Partner von
Partner von

Johannes Buchmann im Interview

Quantencomputer sollen die IT revolutionieren. Doch sie könnten auch gängige Verschlüsselungsverfahren knacken. Computernutzer wären in Gefahr. Wie es weitergeht bei der Entwicklung der mächtigen Maschinen, erklärt der Kryptograf Johannes Buchmann.





Sicher ist: Wenn es Quantencomputer gibt, werden auch Hacker Zugang zu ihnen haben.

brand eins: Herr Buchmann, nehmen wir einmal an, eine kriminelle Hacker-Gruppe hat im Geheimen einen Quantencomputer entwickelt. Was passiert an dem Tag, an dem die Gruppe damit angreift?

Johannes Buchmann: Quantencomputer können viele geheime Schüssel finden und Sicherheitszertifikate fälschen.

Die Bande könnte damit beginnen, Signaturen von Softwareprogrammen zu fälschen und in die Betriebssysteme, Software und Apps aller auf ähnliche Weise geschützten Computer und Smartphones mit Internetanbindung eindringen. Dann könnte sie die Geräte entweder lahmlegen und Lösegeld für das Freischalten erpressen oder sie heimlich überwachen und steuern. In einem zweiten Schritt könnten die Kriminellen auch sämtliche kryptografisch abgesicherte Internet-Kommunikation – zum Beispiel mit Ihrer Bank oder verschlüsselte E-Mails – knacken. Ein Hacker könnte sich dabei auch als jemand ausgeben, der er nicht ist. Und drittens könnte der Besitzer eines Quantencomputers auch in der Vergangenheit verschlüsselte Informationen entschlüsseln und lesen. Damit ließe sich viel Unheil anrichten.

Könnten die Angreifer auch Zahlungen auf ihre Konten umleiten?

Klar. Überall, wo Zahlungen mit Passwörtern autorisiert werden, wäre das ganz einfach, also zum Beispiel bei Online-Bezahldiensten wie Paypal. Wenn die Hacker das öfter machen wollen, müssen sie nur noch verhindern, dass die Kontoinhaber per E-Mail über die Zahlung informiert werden, aber auch das dürfte kein Problem sein. Sie haben ja auch Zugang zu den Mailservern und dem E-Mail-Programm eines Nutzers. Wenn bei Überweisungen mit einem üblichen Bankkonto eine TAN-Nummer abgefragt wird, wird es etwas komplizierter. Aber da die Bande ja die komplette Kommunikation eines Opfers abhören und auch umleiten kann, dürfte sie auch das mit etwas Aufwand hinbekommen. Ebenfalls gefährdet ist übrigens die Sicherheit im rasant wachsenden Internet der Dinge. Nehmen wir das Beispiel autonom fahrender Autos. Die Kommunikation dieser Fahrzeuge wird gerade standardisiert, und sie wird abgesichert mit der sogenannten elliptischen Kurven-Kryptografie. Diese können Quantencomputer mühelos knacken, und die Hacker könnten dann Fahrzeuge fernsteuern.

Handelt es sich um ein Szenario für einen Thriller? Oder könnte das tatsächlich eines Tages passieren?

Die Frage dahinter lautet: Wäre es denkbar, eine solche Technik im Geheimen zu entwickeln? Das hat schon Friedrich Dürrenmatt in „Die Physiker“ beschäftigt. Im Theaterstück wurde die Frage verneint, aber es gibt zumindest in der Geschichte der Verschlüsselungstechnik auch Gegenbeispiele. Wir wissen heute, dass einer der britischen Geheimdienste die Grundlagen der sogenannten Public-Key-Kryptografie schon seit Ende der Sechzigerjahre kannte. Offiziell entwickelt wurde die Technik aber erst Ende der Siebzigerjahre. Allerdings gab es damals auch nicht so ein breites wissenschaftliches und kommerzielles Interesse an solchen Verfahren, wie heute an Quantencomputern. Überall in der Welt wird an ihnen geforscht, an staatlichen Laboren und bei den großen IT-Herstellern. Forscher und Entwickler sind weltweit vernetzt. Insofern halte ich es für extrem unwahrscheinlich, dass wichtige Entwicklungsschritte komplett geheim blieben. Beim Quantencomputer kommt erschwerend hinzu: Es sind so hohe Investitionen nötig, dass eine kriminelle Organisation, ja nicht einmal ein großer Geheimdienst, das allein kaum schaffen könnte.

