Quantencomputing im Finanzsektor–Strategische Chancen, technologische Risiken und regulatorische Herausforderungen
(PresseBox) - .
Aufsichtsrechtliche Mapping-Tabelle
Quantum-Risiken ? DORA ? EBA-Guidelines ? Managementpflichten
Quantum-Risiko / Themenfeld | Relevante DORA-Artikel (Auswahl) | EBA-Guidelines / Aufsichtliche Referenzen | Konkrete Management- und Governance-Pflichten
Gefährdung klassischer Kryptografie (Public-Key-Verfahren) | Art. 6 (ICT-Risikomanagement)Art. 9 (Schutz&Prävention)Art. 10 (Erkennung von Anomalien) | EBA-Guidelines zu ICT-&Security-Risiken (Risikoidentifikation, Informationssicherheit)G7-Fahrplan Post-Quanten-Kryptografie (2026) | Identifikation kryptografisch kritischer SystemeBewertung von Quantenbedrohungen („harvest now, decrypt later“)Strategische Entscheidung zur Post-Quanten-Migration
Langfristiger Schutz sensibler Daten | Art. 6Art. 9 | EBA-Guidelines InformationssicherheitAufsichtliche Erwartungen zu Datenvertraulichkeit | Klassifizierung von Daten mit langfristigem SchutzbedarfFestlegung von Schutzzeiträumen und MigrationsprioritätenÜberwachung der Umsetzung durch das Management
Unzureichende Transparenzüber kryptografische Abhängigkeiten | Art. 6Art. 15 (Third-Party-Risk) | EBA-Guidelines zu ICT-Risiken (Asset-Management, Abhängigkeiten) | Aufbau eines vollständigen Kryptografie-InventarsDokumentation von Algorithmen, Protokollen, SchlüsselnRegelmäßige Aktualisierung undBerichterstattung
Abhängigkeit von Cloud-, IT- und Kryptografie-Dienstleistern | Art. 28–30 (IKT-Drittparteienrisiken) | EBA-Outsourcing-LeitlinienEBA-Guidelines ICT-Risiken | Prüfung von Anbieter-Roadmaps zur Post-Quanten-MigrationVertragliche Sicherung von Migrations- und Exit-RechtenEinbindung von Quantum-Risiken in Drittparteienbewertungen
Fehlende Quantum-Readiness-Strategie | Art. 5 (Governance)Art. 6 | EBA-Guidelines Governance&Strategie | Verankerung von Quantenrisiken in der Digital- und ICT-StrategieVorlage einer Quantum-Readiness-Roadmap für Vorstand/Aufsichtsrat
Unkoordinierte oder verspätete Migration | Art. 11 (Resilienztests)Art. 12 (BCM) | EBA-Guidelines zu Business Continuity | Definition zeitlicher Zielbilder (2030/2035)Priorisierung kritischer SystemeRegelmäßige Fortschrittskontrollen
Mangelnde Resilienz beiÜbergangsphasen (Hybrid-Kryptografie) | Art. 11Art. 12 | EBA-Guidelines ICT&BCM | Planung und Test hybriderÜbergangslösungenDurchführung von Notfall- und Krisenszenarien
Einsatz von Quanten- oder quantum-inspirierten Modellen | Art. 6Art. 9 | ESMA-Erwartungen zu ModellrisikenEBA-Guidelines zu Governance&Modellvalidierung | Sicherstellung von Erklärbarkeit und ValidierbarkeitDokumentation der ModelllogikEinbindung in bestehende Modellkontrollen
Erhöhte Cyber-Risiken durch quantenfähige Angreifer | Art. 9Art. 10 | EBA-Guidelines zu Security-Monitoring | Anpassung von BedrohungsmodellenIntegration in Cyber-Security-StrategienRegelmäßige Lageberichte an das Management
Unzureichender Aufsichtsdialog | Art. 5Art. 6 | Nationale Aufsichtspraxis (BaFin/Bundesbank) | Proaktiver Dialog mit Aufsicht und PrüfernVorhalten konsistenter Entscheidungs- und Risikodokumentation
Kapitel 1: Einleitung und Zielsetzung
1.1 Ausgangslage: Quantencomputing als strategische Querschnittstechnologie
Quantencomputing entwickelt sich mit zunehmender Geschwindigkeit von einem akademischen Forschungsfeld zu einer Technologie mit potenziell disruptiver Wirkung auf daten- und rechenintensive Industrien. Für die Finanzindustrie ist diese Entwicklung in besonderer Weise relevant, da zentrale Prozesse – von Kryptografie über Risikoanalysen bis hin zu Marktinfrastrukturen – auf Rechenverfahren und Sicherheitsannahmen beruhen, die durch Quantencomputer grundsätzlich in Frage gestellt werden könnten.
