Think Tank DCQL warnt Finanzbranche vor Quantum Crime
- Diplomatic Council Quantum Leap (DCQL) fordert verstärkte Zusammenarbeit von Aufsichtsbehörden, Banken und Rechenzentrumsbetreibern zur beschleunigten Vorbereitung auf das Quantenzeitalter.
- Chairman Harald A. Summa: „Die nächste Cyberkrise könnte schneller kommen als viele denken.“
- Quantensicherheitsexperte Dr. Florian Fröwis: „Post-Quantum Cryptography muss jetzt ausgerollt werden. Für dauerhafte Sicherheit wird ein zusätzlicher physikalischer Layer benötigt.“
- Bankvorstand Jürgen Fiedler: „Viele in der Branche unterschätzen, dass sich mit der Quantentechnologie eine fundamentale Herausforderung für die Sicherheit digitaler Infrastrukturen abzeichnet. Wer erst reagiert, wenn diese Risiken unmittelbar sichtbar werden, handelt zu spät.“
Frankfurt, 2. Juli 2026 – Die Initiative Diplomatic Council Quantum Leap (DCQL) appelliert an die Aufsichtsbehörden der Finanzbranche sowie Banken, Versicherungen, Börsen und die Betreiber von Finanzrechenzentren, Quantensicherheit als strategisches Cyber- und operationelles Risiko in den Risikoregistern zu verankern und mit hoher Priorität zu behandeln. Nach Ansicht der Experteninitiative wird die Bedrohung durch Quantum Crime von vielen Marktteilnehmern unterschätzt. Im Vordergrund steht dabei die Befürchtung, dass Quantencomputer künftig Verschlüsselungsalgorithmen, die heute noch als sicher gelten, knacken könnten und damit im großen Stil an vertrauliche Bankdaten herankämen. „Der sogenannte Q-Day könnte schneller kommen als viele es für möglich halten“, mahnt DCQL-Chairman Harald A. Summa zur Eile. Betroffen wären beispielsweise der Online-Banking-Zugang, der Zahlungsverkehr, Kreditkarten- und Geldautomatensysteme, der Börsen- und Wertpapierhandel, der Interbankenverkehr über SWIFT, die Kommunikation zwischen Banken und Rechenzentren sowie digitale Signaturen für Transaktionen und Verträge.
Auslöser der aktuellen Warnung sind die jüngsten Entwicklungen rund um das KI-System „Mythos“ von Anthropic. Das System hat innerhalb kürzester Zeit Tausende kritischer Sicherheitslücken in Softwareprodukten identifiziert. Darunter befanden sich Schwachstellen, die teilweise seit mehr als 20 Jahren unentdeckt geblieben waren.
„Mythos hat gezeigt, wie schnell vermeintlich sichere IT-Systeme plötzlich im Feuer stehen können“, erklärt Jürgen Fiedler, Mitglied des Vorstands und Chief Risk Officer der FNZ Bank sowie langjähriger Chief Risk Officer bei der Deutschen Bank mit mehr als 25 Jahren internationaler Erfahrung im Risikomanagement und regulatorischen Umfeld. Fiedler, der sich bei DCQL als Risikofachmann engagiert, weiß aus zahlreichen Gesprächen auf Vorstandsebene in der Finanzbranche: „Die Bedrohung durch KI ist nicht mehr hypothetisch. Die Geschwindigkeit, mit der Schwachstellen identifiziert und ausgenutzt werden können, verändert die Risikolandschaft bereits heute. Cyberresilienz ist damit nicht mehr nur eine Frage der IT-Sicherheit einzelner Institute, sondern ein wesentlicher Faktor für die Stabilität des gesamten Finanzsystems. Dasselbe gilt für Quantentechnologie: Die Bedrohung wird erkannt, ihre potenzielle Tragweite für Verschlüsselung und Datensicherheit jedoch häufig noch unterschätzt. Aus Sicht des Risikomanagements erleben wir derzeit keine evolutionäre, sondern eine strukturelle Veränderung der Bedrohungslage, durch KI ebenso wie durch Quantentechnologie.“
Finanzbranche sollte bei Quantensicherheit mehr Gas geben
„Die Finanzbranche sollte beim Thema Quantensicherheit mehr Gas geben“, empfiehlt Dr. Florian Fröwis, Director Quantum Security bei DCQL und Fachexperte für Quantum-Safe Solutions bei ID Quantique, einem Pionier in Sachen Quantentechnologie, der zu IonQ gehört. Er begründet dies mit dem sogenannten „Harvest Now, Decrypt Later“-Szenario (HNDL). Dabei werden verschlüsselte Daten bereits heute abgefangen und gespeichert, um sie in Zukunft mit leistungsfähigen Quantencomputern zu entschlüsseln. Internationale Sicherheitsbehörden und Standardisierungsgremien wie das US-amerikanische National Institute of Standards and Technology (NIST) warnen seit Jahren vor diesem Risiko. Doch die Geschwindigkeit, mit der die Branche auf diese zunehmend reale Bedrohung reagiert, variiert je nach Institut.
