[datensicherheit.de, 16.09.2025] Mit großen Erwartungen an die Weiterentwicklung von Quantencomputern gehen Cyberkriminelle offenbar bereits jetzt dazu über, Daten „auf Vorrat“ zu erbeuten. So warnt auch Udo Fink, „Senior Manager Security Central, Northern, and Eastern Europe (CNEE) & Digital Identity EMEA“ bei DXC Technology, in seiner aktuellen Stellungnahme, dass diese aktuell an einer neuen Strategie arbeiten: „Daten jetzt stehlen – später entschlüsseln.“ Der Grund für diesen zeitversetzten Plan sei eben der Vormarsch von Quantencomputern. Diese neuen „Superrechner“ werden demnach schon bald in der Lage sein, heute noch sicher erscheinende Verschlüsselungsverfahren für Daten einfach zu knacken. Hacker hätten dann leichtes Spiel, auf sensible Daten von Unternehmen, Behörden und Kritischen Infrastrukturen (KRITIS) zuzugreifen. Fink betont: „Der Wettlauf gegen die Zeit hat begonnen. In den USA empfiehlt die zuständige Bundesbehörde NIST die Umstellung auf neue Kryptographie-Standards. Unternehmen sollten keine Zeit verlieren, sich auf die Chancen und Risiken der ,Quanten-Zukunft’ vorzubereiten!“

Foto: DXC Technology

Udo Fink warnt, dass heute entwendete Daten in Zukunft mit Quantencomputern entschlüsselt werden können

Quantencomputer künftig mit alarmierender Geschwindigkeit in der Lage, heutige Verschlüsselungsstandards zu konterkarieren

Quantencomputer seien in der Lage, eine Vielzahl von Informationsflüssen parallel zu verarbeiten. Damit lösten sie sehr komplexe Aufgaben, an denen klassische Computer aufgrund zu langer Berechnungszeiten bislang scheiterten.

• „So sollen ,Superrechner’ beispielsweise helfen, neue Werkstoffe für die Materialforschung oder Krebsmedikamente zu entwickeln. Aktuell noch undenkbare Simulationen – etwa für Wettervorhersagen oder Finanzmarktanalysen – werden möglich.“

Neben den großartigen Chancen berge diese Technologie indes Risiken. „Denn Quantencomputer sind mit alarmierender Geschwindigkeit in der Lage, heutige Verschlüsselungsstandards zum Schutz sensibler Informationen zu knacken.“ Dies sei eine potenzielle Gefahr für Verbraucher, Unternehmen, Behörden und KRITIS-Betreiber.

Quantencomputer werden zum Entschlüsseln nur noch Sekunden benötigen

Ein Vergleich verdeutliche die Dimension der neuen Gefahr: Der aktuell leistungsstärkste klassische Computer bräuchte mehr als eine Milliarde Jahre, um unsere heutigen Verschlüsselungsstandards auszuhebeln. „Ein produktionsreifer Quantencomputer würde diese Kryptographiemethode in wenigen Sekunden knacken.“

• Auf diese beunruhigende Erkenntnis werde nun in den USA reagiert: „Auf Initiative der Bundesbehörde National Institute for Standards and Technology (NIST) entwickelten Fachleute aus der ganzen Welt neue Standards für sichere Kryptographiemethoden in der ,Post-Quanten-Zeit’. Das NIST wählte anschließend bestimmte Verfahren für die Standardisierung aus.“

In den USA stellten Behörden inzwischen neue Anforderungen an zukunftssicheren Datenschutz in ihren Lieferketten. „Damit werden Unternehmen in der freien Wirtschaft erreicht. Um Behörden und Unternehmen weltweit bei der Einführung zukunftssicherer Kryptografie zu helfen, bietet DXC Technology die Umstellung mit einer dafür eingerichteten ,Security Practice’ an.“

Cybersicherheit erfordert dynamische Anpassung im Kontext der Fortentwicklung der Quantencomputer

IT-Experten betrachteten Cybersicherheit dabei als einen dynamischen Prozess, welcher permanent an neueste Kryptographiemethoden angepasst werden müsse. „Zunächst bewerten die DXC-Fachleute dabei die aktuellen Verschlüsselungsprotokolle innerhalb der gesamten IT-Architektur – von der Hardware im Datencenter bis zu APIs und mobilen Geräten.“

• Dank Künstlicher Intelligenz (KI) ließen sich dabei riesige Datenmengen untersuchen und mögliche Schwachstellen mit hoher Genauigkeit identifizieren.

Auf diese Weise erfassten die Experten alle kritischen Systeme, Anwendungen und Informationen, welche potenzielle Einfallstore für Hacker-Angriffe mit Quantencomputern sein könnten. „Unternehmen erhalten dann einen Fahrplan, wie die Datensicherheit an das ,Quanten-Zeitalter’ angepasst und auf Dauer gewährleistet bleibt.“

„Harvest now – de-encrypt later“, – Quantencomputer als neue Schlüsseltechnologie mit enormen Chancen wie Risiken

„In der Praxis beobachten wir, dass immer mehr Unternehmen neue Verschlüsselungsverfahren einführen – der Wettlauf um die Sicherheit hat längst begonnen“, berichtet Fink. Dies zeigen auch die jüngsten groß angelegten Hacker-Angriffe, „bei denen riesige Datenmengen erbeutet wurden“. Jeder Einzelne müsse davon ausgehen, „dass seine Identität schon zwei bis dreimal gestohlen wurde“. Viele dieser Angriffe seien wahrscheinlich von staatlichen Akteuren gesteuert.

• „Quantencomputing ist eine neue Schlüsseltechnologie mit enormen Chancen aber auch Risiken. Kurzfristig entstehen große Gefahren, wenn Cyberkriminelle Quantencomputer zum Hacken einsetzen. Unsere heute üblichen Verschlüsselungsmethoden zum Schutz sensibler Daten sind dagegen nicht mehr ausreichend.“

Hacker verfolgten aktuell bereits die Strategie: „Harvest the data now – de-encrypt later“. Fink erläutert abschließend: „Die heute entwendeten Daten werden erst in Zukunft mit Quantencomputern entschlüsselt. Umso wichtiger, sensible Daten so schnell wie möglich ,quantensicher’ zu machen. Die Risikoplanung für das ,Post-Quanten-Zeitalter’ muss jetzt beginnen!“

Weitere Informationen zum Thema:

DXC TECHNOLOGY
Reduce risk with end-to-end cybersecurity services / Our expert services and threat intelligence help you build in cybersecurity across your IT environment and operations

datensicherheit.de, 16.07.2025
Fortschritte des Quantencomputings: Aktuelle Verschlüsselungsverfahren drohen obsolet zu werden / Innerhalb der nächsten fünf bis zehn Jahre wird vielfach der Eintritt des „Q-Day“ befürchtet – also der Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, heute gängige kryptographische Algorithmen zu brechen

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

[datensicherheit.de, 29.08.2025] Laut einer aktuellen Warnung von ESET hat Schadsoftware quasi die nächste Stufe ihrer Evolution erreicht: ESET-Forscher haben nach eigenen Angaben kürzlich eine Ransomware entdeckt, welche mit Hilfe Künstlicher Intelligenz (KI) selbständig arbeitet. ESET hat deren technische Details veröffentlicht, um die IT-Sicherheits-Community zu sensibilisieren, und stuft „PromptLock“ unter dem Namen „Filecoder.PromptLock.A“ ein. Diese Malware kann demnach autonom entscheiden, welche Dateien sie durchsucht, kopiert und verschlüsselt.

