Anlässlich des neuen G7‑Fahrplans zur Post‑Quanten‑Kryptografie im Finanzsektor
Frage: Herr Blazek, die G7 Cyber Expert Group hat einen Fahrplan zur Umstellung auf Post‑Quanten‑Kryptografie veröffentlicht. Warum ist dieses Papier aus Ihrer Sicht so relevant?
Daniel Blazek:
Weil es erstmals auf Ebene der G7 sehr klar benennt, dass wir es bei Quantencomputing nicht mit einem theoretischen Zukunftsthema zu tun haben, sondern mit einem konkreten, strategischen Risiko für die Integrität des Finanzsystems. Der Fahrplan macht deutlich: Wer heute sensible Daten verarbeitet, muss davon ausgehen, dass diese Informationen morgen entschlüsselt werden können – selbst wenn die dafür nötigen Quantencomputer noch nicht existieren.
Frage: Der Fahrplan ist ausdrücklich nicht regulatorisch bindend. Warum sollten Finanzinstitute ihn trotzdem ernst nehmen?
Blazek:
Gerade weil er nicht verbindlich ist, ist er politisch und rechtlich sehr klug. Er schafft einen gemeinsamen Erwartungshorizont, ohne sofort neues Recht zu setzen. Aus rechtlicher Sicht ist das relevant, weil Gerichte, Aufsichtsbehörden und Haftungsprüfungen sich künftig sehr wahrscheinlich daran orientieren werden, was als „Stand von Wissenschaft und Technik“ gilt. Wer diesen Fahrplan ignoriert, könnte sich später schwer damit tun zu erklären, warum Risiken bekannt waren, aber nicht adressiert wurden.
Frage: Welche rechtlichen Risiken sehen Sie konkret für Banken und Finanzdienstleister?
Blazek:
Mehrere Ebenen. Erstens Datenschutz und Bankgeheimnis: Wenn heute verschlüsselte Kundendaten abgegriffen und später entschlüsselt werden, stellt sich die Frage, ob die Institute ihrer Schutzpflicht ausreichend nachgekommen sind. Zweitens IT‑Risikomanagement und Organisationspflichten nach Aufsichtsrecht. Und drittens Haftungsfragen gegenüber Geschäftspartnern oder Kunden, wenn Transaktionen, Signaturen oder Authentifizierungen im Nachhinein kompromittiert werden.
Frage: Der Fahrplan spricht von „harvest now, decrypt later“. Wie realistisch ist dieses Szenario aus Ihrer Sicht?
Blazek:
Sehr realistisch. Juristisch betrachtet ist das der zentrale Punkt. Der Schaden entsteht nicht erst mit dem Quantencomputer, sondern bereits heute durch das Abgreifen und Speichern von Daten. Unternehmen müssen sich deshalb fragen: Wie lange haben unsere Daten überhaupt einen Schutzbedarf? Wenn Vertrags-, Zahlungs- oder Identitätsdaten zehn, zwanzig oder dreißig Jahre relevant bleiben, reicht heutige Kryptografie schlicht nicht mehr aus.
Frage: Die G7 empfehlen eine gestaffelte Migration: kritische Systeme bis etwa 2030, andere bis 2035. Ist das realistisch?
Blazek:
Realistisch – ja. Entspannt – nein. Aus rechtlicher Sicht ist es sinnvoll, kritische Systeme vorzuziehen, etwa Zahlungsverkehr, Clearing, Identitätsmanagement oder Kernbanksysteme. Aber man darf nicht unterschätzen, wie komplex die Migration ist: Verträge mit IT‑Dienstleistern, Cloud‑Anbieter, Hardware, Zertifikate, Compliance‑Vorgaben – all das hängt an kryptografischen Verfahren. Das ist kein Update, das man „ausrollt“, sondern ein mehrjähriger Transformationsprozess.
Frage: Welche Rolle spielen Drittanbieter und Cloud‑Dienstleister?
Blazek:
Eine extrem große. Der Fahrplan weist völlig zu Recht darauf hin, dass viele Institute hochgradig von Drittanbietern abhängig sind. Rechtlich heißt das: Governance endet nicht am eigenen Rechenzentrum. Institute müssen künftig sehr genau prüfen, ob und wann ihre Anbieter quantensichere Verfahren unterstützen, und ob entsprechende Verpflichtungen vertraglich abgesichert sind. Ohne diese Transparenz wird jede Migrationsstrategie zur Illusion.
Frage: Was bedeutet das für Vorstände und Geschäftsleitungen?
Blazek:
Ganz klar: Post‑Quanten‑Kryptografie ist Chefsache. Der Fahrplan fordert ausdrücklich „Executive‑Level‑Awareness“. Das ist auch rechtlich konsequent. Wer IT‑Sicherheitsrisiken dieser Größenordnung delegiert, ohne sie strategisch zu steuern, setzt sich persönlich einem erheblichen Haftungsrisiko aus – insbesondere, wenn Aufsichtsbehörden später fragen, warum bekannte G7‑Empfehlungen nicht berücksichtigt wurden.
Frage: Sehen Sie einen Paradigmenwechsel im Aufsichtsrecht?
Blazek:
Ja, schleichend. Noch gibt es keine harten Vorgaben. Aber der Fahrplan zeigt die Richtung: Quantenresilienz wird Teil der operationellen Resilienz. Ich gehe davon aus, dass sie mittelfristig in Prüfungen, Stresstests und möglicherweise auch in regulatorischen Mindestanforderungen auftauchen wird – ähnlich wie Cyber‑Security heute.
Frage: Ihr Fazit: Was sollten Finanzunternehmen jetzt konkret tun?
Blazek:
Drei Dinge:
Erstens Inventarisieren, wo heute Kryptografie eingesetzt wird – inklusive Altdaten.
Zweitens Governance schaffen: Zuständigkeiten, Risikobewertung, Einbindung von Recht, IT, Compliance und Einkauf.
Und drittens Krypto‑Agilität aufbauen, also die Fähigkeit, kryptografische Verfahren künftig schneller zu wechseln. Der G7‑Fahrplan macht klar: Diese Umstellung wird nicht die letzte sein.
Frage: Ein Satz zum Schluss?
Blazek:
Wer Post‑Quanten‑Kryptografie nur als technisches Detail sieht, wird scheitern. Es geht um Vertrauen, Rechtsstaatlichkeit und Stabilität des Finanzsystems – und damit um einen Kernbereich unternehmerischer Verantwortung.
Kommentar hinterlassen