Ich leite ein Labor, in dem Ingenieure versuchen, mein Lebenswerk zu zerstören. Es ist der einzige Weg, sich auf Quantenbedrohungen vorzubereiten

(SeaPRwire) –   Als ich mein Kreditkarte zum ersten Mal an ein Sicherheitslabor übergab, kam sie mir beschädigt zurück. Nicht physisch beschädigt, sondern kompromittiert. In weniger als 10 Minuten hatten die Ingenieure meine PIN herausgefunden.

Dies passierte in den frühen 1990er Jahren, als ich ein junger Ingenieur war und ein Praktikum bei einem der Unternehmen absolvierte, die zur Gründung der Smart-Card-Industrie beitrugen. Ich glaubte, meine Karte sei sicher. Ich glaubte, das System funktioniere. Aber zu sehen, wie Fremde beiläufig etwas extrahierten, das geheim und geschützt sein sollte, war ein Schock. Es war auch der Moment, in dem ich realisierte, wie unsicher Sicherheit tatsächlich ist und welchen verheerenden Einfluss Sicherheitsverletzungen auf Einzelpersonen, globale Unternehmen und Regierungen haben können.

Die meisten Menschen gehen davon aus, dass Sicherheit darum geht, etwas Unzerstörbares zu bauen. In Wirklichkeit geht Sicherheit darum, genau zu verstehen, wie etwas bricht, unter welchen Bedingungen und wie schnell. Deshalb leite ich heute Labs, in denen Ingenieure dafür bezahlt werden, genau die Chips anzugreifen, die mein Unternehmen entwickelt. Sie messen Leistungsfluktuationen, injizieren elektromagnetische Signale, feuern Laser ab und entfernen Siliziumschichten. Ihre Aufgabe ist es absichtlich wie Kriminelle und feindliche Staaten zu handeln, denn der einzige ehrliche Weg, Vertrauen aufzubauen, ist es zuerst zu versuchen, es zu zerstören.

Für jemanden außerhalb der Sicherheitswelt klingt dieser Ansatz gegenintuitiv. Warum Jahre damit verbringen, sichere Hardware zu entwerfen, nur um Menschen einzuladen, sie auseinanderzunehmen? Die Antwort ist einfach: Vertrauen, das nie getestet wurde, ist kein Vertrauen. Es ist eine Annahme. Annahmen scheitern zunächst leise und sie scheitern im schlimmsten Moment.

In den letzten drei Jahrzehnten habe ich beobachtet, wie sichere Chips von einer spezialisierten Technologie zu unsichtbarer Infrastruktur entwickelt haben. Anfang meiner Karriere konzentrierte sich mein Werk hauptsächlich auf Zahlungskarten. Es war nicht einfach, Banken und Zahlungsnetzwerke davon zu überzeugen, dass ein Chip sicherer ist als ein Magnetstreifen. Damals gab es Ängste vor Überwachung und Verfolgung. Was wenige Menschen erkannten, war, dass diese Chips zu digitalen Pässen wurden. Sie bestätigten Identitäten, authentifizierten Geräte und bestimmten, was auf einem Netzwerk vertrauenswürdig ist und was nicht.

Heute sitzen sichere Chips leise in Kreditkarten, Smartphones, Autos, medizinischen Geräten, Heimroutern, industriellen Systemen und nationaler Infrastruktur. Die meisten Menschen bemerken sie nie, was oft als Zeichen von Erfolg gewertet wird. In Wirklichkeit schafft diese Unsichtbarkeit auch Risiken. Wenn Sicherheit aus dem Blickfeld verschwindet, ist es leicht zu vergessen, dass sie sich ständig weiterentwickeln muss.

Grundsätzlich erfüllt ein sicherer Chip eine wesentliche Funktion: Er schützt ein Geheimnis – eine kryptografische Identität, die beweist, dass ein Gerät echt ist. Alle anderen Sicherheitsmaßnahmen bauen auf dieser Grundlage auf. Wenn ein Telefon entsperrt wird, wenn ein Auto mit einer Ladesäule kommuniziert, wenn ein medizinischer Sensor Daten an ein Krankenhaus sendet oder wenn ein Software-Update an ein Gerät vor Ort geliefert wird – all diese Aktionen hängen davon ab, dass das Geheimnis geheim bleibt.

