Quantencomputer: Spätestens 2030 muss Alles, was durchs Netz geht, sicher verschlüsselt sein. Quantensicher!

/in , , , , , , /von

Künftige Rechenmonster könnten bisherige Verschlüsselung aushebeln – 90 Prozent der vernetzten Geräte sind unverschlüsselt. Ein Wettlauf für die Teilnehmerinnen der Informationsgesellschaft gegen die Zeit.

Von Joachim Jakobs

Ein „Netzwerkspeicher“ mit der Bezeichnung TS-453E der Firma Qnap bietet kleinen Unternehmen eine maximale Speicherkapazität von 72 Terabytes (TB). Leistungsfähig ist nicht nur die Speichertechnik, sondern auch die zur Datenübertragung – mit der neuen Mobilfunkgeneration 5G lassen sich 10 Gigabit pro Sekunde erzielen. Die 72 TB wären – so der Heise-„Bandbreiten-Rechner“ in 16 Stunden zu übertragen. Mit Glasfaser soll eine Geschwindigkeit von 1,84 Petabit drin sein – 250 TB wären in einer Sekunde aus dem Tempel raus. Die 72 TB sind Heise nicht einmal der Rechnung wert.

Der TS-453E hat das Format einer Schuhschachtel; Bild: Future X

 

Die technische Leistungsfähigkeit ist dabei Fluch und Segen zugleich: So sollen  „Patienten und Mitarbeiter vom Berufsgenossenschaftlichen Klinikum Boberg“ vor Jahren nach einem Bericht der „Bild“ einen „Schock“ erlitten haben: „Am 22. Januar informierte ein Mitarbeiter das Krankenhaus, dass ihm vier Tage zuvor sein Rucksack gestohlen worden sei. Darin befand sich ein dienstlicher USB-Stick. Darauf eine Excel-Tabelle mit Namen von Behandelten, der Fallnummer, der Station, dem Entlassungsdatum, der Diagnose oder Art der Versorgung.“ Die Anzahl der Betroffenen habe das Klinikum auch auf Nachfrage nicht genannt. Dabei wäre zusätzlich noch so Einiges zu klären:

  1. Welchen betrieblichen Anlass gibt es, dass dieser Mitarbeiter Zugriff auf diese Daten erhält?
  2. Hat er sich authentifiziert?
  3. Waren diese Daten verschlüsselt?
  4. Warum kann der Mitarbeiter Daten auf einen externen Speicher ziehen?
  5. Warum fällt weder der Datenzugriff noch das Speichern irgendjemandem auf?Über Tage nicht?!
  6. Wieso trägt der Mitarbeiter Patientendaten im Rucksack spazieren?
  7. Waren denn die Daten auf dem – „gestohlenen“! – Speicher verschlüsselt?
  8. Wenn nicht: Warum werden die Daten auf diesem Speicher nicht automatisch verschlüsselt?
  9. Welchen betrieblichen Anlass gibt es überhaupt für dienstliche USB-Speicher? Will sich die Chefin am Sonntag zu Hause Röntgenbilder angucken?

Denkbar wäre es, dass sich der Rucksackträger ein Zubrot verdienen wollte – so soll der Wert einer Patientenakte im Dunklen Netz zwischen 2019 und 2022 von 250 auf 1000 US-Dollar gestiegen sein. Im Frühjahr 2024 teilte die Heise-Pressestelle mit „Cyberkriminelle rekrutieren Insider – Unternehmensspionage nimmt zu“: „In Anzeigen unterbreiten sie lukrative Angebote, um Daten sogenannter Innentäter zu kaufen.“ Zu dem Preisanstieg könnte beitragen, dass „Daten aus dem Gesundheitswesen in einer Zeit zunehmender Vernetzung auf dem Schwarzmarkt wertvoller geworden sind.“

Wer immer im Gesundheitswesen nach DSGVO verantwortlich ist, muss sich um die physikalische Sicherheit der verteilten Datenspeicher kümmern: Die TS-453E von Qnap wiegt grade mal 3,5 Kilogramm und ein USB-Speicher passt in jede Hosentasche. Derweil steht das Gesundheitswesen vor einem explosionsartigen Wachstum dieser vernetzten Geräte – der durch sie verursachte Umsatz soll in den nächsten acht Jahren um das Vierzehnfache zunehmen. Und mutmaßlich auch die Anzahl der Geräte.

