Quantencomputer verlassen die Sphäre der reinen Forschung und nähern sich der kommerziellen Nutzung. Mit ihrer Rechenleistung können sie eine Bedrohung für bislang sicher verschlüsselte Zahlungstransaktionen werden. Es wird Zeit, sich darauf einzustellen.
Quantencomputer können zu einer Bedrohung der Sicherheit im Zahlungsverkehr werden.
Partner des Bank Blogs
Quantencomputer kennen die meisten nur als Begrifflichkeit einer fernen Zukunft. Wenn überhaupt, hat man allenfalls davon gehört, dass die Supraleiter darin bei Temperaturen nahe dem absoluten Nullpunkt arbeiten. Und in den wenigen Sekunden ihrer Funktion eine schier unglaubliche Anzahl an Operationen ausführen, die hinterher noch mit klassischen, transistorbasierten Rechnern interpretiert werden müssen.
Das trifft weiterhin auf die Großanlagen in Labors und Universitäten zu, die sich vor allem der Erforschung dieser Technologie widmen. Doch parallel dazu kommen kleinere Einheiten auf den Markt, die bei Zimmertemperatur arbeiten und sogar schon für die Anwendung in Fahrzeugen konzipiert wurden. Mit der Annäherung an den alltäglichen Einsatz rückt auch das nie enden wollende Thema Betrug ins Blickfeld.
Quantencomputer beschleunigen nur den Betrug
Für Zahlungsdienstleister ist beim Blick auf das Quantencomputing vor allem der Risikoaspekt wichtig. Die Zahlungsabwicklung ist bereits ausgesprochen schnell und geschieht im Bereich von ein paar Sekunden, hier ist auch durch deutlich schnellere Technologie nur wenig zu gewinnen. Doch Angriffe auf die Verschlüsselung sind Angriffe auf die Sicherheit und damit auch auf das Vertrauen von Händlern- und Konsumenten.
Für die Sicherheit im Zahlungsverkehr, besonders bei den sehr begehrten Kreditkartendaten, sorgen seit Jahren die PCI-Datensicherheitsstandards (Payment Card Industry), die zum Schutz der Kartenzahlung entwickelt wurden. PSPs wie Computop unterziehen sich dazu intensiven jährlichen Audits. Einen zusätzlichen Schutz bietet die Zertifizierung der Informationssicherheit nach ISO 27001.
Zwei Schlüssel für die Sicherheit
Für die Verschlüsselung im Zahlungsverkehr wird das RSA-Verfahren eingesetzt (nach den Erfindern Rivest, Shamir und Adleman benannt). Dieses asymmetrische Verfahren verwendet die Kombination eines öffentlichen und eines privaten Schlüssels, wobei letzterer nicht aus dem öffentlichen Schlüssel berechnet werden kann. Diese Kombination zu knacken dauert mit klassischer Computertechnologie Jahre, selbst mit einem Brute-Force-Angriff. Mit Quantencomputern könnte dieser Zeitraum möglicherweise auf wenige Tage reduziert werden.
Der Schutz gegen drastisch steigende Rechenleistung liegt einerseits in der Verwendung komplexerer Algorithmen. Schon 2016 hat das NIST (National Institute of Standards and Technology) in den USA die Kryptographen mit der Entwicklung quantenresistenter Verfahren beauftragt, wobei zunächst vier Varianten ausgewählt wurden.
Agilität auch in der Verschlüsselung wichtig
Es muss jedoch außerdem branchenübergreifend an kryptoagilen Ansätzen gearbeitet werden, denn künftig wird es genauso auf schnelle Reaktion bei Kompromittierung einer Verschlüsselung ankommen. Die verschiedenen Stationen des Zahlungsprozesses müssen dann in der Lage sein, sehr schnell und reibungslos auf neue Schlüssel umzustellen.
Die Umstellung auf agile Verfahren wird Jahre dauern. Daher ist es wichtig, die Möglichkeiten des Quantencomputing schon jetzt mitzudenken, wenn es an die Programmierung neuer Software und die Entwicklung neuer Schnittstellen geht. Auch Hardware-Sicherheitsmodule (HSM), die als Peripheriegeräte in die Verschlüsselung eingebunden sind, müssen für künftige Anforderungen aufgerüstet werden.
Tokens helfen schon jetzt
Einige Technologien, die heute bereits im Einsatz sind, stellen aber auch für eine neue Rechnergeneration hohe Hürden dar. Die Tokenisierung, wie sie die großen Kartengesellschaften nutzen, ersetzen die wertvollen Kartendaten durch willkürliche Zeichenkolonnen und fügen jeder Transaktion außerdem ein individuelles Kryptogramm hinzu. Selbst wenn dieses nach Tagen entschlüsselt werden kann, hilft es nicht bei der Dekodierung künftiger Transaktionen.
In Kombination mit der ebenfalls schon jetzt vorgeschriebenen Zwei-Faktor-Authentifizierung werden Tokens auch künftig eine harte Nuss für Datendiebe sein. Wird der AES (Advanced Encrpytion Standard) von den derzeit üblichen 256 Bit auf größere Schlüsselgrößen angehoben und werden biometrische Faktoren noch stärker für die Authentifizierung eingesetzt, besteht auch für das Quantenzeitalter ein guter Schutz gegen Betrug im Zahlungsverkehr – sofern parallel die Verbesserung der Kryptoagilität angegangen wird.
