Die Security Interest Group Switzerland (SIGS) ist eine unabhängige Interessengemeinschaft, die sich dafür einsetzt, Fachleuten in den Bereichen Informationssicherheit, IT-Risikomanagement, Datenschutz und Compliance zu mehr Erfolg zu verhelfen. Dazu fördert sie einen regelmässigen Austausch zu brandaktuellen Themen im breiten Feld der Sicherheit.

Ich hatte am 12.12.2023 die Gelegenheit, am Special Event «Quantum Threat and Quantum Safe Cryptography» zum Thema «Implementierung von Quantum Safe Encryption in der Finanzbranche» vor ausgebuchtem Haus bei IBM Research in Rüschlikon zu sprechen.

Das ix.Lab der Inventx beschäftigt sich bereits seit längerem ausgiebig mit dem Schwerpunktthema Quantencomputing In unserer «Quantum Computing Initiative» nähern wir uns dem Thema aus zwei Richtungen mit dem Anspruch, ein führender Quantum Service Provider für die Finanzindustrie zu werden.

Erstens folgen wir einer Multi-Cloud-Strategie, damit wir unseren Kunden künftig die nötige skalierbare und sichere Infrastruktur bereitstellen können, die es für leistungsstarkes Quantencomputing braucht, um geeignete Geschäftsanwendungen zuverlässig zu betreiben.

Richtung Nummer zwei ergibt sich aus der Tatsache, dass mit der exponentiellen Entwicklung des Quantencomputings die gängigen Verschlüsselungsverfahren an ihre Grenzen stossen und sich nicht die Frage stellt, ob sie zu knacken sind, sondern nur noch: wann.

Heute für die Sicherheit von morgen sorgen

Wie ich im Blog «ix.Lab Roadmap für quantensichere Verschlüsselung» bereits dargestellt hatte und worauf ich auch in meinem Vortrag am SIG-Event einging, lohnt es sich für Cyberkriminelle, Daten bereits heute zu stehlen, um mit ihrer späteren Entschlüsselung Erpressung ausüben zu können.

Wenn heute Finanzinstitute nicht bereit sind, Budgets und Ressourcen für quantensichere Verschlüsselung aufzuwenden, so sollten die entsprechenden Chief Financial und Chief Risk Officers in die Pflicht genommen werden!

Denn Daten sind – neben den Mitarbeitenden und Kunden – das absolut schützenswerteste Asset eines Finanzinstituts. Umso mehr als die Prozesse und Anwendungen im Bereich KI/AI allesamt auf genau diese Geschäftsdaten angewiesen sind. Gemäss dem FINMA-Rundschreiben 2023/1 zu «Operational Risks and Resilience for Banks» müssen kritische Daten adäquaten Schutz vor Zugriff seitens unautorisierter Personen in allen Phasen ihrer Entstehung und Bewirtschaftung erhalten. Eine direkte Regulation gibt es zwar derzeit nicht, aber wir interpretieren das jüngste Rundschreiben entsprechend sinngemäss auch hinsichtlich der Bedrohung von Quantum Computing. Denn wenn wir heute schon wissen, dass diese Daten morgen in Gefahr sein werden, zwingt uns dieses Wissen zum Handeln.

Die IT-Security ist immer nur so stark wie ihr schwächstes Glied. In die Finanz-Wertschöpfungskette sind zahlreiche Akteure eingebunden: Physische und virtuelle Karten, Apps, Mobiletelefone, Browser und POS-Geräte, Geldautomaten über die Niederlassungen bis ins Headquarter der Banken und ihre Datencenter plus die Service-Provider von Infrastruktur und Softwareapplikationen inklusive Cloud-Provider – aber auch die ganzen Crypto-Technologien. Die durch Quantumcomputing bedrohten Verschlüsselungsmethoden sind in allen Elementen dieser komplexen Value Chain integriert und müssen erneuert werden. Alle Parteien müssen deshalb ihren Beitrag leisten, um die Sicherheit und letztlich das Vertrauen zu wahren.

In meinem Vortrag bei der SIGS habe ich verschiedene Empfehlungen abgegeben, wie der Weg zur quantensicheren Verschlüsselung gegangen werden kann und wo die Kern-Risiken für ein Institut liegen. Interessiert? Dann schreiben Sie mich an: urs.rhyner@inventx.ch