Schlaue Medizingeräte schaffen Transparenz: „Die Waage hinterlegt das Gewicht in einem Online-Gesundheitsportal. Der smarte Sensor des Asthma-Inhalators dokumentiert die Medikamenteneinnahme in einer App. Beim Sport kommuniziert das Pulsmessgerät mit der Smartwatch. Danach eine Videosprechstunde mit dem Arzt, der die elektronische Patientenakte nutzt. Und am Abend berichtet das Handy, ob das Tagesziel an Schritten erreicht wurde.“

Keyur Patel, Chef eines Geräteherstellers bestätigt: Das Internet der medizinischen Dinge (Internet of Medical Things, IoMT) entwickelt sich rasant, wobei mehrere wichtige Trends seine Entwicklung prägen. IoMT-Lösungen werden immer ausgefeilter und umfassen fortschrittliche Analysen und KI, um aus den gesammelten Daten aussagekräftige Erkenntnisse zu gewinnen. Der Schwerpunkt liegt zunehmend auf der Interoperabilität, die eine effiziente Interaktion zwischen verschiedenen Gesundheitssystemen und Geräten ermöglicht.“ Damit würden „automatisierte“ und „personalisierte“ Diagnosen, ebensolche Behandlungspläne und „Frühwarnsysteme“ für Hochrisiko-Patientinnen ermöglichen.

Die Kehrseite der Medaille: „Jedes Gerät wird zu einem potenziellen Einstiegspunkt für einen böswilligen Akteur.“ Die Firma Zscaler bestätigt: Wenn diese intelligenten Geräte nicht gesichert sind, können sie Patienten gefährden und die gesamte Infrastruktur einer Gesundheitseinrichtung schädigen.

Da liegt der Hund begraben:
„Das Open Source Cybersecurity Intelligence Network and Resource gibt an, dass es im Durchschnitt 6,2 Schwachstellen pro medizinischem Gerät gibt. In Anbetracht der riesigen Menge an medizinischen Geräten, die derzeit in Kliniken und klinischen Einrichtungen vorhanden sind, ergibt sich ein beunruhigendes, wenn auch vielleicht nicht überraschendes Bild.“ Die Unruhe lässt sich durch die Beschäftigung mit der zu erwartenden Angriffsqualität steigern – das Weltwirtschaftsforum berichtet über „die dunklen Fähigkeiten der KI“: „Angreifer können maschinelles Lernen nutzen, um maschinelle Lernsysteme anzugreifen, zu täuschen und zu umgehen. Die Kombination von IoT und KI hat Angriffe aus dem Dark Web auf ein noch nie dagewesenes Niveau gehoben, darunter:

Bild: Adobe

 

Automatisierte Ausbeutung: KI-Algorithmen automatisieren den Prozess des Scannens nach Schwachstellen und Sicherheitsmängeln mit anschließenden Ausbeutungsmethoden. Dies öffnet die Türen für groß angelegte Angriffe ohne menschliche Interaktion.

Adaptive Angriffe: Mit Hilfe von KI können Angreifer ihre Strategien in Echtzeit anpassen, indem sie die Reaktionen und Abwehrmaßnahmen, die während eines Angriffs auftreten, analysieren. Diese Anpassungsfähigkeit stellt eine große Herausforderung für herkömmliche Sicherheitsmaßnahmen dar, wenn es darum geht, IoT-Hacks und -Angriffe wirksam zu erkennen und zu entschärfen.

Verhaltensanalyse: KI-gesteuerte Analysen ermöglichen die Untersuchung von IoT-Geräten und des Nutzerverhaltens und damit die Identifizierung von Mustern, Anomalien und Schwachstellen. Böswillige Akteure können diese Fähigkeit nutzen, um IoT-Geräte zu profilieren, ihre Schwächen auszunutzen und die Erkennung durch Sicherheitssysteme zu umgehen.

Angriffe durch Angreifer: Mit Hilfe von Angriffen durch Angreifer können KI-Modelle und IoT-Geräte dazu gebracht werden, falsche oder unbeabsichtigte Entscheidungen zu treffen, was zu Sicherheitsverletzungen führen kann. Diese Angriffe zielen darauf ab, Schwächen in den Algorithmen des Systems oder Sicherheitslücken auszunutzen.“

Deshalb sind nicht nur aber auch im Gesundheitswesen die Grundsätze der Rechenschaftspflicht, des Stands der Technik, des Computergrundrechts und das „Null-Vertrauens-Prinzip“ von besonderer Bedeutung. Dazu gehört insbesondere die Verschlüsselung von Daten, Geräten und Prozessen:

 

„Die Verschlüsselung verhindert den unbefugten Zugriff auf geschützte Gesundheitsinformationen (PHI) und wahrt die Vertraulichkeit der Daten.“

 

Dabei ist auf Qualität zu achten:

„Die Verschlüsselung von Daten im Ruhezustand sollte nur starke Verschlüsselungsmethoden wie AES oder RSA umfassen. Verschlüsselte Daten sollten verschlüsselt bleiben, wenn Zugangskontrollen wie Benutzernamen und Passwörter versagen. Es wird empfohlen, die Verschlüsselung auf mehreren Ebenen zu erhöhen.“

Es gibt allerdings einen Haken dabei – so ist die derzeitige Hardwarekapazität „begrenzt“.
Mit anderen Worten: Neue Rechner braucht das Land! Die Quantencomputer sollen’s richten: Die sollen „revolutionäre Durchbrüche in Bereichen wie Materialwissenschaften, Kryptographie, und Künstlicher Intelligenz mit sich bringen.“ Um „Probleme zu lösen, für die klassische Computer Jahrzehnte benötigen würden“. Und zwar in „Branchen von der Gesundheitsversorgung bis zur Finanzwelt“.