[eset-promptlock.jpg]
Abbildung: ESET

Ransomware entscheidet anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden

ESET-Sicherheitsexperten haben nach eigenen Angaben eine neue Schadsoftware entdeckt, welche KI erstmals gezielt für Ransomware nutzt: „Das Programm mit dem Namen ,PromptLock’ verwendet ein lokal installiertes KI-Sprachmodell, um im laufenden Angriff automatisch Skripte zu erzeugen.“

• Genau dies mache es so besonders: „Die KI entscheidet selbst, welche Dateien durchsucht, kopiert oder verschlüsselt werden. Für IT-Sicherheitsforscher ist ,PromptLock’ ein deutliches Warnsignal!“ Diese Software generiere sogenannte Lua-Skripte, welche plattformübergreifend auf „Windows“, „Linux“ und „macOS“ funktionierten.

Je nach System durchsuche „PromptLock“ lokale Dateien, analysiere sie und entscheide anhand vorher festgelegter Textbefehle, ob Daten verschlüsselt oder ausgespäht werden. Eine Funktion zur Zerstörung von Dateien sei offenbar bereits vorbereitet, aber noch nicht aktiv.

Ransomware laut ESET nur ein Vorgeschmack auf das, was noch kommen könnte

„Für die Verschlüsselung verwendet ,PromptLock’ den ,SPECK’-Algorithmus mit 128 Bit. Geschrieben wurde die Schadsoftware in der Programmiersprache ,Golang’. Erste Varianten sind auf der Analyseplattform ,VirusTotal’ aufgetaucht.“ Zwar geht ESET derzeit davon aus, „dass es sich um ein ,Proof-of-Concept’ handelt – also um eine Art Machbarkeitsstudie“ – doch die Gefahr sei real.

• „Das Aufkommen von Werkzeugen wie ,PromptLock ist eine bedeutende Veränderung in der Cyberbedrohungslandschaft. Mit Hilfe von KI ist es nun wesentlich einfacher geworden, komplexe Angriffe zu starten – ohne dass Teams aus erfahrenen Entwicklern erforderlich sind. Ein gut konfiguriertes KI-Modell reicht heute aus, um komplexe, sich selbst anpassende Malware zu erstellen“, kommentiert Anton Cherepanov, IT-Sicherheitsforscher bei ESET. Er gibt zu bedenken: „Bei ordnungsgemäßer Implementierung könnten solche Bedrohungen die Erkennung erheblich erschweren und die Cybersicherheit vor Herausforderungen stellen.“

Die Software nutzt laut ESET ein frei verfügbares Sprachmodell, welches lokal über eine API (Standardisierte Programmierschnittstelle) angesteuert wird. Die KI erstelle die Angriffsskripte also direkt auf dem infizierten Rechner – ohne Verbindung zur „Cloud“. Selbst die „Bitcoin“-Adresse für die Erpressung sei im Prompt eingebaut – diese führe kurioserweise zu einer scheinbar dem „Bitcoin“-Erfinder Satoshi Nakamoto gehörenden „Wallet“.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Anton Cherepanov / Senior Malware Researcher

infosec.exchange, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes…

X, ESET Research, 26.08.2025
The PromptLock ransomware is written in #Golang, and we have identified both Windows and Linux variants uploaded to VirusTotal. IoCs:

X, ESET Research, 26.08.2025
#ESETResearch has discovered the first known AI-powered ransomware, which we named #PromptLock. / The PromptLock malware uses the gpt-oss:20b model from OpenAI locally via the Ollama API to generate malicious Lua scripts on the fly, which it then executes 1/6

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 16.07.2025
Ransomware aus der Adler-Perspektive: Definition, Angriffsphasen und Tipps zur Prävention / Kay Ernst gibt in seiner aktuellen Stellungnahme einen Überblick zum Thema und erläutert den Effekt der Mikrosegmentierung auf die Ausbreitung von Ransomware

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

[datensicherheit.de, 21.07.2025] Am 15. Juli 2025 wurde der neue „DORA Oversight Guide“ von den europäischen Aufsichtsbehörden mit teils weitreichenden Auswirkungen für Finanzunternehmen, IT-Dienstleister und „Cloud-Provider“ veröffentlicht. Demnach können unter anderem spezielle Teams Kontrollen auch hinsichtlich der Verschlüsselungstechnologie durchführen – wenn also z.B. ein Finanzunternehmen „Cloud“-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Schlüssel nachzuweisen, auch bei redundanten oder ausgelagerten Systemen. Was Unternehmen jetzt im Bereich der Verschlüsselungstechnologie beachten sollten, erörtert Andreas Steffen, CEO von eperi, in seiner aktuellen Stellungnahme:

Foto: eperi

Andreas Steffen legt Finanzunternehmen im DORA-Kontext dringend nahe, die volle Kontrolle – sowohl technisch als auch rechtlich und organisatorisch – zu übernehmen

Das DORA-Inkrafttreten zwingt betroffene Organisationen sich auf ein neues Kontrollniveau vorzubereiten

Steffen berichtet: „Am 15. Juli 2025 veröffentlichten die europäischen Aufsichtsbehörden (ESA) den ersten ,DORA Oversight Guide’, ein entscheidendes Dokument, das die künftige Überwachung kritischer IKT-Drittdienstleister konkretisiert.“ Im Zentrum stehe der Aufbau sogenannter Joint Examination Teams (JETs) zur europaweiten Kontrolle von „Cloud“-Anbietern, Softwarelieferanten und anderen wichtigen Drittparteien.

• Doch diese Anleitung enthalte weit mehr als nur organisatorische Hinweise: „Insbesondere Artikel 5.4.1 des Leitfadens stellt klar, dass Aufsichtsbehörden künftig Empfehlungen zu Subcontracting und Verschlüsselungstechnologien aussprechen dürfen – mit gravierenden Folgen für alle Finanzunternehmen, die ,Hyperscaler’ wie Microsoft, Amazon oder Google nutzen.“

Er kommentiert: „Warum das jetzt relevant ist? Weil sich mit Inkrafttreten von DORA im Januar 2025 alle betroffenen Organisationen auf ein neues Kontrollniveau vorbereiten mussten und die Zeit drängt, falls es noch nicht bereits geschehen ist.“

„DORA Oversight Guide“ im Kurzüberblick

Der 32-seitige Leitfaden beschreibe detailliert, wie die ESA (EBA, ESMA und EIOPA) ihre Aufsichtsbefugnisse gegenüber kritischen IKT-Dienstleistern künftig ausübten. Ein zentraler Mechanismus seien die „Joint Examination Teams“ (JETs), welche grenzüberschreitend Audits, technische Inspektionen und Vor-Ort-Besuche durchführten.

• Ziel sei es, einheitliche Standards durchzusetzen und sicherzustellen, dass Anbieter Kritischer Infrastrukturen (KRITIS) das Risiko- und Resilienzprofil des Finanzsektors nicht gefährdeten.

Besonders relevant, so Steffen: „Die ESA kann Empfehlungen zu kritischen Sicherheitsmaßnahmen aussprechen, darunter:

1. Sicherheitsvorgaben für Subunternehmer (Subcontracting),
2. Verwendung starker Verschlüsselung,
3. Nachweis der Schlüsselhoheit durch das Finanzunternehmen selbst.

