Die Bedrohung durch zukünftige Quantencomputer für die heute genutzte Verschlüsselung in der öffentlichen Verwaltung steigt. Da Angreifer schon jetzt verschlüsselte Daten sammeln und später entschlüsseln könnten, sind besonders langfristig schützenswerte Daten wie Bürger- und Geheimdaten gefährdet. Die Verwaltung muss jetzt handeln: eine Bestandsaufnahme ihrer Systeme und kritischen Daten durchführen, kurzfristig die grössten Schwachstellen mit quantensicherer Verschlüsselung und physischem Schutz schliessen, und mittelfristig durch „Krypto-Agilität” sicherstellen, dass zukünftige Technologien flexibel integriert werden können. Entscheidend ist: Die Lösung muss heute umgesetzt werden, bevor sich das Risiko in einigen Jahren materialisiert.
Heute verbreitete Verschlüsselungsverfahren beruhen auf mathematischen Funktionen, die vorwärts einfach, rückwärts aber kaum lösbar sind – Quantencomputer werden diese Funktionen jedoch voraussichtlich in 5 bis 10 Jahren knacken können. Besonders gefährlich ist dabei die Strategie "Harvest now, decrypt later”: Hacker sammeln schon heute verschlüsselte Daten, um sie später zu entschlüsseln, sobald die Technologie verfügbar ist.
Für die öffentliche Verwaltung steht dabei besonders viel auf dem Spiel: als geheim klassifizierte Informationen im Nachrichtendienst, hochsensible Bürgerdaten wie Steuer-, Gesundheits- und Sozialversicherungsinformationen sowie das Vertrauen in digitale Verwaltungsangebote wie E-ID und E-Voting. Zwar lassen sich Daten bereits heute quantensicher verschlüsseln, ungelöst ist jedoch der sichere Schlüsselaustausch bei der Kommunikation und Vernetzung – entsprechende Lösungen sind noch nicht etabliert und sehr kostenintensiv.
Handlungsbedarf besteht auf drei Zeithorizonten: sofort eine Bestandsaufnahme der genutzten Systeme und kritischen Daten, kurzfristig das Schliessen der grössten Schwachstellen etwa durch quantensichere Verschlüsselung von „Data at Rest” und physischen Schutz von Verbindungen (orientiert an NIST-Standards), sowie mittelfristig der Aufbau von „Krypto-Agilität”, damit Systeme zukünftige Verschlüsselungstechnologien flexibel integrieren können.
Die Dringlichkeit ergibt sich aus der Schutzdauer der Daten: Bürgerdaten müssen oft mindestens 20 Jahre vertraulich bleiben, während das Entschlüsselungsrisiko bereits in 5 bis 10 Jahren eintritt – Daten, die heute nicht quantensicher verschlüsselt werden, sind also innerhalb ihrer gesetzlichen Schutzfrist gefährdet. Quantensicherheit ist dabei kein reines IT-Problem, sondern ein Governance-Thema, das Zusammenarbeit zwischen Verwaltung, Anbietern und Experten sowie risikobasierte Entscheidungen der Führung erfordert, da eine perfekte Lösung aktuell noch nicht existiert.