Was wäre denn ein realistisches Szenario?

Wir müssen damit rechnen, dass es in absehbarer Zeit Quantencomputer mit erheblicher Rechenkraft geben wird, die von seriösen kommerziellen Unternehmen angeboten werden. Google, IBM, Microsoft und Intel haben die Entwicklung zum strategischen Unternehmensziel erklärt. Lange waren sich die Fachleute nicht sicher, ob sie einem theoretischen Gespenst hinterherjagen und es in der Praxis einfach nicht möglich ist, einen Quantencomputer zu bauen. Die Fortschritte der vergangenen beiden Jahre sind aber beeindruckend.

Die IT-Hersteller machen das übrigens nicht, um der Kryptografie zu schaden, sondern um neue Medikamente, neue Materialien und künstliche Intelligenz zu entwickeln. Denn das ist die eigentliche Stärke von Quantencomputern: auf mikroskopisch kleiner Ebene die Wechselwirkungen von Atomen und Molekülen zu simulieren, da ihnen die Prinzipien der Quantenmechanik eingebaut sind. Dass die Quantencomputer die gängigen Verfahren der Kryptografie brechen, ist gewissermaßen eine unerwünschte Nebenwirkung, die den gleichen Herstellern in dem Moment Probleme bereiten wird, in dem die Technik in die falschen Hände gerät. Sicher ist: Wenn es Quantencomputer gibt, werden auch Hacker Zugang zu ihnen haben. Ein realistisches Szenario ist, dass die Maschinen Jahr für Jahr besser werden und wir unter Zeitdruck geraten, rechtzeitig sichere Verfahren zu entwickeln und einzuführen.


Johannes Buchmann, 64, gehört zu den anerkanntesten Kryptografen Europas. Er lehrt Informatik an der Technischen Universität Darmstadt mit Schwerpunkt IT-Sicherheit. Buchmann ist Mitglied der Mainzer Akademie der Wissenschaften und der Literatur, der Berlin-Brandenburgischen Akademie der Wissenschaften, der Deutschen Akademie der Technikwissenschaften und der Leopoldina. Für seine Forschung wurde er mit zahlreichen Preisen ausgezeichnet, darunter dem Gottfried Wilhelm Leibniz-Preis. Er ist Sprecher des Sonderforschungsbereichs Crossing der Deutschen Forschungsgemeinschaft (DFG), in dem quantensichere Kryptografie ein Forschungsschwerpunkt ist. Er hat mit seiner Arbeitsgruppe mehrere quantensichere Verschlüsselungsverfahren selbst entwickelt.

IBM hat kürzlich einen Quantenchip mit 50 Quantenbits vorgestellt, D-Wave Systems gar ein komplexes System mit mehr als 2000. Ab wann wird es gefährlich?

Die Rechner bräuchten Millionen von Quantenbits, kurz Qubits (siehe „Wie funktionieren Quantencomputer?“, Seite 66). Das heißt aber nicht, dass dies auf absehbare Zeit nicht möglich wäre. Der kanadische Mathematiker und Quantenwissenschaftler Michele Mosca hat hochgerechnet: Das Risiko, dass Quantencomputer bis zum Jahr 2026 wichtige Verfahren aushebeln können, beträgt eins zu sieben. Bis 2031 beträgt das Risiko schon 50 Prozent. Seine Studie wird von vielen Wissenschaftlern für schlüssig gehalten.

Wie weit sind die Kryptografen mit Verfahren, die von diesen Rechnern nicht geknackt werden können?