Gleichzeitig ist festzustellen, dass sich die regulatorische Diskussion bislang nicht entlang einer eigenen„Quantum-Regulierung“, sondern eingebettet in bestehende aufsichtsrechtliche Rahmenwerke entwickelt. Aufseher betrachten Quantencomputing vor allem als Emerging Risk, das in die bestehenden Kategorien von ICT-Risiken, Cyber-Security, Governance und operationeller Resilienz einzuordnen ist.
1.2 Regulatorische Ausgangsannahme: Technologie-Neutralität
Ein zentrales Grundprinzip europäischer Finanzmarktaufsicht ist die Technologie-Neutralität. Dieses Prinzip bedeutet nicht, dass neue Technologien unbeachtet bleiben, sondern dass sie denselben Anforderungen an Sicherheit, Stabilität, Governance und Kundenschutz unterliegen wie bestehende Verfahren.
Für Quantencomputing folgt daraus:
Es entstehen keine neuen Pflichten allein aufgrund der Technologie,
wohl aber neue Ausprägungen bestehender Risiken,
die von Instituten aktiv zu identifizieren, zu bewerten und zu steuern sind.
Diese Logik zieht sich konsistent durch die Positionen von ESMA, EBA, BaFin und Bundesbank.
1.3 Zielsetzung der Studie
Ziel der vorliegenden Studie von S+P Compliance Services ist es,
den aufsichtsrechtlichen Status quo zum Thema Quantencomputing strukturiert darzustellen,
Quantum-Risiken und -Chancen systematisch zu analysieren,
und daraus konkrete Implikationen für Governance, ICT-Risikomanagement und Compliance abzuleiten.
Die Studie richtet sich ausdrücklich an Vorstände, Geschäftsleitungen, Aufsichtsräte, Compliance-, Risiko- und IT-Verantwortliche in Banken, Wertpapierinstituten und Zahlungsdienstleistern.
1.4 Abgrenzung
Die Studie ist keine technische Einführung in Quantenphysik und keine Prognose, wann kryptografisch relevante Quantencomputer marktreif sein werden. Im Mittelpunkt steht ausschließlich die aufsichtsrechtliche und governance-bezogene Einordnung der Technologie.
Kapitel 2: Technologischer Hintergrund und Begriffsbestimmung
2.1 Grundprinzipien des Quantencomputings– aufsichtsrelevant gedacht
Quantencomputer unterscheiden sich fundamental von klassischen Rechnern. Während klassische Computer mit Bits (0 oder 1) arbeiten, nutzen Quantencomputer Qubits, die Zustände überlagern (Superposition) und miteinander verschränkt sein können (Verschränkung). Daraus ergeben sich neue Rechenparadigmen, die bestimmte Problemklassen erheblich schneller lösen können.
Aus aufsichtsrechtlicher Sicht sind dabei weniger die physikalischen Details entscheidend als vielmehr die Folgen für Kontrollierbarkeit, Nachvollziehbarkeit und Sicherheit:
Ergebnisse können probabilistisch sein,
Rechenprozesse sind schwerer zu erklären,
klassische Validierungs- und Auditverfahren stoßen an Grenzen.
2.2 Abgrenzung: Quantencomputer vs.„quantum-inspired“ Verfahren
Aufsichtsbehörden differenzieren zunehmend zwischen:
echtem Quantencomputing (auf Quantenhardware) und
quantum-inspirierten Algorithmen, die auf klassischer Hardware laufen.
Für Institute ist diese Unterscheidung zentral, da viele heute eingesetzte Optimierungs- oder Simulationsverfahren bereits aus der Quantenforschung abgeleitet sind, ohne die Risiken echter Quantenhardware mit sich zu bringen. Regulatorisch gelten jedoch für beide Ansätze dieselben Governance- und Modellanforderungen.
