Quantencomputer sind keine Science-Fiction (mehr), sondern eine reale Zukunftstechnologie mit erheblicher Bedeutung für die künftige IT-Sicherheit.
Aktuell ist ein regelrechter Wettkampf um die Erreichung neuer Entwicklungsstufen im Quantencomputing zwischen IT-Konzernen, Forschungseinrichtungen und Regierungen entbrannt. Medial wird diese Entwicklung mit einer „gesellschaftlichen Revolution“ gleichgesetzt; zu Recht?
Die Grundlagen eines Quantencomputers
Das enorme Potential dieser neuen Computergeneration basiert auf dem Prinzip der Quantenmechanik. Während aktuelle Computer seit deren Erfindung unverändert sämtliche Rechenaufgaben in einem Binärsystem basierend auf Einsen und Nullen (Bit als wesentliche Informationseinheit) lösen, arbeiten Quantencomputer mit der Wechselwirkung quantenmechanischer Zustände. Die kleinstmögliche Recheneinheit im Quantencomputing ist ein Quantenbit (Qubit). Qubits können nicht nur alternativ den Zustand Null oder Eins abbilden, sondern diese Werte und unendlich viele dazwischenliegende Überlagerungszustände aufweisen (sog. Superposition).
Darüber hinaus ist es möglich, den Zustand von Qubits voneinander abhängig zu beeinflussen, indem nur der Wert eines einzelnen Qubits verändert wird (sog. Verschränkung). Durch diese Eigenschaft können größere Werte besonders effizient abgebildet werden.
Dies führt dazu, dass Quantencomputer Rechenprozesse simultan lösen können, während die derzeitige Computergeneration konzeptionell auf die sequenzielle Bearbeitung von Aufgaben beschränkt ist.
Quantencomputer sollen 2023 mit 1100 Qubits rechnen können
Im Jahr 1998 wurde erstmals ein Quantencomputer mit zwei Qubits realisiert. Der erste kommerzielle Quantencomputer wurde 2011 und damit erst dreizehn Jahre später auf den Markt gebracht. 2018 beschloss die EU die Entwicklung der Quantentechnologie mit EUR 1 Milliarde (gestreckt auf zehn Jahre) zu fördern. Die Bundesregierung hat im Oktober 2020 mithilfe eines Beratergremiums einen Fahrplan für die Entwicklung eines Quantencomputing-Ökosystems in Deutschland veröffentlicht und zusätzlich beschlossen, über zwei Milliarden Euro in dieses Forschungsfeld zu investieren. Unter dem Stichwort „Zukunftsinvestitionen“ wurde der Bereich der Quantentechnologie auch im Koalitionsvertrag (2021-2025) der Regierungsparteien aufgegriffen.
Im Sommer 2021 hat IBM den ersten universellen Quantencomputer (Quantum System One) in Deutschland eingeweiht, der bis dato als leistungsstärkster Quantencomputer (27 Qubits) in Europa gilt. Bis zum Jahr 2023 plant IBM einen Quantencomputer mit einer Leistung von mehr als 1100 Qubits zur Marktreife zu bringen. Die japanische Regierung hat dieses Jahr bekannt gegeben, noch vor Ende März 2023 die Entwicklung des ersten heimischen Quantencomputers des Landes abzuschließen.
Quantencomputer, Chance oder Risiko für die IT-Sicherheit?
Das positive Potential dieser Technologie scheint nahezu grenzenlos. Mithilfe von Quantencomputern sollen bspw. bei der Entwicklung neuer Medikamentenwirkstoffe in der Krebsforschung, bei der Effizienzsteigerung der Landwirtschaft und bei der Analyse komplexer Zusammenhänge der Klimakrise neue Durchbrüche erreicht werden.
Doch auch jene Stimmen, die in der fortschreitenden Entwicklung des Quantencomputings eine Gefahr für die Sicherheit kritischer IT-Bereiche sehen, werden immer lauter.
Die Sollbruchstelle vieler moderner Verschlüsselungsverfahren ist die Zahlen- und Ziffernkombination des jeweils verwendeten Sicherheitsschlüssels, welche (bisher) in Bit gemessen wird. Je mehr Kombinationsmöglichkeiten ein solcher Schlüssel aufweist, desto rechenintensiver, zeitaufwändiger und damit unwahrscheinlicher ist es, diesen mit einem sog. Brute-Force-Angriff zu entschlüsseln.
Bei dieser simplen Methode werden alle möglichen Kombinationen – mit der derzeitigen Computergeneration nacheinander – ausprobiert. Anhand der Zeit, die eine solche Berechnung aller möglichen Schlüsselkombinationen in Anspruch nimmt, lässt sich die Sicherheit eines Verschlüsselungssystems bewerten.