Quantensicherheitsexperte Dr. Florian Fröwis hat dabei festgestellt, dass viele Banken unabhängig voneinander an Lösungen arbeiten, was zu einem „globalen Kampf um die Spezialisten“ geführt habe. „Besser wäre ein untereinander und mit den Regulierungsbehörden abgestimmtes gemeinsames Vorgehen“, rät er. In Deutschland arbeitet hierzu die Deutsche Kreditwirtschaft (DK), in der sich die Deutsche Bank, die Commerzbank sowie Sparkassen und Genossenschaftsbanken organisiert haben, eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen, lobt Fröwis. Besonders zu begrüßen seien die konkreten branchenspezifischem Analysen and Vorschläge, insbesondere der Einsatz von vorverteilten symmetrischen Schlüsseln, sogenannten „Pre-Shared Keys“, auch wenn im DK-Positionspapier die Verteilung als ein noch ungelöstes Problem dargestellt wird.
Vereinfacht gesagt handelt es sich dabei um Schlüssel, die Computer bereits vor dem eigentlichen Datenaustausch sicher miteinander teilen, um sie anschließend für eine besonders widerstandsfähige Verschlüsselung nutzen zu können. Genau dieser Austausch erfolgt heute meist über Verfahren, die künftige Quantencomputer angreifen könnten.
Dr. Florian Fröwis: „Historische Chance für die Sicherheitsarchitektur der Finanzwirtschaft“
Dr. Florian Fröwis sieht die Herausforderungen, die mit der Umstellung auf Quantensicherheit verbunden sind, als historische Chance, die über Jahrzehnte gewachsene IT-Sicherheitsarchitektur der Finanzinstitute neu zu überdenken. Sein Credo: Nicht nur die Verschlüsselungsverfahren austauschen, sondern eine neue Plattform für quantensicheren Schlüsselaustausch etablieren, was einer Automatisierung der im DK-Positionspapier geforderten Pre-Shared Keys entspricht.
Er begründet: Der Wechsel auf Post-Quantum Cryptography (PQC), also quantensichere kryptographische Verfahren, sei zwar wichtig, aber letztlich werde dabei nur ein Algorithmus durch einen neuen ersetzt, der nach heutigem Kenntnisstand quantensicher ist. Doch egal, welche ausgefeilten PQC-Algorithmen eingesetzt werden, könne deren Sicherheit nicht mathematisch bewiesen werden, sondern beruhe lediglich auf Abschätzungen und Expertenmeinungen. „Im Umkehrschluss bedeutet dies, dass HNDL mit PQC immer ein Risiko bleiben wird. Sollte sich ein PQC-Algorithmus als angreifbar herausstellen, verlieren damit verschlüsselte Daten auch rückwirkend ihre Vertraulichkeit“, umreißt Fröwis die Dimension der Bedrohung durch Quantum Crime.
Zudem werde der bloße Algorithmen-Tausch langfristig zu nachteiligen Kompromissen zwischen der Sicherheit und der Verfügbarkeit von Services führen. Da die PQC-Algorithmen tendenziell immer aufwendiger würden, stießen wichtige Kommunikationsprotokolle wie IPsec oder TLS an ihre Grenzen und geschäftskritische Services könnten ausfallen. Weitsichtiger sei es, den Schlüsselaustausch modular über eine eigene Plattform zu betreiben. Damit kann beides gleichzeitig erreicht werden: Sicherheit und Ausfallsicherheit und es löst das Pre-Shared-Keying-Problem, das Die Deutsche Kreditwirtschaft in ihrem „Position Paper of the German Banking Industry Committee on the Impact of the Development of Quantum Computers“ vom Mai letzten Jahres beschreibt.
Langfristig sicher sind nur quantengeschützte Glasfaser-Infrastrukturen
Langfristig sicher sei nur der zügige Aufbau einer neuen quantengeschützten Infrastruktur nach dem Vorbild von JP Morgan Chase; die größte Bank der USA gilt als Vorreiter auf diesem Gebiet. Die sogenannte Duale Strategie sieht vor, PQC durch eine physikalische Technologie über optische Netzwerke (Glasfaser und Satellit) zu ergänzen. Dr. Florian Fröwis spricht von einem „neuen Layer, der Quantenangriffe physikalisch unmöglich“ mache. „Diese Technologie heißt ‚Quanten-Schlüsselverteilung‘, ist mathematisch beweisbar sicher und neben PQC die ideale Ergänzung in der vorgeschlagenen Schlüsselverteil-Plattform“, argumentiert der Experte. Der Fachterminus dafür lautet „Quantum Key Distribution“ (QKD). Dadurch werde auch die DK-Forderung nach langfristig sicheren Schlüsseln erfüllt.