2.3 Aufsichtliche Begriffsverwendung
Die ESMA ordnet Quantencomputing in ihrer Taxonomie für Finanzinnovationen als querschnittliche Basistechnologie ein. Bundesbank und BaFin thematisieren Quantencomputing primär im Kontext von:
Cyber-Security,
Kryptografie,
und langfristiger Finanzstabilität.
Damit ist klar: Quantencomputing wird nicht isoliert, sondern stets in Verbindung mit bestehenden Risikokategorien betrachtet.
Kapitel 3: Status quo der Aufseher– Initiativen und Positionen
3.1 Bundesbank und BaFin: Quantencomputing als Stabilitäts- und Sicherheitsfrage
Die Deutsche Bundesbank adressiert Quantencomputing explizit als aufkommenden Risikofaktor für das Finanzsystem. In FAQs, Fachbeiträgen und Konferenzen (u. a. BaFinTech-Formate) wird hervorgehoben, dass Quantencomputer langfristig etablierte Sicherheitsannahmen unterminieren können.
Die BaFin betont dabei insbesondere:
die Verantwortung der Institute für vorausschauende Risikoanalysen,
die Bedeutung robuster ICT- und Sicherheitsstrategien,
und die Notwendigkeit, neue Technologien frühzeitig in bestehende Kontrollrahmen einzubetten.
3.2 ESMA: Quantencomputing im Kontext von Marktintegrität und Innovation
ESMA betrachtet Quantencomputing im Rahmen ihrer Arbeit zu Financial Innovation. In Gremien und Diskussionspapieren wird betont, dass:
neue Technologien die Marktprozesse verändern können,
regulatorische Anforderungen jedoch technologieunabhängig gelten,
insbesondere mit Blick auf Marktintegrität, algorithmischen Handel und Modellrisiken.
3.3 EBA: Indirekte Steuerungüber ICT- und Sicherheitsrisiken
Die EBA adressiert Quantencomputing nicht explizit, schafft aberüber ihre Guidelines zu ICT- und Sicherheitsrisiken einen klaren Rahmen, in den Quantum-Risiken einzuordnen sind. Mit DORA wird dieser Rahmen weiter operationalisiert und verschärft.
Zwischenfazit (Kapitel 1–3)
Bereits die Grundlagenkapitel zeigen:
Quantencomputing ist kein regulatorisches Randthema, sondern berührt zentrale Pfeiler der Finanzaufsicht. Die Abwesenheit spezifischer Regeln ist kein Freibrief, sondern Ausdruck eines bewusst technologie-neutralen Ansatzes, der Institute zu proaktiver Steuerung verpflichtet.
Kapitel 4: Chancen von Quantencomputing für die Finanzindustrie
4.1 Aufsichtliche Einordnung der Chancenperspektive
Auch wenn Aufsichtsbehörden Quantencomputing derzeit primär aus einer Risikoperspektive betrachten, zeigen öffentliche Verlautbarungen von ESMA, EBA und nationalen Behörden, dass potenzielle Nutzenpotenziale ausdrücklich gesehen werden. Die Aufsicht verfolgt dabei keinen innovationsfeindlichen Ansatz, sondern betont, dass neue Technologien zur Effizienzsteigerung, besseren Risikosteuerung und Stabilisierung von Finanzmärkten beitragen können – sofern sie kontrolliert und verantwortungsvoll eingesetzt werden.
Wesentlich ist dabei: Chancen werden nicht isoliert, sondern stets im Kontext bestehender regulatorischer Anforderungen diskutiert. Innovation ist aus Sicht der Aufsicht zulässig und erwünscht, solange Governance, Transparenz und Marktintegrität gewahrt bleiben.
4.2 Potenzielle Anwendungsfelder im Finanzsektor
In europäischen und internationalen Innovationsforen werden insbesondere folgende Einsatzfelder diskutiert:
Portfolio-Optimierung und Asset Allocation Quanten- und quantum-inspirierte Algorithmen könnten helfen, hochdimensionale Optimierungsprobleme effizienter zu lösen als klassische Verfahren. Dies betrifft insbesondere große Portfolios mit komplexen Nebenbedingungen.