Artikel 5.4.1 im „DORA Oversight Guide“ von weitreichender Bedeutung

Artikel 5.4.1 im „Oversight Guide“ sei besonders bedeutsam: „Dort heißt es sinngemäß, dass Aufsichtsbehörden Empfehlungen abgeben dürfen, die auch kryptographische Schutzmaßnahmen betreffen, insbesondere im Hinblick auf Subdienstleister und ausgelagerte IT-Umgebungen.“

• Das bedeutet konkret: „Wenn ein Finanzunternehmen ,Cloud’-Dienste von Microsoft, AWS oder Google nutzt, muss es in der Lage sein, jederzeit die Hoheit über die verwendeten Verschlüsselungsschlüssel nachzuweisen – auch bei redundanten oder ausgelagerten Systemen.“

Damit rücke ein bislang oft vernachlässigter Punkt in den Fokus. „Wer kontrolliert die Daten und wer hält die Schlüssel in der Hand?“

Klassische „Cloud“-Verschlüsselung reicht nicht mehr aus

Viele Finanzunternehmen setzten bereits auf Verschlüsselung. Doch oft würden Schlüssel in der „Cloud“ selbst gespeichert oder durch den Anbieter verwaltet. Das Problem dabei laut Steffen:

• „Die Datenhoheit ist nicht vollständig gewährleistet.
• Im Fall von Subcontracting (z.B. bei global verteilten Rechenzentren) fehlt der Überblick.
• Die Aufsichtsbehörden könnten dies als Mangel werten, inkl. ,Compliance’-Risiken.“

Die Anforderungen aus dem „DORA Oversight Guide“ verlangten somit ein „neues Niveau an Transparenz und Kontrolle“.

DORA-Anforderungen einhalten – Schlüsselhoheit behalten

Steffen führt aus: „Eine Verschlüsselungslösung, die perfekt auf die Anforderungen aus DORA zugeschnitten ist, verschlüsselt Daten, bevor sie die ,Cloud’ erreichen – client-seitig und format-erhaltend, damit sie im Hintergrund weiterverarbeitet werden können.“

Eine Verschlüsselungsarchitektur sollte vier wichtige Aspekte sicherstellen:

1. Die Schlüsselkontrolle bleibt vollständig beim Unternehmen. Weder „Cloud“-Anbieter noch Dritte haben Zugriff.
2. Sie ist kompatibel mit „Microsoft 365“, „Salesforce“ und anderen Web-Applikationen.
3. Sie erfüllt strengste regulatorische Vorgaben – inklusive DORA, NIS-2, DSGVO.
4. Es ergeben sich keine Funktionseinbußen – Suchfunktionen, Sortierung und Kollaboration.

Mit dieser Architektur könnten Unternehmen gegenüber Aufsichtsbehörden nachweisen, dass die kryptographischen Schutzmaßnahmen vollständig unter ihrer Kontrolle stehen – eben genau das, was Artikel 5.4.1 fordert.

Schlüssel in der Hand – Kontrolle anerkannt

Der neue „DORA Oversight Guide“ zeige unmissverständlich, dass Aufsichtsbehörden die ITK-Drittdienstleister künftig genau unter die Lupe nähmen.

• „Für Finanzunternehmen bedeutet das, dass nur wer Datenhoheit und Schlüsselkontrolle nachweisen kann, die Anforderungen erfüllt.“

Als Lösung benennt Steffen beispielhaft „eperi sEcure“: Damit behielten Finanzunternehmen die volle Kontrolle – sowohl technisch, rechtlich und organisatorisch, um die Voraussetzungen für eine zukunftssichere, resiliente IT-Strategie im Finanzumfeld zu schaffen.

Weitere Informationen zum Thema:

eba European Banking Authority & eiopa European Insurance and Occupational Pensions Authority & ESMA European Securities and Markets Authority, 15.07.2025
Digital Operational Resilience Act (DORA): Oversight of critical third-party providers / Guide on oversight activities

EPERI
eperi® – Und Ihre Daten sind sicher. Punkt.

EPERI, 20.07.2023
eperi ernennt Andreas Steffen zum neuen CEO / Sein Ziel: Mit der eperi Verschlüsselungstechnologie zum führenden Anbieter für den Datenschutz in der Cloud zu werden

datensicherheit.de, 07.07.2025
Neuer ISACA-Leitfaden: Navigationshilfe für Unternehmen durch NIS-2- und DORA-Vorschriften / Selbst nach der ersten Jahreshälfte 2025 haben viele Unternehmen ihre Verpflichtungen im Rahmen der NIS-2-Richtlinie und der DORA-Verordnung noch nicht vollständig verstanden

datensicherheit.de, 16.04.2025
DORA macht deutlich: Europas Finanzsektor benötigt neue digitale Risikokultur / Cyber-Sicherheit längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 16.07.2025] Auch Capgemini warnt in einer aktuellen Stellungnahme, dass der rasante Fortschritt im Bereich Quantencomputing die Wirksamkeit heutiger Verschlüsselungsverfahren bedroht – und führt hierzu Erkenntnisse aus der neuen Studie des Capgemini Research Institute mit dem Titel „Future encrypted: Why post-quantum cryptography tops the new cybersecurity agenda“ an. Insbesondere Angriffe nach dem Prinzip „Harvest-now, decrypt-later“ rücken demnach das Thema Quantensicherheit in den Fokus – dabei handelt es sich um das Sammeln heute noch verschlüsselter Daten, um sie dann später mit Hilfe von Quantencomputern zu entschlüsseln. Das Capgemini Research Institute führte für die Studie nach eigenen Angaben eine Umfrage unter 1.000 Unternehmen mit einem Jahresumsatz von mindestens einer Milliarde US-Dollar im Zeitraum April bis Mai 2025 durch – aus 13 Branchen und 13 Ländern in der Asien-Pazifik-Region, Europa und Nordamerika.

Abbildung: Capgemini Research Institute

Capgemini-Umfrageergebnisse zum Eintritt des „Q-Day“

Viele Unternehmen unterschätzen weiterhin die mit Quantencomputing einhergehenden Risiken

Auch regulatorische Anforderungen und ein sich wandelndes Technologieumfeld setzten das Thema Quantensicherheit auf die Agenda vieler Organisationen. Trotz wachsender Sensibilisierung innerhalb der Branche unterschätzten viele Unternehmen weiterhin die mit Quantencomputing einhergehenden Risiken – „mit potenziell schwerwiegenden Folgen wie Datenlecks oder regulatorischen Sanktionen“.

• Der Studie zufolge zeigen sich rund zwei Drittel (65%) der befragten Unternehmen besorgt über die zunehmende Bedrohung durch Angriffe nach dem Prinzip „Harvest-now, decrypt-later“.