Die Herausforderung besteht darin, dass Chips Geheimnisse nicht einfach speichern – sie nutzen sie. Sie berechnen, kommunizieren und reagieren. In dem Moment, in dem ein Chip das tut, beginnt er Informationen auszulassen. Nicht weil er schlecht designed ist, sondern weil Physik nicht ausgehandelt werden kann. Der Stromverbrauch ändert sich. Elektromagnetische Emissionen verändern sich. Die Timing variiert. Mit der richtigen Ausrüstung und genug Fachwissen können diese Signale gemessen und interpretiert werden.

Das ist, was jeden Tag in unseren Angriffslabs passiert. Ingenieure lauschen Chips auf die gleiche Weise, wie ein Energieversorger aus deinem Stromverbrauch deine tägliche Routine schließen kann. Sie testen Geräte unter Belastung, bis sie sich anders verhalten als beabsichtigt. Sie führen Fehler ein und beobachten, wie der Chip reagiert. Aus diesen Beobachtungen lernen sie, wie ein Angreifer denkt, wo Informationen entweichen und wie Verteidigungen neu designed werden müssen.

Quantencomputing tritt ohne Drama oder Science Fiction in dieses Bild ein. Quanten ändert nicht, was Angreifer wollen – sie wollen immer noch das Geheimnis. Was Quanten ändert, ist die Geschwindigkeit, mit der sie es bekommen können. Probleme, die klassischen Computern Tausende von Jahren kosten würden, können sich auf Minuten oder Sekunden reduzieren, sobald ausreichende Quantenkapazitäten existieren. Das Ziel bleibt das gleiche. Die Zeitachse verschwindet.

Deshalb scheitert statische Sicherheit. Jedes System, das einmal als sicher designed und dann unberührt gelassen wird, altert bereits zur Überalterung. Wenn ein System nie angegriffen wird, wird es schließlich scheitern, weil die Welt um es herum nicht stillsteht. Angriffstechniken entwickeln sich weiter und verbessern sich. Werkzeuge werden günstiger, leistungsfähiger und zugänglicher – besonders im Zeitalter der künstlichen Intelligenz. Wissen über erfolgreiche Angriffe verbreitet sich global und ermutigt andere, ähnliche Erfolge zu suchen.

Viele Organisationen machen den gleichen Fehler. Sie gehen davon aus, dass sie die Bedrohung kommen sehen werden. Sie warten auf sichtbare Verletzungen oder öffentliche Vorfälle, bevor sie handeln. Mit Quanten bricht diese Logik zusammen. Die ersten Akteure mit bedeutenden Quantenkapazitäten werden es nicht ankündigen. Sie werden es leise nutzen. Tatsächlich passiert dies bereits jetzt mit Harvest Now-Decrypt Later (HNDL)-Angriffen, bei denen große Mengen verschlüsselter Daten heute gesammelt und gespeichert werden, um sie später mit Quanten zu entschlüsseln. Wenn Angriffe offensichtlich werden, ist der Schaden bereits angerichtet.

Diese Realität ist der Grund, warum Regierungen und Aufsichtsbehörden jetzt handeln. In allen Branchen entstehen Anforderungen, dass Systeme innerhalb definierter Zeitpläne quantenresilient werden müssen. Dies wird nicht durch Theorie oder Hype angetrieben. Es wird durch die einfache Tatsache angetrieben, dass das Aktualisieren von Kryptografie, Hardware und Infrastruktur Jahre dauert, während das Ausnutzen von Schwachstellen Momente dauert.

Wenn ich heute durch unsere Labs gehe, beeindruckt mich am meisten nicht die Sophistik der Werkzeuge, sondern die Disziplin des Prozesses. Der Zugang ist streng kontrolliert. Ingenieure werden überprüft und auditiert. Jedes Experiment wird dokumentiert. Dies ist keine neugierdige Hacking-Tätigkeit. Es ist strukturierte, wiederholbare Tests, um Schwachstellen früh zu entdecken, solange es noch Zeit gibt, sie zu beheben. Jeder erfolgreiche Angriff wird zu einem Input für ein stärkeres Design.

Das ist, was Führungskräfte, Systembesitzer und Politiker verstehen müssen. Sicherheit scheitert nicht plötzlich. Sie scheitert leise, lange bevor jemand es bemerkt. Die Vorbereitung auf Quantenbedrohungen geht nicht darum, den genauen Moment eines Durchbruchs vorherzusagen. Es geht darum zu akzeptieren, dass es keine Gnadenfrist geben wird, sobald er eintritt. Der einzige verantwortungsvolle Ansatz ist es, davon auszugehen, dass deine Systeme angegriffen werden, und sicherzustellen, dass dies unter kontrollierten Bedingungen passiert – bevor jemand anders den Zeitpunkt für dich bestimmt.