Foto: Panchenko Vladimir - shutterstock.com
Für Payment Service Provider gilt der sogenannten PCI-Datensicherheitsstandard (Payment Cards Industry), der zum Schutz von Kreditkartendaten entwickelt wurde. Die Sicherheit wird dabei durch die Verschlüsselung von Kreditkartendaten erreicht. Dies ermöglicht eine schnelle und nahtlose Abwicklung von eCommerce- und Card-not-Present-Transaktionen mit einem hohen Maß an Vertrauen zwischen Händlern, Kunden, Banken und Zahlungsdienstleistern. Was passiert, wenn diese Verschlüsselung durch Quantencomputer untergraben wird?
Die RSA-Verschlüsselung (Rivest Shamir Adleman, nach den Erfindern) auf Kreditkarten verwendet mathematische Algorithmen, um die persönlichen Daten der Kunden zu verschlüsseln. Selbst mit einem Brute-Force-Angriff würde es wahrscheinlich Jahre dauern, bis ein klassischer Computer die großen Zahlen des Algorithmus berechnen und die Verschlüsselung knacken könnte. Anders bei Quantencomputern: Sie können die komplexesten Berechnungen schnell durchführen und die Verschlüsselung in wenigen Tagen knacken.
Derzeit gibt es nur sehr wenige Anwendungen für Quantencomputer, und die technologische Entwicklung ist noch nicht weit genug fortgeschritten, um kommerziell verfügbar zu sein. Technologieexperten sind jedoch zuversichtlich, dass mit Hilfe von Investitionen - die Mittel für Start-ups im Bereich Quantencomputer haben sich zwischen 2020 und 2021 mehr als verdoppelt - in den nächsten sieben Jahren nutzbare Systeme entstehen werden.
Kryptografisch flexibel werden
Der Schlüssel zum Schutz vor dieser Bedrohung liegt in der Vorbereitung und Zusammenarbeit der Industrie - nicht nur im Zahlungsverkehrs- und Finanzsektor, sondern in allen IT-Bereichen, die auf Verschlüsselungstechnologien angewiesen sind. Wir müssen einen kryptoagilen Ansatz verfolgen. Das bedeutet, dass wir uns mit quantenresistenten Methoden beschäftigen müssen.
Das National Institute of Standards and Technology (NIST) in den USA hat bereits 2016 Kryptographen aufgefordert, sich mit der Entwicklung quantenresistenter Verschlüsselungsverfahren zu beschäftigen und hat inzwischen vier Algorithmen ausgewählt, weitere werden folgen. Wir müssen an technologischen Entwicklungen arbeiten, die es ermöglichen, Sicherheitsschlüssel und Verschlüsselung schnell zu ändern, indem wir Software einsetzen, die Kommunikation und Datenbanken neu verschlüsseln kann, wenn Algorithmen geknackt werden.
Das ist jedoch nicht einfach. Die Menge der Daten, die heute in Datenbanken gespeichert sind, kann die Prozesse schwerfällig machen. Die Entschlüsselung in großem Maßstab kann problematisch sein. Die Neuprogrammierung von Software für eine kryptoagile Zukunft ist zeitaufwändig und könnte Jahre dauern, weshalb wir jetzt damit beginnen müssen. Im Zahlungsverkehr verwenden wir HSMs (Hardware-Sicherheitsmodule), die schnell rechnen und viele Algorithmen unterstützen. Somit ist zu erwarten, dass sich Partnerschaften bilden, die diese Veränderungen beschleunigen.
Werden Zahlungen sicher bleiben?
Auch wenn wir wachsam sein und künftige Entwicklungen im Auge behalten müssen, sollten wir uns auf die strengen Sicherheitsmaßnahmen verlassen, die wir bereits zum Schutz der Kundendaten eingeführt haben.
Die Tokenisierung ist ein Mechanismus, der alle Kreditkartendaten verbirgt und für jede Transaktion ein individuelles Token überträgt oder eine automatische Genehmigung für die Verwendung dieser Daten auf dem Gerät einholt. Dadurch wird der Zugriff auf die persönlichen Daten des Kunden eingeschränkt und sichergestellt, dass Transaktionen mit einem Klick abgeschlossen werden.
POS P2PE (Point-to-Point-Encryption) liefert einen eindeutigen Schlüssel für jede Zahlung, und in Deutschland verlangt die Finanzaufsichtsbehörde BaFin inzwischen eine starke Verschlüsselung mit AES (Advanced Encryption Standard) statt Triple DES (Data Encryption Standard). Und natürlich nutzen die Kunden zunehmend Smartphone-Wallets, die Token austauschen, so dass die Kreditkartendaten nicht mehr vom Kunden eingegeben werden müssen. Kartenzahlungen werden zudem durch eine Zwei-Faktor-Authentifizierung geschützt, die kontrolliert, wer die Transaktion durchführt.
Die nächsten Schritte
Anwendungen des Quantencomputings mögen noch in weiter Ferne liegen. Wenn sie jedoch bis 2030 kommerziell nutzbar sind, bleibt uns nur ein kurzes Zeitfenster, um geeignete Sicherheitsvorkehrungen für das Leben und die Geschäftsabwicklung in einer Post-Quantenwelt zu entwickeln. Wir dürfen keine Zeit verlieren, wenn wir wollen, dass unsere persönlichen Daten sicher bleiben. Deshalb sollten wir uns schon jetzt auf einen raschen Wechsel der Verschlüsselungsmethoden vorbereiten, nicht erst in zehn Jahren.
Lesetipp: Quantum Key Distribution Network - Keine Chance für Quantenbedrohungen