Der öffentliche Verschlüsselungsalgorithmus Advanced Encryption Standard (AES-256), welcher u.a. auch in den USA für Regierungsdokumente der höchsten Geheimhaltungsstufe verwendet wird, gilt aktuell als unknackbar. Bei einer solchen Schlüssellänge von 256 Bit übersteigt die Anzahl der möglichen Kombinationen die Zahl der Sterne im Universum.
Bereits jetzt ist jedoch absehbar, dass Quantencomputer aufgrund ihrer Architektur hinsichtlich des Faktors Zeit pro Berechnung neue Maßstäbe setzen und damit in der Folge auch aktuelle Verschlüsslungsverfahren überwinden werden.
Die Annahme, eine solche Gefahr sei beim jetzigen Stand der Technik lediglich theoretischer Natur, geht demnach fehl. Wenngleich aktuelle Quantenrechner noch nicht in der Lage sind, komplexe Verschlüsslungsverfahren aufzubrechen, so ist dies nur eine Frage der Zeit, bis die Forschung diesen Punkt erreicht. Daraus folgt allerdings bereits jetzt, dass Informationen, die nach aktuellem Stand der Verschlüsselungstechnik als ausreichend geschützt anzusehen sind, in der Zukunft mittels Quantentechnik entschlüsselt werden können.
Dennoch führt Quantencomputing nicht zwangsläufig dazu, dass IT-Systeme in Zukunft unsicherer werden, vielmehr schafft diese Technologie zugleich den Nährboden für eine neue Generation der Verschlüsselungsverfahren. Hiermit beschäftigt sich der Bereich der „Quantenkryptografie“, die sich das Potential der komplexen Verschränkung von Quantenzustände zunutze macht, um die Sicherheit einer Datenübertragung nicht mehr – wie bisher – auf mathematische Prinzipien zu beschränken, sondern die Physik der Quantenmechanik als Grundlage künftiger IT-Sicherheit heranzuziehen.
Auch die erwähnte Problematik in Bezug auf bereits existierende Daten wurde von dem Forschungsfeld der sog. „Post-Quantum-Kryptografie“ aufgegriffen, und schon heute arbeiten Unternehmen daran, eine zukünftige Entschlüsselung durch Quantenrechner zu verhindern.
„Quantenkryptografie“ als zukünftiger Verschlüsselungsstandard gesetzlicher Vorgaben
Der Vormarsch der Quantentechnologie wird unser digitalisiertes Leben und die digitale Transformation unzweifelhaft verändern und dabei gleichzeitig auch ein neues Zeitalter der IT-Sicherheit einläuten. Ohne die „Quantenkryptografie“ wären kritische Bereiche unseres modernen Lebens wie der globale Zahlungsverkehr, die Energieinfrastruktur und das Gesundheitssystem, Cyberattacken schutzlos ausgeliefert.
Diese neue Verschlüsselungsgeneration wird jedoch auch zum Standard der IT-Sicherheit eines nahezu jeden Unternehmens werden (müssen). Dabei besteht – wie dieser Beitrag aufzeigt – bereits unmittelbar Handlungsbedarf, der sich in absehbarer Zeit auch in Form konkreter gesetzlicher Vorgaben, etwa in einer Anpassung des IT-Sicherheitsgesetzes, widerspiegeln wird.
Doch auch de lege lata nimmt der Gesetzgeber etwa im Datenschutzrecht (§§ 22, 48, 64, 66 BDSG) bereits Bezug auf Verschlüsselungen als eine „angemessene und spezifische Maßnahme zur Wahrung der Interessen der betroffenen Person“. So entfällt u.a. die in § 66 Abs. 1 BDSG normierte Informationspflicht, sofern die personenbezogenen Daten durch ein Verschlüsselungsverfahren für unbefugte Personen unzugänglich gemacht wurden. Dementsprechend bedarf es nicht zwingend einer Gesetzesanpassung an den Stand der Technik, um zusätzliche Rechte und Pflichten eines Verantwortlichen aus dem technischen Fortschritt abzuleiten.
Quantencomputing wird auch Auswirkungen auf das Steuerrecht und den Bereich der Strafverfolgung haben
Auf den ersten Blick weniger offensichtlich als der Einfluss von Quantencomputern auf die IT-Sicherheit, sind die Auswirkungen dieser Technologie auf das Steuerrecht.
Dabei scheitert die Realisierung eines globalen Steuerleitsystems bisher nicht (nur) an den politischen Herausforderungen, sondern gerade auch an der technischen Umsetzung, welche als (bis dato) nicht realisierbar gilt. Die Bearbeitung der hierfür notwendigen weltweiten Masse an Daten, ist mit derzeitigen Computersystemen nicht in der erforderlichen (Echt-)Zeit zu bewältigen. Erschwerend hinzu kommt der Flickenteppich nationaler Besteuerungssysteme hinsichtlich globaler Unternehmensstrukturen mit komplexen Wertschöpfungsketten.