Vor zwölf Jahren gab es die erste internationale Konferenz zu Post-Quanten-Kryptografie. Seitdem arbeiten viele Forschungsinstitute weltweit daran. Gegenwärtig läuft bei der amerikanischen Normungsbehörde NIST ein Standardisierungsverfahren für quantensichere Kryptografie. Bis vergangenen November haben Forscher 70 Verfahren eingereicht, die sie für quanten-sicher halten. Auch wir aus Darmstadt haben zwei Vorschläge gemacht. Es gibt also eine ganze Reihe an aussichtsreichen Kandidaten, die das Problem grundsätzlich lösen könnten. Es gibt aber dabei zwei Hürden, die Kryptografen, Standardisierer und IT-Hersteller gemeinsam überwinden müssen. Das erste ist eine Zeitfrage: Schaffen wir es, die Verfahren schneller zu entwickeln und in die Programme einzubauen, als die Entwickler der Quantencomputer mit ihrer Rechnern vorankommen? In der Vergangenheit haben wir die Erfahrung gemacht: Es dauert immer länger, als man sich wünscht, aber ich bin optimistisch, dass wir das schaffen, zumal die Entwickler von Quantencomputern vor größeren technischen Herausforderungen stehen als wir. Die zweite Hürde ist grundsätzlicher Natur.

Die wäre?

Wenn man ein kryptografisches Verfahren entwickelt, weiß man nie zu hundert Prozent, dass es tatsächlich sicher ist. Vielleicht findet irgendein heller Kopf irgendwo auf der Welt eine Methode, eine mathematische oder technische Lücke, die wir Entwickler übersehen haben. Auch das gab es in der Vergangenheit schon, fiel aber nicht ganz so ins Gewicht, weil die Welt nicht so abhängig von Computern war wie heute.

Das heißt doch: Wenn Sie bei Quantencomputern falsch lägen, käme es zum Super-GAU.

Das stimmt, auch wenn die Metapher aus der Kernkraft ein wenig in die Irre führt. Mir wäre ein Bild aus der Luftfahrt lieber. Wir brauchen wie bei Flugzeugen Redundanzen im Sicherheitssystem, also mehrfache Absicherungen. Wenn eine Sicherung versagt, muss eine zweite greifen – und vielleicht auch noch eine dritte. Zudem müssen die Sicherheitsarchitekturen in den Programmen modular aufgebaut sein. Das heißt: Wenn wir merken, dass eine Verschlüsselung oder eine Signatur nicht mehr sicher ist, kann man den Software-Baustein dazu durch einen anderen relativ leicht ersetzen.

Der Vorteil bei Softwareprogrammen ist, dass Computer nicht in den Hangar geholt werden müssen, um ein Bauteil auszutauschen. Das geht wie auch heute per Update aus der Ferne. Insofern gilt: Quantencomputer sind eine große Bedrohung für die IT-Sicherheit. Aber wenn wir jetzt zügig an sicheren Verfahren arbeiten, wird es mit hoher Wahrscheinlichkeit zu keiner Katastrophe kommen. Retrospektiv sieht die Sache allerdings anders aus.

Was meinen Sie damit?

Geheimdienste speichern heute sicher verschlüsselte Daten, die sie abfangen oder abhören. Die heben sie auf in dem Vertrauen, dass sie in der Zukunft über Verfahren verfügen werden, mit denen sie die Daten entschlüsseln können. Der Quantencomputer ist da eine ihrer großen Hoffnungen. Diese Daten sind in der Rückschau auf jeden Fall entschlüsselbar, und zwar alle. Das wird dann nicht nur Historiker interessieren. Vermutlich gibt es eine Reihe von gespeicherten Daten, die dann auch noch aktuelle Relevanz haben werden, zum Beispiel Firmengeheimnisse.

Wie sicher sind in diesem Zusammenhang neue Zahlungsmittel wie Bitcoins?

Zurzeit sind sie rein technisch sehr sicher. Man bräuchte eine kaum vorstellbare Rechenkraft, um die Absicherung des Bitcoin-Systems anzugreifen. Wenn es über Nacht Quantencomputer gäbe, wäre jede Sicherheit der Kryptowährungen allerdings dahin. Auch die benutzten Signaturen können dann ohne Probleme geknackt werden. Für die Hacker in unserem Gedankenspiel vom Anfang des Gesprächs wäre das Kryptogeld dann vielleicht sogar das interessanteste Angriffsziel. Umgekehrt gilt jedoch auch hier: Diese auf Blockchain basierenden Systeme bleiben dann sicher, wenn sie mit quantensicheren Verschlüsselungsverfahren nachgerüstet werden. Sie befinden sich also im gleichen Wettlauf wie alle anderen Sicherheitssysteme.