So könnten die Patientinnen eines Tages von den Vorzügen des Quantenbasierten Maschinellen Lernens profitieren: „Stellen Sie sich beispielsweise eine Welt vor, in der der Prozess der Entwicklung neuer Medikamente beschleunigt und immer zielgenauer wird. Das maschinelle Lernen mit Quantencomputern hilft den Forschern, riesige Datenmengen zu sortieren, um potenzielle Behandlungen schneller und genauer zu bestimmen, wodurch wahrscheinlich unzählige Leben gerettet werden können.“

Keine Chance ohne Risiko – oben wurden bereits „revolutionäre Durchbrüche“ in der Kryptographie angedeutet. Die präzisiert die EU-Cybersicherheitsbehörde ENISA:

„Leider bringt diese neue Technologie aber auch neue Bedrohungen für die Sicherheit unserer Geräte und Systeme mit sich, denn das Quantencomputing wird die meisten derzeit verwendeten kryptografischen Lösungen unsicher machen und die bestehenden Bedrohungsmodelle radikal verändern. Wir müssen uns daher schnell anpassen, bevor dies geschieht, um Bedrohungen zu vermeiden, die unsere Infrastrukturen gefährden könnten.“

Bild: Adobe

 

Und das Leben der Patientinnen – 24 % der IoMT-Angriffe sollen bereits zu einer „erhöhten Sterblichkeitsrate“ geführt haben. Dafür war offenbar keine maschinelle Intelligenz oder gar Quantenrechnerei notwendig. Es konnte aber keine Quelle dafür gefunden werden, dass derlei Technik nicht derart missbraucht werden könnte.

Im Gegenteil: Im Oktober 2024 hieß es in den Medien, Chinesische Wissenschaftlerinnen hätten „erste Angriffe mit Quantencomputern“ durchgeführt. Der Fachdienst Darkreading drängt unter Berufung auf den Sicherheitsexperten Rahul Tyagi zur Eile: „Im Moment müssen die Unternehmen ihre eigene Infrastruktur verstehen und herausfinden, welche Kryptografie wo eingesetzt wird. „Systeme mit einer Lebensdauer von 10 Jahren oder mehr müssen so schnell wie möglich auf quantenresistente Verschlüsselung umgestellt werden’, sagt Tyagi. ‚Alles, was einen Zeithorizont von vier Jahren hat, ist wahrscheinlich erst einmal in Ordnung – es muss jedoch ein langfristiger Fahrplan erstellt werden, um festzulegen, wann die Migration erfolgen muss.“

Die Zeit wird knapp – im September 2024 titelten die VDI-Nachrichten: „Deutscher Quantencomputer auf dem Weg zur Marktfähigkeit“ Einen „Massenmarkt“ erwarte das Unternehmen „in fünf bis sieben Jahren“. Nicht auszuschließen ist, dass es eine Wettbeweberin auch in drei bis vier Jahren schafft. Eine Herausforderung für Alle, die künftig Software planen, entwickeln, einrichten, verwalten oder nutzen, um damit vernetzte Prozesse und Produkte zu steuern oder personenbezogene Daten zu verarbeiten.

Bild: Adobe

Das Weltwirtschaftsforum rät zu „Bildungsinitiativen“; die „sollten mehrere Ebenen umfassen, darunter Vorstände und C-Suite, Regierungen und politische Entscheidungsträger sowie Arbeitnehmer, Praktikanten, Lehrer und Studenten.“ Diese gute Idee sollten auch die Verantwortlichen im  Berufsgenossenschaftlichen Klinikum Boberg zur Kenntnis nehmen!

 

Über den Autor:

Joachim Jakobs ist freier Journalist, Autor von „Vernetzte Gesellschaft, Vernetzte Bedrohungen – wie uns die künstliche Intelligenz herausfordert“ und beschäftigt sich mit der Digitalisierung, ihren Risiken, Rechtsfolgen und finanziellen Konsequenzen – etwa in der Automobil-, Prozessindustrie, dem Gesundheitswesen, der Kredit– und Versicherungswirtschaft

 

 

Ähnliche Beiträge

Der Quantencomputer funktioniert… Im Netz, da sind die Räuber Daten in der Cloud sicher verschlüsseln Sicher mobil arbeiten
Das könnte Dich auch interessieren
Zeitenwende für Open Source – in Städten und Kommunen unverzichtbar
Fünf Kernschritte zur DSGVO-Compliance
Datenschutz als Herausforderung im Internet of Things
Dark Data
Digitalmarketing – datenschutzkonform und kundenbindungsfokussiert
Plattform für Nachhaltigkeit