Jedes sechste „Early-Adopter“-Unternehmen gehe davon aus, dass der berüchtigte „Q-Day“ innerhalb der nächsten fünf Jahre eintreten könnte, während rund sechs von zehn noch mit einem Zeitraum von zehn Jahren rechneten. Etwa 70 Prozent der Befragten in dieser Studie werden als ‚Early Adopter‘ bezeichnet: „Diese arbeiten entweder bereits an quantensicheren Lösungen oder planen, dies in den nächsten fünf Jahren zu tun.“

Quantensicherheit als strategische Investition

„Ziel sollte nicht sein, ein Datum vorherzusagen. Es geht darum, ein sich anbahnendes Risiko zu managen. Kommunikation oder Daten, die heute noch verschlüsselt sind, könnten morgen zur Schwachstelle werden, wenn Unternehmen den Umstieg auf quantensichere Verfahren hinauszögern“, erläutert Daniel Schoeman, Experte für Post-Quantum-Kryptographie bei Capgemini in Deutschland, und betont: „Wer frühzeitig handelt, sichert Geschäftskontinuität, regulatorische Konformität und langfristiges Vertrauen!“

• Er führt weiter aus: „Quantensicherheit ist kein optionaler Kostenpunkt, sondern eine strategische Investition – sie kann ein drohendes Risiko in einen Wettbewerbsvorteil verwandeln. Die Unternehmen, die das früh erkennen, schützen sich am besten vor künftigen Cyberangriffen!“

Auch wenn heutige Quantencomputer noch nicht in der Lage seien, gängige Verschlüsselungsverfahren zu knacken, trieben insbesondere sicherheitskritische Branchen wie Verteidigung und Finanzwesen die Einführung quantensicherer Lösungen voran. Konsumentenorientierte Sektoren wie Konsumgüter und Einzelhandel hingegen zeigten bislang weniger Dringlichkeit.

Sensible Daten mit Post-Quantum-Kryptographie schützen

Viele Unternehmen beabsichtigten, sensible Daten mit Post-Quantum-Kryptographie zu schützen: Die Mehrheit der befragten Unternehmen (70%) plane, ihre Systeme mit einer geeigneten Kombination aus klassischer und Post-Quantum-Kryptographie (PQC) zu schützen.

• Aufgrund des ganzheitlichen Ansatzes zum Schutz sensibler Daten gelte PQC als die derzeit beste Option zur Absicherung gegen Risiken durch Quantencomputer. Fast die Hälfte der „Early Adopters“ befasse sich bereits mit PQC-Lösungen, prüfe deren Machbarkeit oder erprobe erste Pilotprojekte. „Für 70 Prozent der Unternehmen sind regulatorische Vorgaben ein zentraler Treiber für den Umstieg auf PQC.“

Während „Early Adopters“ aktiv an ihrer quantensicheren Zukunft arbeiteten, ergriffen rund 30 Prozent der Unternehmen bislang keine Maßnahmen gegen die potenzielle Bedrohung durch Quantencomputing. Ursache seien unter anderem unzureichende Budgets und fehlende Ressourcen für den kryptographischen Wandel.

Weitere Informationen zum Thema:

Capgemini
Das Capgemini Research Institute ist ein weltweit führender Think Tank von Capgemini

Capgemini RESEARCH INSTITUTE, 2025
Future encrypted / Why post-quantum cryptography tops the new cybersecurity agenda

datensicherheit.de, 16.05.2025
Quantencomputer werden die Welt verändern: Herausforderungen sowie Risiken kennen und Chancen nutzen / Rückblick auf das „FrühlingsForum 2025“ des VDI/VDE-AK Sicherheit und des ETV in Berlin mit Dr. Jan Goetz als Sprecher zum Thema „Quantencomputer – Was kommt nach KI? Wie Quantencomputer die Welt verändern können“

datensicherheit.de, 12.05.2025
Q-Day: Utimaco rät Unternehmen zur rechtzeitigen Vorbereitung auf quantengestützte Cyberangriffe / Aktueller Utimaco-Report zu Quantenbedrohungen erschienen – um weiterhin digitale Sicherheit zu gewährleisten, muss sich die heutige Kryptographie drastisch verändern

datensicherheit.de, 25.03.2025
Colt: Test zur quantengesicherten Verschlüsselung im optischen Netz abgeschlossen / Technologiepartner erforschen gemeinsam neue Möglichkeiten, um den von Quantencomputern ausgehenden Risiken für Verschlüsselung zu begegnen

datensicherheit.de, 15.09.2022
Wenn Quantencomputer praxistauglich werden, ist Post-Quantenkryptographie erforderlich / Bereits jetzt sollten Algorithmen und Hardware entwickelt werden, die diesen leistungsfähigen Quanten-Superrechnern standhalten

[datensicherheit.de, 16.05.2025] Der Deutsche Anwaltverein (DAV) befürchtet „massive Eingriffe in Bürgerrechte“ und fordert in seiner Stellungnahme vom 5. Mai 2025 zum Thema Verschlüsselung, dass eine EU-Regulation nur mit Expertenbeteiligung erfolgen dürfe. Mit der „Technology Roadmap on Encryption“ will die EU-Kommission demnach Verschlüsselungstechnologien standardmäßig schwächen. Der DAV kritisiert das gemeinsam mit anderen Organisationen in einem Schreiben an die zuständige Vizepräsidentin der Kommission.

Schlupflöcher in der Verschlüsselung für Behörden öffnet diese auch Kriminellen und anderen böswilligen Dritten

„Die ,ProtectEU’-Strategie birgt große Gefahren“, betont Rechtsanwalt Dr. David Albrecht, Mitglied im DAV-Ausschuss „Recht der Inneren Sicherheit“. Ermittlungsbehörden Zugriff auf verschlüsselte Daten zu gewähren, sei nicht nur ein heftiger Eingriff in die Bürgerrechte.

Denn wenn man bei einer Verschlüsselung Schlupflöcher für Behörden schafft, könnten diese auch von Kriminellen und anderen böswilligen Dritten ausgenutzt werden, so Albrechts eindringliche Warnung.

Digitale Massenüberwachung und beabsichtigte Schwachstellen in der Verschlüsselung gefährden Sicherheit der Bürger

Darüber herrsche große Einigkeit in der Wissenschaft. Auch die neuesten Verfahren – wie das „Client-Side-Scanning“ – fielen bei Tests von Experten durch. „Digitale Massenüberwachung und das bewusste Kreieren von Schwachstellen schaffen nicht mehr Sicherheit. Im Gegenteil: Dadurch entstehen für die meisten Bürgerinnen und Bürger sogar mehr Risiken!“

Die Unterzeichner des gemeinsamen Schreibens senden deshalb einen Appell an die EU-Kommission: An der Ausarbeitung von Gesetzgebung zur Cybersicherheit sollten dringend Vertreter von Zivilgesellschaft und Wissenschaft, Technologieexperten sowie Digital- und Menschenrechtsanwälte beteiligt werden. „Gemeinsam können wir technische und nicht-technische, langfristige Lösungen für Probleme in der europäischen Cybersicherheit finden“, so Albrecht abschließend.

Weitere Informationen zum Thema:

Digitale Gesellschaft, 05.05.2025
Offener Brief: Technology Roadmap on Encryption

DeutscherAnwaltVerein, 05.05.2025
Academics, technologists and other experts call for a key role in EU Technology Roadmap on encryption

datensicherheit.de, 26.04.2024
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte / Warnung des eco vor Gefährdung des Schutzes der persönlichen Daten jedes Einzelnen in Europa

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

datensicherheit.de, 18.11.2020
Offener Brief: Verschlüsselung nicht in Frage stellen / Reporter ohne Grenzen und Netzwerk Recherche fordern Regierungen der EU-Staaten auf, Verschlüsselung bei Messenger-Diensten zu wahren

datensicherheit.de, 11.11.2020
DAV warnt vor Hintertüren: Schwächung der Ende-zu-Ende-Verschlüsselung droht / Rechtsanwalt Dr. Eren Basar, Mitglied des Ausschusses „Gefahrenabwehrrecht“ des Deutschen Anwaltvereins (DAV), nimmt Stellung

[datensicherheit.de, 27.04.2025] Die elektronische Rechnung (E-Rechnung) – ab 2025 schrittweise im B2B-Bereich verpflichtend – sei „ein längst überfälliger Schritt in Richtung digitaler Effizienz“, so Günter Esch, Geschäftsführer der SEPPmail Deutschland GmbH, in seinem aktuellen Kommentar. Indes warnt er auch: „Doch in der Praxis zeigt sich: Mit der zunehmenden Digitalisierung von Geschäftsprozessen entstehen neue Angriffsflächen.“ Denn schnell sei es passiert: „Eine Rechnung wird als PDF-Datei per E-Mail an den Kunden verschickt. Doch Cyber-Kriminelle haben den Anhang manipuliert und die Kontodaten geändert. Der Kunde überweist gutgläubig den Rechnungsbetrag auf das falsche Konto…“

Foto: SEPPmail Deutschland GmbH

Günter Esch: Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken!