Risiko- und Stresstestsimulationen Die Fähigkeit, eine Vielzahl von Szenarien parallel zu berechnen, eröffnet Potenziale für realistischere Stress- und Szenarioanalysen, etwa bei Markt-, Kredit- oder Liquiditätsrisiken.
Fraud Detection und Mustererkennung In datenintensiven Bereichen könnten neue Rechenverfahren die Identifikation komplexer Muster verbessern. Auch hier wird jedoch betont, dass Erklärbarkeit und Nachvollziehbarkeit zwingend erforderlich bleiben.
4.3 Regulatorische Leitplanken für die Nutzung von Chancen
ESMA und EBA machen deutlich, dass auch bei innovativen Anwendungen folgende Grundsätze gelten:
Modelle müssen validierbar und erklärbar sein,
Entscheidungsprozesse müssen dokumentiert werden,
und Ergebnisse müssen überwachbar und überprüfbar bleiben.
Damit wird klar: Die Nutzung von Quantencomputing ist keine regulatorische Abkürzung, sondern erfordert im Zweifel höhere Anforderungen an Governance und Modellkontrolle.
Kapitel 5: Risiken und Verwundbarkeiten
Kryptografie, Cyber-Security und operationelle Resilienz
5.1 Kryptografische Risiken als zentrales Aufsichtsthema
Das mit Abstand größte aufsichtsrechtliche Gewicht liegt auf den kryptografischen Risiken des Quantencomputings. Staatliche Stellen gehen davon aus, dass leistungsfähige Quantencomputer künftig in der Lage sein werden, weit verbreitete Public-Key-Verfahren zu brechen, die heute als sicher gelten.
Betroffen sind insbesondere:
Schlüsselmanagement und Authentifizierung,
sichere Kommunikation im Zahlungsverkehr,
digitale Signaturen und Archivsysteme,
sowie langfristig geschützte sensible Daten.
Die Aufsicht bewertet diese Risiken nicht als hypothetisch, sondern als strukturell relevant, insbesondere vor dem Hintergrund des Szenarios „harvest now, decrypt later“.
5.2 Cyber- und ICT-Risiken im erweiterten Bedrohungsmodell
Mit Quantencomputing verändert sich das Bedrohungsmodell für Cyber-Security grundlegend. Institute müssen davon ausgehen, dass:
bestehende Sicherheitsarchitekturen künftig nicht mehr ausreichen,
Angriffe schwerer zu erkennen und zu attribuieren sind,
und neue Abhängigkeiten von spezialisierten Technologieanbietern entstehen.
Aus Sicht der Aufsicht müssen diese Entwicklungen in regelmäßige Risikoanalysen, Penetrationstests und Notfallkonzepte integriert werden. Quantenbedingte Risiken sind damit Teil der allgemeinen ICT-Risikolandschaft.
5.3 Auswirkungen auf die operationelle Resilienz
Ein zentrales Risiko liegt in der Komplexität der Migration zu quantensicheren Verfahren. Die Finanzindustrie ist stark vernetzt, viele Prozesse hängen von Drittanbietern, Cloud-Diensten und standardisierten Protokollen ab.
Die Aufsicht sieht daher insbesondere folgende Verwundbarkeiten:
fehlende Transparenzüber kryptografische Abhängigkeiten,
unkoordinierte Umstellungen entlang der Wertschöpfungskette,
zeitliche Diskrepanzen zwischen kritischen und nicht-kritischen Systemen.
Vor diesem Hintergrund gewinnt das Thema Resilienz über Organisationsgrenzen hinweg an Bedeutung.
Kapitel 6: Aufsichtsrechtlicher Rahmen
DORA, EBA-Guidelines und nationale Aufsichtspraxis
6.1 DORA als zentraler Ordnungsrahmen
Mit dem Digital Operational Resilience Act (DORA) verfügt die EU über ein umfassendes Regelwerk zur Stärkung der digitalen Widerstandsfähigkeit von Finanzinstituten. Auch wenn Quantencomputing nicht explizit genannt wird, lassen sich dessen Risiken eindeutig den DORA-Anforderungen zuordnen.
Insbesondere relevant sind:
das ICT-Risikomanagement,
Anforderungen an Informationssicherheit,
das Management von Drittparteien,
sowie Incident- und Resilienztests.
