Wie man KRITIS absichert und mit Quantencomputern umgeht

Am 21. Januar hat Infoguard seinen ersten Event des Jahres veranstaltet - im virtuellen Raum fand der Innovation Day 2026 statt. Das Programm bestand aus zwei Keynotes und 21 Präsentationen - davon 9 von Infoguard selbst und die übrigen von Partnern des IT-Security-Dienstleisters. Zwischendurch konnten die Teilnehmenden auch an virtuellen Messeständen vorbeischlendern und per Videocall mit Ausstellern und Gästen networken. 

"Wir erwarten heute auf der Plattform rund 850 Besucherinnen und Besucher", sagte Reinhold Zurfluh, Head of Marketing und Mitglied des Kaders bei Infoguard. "Das ist ein neuer Rekord. Wir freuen uns riesig, dass wir pünktlich zum 25-jährigen Firmenjubiläum so einen grossen Response haben von Ihrer Seite."

Zum Event gehört auch ein virtueller Messebereich ... (Source: Screenshot)

... mit virtuellen Messeständen, an denen Teilnehmende sich mit den Ausstellern austauschen konnten. (Source: Screenshot)

Die erste Keynote hielt Manuel Köpfli, CISO der Basler Verkehrsbetriebe (BVB). Anhand des Beispiels der BVB zeigte Köpfli auf, welche Herausforderungen betreffend Cybersicherheit für Betreiber kritischer Infrastrukturen (KRITIS) bestehen. 

Für Hacker seien dies spannende Ziele, weil sie einen sehr grossen Impact erzielen könnten. "Man hat gute Chancen, in den Medien aufzutauchen, und vielleicht kann man ja sogar etwas holen", erklärte der CISO. Die BVB stelle ebenfalls eine zunehmende Professionalisierung des Cybercrime fest. Es sei mittlerweile zu einem Milliardengeschäft geworden.

"Auch staatlich unterstützte Akteure sind unterwegs, die kritische Infrastrukturen angreifen möchten, um eben schlussendlich diese gesellschaftlichen Abläufe zu stören", sagte Köpfli. "Wir bewegen auf dem Platz Basel rund 300’000 bis 400’000 Personen pro Tag. Wenn wir nicht fahren können, dann bricht in Basel mindestens verkehrstechnisch das Chaos aus. Deshalb ist auch hier der politische Druck entsprechend hoch, wenn Angriffe erfolgreich sind."

Auch ein USB-Anschluss im Tram kann zum Problem werden

Die BVB verfügt über eine "heterogene Systemlandschaft, die über die vergangenen Jahrzehnte gewachsen ist", erklärte Köpfli. "Also wir haben wirklich von der modernen digitalen Plattform bis zu älteren OT-Komponenten alles im Haus; das alles zu schützen, ist tatsächlich eine Herausforderung." Diese Systemlandschaft benötigt auch eine spezielle Awareness: Auch eine Klimaanlage, eine Türöffnung oder irgendein USB-Anschluss im Tram könnten für einen Angreifer potenziell interessant sein, erklärte der CISO. 

Manuel Köpfli, CISO der Basler Verkehrsbetriebe. (Source: Screenshot)

Hinzu kommt noch, dass Trams sehr lange Lebenszyklen von etwa 30 Jahren haben; ein Bus fährt etwa 10 Jahre herum. "Das erschwert eine schnelle Modernisierung der IT-Komponenten. Wir machen das natürlich so gut es geht", sagte der CISO, aber der Prozess sei aufgrund des Geschäftsmodells eher schwerfällig und deshalb eine zusätzliche Herausforderung. 

Das öV-Geschäft sei zudem kein Massengeschäft. Die vielen IT-Systeme, welche die BVB betreiben, kommen daher von sehr spezialisierten Herstellern. Und aufgrund der langen Beschaffungszyklen könnten die BVB nicht einfach den Anbieter wechseln. "Das heisst, wir haben hier Abhängigkeiten zu diesen Herstellern und müssen eng zusammenarbeiten, damit wir die Cybersecurity-Anforderungen umsetzen können."

Partnerschaften helfen, der Meldepflicht nachzukommen

Gleichzeitig erfolgte eine regulatorische Verschärfung. Seit dem 1. April 2025 müssen kritische Infrastrukturen im Falle eines IT-Sicherheitsvorfalls diesen dem BACS melden (lesen Sie hier mehr dazu). Von den Kritis-Betreibern werde nun eine schnelle Reaktionszeit und eine lückenlose Nachvollziehbarkeit bei der Beschreibung des Vorfalls gefordert "und dafür braucht es die entsprechenden Partner", sagte Köpfli. 

"Wir können es uns nicht leisten, ein Cybersecurity-Team aufzubauen; diese Spezialisten gibt es auch nicht auf dem Markt", sagte Köpfli. Die BVB arbeiten dafür seit rund einem Jahr mit Infoguard zusammen "und bereuen es nicht", erklärte der CISO. Dank dieser Partnerschaft könnten die BVB Angriffe nun sehr früh erkennen und unterbinden. 

Am Horizont stehen bereits Themen wie die EU-Richtlinie NIS-2. Ausserdem bereite Köpfli auch das Thema Automatisierung und KI "gewisse Sorgen". Auch die Gegenseite nutze diese Technologie für ihre Attacken. "Ich glaube, darüber werden wir die nächsten Jahre sehr viel sprechen."

Wie Quantencomputer funktionieren

Die zweite Keynote des Infoguard Innovation Day 2026 war ebenfalls vorausschauend. Infoguard-Verwaltungsrat Hannes Lubich informierte an der virtuellen Veranstaltung unter anderem über den Nutzen und die Risiken, die Quantencomputer mit sich bringen. Ein sperriges Thema, findet der emeritierte Professor für IT System & Service Management an der Fachhochschule Nordwestschweiz (FHNW). Denn das Thema erfordere "ein bisschen Wissen um Quantenphysik und Mathematik; das ist unangenehm und deswegen konnte man sich vielleicht mit dem Thema noch nicht so stark beschäftigen", scherzte er. 