Geschäftlich relevante Dokumente wie E-Rechnungen brauchen mehr als Transportverschlüsselung über TLS

In vielen Organisationen gelte Transportverschlüsselung über TLS noch immer als ausreichend. „Dabei schützt diese Methode lediglich den Übertragungsweg zwischen den Mail-Servern – nicht jedoch den Inhalt der E-Mail selbst“, erläutert Esch.

• Sobald dann also eine Nachricht weitergeleitet, gespeichert oder auf Endgeräten geöffnet wird, ist sie unter Umständen ungeschützt.

Für rechtlich und geschäftlich relevante Dokumente wie E-Rechnungen reiche dies nicht aus. Esch betont: „Nur eine durchgehende Ende-zu-Ende-Verschlüsselung mit optionaler Signatur kann die notwendige Integrität und Vertraulichkeit sicherstellen.“

„Secure E-Mail-Gateways“ als zusätzliche Sicherheitsebene: Erkennung der E-Rechnungsformate „XRechnung“ und „ZUGFeRD“

Esch führt aus: „Eine zentrale Rolle bei der Absicherung des E-Mail-Verkehrs übernehmen sogenannte Secure E-Mail-Gateways. Diese Lösungen setzen nicht erst beim Endgerät an, sondern bereits beim zentralen Mailfluss:“

• „Sie erkennen typische E-Rechnungsformate wie ,XRechnung’ oder ,ZUGFeRD’, überprüfen die Signatur der Absender-Domain mittels E-Mail-Signatur, SPF, DKIM und DMARC und ermöglichen es, unverschlüsselte oder manipulierte Nachrichten frühzeitig zu blockieren.“

Zudem könnten sie automatisch durchsetzen, dass E-Rechnungen nur an vorab definierte, gesicherte Postfächer zugestellt werden. So entsteht laut Esch ein effektiver Schutzschild gegen gängige Betrugsmuster – etwa das gezielte Austauschen von Bankverbindungen.

Compliance-Frage: E-Rechnung enthält neben Rechnungsdaten häufig auch personenbezogene Informationen

„Mit dem verstärkten regulatorischen Fokus auf Datenschutz, IT-Sicherheit und digitale Prozesse verschwimmen die Grenzen zwischen technischer Absicherung und rechtlicher Pflicht“, gibt Esch zu bedenken.

• Die E-Rechnung enthalte nicht nur Rechnungsdaten, sondern häufig auch personenbezogene Informationen, interne Referenzen und Bankverbindungen – ein attraktives Ziel für Angreifer.

„Wer diesen sensiblen Kommunikationskanal nicht absichert, riskiert mehr als einen Imageschaden.“ Datenschutzbehörden und Gerichte würden künftig noch stärker auf die Einhaltung entsprechender Schutzmaßnahmen achten.

E-Mails als zu lange unterschätztes Einfallstor beim digitalen Rechnungsaustausch

Trotz aller Portal-Lösungen bleibe die E-Mail das Rückgrat vieler digitaler Geschäftsprozesse – aber auch ein Anfälliges. „Der Fall der manipulierten Rechnung zeigt exemplarisch, wie wichtig es ist, bestehende Kommunikationswege auf ein sicheres Fundament zu stellen.“

• Dabei gehe es nicht nur um den Schutz vor externen Angriffen, sondern auch um die rechtliche Absicherung interner Prozesse.

Mit der Einführung der verpflichtenden E-Rechnung stehe die Wirtschaft an einem Wendepunkt: „Weg vom Briefversand und hin zur E-Mail. Wer heute E-Mails mit sensiblen Inhalten versendet, muss nicht nur an Effizienz, sondern auch an Sicherheit denken. Unternehmen sind gut beraten, ihre E-Mail-Infrastruktur jetzt auf den Prüfstand zu stellen – und Secure E-Mail-Gateways können dabei ein zentraler Baustein einer sicheren und rechtskonformen Lösung sein!“

Weitere Informationen zum Thema:

DATEV
E-Rechnungspflicht: Gesetzliche Regelungen

IHK Darmstadt Rhein Main Neckar
Umsatzsteuer / Ab 2025 müssen alle Unternehmen E-Rechnungen empfangen

IHK München und Oberbayern
Ratgeber: Elektronische Rechnungen (E-Rechnung)

datensicherheit.de, 06.01.2025
E- Rechnungen können gesetzeskonform gemäß GoBD archiviert werden / Dadurch werden E- Rechnungen leicht auffindbar und nachvollziehbar

datensicherheit.de, 03.01.2025
E-Rechnungspflicht erfordert Stärkung der E-Mail-Sicherheit / Die E-Rechnung als ein Meilenstein der Digitalisierung des Mittelstands

datensicherheit.de, 17.12.2024
E-Rechnungspflicht kommt: Mittelstand muss XRechnung und ZUGFeRD meistern / Unternehmen verpflichtet, E-Rechnungen gemäß europäischer Rechnungsnorm CEN 16931 zu erstellen, zu versenden und zu empfangen

[datensicherheit.de, 25.03.2025] Colt Technology Services, globaler Anbieter für digitale Infrastruktur, hat in seinem optischen Wavelength-Netzwerk einen erfolgreichen Test zur quantengesicherten Verschlüsselung durchgeführt. Dafür hat das Unternehmen mit verschiedenen Technologiepartnern zusammengearbeitet, darunter Adtran, Ciena, ID Quantique (IDQ), Nokia und Toshiba, um nach eigenen Angaben zusätzliche Dienstleistungen für globale Unternehmen anzubieten, die sich auf eine quantengesicherte Zukunft vorbereiten.

Colt Quantenverschlüsselung © Colt/Just_Super Secured

Auf Basis des erfolgreichen Tests will Colt nun neue maßgeschneiderte Lösungen entwickeln, die Unternehmen vor den Risiken schützen, die Quantencomputer für die Entschlüsselung klassischer Verschlüsselungsmethoden darstellen. Die neuen quantengesicherten Verschlüsselungslösungen würden entsprechend den individuellen Anforderungen der Colt-Kunden angepasst und installiert. Sie erweiterten und ergänzten das bestehende Portfolio von Colt im Bereich der optischen Verschlüsselung. Zu diesen neuen Lösungen gehören:

• Quantengesicherte Verschlüsselung für Wavelength-Services von Colt in Metro-, nationalen und internationalen Netzwerken
• Quantengesicherte Verschlüsselung für das private Netzwerk eines Kunden in Metro-, nationalen und internationalen Netzwerken

Für Colt ist der Test nach eigenem Bekunden ein bedeutender Schritt zur Erprobung neuer Technologien, um zukünftige Herausforderungen für seine globalen Kunden zu lösen, sowie für die Integration verschiedener Partner. Colt könne somit quantengesicherte Netzwerkfunktionen herstellerunabhängig anbieten. Dadurch erhielten Kunden eine größere Auswahl an Lösungen für ihre aktuellen und künftigen Anforderungen.