Quantenrisiken sind damit integraler Bestandteil der DORA-Logik.
6.2 EBA-Guidelines zu ICT- und Sicherheitsrisiken
Die EBA-Guidelines konkretisieren die Anforderungen an Governance, Prozesse und Kontrollen. Sie machen deutlich, dass Institute:
neue Technologien vor Einführung systematisch bewerten müssen,
Risiken dokumentieren und regelmäßig überprüfen müssen,
und sicherstellen müssen, dass das Management jederzeit steuerungsfähig bleibt.
Für Quantencomputing bedeutet dies insbesondere, dass Pilotprojekte, externe Anbieter und kryptografische Migrationen unter denselben strengen Maßstäben zu beurteilen sind wie andere kritische ICT-Änderungen.
6.3 Nationale Aufsicht: BaFin und Bundesbank
BaFin und Bundesbank betonen in Fachformaten, dass Regulierung technologie-neutral, aber nicht risikoneutral ist. Institute werden erwartet,
technologische Entwicklungen aktiv zu beobachten,
frühzeitig Vorsorgemaßnahmen zu treffen,
und den Dialog mit der Aufsicht zu suchen.
Der G7-Fahrplan zur Post-Quanten-Kryptografie verstärkt diese Erwartungshaltung deutlich.
Zwischenfazit (Kapitel 4–6)
Quantencomputing eröffnet Chancen, erzeugt aber vor allem neue systemische Risiken, die unter bestehenden aufsichtsrechtlichen Rahmenwerken zu steuern sind. DORA und die EBA-Guidelines bilden dabei keinen Hemmschuh, sondern den zentralen Ordnungsrahmen, innerhalb dessen Institute handlungsfähig bleiben müssen.
Kapitel 7: Aufsichtliche Erwartungen an Governance und Risikomanagement
7.1 Managementverantwortung und„Tone from the Top“
Aus Sicht der europäischen und nationalen Aufsicht ist der Einsatz neuer Technologien stets eine Managemententscheidung. Dies gilt ausdrücklich auch für Quantencomputing und die Vorbereitung auf Post-Quanten-Kryptografie. Die Verantwortung kann weder an IT-Abteilungen noch an externe Dienstleister delegiert werden.
Die Aufsicht erwartet daher:
eine klare Verankerung von Quantum-Risiken in der Gesamtstrategie,
einen nachvollziehbaren„Tone from the Top“,
sowie eindeutige Zuständigkeiten auf Vorstands- bzw. Geschäftsleitungsebene.
Quantencomputing wird damit zu einem Governance-Thema, vergleichbar mit Cloud-Strategien oder Cyber-Resilienz.
7.2 Integration in bestehende Risiko- und Kontrollsysteme
Institute müssen sicherstellen, dass Quantum-Risiken nicht parallel, sondern integriert in bestehende Risikomanagement-Frameworks gesteuert werden. Dazu gehören insbesondere:
ICT-Risikomanagement,
Informationssicherheitsmanagement,
operationelle Risiken und Resilienz,
Modellrisikomanagement.
Die Aufsicht erwartet keine neuen Risikokategorien, wohl aber eine erweiterte Risikobewertung bestehender Kategorien.
7.3 Outsourcing und Drittparteiensteuerung
Ein wesentlicher Schwerpunkt liegt auf der Steuerung externer Abhängigkeiten. Quanten- und Post-Quanten-Themen betreffen regelmäßig:
Cloud-Provider,
Software- und Hardware-Hersteller,
Anbieter kryptografischer Dienste.
Institute müssen sicherstellen, dass Outsourcing- und Drittparteienverträge Transparenz über kryptografische Verfahren, Migrationspfade und Sicherheitsstandards ermöglichen. Fehlende Steuerbarkeit wird aus aufsichtsrechtlicher Sicht zunehmend kritisch bewertet.
Kapitel 8: Quantum-Readiness und Post-Quanten-Kryptografie
8.1 Quantum-Readiness als strategischer Reifegrad
„Quantum-Readiness“ beschreibt die Fähigkeit eines Instituts, Quantenrisiken frühzeitig zu erkennen, strukturiert zu bewerten und kontrolliert zu adressieren. Der G7-Fahrplan (Januar 2026) macht deutlich, dass dieser Reifegrad künftig ein impliziter Maßstab für gute Governance sein wird.
Quantum-Readiness umfasst dabei mehr als Technologie. Sie betrifft:
Strategie,
Organisation,
Prozesse,
Daten und Systeme,
sowie externe Abhängigkeiten.
8.2 Inventarisierung kryptografischer Assets
Ein zentrales Element ist die vollständige Erfassung kryptografisch relevanter Assets, u. a.:
eingesetzte Verschlüsselungsalgorithmen,
Schlüsselmanagement-Systeme,
Kommunikationsprotokolle,
Daten mit langfristigem Schutzbedarf.
Ohne diese Transparenz ist eine risikobasierte Migration zu quantensicheren Verfahren nicht möglich.
8.3 Migrationspfade und Zeitachsen
Der G7-Fahrplan empfiehlt einen phasenweisen, risikobasierten Ansatz:
prioritäre Migration kritischer Systeme bis ca. 2030–2032,
vollständige Umstellung bis 2035.
Die Aufsicht erwartet nicht die sofortige Implementierung quantensicherer Algorithmen, wohl aber konkrete Planungen, Zielbilder und Entscheidungsvorlagen.
8.4 Kryptografische Agilität
Ein zentrales Leitmotiv ist die kryptografische Agilität. Institute sollen ihre Systeme so gestalten, dass kryptografische Verfahren künftig austauschbar und anpassbar sind. Dies reduziert langfristig nicht nur Quantenrisiken, sondern auch Abhängigkeiten von einzelnen Standards oder Anbietern.
Kapitel 9: Implikationen für Geschäftsmodelle
9.1 Kreditinstitute
Für Banken stehen zwei Themen im Vordergrund:
Nutzung quanten- oder quantum-inspirierter Verfahren im Risikomanagement und der Bilanzsteuerung,
gleichzeitige Absicherung von Kernbankensystemen und Kundendaten.
Die Aufsicht erwartet, dass Innovationsprojekte nicht zu Lasten von Sicherheit und Stabilität gehen.
9.2 Wertpapierinstitute und Handelsplätze
Wertpapierfirmen sehen Potenziale in:
schnellerer Preisfindung,
komplexeren Handelsstrategien,
optimierter Liquiditätssteuerung.
Gleichzeitig gelten unverändert hohe Anforderungen an Marktintegrität, Transparenz und algorithmischen Handel. Quantenbasierte Modelle müssen denselben Prüfungsmaßstäben genügen wie klassische Systeme.
9.3 Zahlungsverkehr und Finanzmarktinfrastrukturen
Im Zahlungsverkehr liegt der Fokus besonders auf:
Authentifizierungs- und Kommunikationsverfahren,
grenzüberschreitender Interoperabilität,
systemischer Resilienz.
Zentralbanken und Aufseher betrachten Post-Quanten-Kryptografie hier als zwingende Voraussetzung für langfristige Stabilität.
Kapitel 10: Handlungsempfehlungen und Schlussfolgerungen
10.1 Zentrale Handlungsempfehlungen für Institute
Aus der Analyse ergeben sich für Institute insbesondere folgende Schritte:
Verankerung von Quantenrisiken in Strategie und Governance
Integration in bestehende ICT- und Resilienzframeworks
Aufbau eines vollständigen Kryptografie-Inventars
Definition klarer Migrationspfade bis 2030/2035
Stärkung der Drittparteiensteuerung
Früher und strukturierter Dialog mit der Aufsicht
10.2 Bedeutung für Prüfungen und Aufsichtsdialog
Auch ohne formale Regulierung ist davon auszugehen, dass Prüfer und Aufseher künftig fragen werden:
Wie identifizieren Sie Quantenrisiken?
Welche Systeme sind betroffen?
Gibt es eine Migrationsstrategie?
Wie sind externe Abhängigkeiten abgesichert?
Institute ohne belastbare Antworten laufen Gefahr, aufsichtlich unter Druck zu geraten.
10.3 Schlussfolgerung
Quantencomputing ist kein kurzfristiger Hype, sondern ein langfristiger Strukturwandel mit unmittelbaren Governance-Implikationen. Der G7-Fahrplan 2026 markiert dabei einen Wendepunkt: Die Aufsicht erwartet Vorbereitung, nicht Reaktion.