Gibt es eigentlich eine Verschlüsselung, die für immer sicher ist?

Ja, das geht mathematisch. Und man kann auch Quanten-Kommunikationstechnik nutzen, um Schlüssel zu hundert Prozent sicher auszutauschen. Das erforschen wir gerade, um in Japan Krankenhausdaten langfristig zu schützen. Aber das ist extrem aufwendig und bis jetzt ein Nischenmarkt. ---

Ein klassischer Computer rechnet in seinen Prozessoren mit Bits. Ein Bit kennt nur zwei Zustände: 0 und 1. Quantencomputer rechnen mit sogenannten Quantenbits oder Qubits. Die kennen nicht nur das binäre Entweder-oder, sondern auch Grautöne, sie befinden sich beim Rechnen gleichzeitig in vielen Zwischenzuständen. Der Fachbegriff hierfür lautet Superposition: ein zentrales Prinzip der Quantenmechanik, welches das Verhalten kleinster Teilchen wie Atome und Elektronen untereinander beschreibt. Teilchen in Superposition haben eine magisch anmutende Eigenschaft, die sich Quantencomputer zunutze machen. Sie sind miteinander verschränkt, selbst wenn sie viele Tausend Kilometer entfernt sind. Dank Zwischenzuständen und Verschränkung beschleunigen Qubits manche Berechnungen enorm. Dies gilt besonders dann, wenn Quanteneffekte selbst eine Rolle spielen, also Berechnungen und Simulationen auf Molekülebene, zum Beispiel für die Entwicklung neuer Impfstoffe.

Die Grundlagen der Quantenmechanik wurden seit Mitte der Zwanzigerjahre unter anderem von Werner Heisenberg, Erwin Schrödinger, Niels Bohr und John von Neumann erarbeitet. Ihre Erkenntnisse waren die wissenschaftliche Basis für die Entwicklung unter anderem von Röntgengeräten, Lasern, Satellitenkommunikation und Navigationsgeräten. An Quantencomputern wird ernsthaft seit rund zwei Jahrzehnten gearbeitet. Bislang kam die Entwicklung langsamer voran als erhofft, und die Prototypen können viel weniger als konventionelle Rechner.

Ein Problem unter vielen ist: Damit ein Quantencomputer sinnvoll eingesetzt werden kann, müssen die Entwickler möglichst viele Qubits miteinander koppeln. Der Zustand der Superposition ist allerdings bereits bei einzelnen Qubits eine sensible Angelegenheit. Werden viele Qubits miteinander verschränkt, bricht oft alles zusammen, bevor die Rechenoperation durchgeführt wurde. Der deutsch-österreichische Quantenforscher Rainer Blatt vergleicht die verfügbaren Quantenrechner mit „Röhrencomputern aus den Vierzigerjahren“. Es ist bis dato nicht einmal erkennbar, aus welchem Material die Qubits der Zukunft geschaffen sein sollten.

In den vergangenen Jahren gab es dennoch Fortschritte. Fast alle großen IT-Konzerne arbeiten an dem Thema und überbieten sich gegenseitig mit Pressemeldungen, wie viele Qubits ihre neueste Entwicklung vorweisen kann. IBM machte Ende 2017 einen Quantencomputer mit 20 Qubit für jedermann im Internet zugänglich. Im Januar stellte Intel auf der Elektronikmesse CES einen Chip mit 49 Qubit vor. China hat angekündigt, in zwei Jahren ein riesiges Forschungszentrum für Quantentechnologie zu eröffnen. Niemand weiß, ob und wann leistungsstarke Quantenrechner auf den Markt kommen, die Probleme lösen, an denen heutige Supercomputer scheitern. Welche das wären, weiß allerdings auch niemand genau. Stand heute sind Quantencomputer vor allem eines: ein Hoffnungswert.