Starkes Wachstum im Quantenmarkt von 2023 bis 2035 erwartet

Für den Quantenmarkt wird von 2023 bis 2035 eine jährliche Wachstumsrate (CAGR – Compound Annual Growth Rate) von 23 bis 25 Prozent prognostiziert. Branchen wie Finanzdienstleistungen, Verteidigung und Gesundheitswesen würden zu den ersten gehören, die von dem umfassenden Problemlösungspotenzial der Quantentechnologie profitierten. Gleichzeitig müssten sich Unternehmen vor den Risiken schützen, die von Quantencomputern ausgingen. Dazu gehören der „Jetzt sammeln, später entschlüsseln“-Ansatz, bei dem Angreifer zunächst Daten mit der Absicht zusammentragen und speichern, um sie später zu entschlüsseln, also sobald die Quantentechnologie ausgereift ist. Wichtig sei hierbei auch die Vorbereitung auf den „Q-Day“, also den Zeitpunkt, an dem Quantencomputer voraussichtlich in der Lage sein werden, klassische Verschlüsselungsmethoden zu brechen.

Buddy Bayer, Chief Operating Officer von Colt Technology Services, sagt: „Der Schutz von Daten vor künftigen Risiken ist eine große Herausforderung für Unternehmen. Das gilt besonders für die Bedrohung durch die komplexe und unbekannte Quanten-Technologie. Unser Test hat einige der bekanntesten Partner, fortschrittlichsten Technologien und größten technischen Experten der Branche mit einem einzigen gemeinsamen Ziel zusammengebracht: eine Lösung zu finden, damit unsere Kunden einer Quantenzukunft mit Zuversicht entgegensehen können. Gemeinsam haben wir dieses Ziel erreicht.“

Technischen Spezifikationen des Tests

• Im Rahmen des Tests wurden verschiedene quantengesicherte Verschlüsselungsmethoden für den Datenverkehr über das optische Wavelength-Netz von Colt getestet. Dazu gehörten: Quantum Key Distribution (QKD), Pre-Shared Key (PSK) mit symmetrischer Schlüsselverteilung und Post-Quantum Cryptography (PQC).
• Colt testete diese unterschiedlichen, aber komplementären Quantensicherheitsfunktionen in seinem Netz zwischen London und Frankfurt auf einer Strecke von 1.361 km und in seinem Metro-Netz zwischen zwei Colt Points of Presence (PoPs) in der Londoner City sowie einem PoP in Slough auf einer Strecke von 88 km.
• Der Quantum-Key-Distributionstest fand zwischen London City und Slough in Großbritannien statt. Mehrere Partnerlösungen evaluierten Quantum-Key-Distributionsszenarien sowohl in Point-to-Point- als auch in Trusted-Node-Topologien. Colt testete die Szenarien unter Verwendung von Dual-Fiber-Pair- als auch Single-Fiber-Pair-Netzwerken. Im Single-Fiber-Pair-Szenario transportierte Colt sowohl Quantenkanal- als auch Datendienste auf demselben Faserpaar.

Colt erwartet, dass seine Finanzdienstleistungskunden zu den ersten gehören werden, die von den neuen Lösungen profitieren könnten, da diese Branche bereits Vorreiter beim Einsatz der Quantentechnologie seien. Deloitte Insights geht davon aus, dass die Investitionen der Finanzdienstleistungsbranche in Quantencomputing-Funktionen zwischen 2022 und 2032 mit einer jährlichen Wachstumsrate von 72 Prozent wachsen werden, von 80 Millionen US-Dollar im Jahr 2022 auf 19 Milliarden US-Dollar im Jahr 2032. Zu den Anwendungsfällen in der Branche gehören das Risikomanagement, die Aufdeckung und Eindämmung von Betrug, die Portfolio-Optimierung und Marktanalyse, die Preisgestaltung für komplexe Derivate, der Hochfrequenzhandel und die Sicherung von Finanzgeschäften.

Buddy Bayer ergänzt: „Mit diesem erfolgreichen Test halten wir nicht nur mit der Zukunft der Cyber-Sicherheit Schritt, wir sind sogar führend in der Entwicklung. Unser Engagement für Innovation und Sicherheit versetzt unsere Kunden in die Lage, selbstbewusst durch das Quantenzeitalter zu navigieren und ihre Daten durch die fortschrittlichsten Verschlüsselungstechnologien zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.02.2025
AWS stellt Quantencomputer-Chip „Ocelot“ vor

[datensicherheit.de, 09.02.2025] Die Wirtschaft, Staaten und die KI forderten immer mehr Daten – von allem und jedem. „Unerheblich, welcher Initiator dahinter steckt, – sensible Daten müssen konsequent durch funktionserhaltende Verschlüsselung geschützt werden“, betont die Eperi GmbH in ihrer aktuellen Stellungnahme.

Ergebnisse groß angelegter Datenerhebung und -auswertung bei sinnvoller Zweckbindung sogar zu rechtfertigen

„Werden bald noch mehr persönliche Daten beispielsweise bei Behörden, Forschungseinrichtungen oder Krankenkassen gespeichert? Wenn es nach den jüngsten Ideen von Friedrich Merz geht, schon!“ Denn er schlägt demnach vor, dass die Krankenkassen ihren Mitgliedern einen Rabatt gewähren, wenn diese ihre Patientendaten elektronisch zur Verfügung stellen. Dies sei nur ein Beispiel von vielen; es gebe zahlreiche Bestrebungen dieser Art. Auch die Polizei und der Grenzschutz wünschten sich mehr Daten, um effizienter arbeiten zu können.

Ungeachtet der Diskussion über „richtig, falsch, ethisch oder fair“, würden sich der Staat und die Wirtschaft den Vorteilen einer gezielten und KI-unterstützen Datenerfassung und -auswertung nicht entziehen können, wollten sie mit anderen Regionen der Erde schritthalten. In vielen Fällen könne man das Ergebnis einer groß angelegten Datenerhebung und -auswertung sogar rechtfertigen – „vorausgesetzt, sie werden nicht beliebig oder mit bösen Absichten genutzt!“

Gezielte Datenverschlüsselung probates Mittel, um sensible Daten jeglicher schützen

„Der wichtigste Punkt an dieser Diskussion ist, über die Sicherheit der Daten zu sprechen. Es gilt jegliche persönlichen oder geheimen Daten vor denjenigen zu schützen, die unbefugt sind, diese zu lesen und zu verarbeiten oder die sogar cyber-kriminelle Taten im Sinn haben.“ Dieses Prinzip gelte für existierende Datenpools ebenso wie für künftige Datenerfassungen wie beispielsweise im Gesundheitswesen oder der Strafverfolgung.

„Helfen kann in diesem Zusammenhang nur eine gezielte Datenverschlüsselung. Sie ist das probate Mittel, um sensible Daten jeglicher Art und vor allem an jedem Ort und insbesondere in der ,Cloud’ zu schützen“, betont Eperi-Verschlüsselungsexperte Ömer Tekin.