Die Präsentationen konnten die Gäste in virtuellen Vorlesungsräumen ansehen. Im Bild: Hannes Lubich - allerdings noch mit der Bauchbinde des Moderators Reinhold Zurfluh. (Source: Screenshot)

Anschliessend erklärte er, was einen Quantencomputer von einem klassischen Rechner (der sogenannten Von-Neumann-Architektur) unterscheidet. Ein klassischer Computer verwendet Bits im Zustand 1 oder 0. Die Quantenbits eines Quantencomputers hingegen können auch Zustände zwischen 0 und 1 annehmen. "Und das ist nicht der mathematische Zwischenzustand 0,5, sondern das ist ein Zustand, in dem das Bit sowohl 1 als auch 0 sein kann und sozusagen alle Übergangszustände dazwischen", erklärte Lubich. Dies wird als Überlagerung bezeichnet und ermöglicht Architekturen, "mit denen man sehr schnell Bitfolgen verarbeiten, überprüfen, vergleichen und damit simulieren kann". Bestimmte Rechenvorgänge lassen sich so beschleunigen. 

"Quantencomputer basieren trotzdem eigentlich auf bekannter Hardware, nämlich Silikon", sagte Lubich. Die Information wird hier jedoch nicht in einem Silikon-Chip in einem Transistor, sondern in der Drehrichtung des Elektrons, das um das Silizium-Atom kreist, gespeichert. "Sie merken also, das wird technisch ein bisschen aufwendig."

Ein nützlicher Effekt von Quantencomputern ist die sogenannte Quantenverschränkung von Quantenbits. "Mehrere Quantenbits können sich in ihrem Zustand gegenseitig beeinflussen, auch über eine Distanz hinweg, obwohl es gar keine physische Verbindung dazwischen gibt. Das klingt nun ein bisschen nach Star Wars, aber es erlaubt simultane Ausführungen von Rechenschritten", sagte Lubich. 

Diese Verbindung sei allerdings sehr anfällig für Störungen. Einen Teil der Rechenleistung müssen Quantencomputer daher für die Fehlerkorrektur aufwenden. Bisher lag dieser Anteil bei bis zu 40 Prozent - "damit rechnet sich ein Quantencomputer eigentlich noch nicht", sagte der Verwaltungsrat. Im vergangenen Jahr gab es jedoch grosse Fortschritte. Heute würden daher 4 bis 5 Prozent der Rechenleistung genügen für die Fehlerkorrektur. "Damit werden Quantencomputer in der Grösse, wie wir sie bauen können, plötzlich wirtschaftlich interessant." In seiner Rede betonte Lubich auch, dass man sich von der Idee lösen muss, dass Quantencomputer irgendwann einmal da sein werden - "sie sind schon da".

Drei Einsatzgebiete von Quantencomputern

Lubich beschrieb drei Einsatzgebiete für Quantencomputer. Bei der ersten geht es um das Brechen von asymmetrischen, meist RSA-basierten Verschlüsselungs- oder Signaturverfahren. Diese basieren auf Trapdoor-Funktionen - also Funktionen, die sich in eine Richtung sehr einfach, in die andere Richtung aber nur sehr schwer oder gar nicht berechnen lassen. RSA-Verschlüsselungen verwenden etwa die Zerlegung sehr grosser Zahlen in ihre Primfaktoren. Mit dem Shor-Algorithmus können Quantencomputer nun aber auch grosse Zahlen schnell in ihre Primfaktoren zerlegen. Das gefährdet heute gängige Verschlüsselungsverfahren. "Es ist nur eine Frage der Zeit - oder es ist schon passiert -, dass jemand diesen Algorithmus genau für diesen Zweck einsetzt."

Mehr dazu, wie und weshalb man schon jetzt quantensicher verschlüsseln sollte, erfahren Sie hier in diesem Hintergrundbericht.

Hannes Lubich, Verwaltungsrat bei Infoguard. (Source: Screenshot)

Das zweite Einsatzgebiet ist die effiziente Suche in grossen Datenmengen. Hierfür eignet sich der Grover-Algorithmus. Als Beispiele nannte Lubich etwa die unstrukturierten Daten, die das IoT generiert, und den sprunghaften Anstieg von Datenmengen durch die künstliche Intelligenz. Mit klassischen Computern in diesen Mengen zu suchen, bedeutet immer einen gewissen Aufwand. Dieser lässt sich mit Quantencomputern drastisch reduzieren, verspricht der Verwaltungsrat. 

Die dritte Anwendung ist die Quantensimulation - insbesondere mit Hamilton-Operatoren. Mit diesen könne man ganz schnell auf grossen Datenbeständen Simulationen, Was-wäre-wenn-Berechnungen ausführen. 

Unternehmen haben gemäss Lubich nun drei Optionen, wie sie vorgehen können:

1. Sie können es ignorieren (weil sie andere Dinge zu tun haben, weil es ihnen zu kompliziert ist, oder weil sie glauben, dass diese Technologie noch zu weit weg ist).
2. Sie können es zumindest so weit analysieren, dass sie zum Eigenschutz bei sich ändern können, was notwendig ist, um auch vor Quantencomputern sicher zu sein. 
3. Oder sie können schauen, ob Quantencomputer sinnvoll sind und sie aktiv einsetzen. 

"By the way, die Kriminellen und die Aufklärungsdienste sind auf Stufe 3. Das heisst, Sie haben eigentlich schon leichte Rückenlage", sagte Lubich.