Teil 5: Quantenresistente Telekommunikationsinfrastruktur – Sind die Betreiber bereit?

Telekommunikationsbetreiber nehmen eine kritische Schnittstelle in der digitalen Vertrauenskette ein: Sie ermöglichen sichere Kommunikation, authentifizieren Milliarden von Geräten und pflegen die Infrastruktur, die von Finanztransaktionen bis hin zu Notfallmaßnahmen alles unterstützt. Dennoch sind viele Telekommunikationssysteme weiterhin auf Verschlüsselungsverfahren wie RSA und ECC angewiesen, die anfällig für Quantenentschlüsselung sind. Mit der Weiterentwicklung der Standards der Post-Quanten-Kryptografie (PQC) muss die Telekommunikationsbranche von der Beobachtung zum Handeln übergehen. Dieser Artikel untersucht, wo sich Quantenrisiken mit der Telekommunikationsinfrastruktur überschneiden, was Regulierungsbehörden erwarten und wie Vorstände und Betreiber diesen Wandel gestalten sollten.

1. Wo Quanten-Schwachstellen in der Telekommunikation liegen

Quantenbedrohungen manifestieren sich in mehreren Schichten des Telekommunikations-Stacks:

• Authentifizierung und Schlüsselaustausch: SIM-Bereitstellung, Roaming-Vereinbarungen, 5G-Netzwerkzugriff und OTA-Updates basieren auf anfälliger Public-Key-Kryptografie.

• Backhaul-Verschlüsselung: Glasfaser- und Mikrowellenverbindungen zwischen Basisstationen, Türmen und Kernnetzen verwenden häufig IPsec oder MACsec mit RSA-basiertem Schlüsselaustausch.

• GNSS-Synchronisierung: 4G/5G-Netzwerke sind für eine genaue Zeitmessung auf GPS angewiesen. GNSS-Signale sind sowohl fälschbar als auch kryptografisch offengelegt.

• Abonnentendaten und Netzwerkfunktionen: Sensible Metadaten, Sitzungsschlüssel und Abonnentendatensätze, die in Cloud-nativen Telekommunikationskernen gespeichert sind, müssen jahrelang vertraulich bleiben.

Eine Beeinträchtigung einer dieser Funktionen durch quantenbasierte Entschlüsselung könnte zu weitreichenden Dienstunterbrechungen, Abfangen oder Identitätsmissbrauch im Netzwerk führen.

2. Warum die Telekommunikation strategisch exponiert ist

Telekommunikationsinfrastrukturen werden oft auf eine Lebensdauer von Jahrzehnten ausgelegt. Glasfaserinstallationen, nationale Signalprotokolle und Unterseekabel lassen sich nicht so einfach ersetzen. Dies birgt Risiken über einen langen Lebenszyklus:

• Lücken in der Quantenbereitschaft können heute Systeme für mehr als 20 Jahre gefährden.

• Viele Systeme basieren auf Legacy-Protokollen (z. B. TLS 1.2, IPSec/IKEv1), die nicht kryptoagil sind.

• Kritische Systeme können der Taktik „Jetzt ernten, später entschlüsseln“ ausgesetzt sein , insbesondere in geopolitisch sensiblen Regionen.

Telekommunikationsnetze werden zudem zunehmend in die Verteidigung, kritische nationale Infrastrukturen und Notfallreaktionssysteme integriert, sodass Quantenkompromittierungen nicht nur ein kommerzielles, sondern auch ein staatliches Risiko darstellen.

3. Standards, Regulierung und Branchenbereitschaft

Führende Regulierungsbehörden und Normungsgremien ergreifen Maßnahmen:

• ETSI und 3GPP haben mit der Evaluierung der PQC-Integration in 5G- und darüber hinausgehende (6G) Netzwerkfunktionen begonnen.

• ENISA hat Krypto-Agilitätsrahmen in der Telekommunikations- und eIDAS-Infrastruktur der EU empfohlen.

• Die CNSA 2.0-Suite der NSA gilt für US-Telekommunikationsunternehmen, die nationale Sicherheitssysteme bedienen.

• Nationale Zeitagenturen drängen die Telekommunikationsunternehmen, GNSS-Alternativen (z. B. eLoran, Holdover-Oszillatoren) zu übernehmen.

Trotz dieser Entwicklungen ist die Bereitschaft unterschiedlich:

• Viele Telekommunikationsbetreiber haben keine vollständige Bestandsaufnahme ihrer kryptografischen Vermögenswerte durchgeführt.

• Einige Anbieter erwarten eine klarere PQC-Unterstützung auf Hardwareebene.

• Die Fragmentierung der Lieferkette hat die End-to-End-Implementierung verzögert.

4. Vorrangige Maßnahmen für Vorstände und Führungskräfte von Telekommunikationsunternehmen

Führungskräfte im Telekommunikationsbereich dürfen nicht auf Mandate warten, um sich vorzubereiten. Zu den strategischen Handlungsfeldern gehören:

• Krypto-Inventarprüfungen: Ordnen Sie zu, wo in Ihrem Netzwerk RSA, ECC und andere anfällige Algorithmen verwendet werden.

• Beschaffungskriterien: Stellen Sie sicher, dass neue Geräte und Software PQC unterstützen oder kryptoagil sind.

• Abstimmung mit dem Anbieter: Beauftragen Sie Geräte- und Cloud-Anbieter mit der Klärung der PQC-Zeitpläne.

• Interne Fähigkeiten und Governance: Richten Sie PQC-Bereitschaftsprogramme für die Sicherheits-, Entwicklungs- und Beschaffungsteams ein.

• Upgrades der Infrastrukturzeitmessung: Beginnen Sie mit der Pilotierung einer GNSS-unabhängigen Zeitmessung für die Netzwerksynchronisierung.

Diese Schritte sind unerlässlich, um regulatorische Verzögerungen zu vermeiden, zukünftige Netzwerküberarbeitungen zu vermeiden und das Vertrauen der Kunden zu wahren.

5. Branchenweite Chance: Telekommunikation als Vorreiter in Sachen Quantenresilienz

Telekommunikationsunternehmen haben die Chance, eine führende Rolle zu übernehmen:

• Durch die frühzeitige Implementierung von PQC können sie zu bevorzugten Infrastrukturpartnern für regulierte Sektoren (Finanzen, Gesundheit, Regierung) werden.

• Durch das Angebot von PQC-erweiterten Diensten differenzieren sie sich in einem Markt, der sich zunehmend auf digitales Vertrauen konzentriert.

• Durch die Gestaltung von Industriestandards schützen sie ihre eigenen Betriebsumgebungen und signalisieren den Regulierungsbehörden ihre Führungsstärke.

Bei diesem Übergang geht es um mehr als nur um die Einhaltung von Vorschriften – es geht um eine strategische Positionierung in der Infrastrukturwirtschaft der 2030er Jahre.

Fußnoten und Referenzen

1. ENISA-Bericht zur Krypto-Agility: https://www.enisa.europa.eu/publications/crypto-agility

2. ETSI-Quantensicherheitsstandards: https://www.etsi.org/technologies/quantum-safe-cryptography

3. 3GPP-Studienelement zu PQC: https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3790

4. NIST PQC-Leitfaden: https://csrc.nist.gov/publications/detail/sp/800-208/final

5. Strategie des National Timing Centre (Großbritannien): https://www.npl.co.uk/national-timing-centre

Nächster Teil der Serie: Teil 6 – PQC in Aktion: Anwendungsfälle und Pilotprojekte aus der Praxis