Funktionserhaltende Datenverschlüsselung: Anwendungen für Datenbearbeitung oder -analyse erhalten nur auf ganz bestimmte Datenfelder Zugriff

„Dass eine simple Verschlüsselung nicht zielführend ist, ist Datenschutzexperten klar. Denn entweder können die Daten im verschlüsselten Zustand nicht verarbeitet werden oder die Daten müssten für die Verarbeitung entschlüsselt werden, womit der Datenschutz empfindlich unterbrochen wäre.“ Die sinnvolle Alternative sei eine funktionserhaltende Datenverschlüsselung. Damit hätten Anwendungen für die Datenbearbeitung oder -analyse nur auf ganz bestimmte Datenfelder Zugriff.

Tekin erläutert: „Und selbst dieser Datenzugriff unterliegt einer lückenlosen Tokenisierung, womit der Datenschutz selbst im Falle einer Cyber-Attacke mit dem Diebstahl der Daten durchgängig gewährleistet ist.“ Sein Fazit: Niemand werde sich auf lange Sicht der Datengier unserer Tage entziehen können und schon allein aus diesem Grund sollten die Verantwortlichen vorausschauend agieren und die nötigen Weichen stellen.

Weitere Informationen zum Thema:

datensicherheit.de, 22.01.2025
Der Europäische Datenschutztag am 28. Januar soll Bürger sensibilisieren, die eigenen Daten besser zu schützen / 2025 steht die Rolle des Datenschutzes als Schutz der demokratischen Gesellschaft vor übermäßigen Eingriffen in die Privatsphäre der Bürger durch öffentliche oder private Akteure im Fokus

datensicherheit.de, 21.11.2024
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient / Elektronische Patientenakte (ePA) kommt nun 2025 – Risiken und Nebenwirkungen werden nicht thematisiert, weshalb Datenschützer empfehlen sich zu informieren und zu widersprechen

datensicherheit.de, 21.10.2021
Starke Verschlüsselung: Einmischung gefährdet Öffentlichkeit und Wirtschaft / Zivile Organisationen und Technologieunternehmen aus aller Welt haben sich am ersten Globalen Verschlüsselungstag zusammengeschlossen

[datensicherheit.de, 11.09.2024] In einer zunehmend digitalisierten und vernetzten Welt ist der Schutz sensibler Informationen offensichtlich von höchster Bedeutung. In diesem Zusammenhang sollte an die NIS-2-Richtlinie (EU-Richtlinie zur Netzwerk- und Informationssicherheit) erinnert werden, welche am 27. Dezember 2022 im Amtsblatt der Europäischen Union veröffentlicht wurde und nun von den EU-Mitgliedsstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Stephan Heimel, Prokurist und „Sales Director“ SEPPmail Deutschland GmbH, geht in seiner aktuellen Stellungnahme auf den Aspekt der E-Mail-Verschlüsselung im NIS-2-Kontext ein:

NIS-2-Einführung soll Maßnahmen gegen Cyber-Bedrohungen verstärken

Heimel führt aus: „Durch ihre Einführung sollen Maßnahmen gegen Cyber-Bedrohungen verstärkt und ein einheitlicher europäischer Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die IT-Sicherheit sowie Mindestsicherheitsanforderungen an und Meldepflichten für bestimmte Dienste geschaffen werden.“

Ziel sei es, einheitliche Maßnahmen festzulegen, mit denen ein hohes Sicherheitsniveau von Netz- und Informationssystemen in der EU erreicht werden solle (Art.1 NIS-2). Heimel kommentiert: „Im Vergleich zur alten NIS-1-Richtlinie würden höhere Sicherheitsstandards gefordert, der Adressatenkreis wurde erweitert und die Strafen für eine Nichteinhaltung signifikant auf das Niveau der EU-DSGVO erhöht (bis zur Haftung der Geschäftsführung mit ihrem Privatvermögen).“

NIS-2: Chef-Sache oder Chef-Haftung

Er warnt: „Auch wenn sich Unternehmen auf den ersten Blick nicht zum Adressatenkreis dazugehörig fühlen, sollten sie sich dennoch nicht in Sicherheit wiegen. Art. 21 II d NIS-2 regelt, dass auch alle Risikomaßnahmen im Bereich der Cyber-Sicherheit die ,Sicherheit der Lieferkette …‘ umfassen müssen.“

Lieferanten, egal wie groß, werden demnach als mögliche Schwachstellen angesehen und tun gut daran, sich an die Sicherheitsstandards zu halten. „Unternehmen werden zunehmend eine Risikobewertung bei der Auswahl ihrer Dienstleister vornehmen und das Risikomanagement vertraglich regeln.“ Eine der Kernmaßnahmen, um diesen Anforderungen gerecht zu werden, sei die Verschlüsselung von E-Mails.

NIS-2-Richtlinie betont Notwendigkeit von IT-Sicherheitsmaßnahmen, um Integrität und Vertraulichkeit zu wahren

E-Mails seien nach wie vor eines der am häufigsten genutzte Kommunikationsmittel im geschäftlichen Umfeld und somit Angriffsvektor Nr. 1. Sie enthielten oft vertrauliche Informationen wie Geschäftsstrategien, personenbezogene Daten oder finanzielle Details. „Unverschlüsselte E-Mails sind anfällig für Angriffe, da sie während der Übertragung abgefangen und von Unbefugten gelesen werden können.“ Hier komme nun die Verschlüsselung ins Spiel.

„Durch die Verschlüsselung von E-Mails wird der Inhalt in einen unleserlichen Code umgewandelt, der nur von autorisierten Empfängern entschlüsselt werden kann. Dies stellt sicher, dass selbst im Falle eines Angriffs oder Datenlecks keine sensiblen Informationen preisgegeben werden.“ Die NIS-2-Richtlinie betone die Notwendigkeit solcher Sicherheitsmaßnahmen, um die Integrität und Vertraulichkeit der digitalen Kommunikation zu gewährleisten.

NIS-2 ante portas: Unabhängig von der Umsetzung in deutsches Recht sollten Unternehmen umgehend handeln

Auch wenn davon auszugehen sei, dass die Umsetzung der Richtlinie in deutsches Recht bis zum 17. Oktober 2024 nicht erfolgen werde, sollten Unternehmen, welche den Anforderungen der NIS-2-Richtlinie gerecht werden wollen, dringend die Implementierung von E-Mail-Verschlüsselung in ihre Sicherheitsstrategien integrieren.

„Dies schützt nicht nur sensible Daten, sondern stärkt auch das Vertrauen von Kunden und Partnern in die Sicherheit ihrer Kommunikation“, unterstreicht Heimel abschließend – angesichts der steigenden Bedrohungen im sogenannten Cyberspace sei die Verschlüsselung von E-Mails ein unverzichtbares Element moderner IT-Sicherheit.