Unter anderem hiermit beschäftigt sich die Initiative „ADIMA (Analytical Database on Individual Multinationals and Affiliates)“ der OECD, welche das Ziel verfolgt, eine Datenbank mit Informationen über die wirtschaftliche Tätigkeit multinationaler Unternehmen zu erstellen und zu pflegen, um diese zu analysieren und hierdurch Steuerfluchtsysteme aufzudecken.
Die Vorteile des Quantencomputings bzgl. dieser Bestrebungen liegen auf der Hand. Nicht nur würde die gesteigerte Leistungsfähigkeit gegenüber konventionellen Computersystemen globale Steuerleitsysteme erst ermöglichen. Sie würde darüber hinaus auch den politischen Druck erhöhen, derartige Systeme zu etablieren, wenn schließlich nur noch der politische Wille einer solchen Umsetzung entgegenstünde.
Die aufgezeigten Defizite in der Datenverarbeitung lassen sich auch auf den Bereich der Strafverfolgung übertragen. Während noch immer vereinzelte Stimmen im Bereich der Strafverfolgung unerbittlich auf die – verfassungs- und europarechtswidrige – uneingeschränkte und anlasslose Speicherung personenbezogener Daten pochen und der Auffassung sind, dass ein Mangel an Daten und Ermittlungsbefugnisse bestehe, zeigen diverse Vorkommnisse in der Vergangenheit, dass das Problem an einer anderen Stelle zu verorten ist.
Nicht zu wenige, sondern absurderweise zu viele Daten stellen die Behörden (bisher) vor eine schier unlösbare Aufgabe. Dies zeigt bspw. die Auswertung der Daten im Zusammenhang mit EncroChat, Ermittlungsverfahren im Bereich komplexer Wirtschaftsstraftaten oder der Strafverfolgung organisierter Kriminalität.
Mit der Steigerung der Effizienz der Analyse großer Datenmengen kann demnach auch eine effizientere Strafverfolgung einhergehen, und zwar grundrechtsschonend ohne weitere Ermittlungsbefugnisse zu schaffen.
Unternehmen müssen die zukünftige Gesetzgebung im Blick haben, um zwingende IT-Sicherheitsanforderungen einzuhalten
Der Status quo der Quantencomputer-Technologie zeigt bereits das beeindruckende Potential auf und lässt mit Spannung in die Zukunft blicken. Die Frage, wo diese Technologie in den kommenden zwei bis fünf Jahren stehen wird, lässt sich derzeit allerdings nicht beantworten, wie eine rückblickende Bewertung der in der Vergangenheit getroffenen Prognosen veranschaulicht.
Spiegelbildlich hierzu ist ein Blick in die Zukunft auch in rechtlicher Hinsicht nur eingeschränkt möglich und insbesondere von den Bestrebungen in der deutschen aber auch der europäischen Gesetzgebung abhängig. Dementsprechend kann die vorstehend erfolgte Aufzählung der juristischen Bereiche und Aspekte, die von der Fortentwicklung des Quantencomputings tangiert werden, keinen abschließenden Charakter aufweisen.
Vielmehr sind jene Bereiche frühzeitig in den Blick zu nehmen, die bereits nach derzeitigem Stand absehbar in besonderem Maße betroffen sein werden, woraus wiederum juristischer Beratungs- und Regulierungsbedarf resultiert bzw. resultieren wird.
In erster Linie sind hierbei das gesamte Feld der IT-Sicherheit, aber auch die aufgezeigten Aspekte im Bereich des Steuerrechts und der Strafverfolgung sowie sämtliche hiermit im Zusammenhang stehenden gesetzlichen Vorgaben und Regelungen bzw. die Einhaltung derselben zu nennen. Gesetzliche Standards werden sich zwangsläufig der technischen Dynamik anpassen müssen, sofern diese nicht bereits (ausreichend) offen formuliert sind.
Die Kombination aus der technischen Komplexität auf der einen und der Gefahr von Bußgeldern und erheblicher Haftungsrisiken bei Nichtbeachtung gesetzlicher Vorgaben auf der anderen Seite, wird insbesondere die Anwaltschaft vor neue Herausforderungen stellen.
Bereits die Entwicklung des World Wide Web hat gezeigt, dass man eine Technologie zwar nicht verstehen muss, um diese nutzen zu können, ein tiefergehendes Verständnis der Funktionsweise jedoch für die juristische Umsetzung technologischen „Neulands“ unabdingbare Voraussetzung ist.
Vor diesem Hintergrund wird das Quantencomputing die Grenzen des IT-Rechts zwischen technologischer und juristischer Expertise weiter verschwimmen lassen. Wenngleich auch ein Blick in die Zukunft nicht möglich ist, so ist die genaue Beobachtung der weiteren Entwicklung dieser Technologie umso wichtiger.
