von Cristof Kaufmann und Felipe Garcia

Mit dem Fortschritt quantenbasierter Rechenmodelle verliert kryptografische Langlebigkeit, also die beständige Sicherheit von Verschlüsselungen, ihren theoretischen Charakter und wird zur strategischen Frage moderner IT-Architekturen. Gleichzeitig stehen Digital-Banking-Plattformen unter Druck, Betrug in Echtzeit zu erkennen, Transaktionen mit minimaler Verzögerung zu verarbeiten und hochverfügbar zu bleiben. Genau hier entstehen neue Spannungsfelder. Quantensichere Kryptographie verspricht Schutz vor künftigen Angriffen, bringt jedoch tiefgreifende Veränderungen für das Management von Schlüsseln, Performance und Sicherheitsarchitekturen. Für die Betrugserkennung geht es dabei nicht nur um neue kryptografische Bausteine, sondern um Auswirkungen auf Datenflüsse, Modelle und Reaktionszeiten.

Kryptographie als Fundament digitaler Vertrauensmodelle

Verschlüsselungsverfahren bilden das unsichtbare Fundament nahezu aller digitalen Vertrauensbeziehungen. Sie stellen sicher, dass Informationen vertraulich bleiben, unverändert übertragen werden sowie eindeutig zugeordnet und rechtlich belastbar genutzt werden können.

«Vertraulichkeit, Integrität, Authentizität und Unbestreitbarkeit als Voraussetzung für funktionierende digitale Ökosysteme.»

Im Digital Banking sind diese Prinzipien allgegenwärtig: Transportverschlüsselung schützt Kommunikationskanäle, digitale Signaturen sichern Transaktionen und Verträge, Hash-Verfahren gewährleisten die Integrität und den Manipulationsschutz in Datenpools. Auch moderne Betrugserkennungssysteme setzen auf Verschlüsselung und andere Sicherheitsverfahren, um sensible Informationen zu schützen und die Echtheit von Ereignisdaten zu gewährleisten. Ohne vertrauenswürdige Kryptographie gäbe es keine Digitalisierung im Finanzsektor und keine belastbare Grundlage für Betrugsprävention.

Quantencomputer und Betrugsprävention im Digital Banking: Neue Risiken heute und morgen

Quantencomputer funktionieren grundlegend anders als klassische Systeme. Sie können bestimmte Berechnungen nicht nur schneller, sondern auf eine völlig andere Weise durchführen. Im Digital Banking ist vor allem ihre Fähigkeit zur Kryptanalyse, also das Knacken von Verschlüsselungen, entscheidend. Über Jahrzehnte bewährte Verfahren lassen sich damit in Zukunft gezielt angreifen. Doch schon heute können sensible Daten abgegriffen und für eine spätere Entschlüsselung gesammelt werden. Dieses „Harvest now, decrypt later“-Szenario verschärft die Bedrohungslage im Fraud Management. Besonders betroffen sind Daten mit langer Schutzdauer wie Identitäten oder Transaktionshistorien. Der oft zitierte Q-Day markiert dabei keinen plötzlichen Systembruch, sondern einen Wendepunkt, ab dem etablierte Vertrauensmodelle nicht mehr zuverlässig funktionieren. Quantensichere Kryptographie ist deshalb keine Zukunftsfrage, sondern eine Antwort auf Risiken, die längst entstanden sind.

Wenn asymmetrische Verfahren, also Verfahren mit zwei unterschiedlichen Schlüsseln, unsicher werden, geraten Zertifikate, Signaturen und Authentisierungsverfahren ins Wanken. Für Betrüger entstehen neue Angriffsflächen, die schwer zu erkennen sind. Gleichzeitig wird es schwieriger, Manipulationen eindeutig nachzuweisen. Für das Fraud Management bedeutet das ein Umdenken. Betrugsprävention funktioniert nur, wenn die kryptografische Basis verlässlich bleibt. Ohne diese Grundlage verlieren auch Analysemodelle und Erkennungsverfahren an Wirkung. Es wird zunehmend schwieriger, zwischen legitimen und manipulierten Daten zu unterscheiden, da die Integrität und Authentizität der zugrundeliegenden Informationen nicht gewährleistet werden kann. Kryptografische Resilienz wird damit zur Voraussetzung für wirksame Betrugserkennung.

