Die Bedrohung durch Quantencomputing hat in der Finanzbranche ein neues Forschungsfeld eröffnet. Eine Untersuchung, koordiniert von Europol, hat nun eine Bewertungssystematik entwickelt, die es Finanzinstituten ermöglicht, ihre sicherheitstechnischen Prioritäten im Bereich der Post-Quanten-Kryptografie besser zu gewichten. Die Veröffentlichung richtet sich vor allem an Sicherheitsteams, die in Richtung Umsetzung arbeiten müssen.
Der Einfluss auf Sicherheitsstrategien
Die zunehmenden Bedrohungen durch Quantenangriffe haben Finanzinstitute dazu veranlasst, ihre Sicherheitsstrategien zu überdenken. Öffentliche Schlüssel-Kryptografie ist ein zentraler Bestandteil von Zahlungen, Authentifizierungen und vielen anderen Systemen in der Finanzwelt. Die Entwicklung eines strukturierten Rahmens, der auf bestehenden Risikomanagementpraktiken basiert, ist von großer Bedeutung, da große Institutionen nicht alle Systeme gleichzeitig aktualisieren können.
Ermittlung von Risikoscores
Ein wesentlicher Bestandteil des neuen Bewertungssystems ist der Quantum Risk Score. Dieser Score misst, wie stark ein bestimmter Anwendungsfall potenziellen Quantenangriffen ausgesetzt ist. Hierbei spielen drei Faktoren eine Rolle: shelf life ( wie lange sensible Daten relevant bleiben), exposure (Zugänglichkeit der Daten) und severity (Geschäftsauswirkungen im Falle einer Kompromittierung). Jeder Faktor wird auf einer Skala von eins bis drei bewertet.
Migrationserfordernisse und deren Komplexität
Zusätzlich zum Risikoscore berücksichtigt das Bewertungssystem auch den Zeit- und Komplexitätsaufwand, um einen Anwendungsfall quantenfest zu machen. Der Migration Time Score analysiert Faktoren wie die Verfügbarkeit von Lösungen, die Kosten der Umsetzung und externe Abhängigkeiten. Auch dieser Score wird wieder auf einer Skala von eins bis drei vergeben. So können Institutionen planen, welche Systeme prioritär behandelt werden sollten.
Von der Theorie zur Praxis
Zusammengefasst ergibt sich aus der Kombination der beiden Scores eine Matrix, die Anwendungsfälle in Kategorien von hoher, mittlerer und niedriger Priorität einteilt. Systeme mit hohem Risiko und nahen Migrationsmöglichkeiten sollten frühzeitig eingeplant werden, während solche mit geringem Risiko weniger dringend behandelt werden können.
Konkrete Anwendungsbeispiele
Die Analyse von Kassensystemen für Kartenzahlungen verdeutlicht die Herausforderungen im langfristigen Kontext. Dort wird ein mittlerer Quantum Risk Score ermittelt, während der Migration Time Score hoch ausfällt, da die Hardware einer mehrjährigen Erneuerung unterliegt. Im Gegensatz dazu werden öffentliche Websites als erste Kandidaten für die Implementierung von Post-Quanten Schutzmaßnahmen identifiziert. Dank bereits integrierter hybrider Sicherheitsmechanismen in großen Browsern kann hier schnell mit Standardsoftware-Upgrades gearbeitet werden.
Verbesserung durch Erkennung von Antimustern
Ein wichtiger Aspekt der Forschung ist die Identifizierung kryptografischer Antimuster, die zukünftige Migrationen erschweren und langfristige Risiken erhöhen. Die Autoren empfehlen, diese Praktiken frühzeitig zu erkennen und zu beheben, um die Sicherheit zu erhöhen und die betriebliche Agilität zu fördern. Dies wird als wesentlicher Schritt gesehen, um die Sicherheit zu stärken und zukünftige Übergänge zu erleichtern.
Die Notwendigkeit, sich den Herausforderungen der Quantenbedrohungen zu stellen und dabei bestehende Systeme zu bewerten und zu priorisieren, wird in der Finanzbranche immer deutlicher. Die neue Methodik ist ein Schritt in die richtige Richtung und könnte letztlich entscheidend sein für die Sicherheit von Finanztransaktionen in einer zunehmend digitalisierten Welt.
