umfrageergebnisse zum Eintritt des „Q-Day“

Viele Unternehmen unterschätzen weiterhin die mit Quantencomputing einhergehenden Risiken

Auch regulatorische Anforderungen und ein sich wandelndes Technologieumfeld setzten das Thema Quantensicherheit auf die Agenda vieler Organisationen. Trotz wachsender Sensibilisierung innerhalb der Branche unterschätzten viele Unternehmen weiterhin die mit Quantencomputing einhergehenden Risiken – „mit potenziell schwerwiegenden Folgen wie Datenlecks oder regulatorischen Sanktionen“.

• Der Studie zufolge zeigen sich rund zwei Drittel (65%) der befragten Unternehmen besorgt über die zunehmende Bedrohung durch Angriffe nach dem Prinzip „Harvest-now, decrypt-later“.

Jedes sechste „Early-Adopter“-Unternehmen gehe davon aus, dass der berüchtigte „Q-Day“ innerhalb der nächsten fünf Jahre eintreten könnte, während rund sechs von zehn noch mit einem Zeitraum von zehn Jahren rechneten. Etwa 70 Prozent der Befragten in dieser Studie werden als ‚Early Adopter‘ bezeichnet: „Diese arbeiten entweder bereits an quantensicheren Lösungen oder planen, dies in den nächsten fünf Jahren zu tun.“

Quantensicherheit als strategische Investition

„Ziel sollte nicht sein, ein Datum vorherzusagen. Es geht darum, ein sich anbahnendes Risiko zu managen. Kommunikation oder Daten, die heute noch verschlüsselt sind, könnten morgen zur Schwachstelle werden, wenn Unternehmen den Umstieg auf quantensichere Verfahren hinauszögern“, erläutert Daniel Schoeman, Experte für Post-Quantum-Kryptographie bei Capgemini in Deutschland, und betont: „Wer frühzeitig handelt, sichert Geschäftskontinuität, regulatorische Konformität und langfristiges Vertrauen!“

• Er führt weiter aus: „Quantensicherheit ist kein optionaler Kostenpunkt, sondern eine strategische Investition – sie kann ein drohendes Risiko in einen Wettbewerbsvorteil verwandeln. Die Unternehmen, die das früh erkennen, schützen sich am besten vor künftigen Cyberangriffen!“

Auch wenn heutige Quantencomputer noch nicht in der Lage seien, gängige Verschlüsselungsverfahren zu knacken, trieben insbesondere sicherheitskritische Branchen wie Verteidigung und Finanzwesen die Einführung quantensicherer Lösungen voran. Konsumentenorientierte Sektoren wie Konsumgüter und Einzelhandel hingegen zeigten bislang weniger Dringlichkeit.

Sensible Daten mit Post-Quantum-Kryptographie schützen

Viele Unternehmen beabsichtigten, sensible Daten mit Post-Quantum-Kryptographie zu schützen: Die Mehrheit der befragten Unternehmen (70%) plane, ihre Systeme mit einer geeigneten Kombination aus klassischer und Post-Quantum-Kryptographie (PQC) zu schützen.

• Aufgrund des ganzheitlichen Ansatzes zum Schutz sensibler Daten gelte PQC als die derzeit beste Option zur Absicherung gegen Risiken durch Quantencomputer. Fast die Hälfte der „Early Adopters“ befasse sich bereits mit PQC-Lösungen, prüfe deren Machbarkeit oder erprobe erste Pilotprojekte. „Für 70 Prozent der Unternehmen sind regulatorische Vorgaben ein zentraler Treiber für den Umstieg auf PQC.“

Während „Early Adopters“ aktiv an ihrer quantensicheren Zukunft arbeiteten, ergriffen rund 30 Prozent der Unternehmen bislang keine Maßnahmen gegen die potenzielle Bedrohung durch Quantencomputing. Ursache seien unter anderem unzureichende Budgets und fehlende Ressourcen für den kryptographischen Wandel.

Weitere Informationen zum Thema:

Capgemini
Das Capgemini Research Institute ist ein weltweit führender Think Tank von Capgemini

Capgemini RESEARCH INSTITUTE, 2025
Future encrypted / Why post-quantum cryptography tops the new cybersecurity agenda

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

[datensicherheit.de, 16.05.2025] Der Deutsche Anwaltverein (DAV) befürchtet „massive Eingriffe in Bürgerrechte“ und fordert in seiner Stellungnahme vom 5. Mai 2025 zum Thema Verschlüsselung, dass eine EU-Regulation nur mit Expertenbeteiligung erfolgen dürfe. Mit der „Technology Roadmap on Encryption“ will die EU-Kommission demnach Verschlüsselungstechnologien standardmäßig schwächen. Der DAV kritisiert das gemeinsam mit anderen Organisationen in einem Schreiben an die zuständige Vizepräsidentin der Kommission.

Schlupflöcher in der Verschlüsselung für Behörden öffnet diese auch Kriminellen und anderen böswilligen Dritten

„Die ,ProtectEU’-Strategie birgt große Gefahren“, betont Rechtsanwalt Dr. David Albrecht, Mitglied im DAV-Ausschuss „Recht der Inneren Sicherheit“. Ermittlungsbehörden Zugriff auf verschlüsselte Daten zu gewähren, sei nicht nur ein heftiger Eingriff in die Bürgerrechte.

Denn wenn man bei einer Verschlüsselung Schlupflöcher für Behörden schafft, könnten diese auch von Kriminellen und anderen böswilligen Dritten ausgenutzt werden, so Albrechts eindringliche Warnung.

Digitale Massenüberwachung und beabsichtigte Schwachstellen in der Verschlüsselung gefährden Sicherheit der Bürger

Darüber herrsche große Einigkeit in der Wissenschaft. Auch die neuesten Verfahren – wie das „Client-Side-Scanning“ – fielen bei Tests von Experten durch. „Digitale Massenüberwachung und das bewusste Kreieren von Schwachstellen schaffen nicht mehr Sicherheit. Im Gegenteil: Dadurch entstehen für die meisten Bürgerinnen und Bürger sogar mehr Risiken!“

Die Unterzeichner des gemeinsamen Schreibens senden deshalb einen Appell an die EU-Kommission: An der Ausarbeitung von Gesetzgebung zur Cybersicherheit sollten dringend Vertreter von Zivilgesellschaft und Wissenschaft, Technologieexperten sowie Digital- und Menschenrechtsanwälte beteiligt werden. „Gemeinsam können wir technische und nicht-technische, langfristige Lösungen für Probleme in der europäischen Cybersicherheit finden“, so Albrecht abschließend.

Weitere Informationen zum Thema:

Digitale Gesellschaft, 05.05.2025
Offener Brief: Technology Roadmap on Encryption

DeutscherAnwaltVerein, 05.05.2025
Academics, technologists and other experts call for a key role in EU Technology Roadmap on encryption

datensicherheit.de, 26.04.2024
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte / Warnung des eco vor Gefährdung des Schutzes der persönlichen Daten jedes Einzelnen in Europa

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen