Blogpost

Quantenschlüsselverteilung im Banking – neuer Sicherheitsstandard oder Nischenlösung?

Quantenschlüsselverteilung (QKD) sichert den Schlüsselaustausch durch physikalische Gesetze statt mathematischer Annahmen. Dieser Artikel ordnet ein, wie BSI, EU-Pilotprojekte und Banken wie Erste Group und HSBC das Verfahren aktuell bewerten.

Quantenschlüsselverteilung / Quantum Key Distribution in Banking

In dieser Collection enthalten:

Collection öffnen

Verschlüsselung sensibler Finanzdaten durch Quantentechnologie – wie es funktioniert

Wann immer ein Austausch von sensiblen Daten, wie im Zahlungsverkehr, vor dem Zugriff Dritter geschützt werden soll, braucht es verlässliche kryptografische Verfahren. In der Praxis kommen dafür häufig sogenannte symmetrische Verfahren wie AES (Advanced Encryption Standard) zum Einsatz, die bei entsprechend gewählter Schlüssellänge auch gegenüber Angriffen mit Quantencomputern als sicher gelten.

Der Begriff „symmetrisch“ deutet dabei an, dass Sender und Empfänger (in der Kryptografie häufig als Alice und Bob bezeichnet) den gleichen Schlüssel sowohl zum Verschlüsseln als auch zum Entschlüsseln der Nachrichten verwendet. Für einen gesicherten Kommunikationskanal muss der Schlüssel, der oft als Session-Key bezeichnet wird, jedoch zunächst erzeugt und zwischen beiden Parteien verteilt werden.

Für eine sichere Verteilung wurden bislang sogenannte asymmetrische Verfahren verwendet. Das Wort „asymmetrisch“ deutet dabei an, dass zum Ver- und Entschlüsseln von Nachrichten unterschiedliche Schlüssel verwendet werden. Die Sicherheit asymmetrischer Verfahren beruhte bislang auf der Annahme, dass bestimmte mathematische Probleme in realistischen Zeitspannen praktisch nicht lösbar sind. So würde ein herkömmlicher Computer Milliarden von Jahren benötigen, um diese Probleme zu lösen. Technisch ausgereifte Quantencomputer bringen jedoch die Rechenkapazität, auf diese Probleme wesentlich effizienter in Stunden bis Tagen zu lösen. Ein Angreifer könnte, wenn er den Session-Key bei seiner Verteilung abfängt, diesen in kürzester Zeit mit einem Quantencomputer entschlüsseln.

Daraus ergeben sich unterschiedliche Bedrohungsszenarien, etwa das passive Mitlesen sensibler Zahlungsnachrichten (z. B. im Sinne von Wirtschafts- oder Industriespionage), die nachträgliche Entschlüsselung archivierter Kommunikationsdaten („harvest now, decrypt later“) oder auch aktivere Angriffe wie die Erzeugung scheinbar authentischer, korrekt signierter Zahlungsaufträge durch Kompromittierung kryptografischer Schlüssel.

Um dieser Sicherheitslücke entgegenzuwirken, wurden spezielle kryptografische Algorithmen entwickelt, welche die Verteilung des Session-Keys gegen Angriffe durch Quantencomputer absichern sollen. Solche quantensicheren Algorithmen, als Post-Quanten-Kryptographie (engl. Post Quantum Cryptography, kurz: PQC) bezeichnet, können auf herkömmlichen Computern ausgeführt und in bestehende Sicherheitsarchitekturen integriert werden.

Wie der kürzlich auf banking.vision erschienene Artikel Das Jahr der Quantencomputer 2026: Chancen, Risiken und der Weg zur Quantensicherheit verdeutlicht, rückt neben der technischen Weiterentwicklung dieser Algorithmen auch die Formulierung konkreter Handlungsempfehlungen und regulatorischer Rahmenbedingungen für die Migration zu PQC immer stärker in den Fokus.

Neben dem Einsatz von PQC-Algorithmen gibt es eine hoch innovative zweite Möglichkeit, um den Schlüssel sicher zu verteilen, die sogenannte Quantenschlüsselverteilung (engl.: Quantum Key Distribution, kurz: QKD). Das sogenannte BB84 Protokoll, benannt nach Charles Bennett und Gilles Brassard, welche das Protokoll 1984 entwickelten, beschreibt den Ablauf des Verfahrens*: Alice erzeugt zunächst ein Zufallsbit, dessen Wert entweder 0 oder 1 ist. Dieses Bit kodiert sie in den Quantenzustand eines Lichtteilchens, eines sogenannten Photons, und sendet es über einen Quantenkanal – beispielsweise eine Glasfaserleitung – an Bob. Die konkrete Art der Kodierung wird dabei als Basis bezeichnet. Alice hat dabei keinen Einfluss auf die Wahl der Basis, sie wird zufällig gewählt. Bob misst daraufhin die empfangenen Photonen und hat dabei zwei Möglichkeiten. Entweder benutzt er die gleiche Basis, die Alice für ihre Kodierung benutzt hat, oder er benutzt eine andere. Welche Basis Bob beim Messen des Photons wählt, ist dabei ebenfalls zufällig. Über einen separaten Kommunikationskanal gleichen Alice und Bob ab, welche Basis sie verwendet haben. Nur wenn sie die gleiche Basis verwendet haben, übernehmen sie das entsprechende Bit in den Schlüssel, andernfalls wird es verworfen. So entsteht sukzessive auf beiden Seiten ein geheimer Schlüssel. Da der Zufall die Kombination der Bits festlegt, ist es für Dritte unmöglich, den Schlüssel zu erraten oder zu berechnen.

Der besondere Sicherheitsvorteil von QKD liegt nun darin, dass ein Angreifer die über den Quantenkanal übertragenen Photonen messen müsste, um Informationen über den Schlüssel zu gewinnen. Nach den Gesetzen der Quantenphysik verändert ein Messprozess jedoch die Quantenzustände der Photonen. Dieser Eingriff lässt sich durch Alice und Bob erkennen, sodass ein kompromittierter Schlüsselaustausch sofort auffällt und verworfen werden kann. Während die Sicherheitsversprechen von klassischer** Kryptographie auf der Annahme beruhen, dass bestimmte mathematische Probleme praktisch nicht effizient lösbar sind, ist die Sicherheit von QKD-Protokollen in physikalischen Gesetzmäßigkeiten begründet. Diese lassen sich auch dann nicht umgehen, wenn ein Angreifer über eine unbegrenzte Rechenkapazität verfügen würde.


* Das BB84 Protokoll ist das bekannteste QKD-Protokoll. Daneben wurden noch weitere Protokolle entwickelt, die quantenphysikalische Prinzipen nutzen, um den Schlüssel zu verteilen, wie zum Beispiel das Ekert-Protokoll, benannt nach Artur Ekert.

** Mit dem Begriff „klassisch“ werden hier und im Folgenden alle Verfahren und Technologien bezeichnet, die nicht auf Quantentechnologie beruhen.

Zwischen Potenzial und offenen Baustellen

Was in der Theorie ein absolutes Maß an Sicherheit garantiert, ist in der Praxis aktuell noch sehr aufwendig umzusetzen. Nach einer Einschätzung des Bundesamtes für Informationssicherheit (BSI) ist QKD noch kein vollständig ausgereiftes Verfahren. Dabei betont das BSI unter anderem die folgenden Punkte1:

Abhängigkeit von bestehenden Sicherheitsarchitekturen

Im idealen Fall wird ein per QKD erzeugter Schlüssel als sogenanntes One-Time-Pad verwendet, das genauso lang ist wie die Nachricht selbst. Jedes Bit der Nachricht wird dann mit dem entsprechenden Bit des Schlüssels durch eine logische Operation in ein neues Bit umgewandelt. Bei einer einmaligen Verwendung des Schlüssels lassen sich aus dem Kryptotext keinerlei Muster, Redundanzen oder statistischen Auffälligkeiten ableiten. Dadurch ist es für Angreifer unmöglich, Informationen über den verwendeten Schlüssel aus dem Kryptotext zu extrahieren. In dieser Kombination würde QKD sein volles Potenzial entfalten: Weder der Schlüsselaustausch noch die verschlüsselte Nachricht wären angreifbar. In der Praxis reicht die Bandbreite heutiger QKD-Systeme dafür jedoch meist nicht aus. Sie eignen sich daher vor allem zur Verteilung kürzerer symmetrischer Schlüssel, die anschließend etwa für Verfahren wie AES genutzt werden. Obwohl angenommen wird, dass AES bei entsprechender Anpassung der Schlüssellänge auch zukünftig gegen Angriffe von Quantencomputern sicher ist, handelt es sich um ein Verfahren, dessen Sicherheit auf Annahmen beruht. Gegenüber einem Angreifer mit unbegrenzter Rechenkapazität bietet es daher keinen absoluten Schutz. Damit sind heutige QKD-Systeme nur so sicher wie die bestehende Sicherheitsarchitekturen, in die sie eingebettet sind, und nicht vollständig unabhängig von diesen.

Zusätzlich besteht eine weitere Abhängigkeit von klassischer Kryptografie. Neben dem Quantenkanal benötigen Alice und Bob einen klassischen Kommunikationskanal, über den sie abgleichen, welche Basis sie verwendet haben, das kann zum Beispiel eine Internetverbindung sein. Entscheidend ist, dass über diesen Kanal keine Informationen über den Schlüssel selbst ausgetauscht werden. Um diese Informationen zu erhalten, müsste ein Angreifer in den Quantenkanal eingreifen, was wiederum auffällt und eine Verwerfung des Schlüssels zur Folge hätte. Um dennoch alle Sicherheitslücken zu schließen, muss der klassische Kommunikationskanal gegenüber Manipulationsversuchen abgesichert sein. Dazu müssen sich beide Seiten eindeutig authentifizieren – etwa über digitale Signaturen auf Basis quantensicherer Verfahren. Digitale Signaturen sind eine gängige Authentifizierungsmethode, wie sie heute zum Beispiel bei der Übermittlung von Zahlungsaufträgen an Banken via EBICS-Verfahren verwendet werden. QKD schützt also den Schlüsselaustausch auf dem Quantenkanal, macht klassische Sicherheitsmechanismen aber nicht vollständig überflüssig.

Kostspielige Hardware

QKD erfordert spezielle und bislang teure Hardware. Dazu gehören Einzelphotonenquellen, Detektoren und geeignete Glasfaserverbindungen. Besonders anspruchsvoll ist die zuverlässige Erzeugung einzelner Photonen. Werden versehentlich mehrere Photonen mit identischer Information ausgesendet, kann daraus eine Sicherheitslücke entstehen: Ein Angreifer könnte eines dieser Photonen abfangen und auswerten, ohne den eigentlichen Austausch zu stören, und so Informationen über den Schlüssel erhalten.

Begrenzte Reichweite

Auch die Reichweite ist aktuell begrenzt. Da Quanteninformationen empfindlich auf Störungen reagieren, gehen sie über größere Distanzen zunehmend verloren oder kommen nur noch fehlerbehaftet beim Empfänger an. Kommerzielle QKD-Systeme sind deshalb bislang vor allem für Entfernungen von etwa 100 Kilometern geeignet. Der Schlüsselaustausch über ein Satellitennetzwerk könnte hierbei eine Lösung sein, dies ist jedoch noch Gegenstand aktueller Grundlagenforschung.

Fehlende Standards

Standardisierungsprozesse sind in der Kryptografie immens wichtig. Zum einen schaffen sie Interoperabilität, was die Grundlage heutiger Sicherheitsarchitekturen ist. So können Banken heute verschlüsselte Zahlungsnachrichten untereinander austauschen, weil ein Konsens über bestimmte kryptografische Verfahren besteht. Zum anderen führt der Standardisierungsprozess dazu Schwachstellen zu analysieren und aufzudecken, wodurch das Vertrauen in das Verfahren gestärkt wird. Solche Prozesse, wie sie bei der Auswahl von PQC-Algorithmen durch das NIST (National Institute of Standards and Technology) durchgeführt werden, sind für QKD noch nicht entwickelt. Neben standardisierten QKD-Protokollen ist auch eine korrekte Implementierung des Protokolls auf der entsprechenden Hardware nötig. Es bedarf anerkannter Bewertungskriterien und Methoden, um dies zu gewährleisten, die aktuell noch nicht ausgereift sind.

Verfügbarkeit des Verfahrens bei Angriffen

Wie oben bereits diskutiert wurde, wird der Schlüssel sofort verworfen, sobald Fehler detektiert werden, die durch einen Angriff entstehen. Ein Angreifer könnte, auch wenn er den Schlüssel selbst nicht mitlesen kann, die Übertragung stören und so verhindern, dass der Schlüssel ausgetauscht wird.

