Quantencomputer können bald Sicherheitssysteme knacken. Kritische Infrastruktur ist dann vor Angriffen nicht sicher. Deutschland macht einen entscheidenden Fehler, sagen Experten.

Ist der „Q-Day“ erst mal angebrochen, dann ist es zu spät. „Q-Day“ – so nennen IT-Sicherheitsexperten den Zeitpunkt, ab dem Quantencomputer in der Lage sein werden, die heute üblichen kryptografischen Verschlüsselungssysteme im Netz zu knacken. Dass dieser Tag kommt, ist nur eine Frage der Zeit, sagt Felix Kuhlenkamp, IT-Sicherheitsexperte beim Digitalverband Bitkom: „Sobald Quantencomputer eine breite Rolle spielen, steht die Kryptografie vor völlig neuen Herausforderungen. Wenn es um die Verteidigung gegen Cyberkriminelle oder auch gegen hybride Kriegstaktiken geht, müssen wir komplett neu aufgestellt sein.“  

Ist das nicht der Fall, dann sind E-Mail-Konten, Messengerdienste und auch Teile der kritischen Infrastruktur Angriffen schutzlos ausgeliefert. Deutschland hat eine „sehr gute Forschungsgrundlage“, was neueste IT-Sicherheit betrifft, so Kuhlenkamp. „Das ist eine Chance für einen Vorteil, die wir aber jetzt auch dringend nutzen müssen. Sonst hinken wir schnell hinterher und das wird dann zum Sicherheitsproblem.“   

Cyberattacken: IT-Sicherheit als Schlüsseltechnologie

Denn wenn es um digitale Schlüsseltechnologien geht, zu denen IT-Sicherheit gehört, ist Deutschland nach Ansicht von Experten in vielen Fällen abhängig von Technologien aus dem Ausland. Nationale Autarkie kann und sollte es beim Thema Codierung zwar nicht geben, sagt Kuhlenkamp: „Dafür sind die Systeme zu sehr vernetzt.“ Aber: „Deutschland sollte im Bereich digitale Technologien so stark sein, dass es nicht erpressbar ist. Wir müssen Technologien haben, die für internationale Anbieter unerlässlich sind. Davon sind wir noch weit entfernt. Deutschland ist stark abhängig von anderen, wir sind eine digitale Kolonie.“  

IT-Sicherheitsunternehmen müssten deshalb jetzt gefördert werden: „Sie dürfen auf gar keinen Fall abwandern“, mahnt der Bitkom-Experte. In der Tat ist IT-Sicherheit ein Kernelement in der 2023 von der Bundesregierung beschlossenen Nationalen Sicherheitsstrategie. So heißt es darin etwa: „Wir suchen auch die Kooperation mit Technologiekonzernen und schaffen Plattformen zur Koordination von Cyber-Soforthilfe und langfristigem Fähigkeitsaufbau zwischen staatlichen und privatwirtschaftlichen Akteuren.“ Allerdings sollte es auch deutlich mehr Ankeraufträge für einheimische Unternehmen geben, findet Kuhlenkamp: „Da sehe ich noch sehr viel Luft nach oben.  Mir sind keine Kennzahlen bekannt, die belegen würden, dass dieses Ziel in die Tat umgesetzt wird.“  

Keine NIS2-Regeln für Verwaltung? „Einfallstor für Angriffe“

Und noch ein weiterer Punkt bereitet ihm Sorgen: Deutschland setze die wichtigen NIS2-Regeln nicht hinreichend um, sagt Kuhlenkamp. Die Abkürzung NIS steht für die „Network and Information Security Directive“ der Europäischen Union. Sie gibt Regeln für die Cyber-Sicherheit von Institutionen und Unternehmen vor.

Nur: Ausgerechnet die Bundesverwaltung wird zum Teil aus den NIS2-Sicherheitsanforderungen ausgenommen, und die Landesregierungen nehmen ihre Kommunen sogar komplett heraus. „Dort gibt es dann Einfallstore für Angriffe auf wichtige Infrastrukturen. Das sind wirklich Paradebeispiele im negativen Sinne“, kommentiert Kuhlenkamp. „Die Ressortabstimmung ist ein ziemliches Geschachere, und ein Beispiel dafür, wie es nicht laufen soll. Ich halte das für ein fatales Signal.“

Kuhlenkamps Kollege Christoph Tovar spricht sich für eine stärkere Zentralisierung aus. Der Bitkom-Referent für Innovationspolitik sagt: „Deutschland braucht unbedingt ein richtiges Digitalministerium.“ Derzeit liegt das Thema Digitalisierung bei Volker Wissing (FDP) – der hat als Verkehrsminister aber noch ein zweites Portfolio. „Viele Kompetenzen im Bereich Digitalisierung sind in verschiedenen Ministerien angesiedelt. Das alles zu bündeln, wäre ein sehr wichtiger Schritt“, so Tovar.

Echtes Digitalministerium gefordert

Nötig sei dann auch eine richtige Digitalbehörde, die beim Digitalministerium angesiedelt sei und weitreichende Befugnisse habe, sagt Tovar. Dem Bundesamt für Sicherheit in der Informationstechnik müsse eine prominentere Rolle zukommen: „In Sachen Cybersicherheit sollte das BSI klar gestärkt werden und als Zentralstelle für die Cybersicherheit dienen.“ Ähnlich dem Sondervermögen für die Bundeswehr benötige Deutschland eine klar definierte finanzielle Grundlage für Cybersicherheit, fordert der Bitkom-Experte: „Wir brauchen ein richtiges Digitalbudget. 0,5 Prozent des jährlichen Bundeshaushaltes bräuchten wir allein für die Modernisierung der Verwaltung.“

Rubriklistenbild: © Julian Stratenschulte/dpa