Weitere Informationen zum Thema:

datensicherheit.de, 23.08.2024
Der Countdown läuft: ESET-Whitepaper zur NIS-2-Richtlinie / Unterstützung für CISOs, um das Problembewusstsein und die NIS-2-Umsetzung bei Führungskräften zu fördern

datensicherheit.de, 22.08.2024
NIS-2-Richtlinie: Drängende Herausforderung für mehr Cyber-Sicherheit in der EU / Die NIS-2-Richtlinie der EU zielt darauf ab, die Cyber-Resilienz Kritischer Infrastrukturen zu stärken

datensicherheit.de, 25.07.2024
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen / Der Verband der Internetwirtschaft fordert Verlängerung der NIS-2-Umsetzungsfristen

[datensicherheit.de, 14.05.2024] In einer Zeit, in der digitale Kommunikation aus dem Geschäftsalltag nicht mehr wegzudenken sei, sei die Sicherheit von E-Mails für Unternehmen eine dringliche Angelegenheit – die Verschlüsselung von E-Mails und ihren Anhängen sei sogar ein entscheidender Bestandteil der Datensicherheitsstrategie von Unternehmen, um sensible Informationen vor unbefugtem Zugriff zu schützen. „Auch wenn die E-Mail-Verschlüsselung laut Datenschutz-Grundverordnung keine generelle Pflicht ist, gibt es zahlreiche Gründe, warum Unternehmen, unabhängig von ihrer Größe oder Branche eine E-Mail Verschlüsselung implementieren sollten“, betont Patrycja Schrenk, Geschäftsführerin der PSW GROUP. Im Sinne eines verbesserten Datenschutzes sollten Unternehmen sich mit dem Thema E-Mail-Verschlüsselung beschäftigen. Denn durch deren Einsatz könnten Kunden, Partner und Mitarbeitende sicher sein, „dass die Kommunikation sicher und authentisch ist, was wiederum das Vertrauen und die Glaubwürdigkeit stärkt“.

Foto: PSW GROUP

Patrycja Schrenk: Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff!

Verschlüsselung von E-Mails angemessene Maßnahme, um sensible Informationen zu zu schützen

„Die Verschlüsselung schützt den Inhalt von E-Mails und ihren Anhängen vor unbefugtem Zugriff und verhindert damit, dass hochsensible persönliche und geschäftliche Informationen, wie Zugangsdaten, Kalkulationen oder Organigramme, in unbefugte Hände gelangen“, erläutert Schrenk. Zugleich warnt sie davor, die Notwendigkeit einer Verschlüsselung zu unterschätzen: „Selbst vermeintlich harmlose Informationen können von Cyber-Kriminellen genutzt werden, um Angriffe zu planen. Details zu internen Veranstaltungen oder Betriebsfeiern könnten beispielsweise für Social-Engineering-Angriffe verwendet werden. Durch die Verschlüsselung wird das Risiko solcher Angriffe minimiert.“

Wichtig ist laut PSW folgender Umstand: Zwar sei die E-Mail-Verschlüsselung nicht gesetzlich vorgeschrieben, dennoch lege die Datenschutz-Grundverordnung (DSGVO) fest, dass Unternehmen und Organisationen geeignete Technische und Organisatorische Maßnahmen (TOM) ergreifen müssten, um personenbezogene Daten angemessen zu schützen. „Die Verschlüsselung von E-Mails ist eine solche angemessene Maßnahme, um den Schutz sensibler Informationen zu gewährleisten“, unterstreicht Schrenk.

E-Mail-Verschlüsselung: S/MIME-Zertifikate ermöglichen automatische Verschlüsselung

Eine gängige und sichere Methode, die Sicherheit von E-Mail-Kommunikation zu erhöhen, seien S/MIME-Zertifikate (Secure/Multipurpose Internet Mail Extensions). Solche digitalen Zertifikate ermöglichten die automatische Verschlüsselung von E-Mail-Inhalten samt ihrer Anhänge mit zusätzlicher Signaturfunktion. Schrenk führt aus: „Wenn eine E-Mail mit einem S/MIME-Zertifikat signiert und verschlüsselt ist, können nur der beabsichtigte Empfänger und der Absender die Nachricht lesen. Dies schützt den Inhalt vor unbefugtem Zugriff während der Übertragung, wodurch die Integrität und Vertraulichkeit der Nachrichten gewährleistet wird.“ Der Empfänger wiederum könne sicher sein, dass die empfangene E-Mail tatsächlich von der angegebenen Quelle stamme und nicht manipuliert worden sei. Dies helfe, Phishing-Angriffe zu erkennen und zu verhindern – eine wichtiger Punkt, denn laut Lagebericht zur E-Mail-Sicherheit des IT-Sicherheitsanbieters Mimecast seien 97 Prozent der befragten Unternehmen im Jahr 2022 Ziel von Phishing-Attacken per E-Mail gewesen.

Unternehmen könnten S/MIME-Zertifikate von verschiedenen, auf die Ausstellung von digitalen Zertifikaten spezialisierten Zertifizierungsstellen erwerben. Namhafte Anbieter seien DigiCert, Sectigo, D-TRUST und Certum. Schrenk über den Ablauf: „Zunächst muss das antragstellende Unternehmen seine Identität gegenüber der Zertifizierungsstelle nachweisen, üblicherweise durch Vorlage von Unternehmensdokumenten. Erst dann kann es den eigentlichen Antrag für das S/MIME-Zertifikat stellen, indem es relevante Informationen wie den Unternehmensnamen und gültige E-Mail-Adressen angibt.“ Dies geschehe in der Regel über ein Online-Formular auf der Website der Zertifizierungsstelle. Im Anschluss prüfe die Zertifizierungsstelle die eingereichten Informationen und erstelle das S/MIME-Zertifikat. Dieser Vorgang dauere wenige Tage. „Nach Erhalt des Zertifikats installiert und konfiguriert das Unternehmen dieses in den E-Mail-Clients seiner Mitarbeitenden“, so Schrenk.

Mit Verified Mark Certificates Sicherheit der E-Mail-Kommunikation noch weiter steigern

Neu seien übrigens sogenannte Verified Mark Certificates (VMC), die weiter zur Steigerung der E-Mail-Sicherheit beitrügen. Durch die Implementierung dieser Zertifikate werde das Logo des E-Mail-Absenders bereits im Posteingang des Empfängers angezeigt, „noch bevor die E-Mail geöffnet wird“. Dies gehe über die herkömmliche Sicherung hinaus und trage dazu bei, die E-Mail-Sicherheit zu erhöhen, „indem Spam oder gefährliche Nachrichten frühzeitig erkannt werden“. Gleichzeitig biete es Unternehmen erhebliche Marketingvorteile, weil durch die visuelle Hervorhebung im Posteingang die Wahrscheinlichkeit, dass der Empfänger die E-Mail öffnet, steige, was sich positiv auf die Öffnungsraten auswirke.

„VMC-Zertifikate unterliegen dem BIMI-Standard, der das Anzeigen von Markenlogos in E-Mail-Clients regelt und somit einen höheren Schutz vor Phishing und anderen Angriffen bietet. Dadurch wird auf den ersten Blick anhand des Markenlogos erkennbar, ob es sich um eine vertrauenswürdige E-Mail handelt. Voraussetzung für die Nutzung von VMC-Zertifikaten allerdings ist die DMARC-Konformität, womit gewährleistet wird, dass eine Nachricht tatsächlich von der angezeigten Absender-Domain stammt. Zudem muss das Markenlogo markenrechtlich geschützt sein“, führt Schrenk abschließend aus.

Weitere Informationen zum Thema:

PSW GROUP, Marek Röhner, 30.01.2024
Lagebericht der E-Mail-Sicherheit: E-Mail Sicherheit wird zur Chefsache

datensicherheit.de, 20.07.2021
E-Mail-Verschlüsselung: Übersicht zu den Standards / Benötigt werden „Fachübersetzer“ und IT-Verantwortliche mit gutem Durchblick

datensicherheit.de, 12.07.2019]
E-Mail-Verschlüsselung mit PGP nicht sicher / PSW GROUP warnt – Verwendung von Keyservern zeigt deutliche Schwächen