Kommerzielle Nutzung von QKD in Pilotprojekten

Trotz der vielen Arbeit, die noch aufzubringen ist, um QKD als ein ausgereiftes Verfahren zu etablieren, gibt es weltweit spannende Pilotprojekte, die QKD bereits in der Praxis einsetzen.

So hat beispielsweise die Erste Group in Wien, die ein Teil der österreichischen Sparkassenfinanzgruppe ist, in einem Pilotprojekt eine QKD-Lösung in ihre kritische IT-Infrastruktur eingebunden. Das Projekt entstand durch Zusammenarbeit mit dem Tech-Unternehmen Zerothird und dem Telekommunikationsanbieter A1. Zukünftig plant die Erste Group die Finanzstandorte Wien und Frankfurt über QKD miteinander zu verbinden.2

Ein bemerkenswertes weiteres Beispiel ist das „Quantum Secure Metro Network“ (QSMN), ein Gemeinschaftsprojekt von Toshiba und der BT Group, das mehrere Standorte in London mithilfe von QKD miteinander verbindet, um die über Glasfaserkabel übertragenen Daten zu sichern. Die HSBC Bank schloss sich als erste Bank diesem Projekt an, um durch QKD sensible Informationen einschließlich Finanztransaktionen zu schützen. In dem Pilotprojekt wird derzeit die

Kommunikation zwischen dem globalen Hauptsitz der HSBC und einem 62 km entfernten Rechenzentrum unter Verwendung der Infrastruktur von BT, der Quantentechnologie von Toshiba und der AWS Edge Compute Services geschützt.3

Abseits vom Banking wurde QKD erstmalig in einem Pilotprojekt zur sicheren Übertragung eines Fernsehsignals zwischen dem österreichischen Parlament und den ORF-Studios verwendet. Da inzwischen kaum noch zwischen echten Aufnahmen und KI-generiertem Material unterschieden werden kann, sei es das Ziel, das Parlament als „verlässliche Quelle für Information“ zu positionieren.4

Um die Entwicklung dieser innovativen Technologie weiter voranzutreiben, hat die EU die Initiative EuroQCI ins Leben gerufen. Die Initiative schreitet rasch voran: Derzeit bauen 26 Mitgliedstaaten nationale Quantenkommunikationsnetze auf, die für eine sichere Quantenschlüsselverteilung genutzt werden sollen. Zu den Pilotprojekten gehören die sichere Übertragung von medizinischen Daten zwischen Krankenhäusern, die verschlüsselte Kommunikation zwischen staatlichen Institutionen sowie QKD-Verbindungen für kritische Infrastrukturen wie Stromnetz-Leitstellen.5

Ein Appell an Banken

Von 2020 bis 2025 investierte die EU über 11 Mrd. Euro in Quantentechnologien, um damit neben dem Ausbau von QKD auch die Entwicklung von Quantencomputern zu beschleunigen [5]. Mit dem rasanten globalen Fortschritt wird mit jedem neuen Jahr der Einsatz marktreifer Quantencomputer, die ein Risiko für asymmetrische Sicherheitsstandards darstellen, greifbarer. Banken, die ihre Daten auch zukünftig geschützt wissen wollen, müssen daher jetzt anfangen über quantensichere Kryptografie nachzudenken, denn die Migration hin zu quantensicheren Sicherheitsarchitekturen benötigt Zeit. Ob sich QKD zukünftig als fester Bestanteil moderner Sicherheitsstandards etablieren wird oder sich nur für dedizierte Use Cases mit besonders hohen Sicherheitsanforderungen, wie zum Beispiel kritische IT-Infrastruktur oder Interbanken Zahlungsverkehr eignet, wird sich zeigen. Der Fokus für Banken sollte jedoch zunächst auf einer Migration zu PQC liegen.

msg_Gradient_BLAU

Quantensicherheit strategisch angehen

Sie möchten Ihre Organisation auf die Migration zu Post-Quanten-Kryptografie vorbereiten? Wir unterstützen Banken und Finanzdienstleister bei der Analyse ihrer bestehenden Kryptografie, der Entwicklung einer PQC-Migrationsstrategie und der schrittweisen Umsetzung quantensicherer Sicherheitsarchitekturen. Sprechen Sie uns gerne an, wenn Sie die nächsten Schritte in Richtung Post-Quanten-Kryptografie planen.

Quellen