Zeitachse und Dringlichkeit: Warum „später“ keine Strategie ist

Die Diskussion um den Q-Day hängt oft an fixen Jahreszahlen wie 2030 oder 2035. Solche Vorhersagen verharmlosen eine komplexe Realität. Die Leistungsfähigkeit von Quantencomputern einerseits und die Anforderungen für das Brechen heutiger Verschlüsselungsverfahren andererseits nähern sich einander in technologischen Sprüngen an, welche keiner planbaren Linearität folgen. Die Wahrscheinlichkeit, dass sich die beiden treffen, steigt mit jedem Jahr. Wenn man dazu die lange Lebensdauer sensibler Daten, regulatorische Vorgaben und die Trägheit grosser IT-Systeme berücksichtigt, wird klar, für viele Organisationen ist der kritische Moment längst erreicht, dieses Thema aktiv anzugehen. Hinzu kommt, dass solche Prognosen auf öffentlich bekannten Entwicklungen basieren. Wer sich zu stark an solchen Zieljahren orientiert, übersieht einen entscheidenden Punkt: Angreifer kennen keinen Veröffentlichungsdruck.

Orientierung für Organisationen: Haltung vor Hektik

Post-Quantum-Sicherheit lässt sich nicht verordnen, aber man kann sich darauf vorbereiten. Entscheidend ist, früh die Verantwortung dafür festzulegen. Mangels eindeutiger Zuständigkeiten verbleibt das Thema sonst in einem organisatorischen Graubereich zwischen Architektur, Compliance und Security. Gleichzeitig ist ein realistisches Bild der eigenen IT-Landschaft erforderlich. Wo kommen kryptografische Verfahren zum Einsatz, wo werden sensible Daten verschlüsselt und Root-Zertifikate, also Stammzertifikate, signiert? Sobald das Risikoprofil für die eigene Organisation verstanden ist, kann man die Risikotoleranz bestimmen und geeignete Zeithorizonte ableiten. Diese Aufgaben sollten nicht aufgeschoben werden, es kann aber strategisch legitim sein, Standardisierungsprozesse abzuwarten, um notwendige Anpassungen gleichzeitig vornehmen zu können.

Vorgehen und Lösungsansätze: Entwicklung statt Bruch

Technisch führt kein Weg an neuen kryptografischen Verfahren vorbei. Dieser Übergang wird phasenweise geschehen. Viel spricht für hybride Lösungen, bei denen klassische und neue Verfahren parallel laufen. So lassen sich Sicherheitsgewinne mit möglichst geringem Anpassungsaufwand erzielen. Gleichzeitig sammelt man wichtige Betriebserfahrung. Gerade im Digital Banking, wo Vertrauen, Echtzeit und Stabilität zählen, ist dieses schrittweise Vorgehen entscheidend. Es geht nicht um den schnellen Austausch einzelner Algorithmen, sondern um eine Architektur, die Veränderung aushält. Quantensichere Kryptographie ist kein Zielpunkt, sondern eine strategische Reise. Wer zu lange wartet, riskiert nicht nur technische Altlasten, sondern auch einen Vertrauensverlust. Entscheidend ist nicht, wann Quantencomputer reif sein werden, sondern ob die eigene Sicherheitsarchitektur rechtzeitig darauf vorbereitet ist.

Autor: Cristof Kaufmann

Cristof Kaufmann ist PQS Transformation Lead bei PostFinance, wo er die strategische Weiterentwicklung im Bereich Post‑Quantum‑Safety vorantreibt. Mit seinem Hintergrund in Technologie und Sicherheit gestaltet er den Übergang zu quantensicheren Lösungen und stärkt so die Zukunftsfähigkeit der Finanzinfrastruktur. Seine Arbeit verbindet technische Expertise mit organisatorischer Transformation.

Autor: Felipe Garcia

Felipe Garcia ist Security Officer im Bereich Digital Banking bei PostFinance. Die strategische Weiterentwicklung der digitalen Sicherheit, insbesondere im Fraud Management, gehört zu seinen Kernaufgaben. Zudem stärkt er die sichere Verwaltung digitaler Identitäten sowie die Login-Verfahren innerhalb von PostFinance.