Auf QKD-Basis könne das Verschlüsselungsverfahren jederzeit an steigende Sicherheitsanforderungen aufgrund von Fortschritten bei der Quantentechnologie angepasst werden, betont der Experte. Fröwis: „Diese Krypto-Agilität ist notwendig, um den Finanzsektor dauerhaft vor Quantum Crime zu schützen.“ Wie angreifbar bloße Software-Verfahren seien, habe Mythos „auf erschreckende Weise“ vorgeführt.
„Es bleibt zu hoffen, dass die Branche vom Mythos-Moment gelernt und sowohl bei Künstlicher Intelligenz als auch bei Quantensicherheit aufs Gaspedal drückt“, sagt DCQL-Chef Harald A. Summa. Er verweist auf Untersuchungen, wonach nicht einmal fünf Prozent der Bank-Websites quantensicher seien. „Der noch wichtigere Umbau der IT-Kernbanksysteme etwa für den Zahlungsverkehr hinkt bei praktisch allen Finanzinstituten der Planung weit hinterher“, weiß er aus Gesprächen mit vielen Bankvorständen.
Jürgen Fiedler ergänzt: „Die Finanzbranche wird bei Künstlicher Intelligenz und Quantencomputing häufig von falschen Annahmen geleitet. Viele Strategien orientierten sich an linearen technologischen Verbesserungen. Tatsächlich ist jedoch mit einer exponentiellen Entwicklung zu rechnen.“
Alle KRITIS-Betreiber sind betroffen
Die Quantum-Crime-Gefahr betrifft alle Unternehmen und Öffentlichen Verwaltungen, betont DCQL. Zwar sei die Finanzbranche besonders gefährdet, weil Banken, Zahlungsdienstleister und Versicherungen hochsensible Daten verwalten, deren Vertraulichkeit über Jahrzehnte hinweg gewährleistet sein müsse. „Aber letztlich ist jeder KRITIS-Betreiber gefordert“, erklärt Harald A. Summa. Zu den Kritischen Infrastrukturen (KRITIS) gehören beispielsweise auch Einrichtungen der Energie- und Wasserversorgung, das Gesundheitswesen und die Telekommunikation, deren Ausfall erhebliche Folgen für die öffentliche Sicherheit, die Wirtschaft und das tägliche Leben der Bevölkerung hätte.
Die Initiative Diplomatic Council Quantum Leap bietet Behörden, Aufsichtsstellen, Finanzinstituten und Betreibern kritischer Infrastrukturen an, unabhängige Experten aus den Bereichen Post-Quantum-Kryptografie, Quantennetzwerke, Kryptographie-Migration und Cybersecurity zur Verfügung zu stellen, um entsprechende Initiativen zu unterstützen.
Zugleich ist die DCQL-Initiative selbst in enger Kooperation mit dem Deutschen Internet Exchange (DE-CIX) damit befasst, in Frankfurt eine quantensichere Kommunikations-Infrastruktur für die Finanzwelt zu errichten, die den Anforderungen der Deutschen Kreditwirtschaft DK genügt. Der Secure Frankfurt Financial Exchange bietet quantensichere Datenübermittlung „as-a-Service“ an (QaaS). Das hat für die Institute den Vorteil, dass sie nicht selbst eine neue technische Infrastruktur errichten und betreiben müssen, sondern Quantensicherheit als Service beziehen können. Dadurch profitieren sie auch unmittelbar von allen Fortschritten in der Resilienz gegenüber Quantenangriffen, die vom Secure Frankfurt Financial Exchange umgesetzt werden.
Der Secure Frankfurt Financial Exchange (FFX) ist eine souveräne, quantensichere Daten-Infrastruktur- und Plattforminitiative für den Finanzsektor. Ziel dieses Projekts ist es, unter der Führung der Initiative Diplomatic Council Quantum Leap (DCQL), Finanzinstitute vor Cyber-Bedrohungen durch künftige Quantencomputer zu schützen. Um sensible Finanzdaten gegen das Knacken moderner Verschlüsselungen durch Quantencomputer abzusichern, setzt die FFX-Plattform auf eine quantensichere Key Distribution Platform (KDP), die dem Finanzsektor auf Mietbasis („as-a-Service“) zur Verfügung gestellt wird. Der FFX ist Teil einer umfassenderen Strategie, die neben der sicheren Dateninfrastruktur auch den Aufbau einer souveränen „KI-Fabrik Frankfurt Rhein-Main“ gemeinsam mit Nvidia umfasst.
Comments are closed