Die Studie von S+P Compliance Services zeigt, dass Institute bereits heute handlungsfähig sein können – auf Basis bestehender Regelwerke, klarer Governance und strategischer Weitsicht.
G7-Fahrplan zur Post-Quanten-Kryptografie (Januar 2026)
Mit der Veröffentlichung des G7-Fahrplans zur Förderung des Übergangs zur Post-Quanten-Kryptografie im Finanzsektor am 13. Januar 2026 erhält die bisher überwiegend indirekte aufsichtsrechtliche Diskussion zu Quantencomputing erstmals eine konkrete, international abgestimmte zeitliche und inhaltliche Orientierung. Der Fahrplan wurde von der G7 Cyber Expert Group unter Mitwirkung nationaler Finanzaufsichtsbehörden, darunter der BaFin, erarbeitet und adressiert explizit die Risiken, die sich aus kryptografisch relevanten Quantencomputern für die Stabilität und Sicherheitdes Finanzsystems ergeben.
Der Fahrplan stellt ausdrücklich keine Leitlinie und keine regulatorische Erwartung dar. Er verfolgt vielmehr das Ziel, Senior Management, Aufsichtsbehörden und Marktteilnehmern einen gemeinsamen Referenzrahmen für die Planung und Steuerung der Migration zu quantensicherer Kryptografie bereitzustellen.Gerade diese nicht-verbindliche Ausgestaltung macht das Papier für die Governance- und Strategieebene von Finanzinstituten besonders relevant: Es signalisiert klar, welche Entwicklungen die Aufsicht antizipiert, ohne formale Vorgaben vorwegzunehmen.
Risikoannahmen und Bedrohungsszenarien
Der G7-Fahrplan bestätigt und konkretisiert zentrale Risikobewertungen, die zuvor bereits von Bundesbank und BaFin adressiert wurden. Im Mittelpunkt steht die Annahme, dass leistungsfähige Quantencomputer künftig in der Lage sein werden, weit verbreitete Public-Key-Kryptografie zu brechen, auf der zentrale Finanzprozesse beruhen – etwa Zahlungsverkehr, Authentifizierung, Datenübertragung und digitale Signaturen.
Besondere Bedeutung kommt dabei dem Szenario „harvest now, decrypt later“ zu. Die G7-Expertengruppe geht davon aus, dass böswillige Akteure bereits heute sensible Daten abgreifen und speichern, um sie zu einem späteren Zeitpunkt mit Hilfe von Quantencomputern zu entschlüsseln. Daraus folgt, dass Risiken nicht erst mit der Verfügbarkeit kryptografisch relevanter Quantencomputer entstehen, sondern bereits heute in die Risikoanalyse und Schutzstrategien von Finanzinstituten einbezogen werden müssen.
Zeitliche Orientierung: Kritische Systeme bis 2030, Gesamtmigration bis 2035
Der Fahrplan benennt erstmals konkrete Zielzeiträume, die als international abgestimmte Orientierungsgrößen verstanden werden sollen:
Bis 2030–2032: Migration quantensicherer Kryptografie für kritische Systeme und Funktionen, insbesondere solche mit hoher systemischer Relevanz oder langfristigem Schutzbedarf von Daten.
Bis 2035: Umstellung auch für nicht-kritische Systeme, unter Berücksichtigung der technologischen Reife und der jeweiligen Risikoprofile.
Diese Zeitachsen sind bewusst risikobasiert und flexibel ausgestaltet. Sie sollen Institute nicht zu starren Projektplänen zwingen, sondern als gemeinsame Sprache für Planung, Priorisierung und aufsichtlichen Dialog dienen. Gleichzeitig verdeutlichen sie, dass die Aufsicht kein Abwarten bis zur Marktreife von Quantencomputern erwartet.
Strukturierter Migrationsansatz entlang von sechs Phasen
Der G7-Fahrplan gliedert die Umstellung auf Post-Quanten-Kryptografie in sechs miteinander verzahnte Phasen, die sich gut in bestehende Governance- und ICT-Risikomanagement-Frameworks integrieren lassen:
Awareness und VorbereitungAufbau von Management-Bewusstsein, erste Quantum-Resilienz-Strategie, Definition klarer Verantwortlichkeiten.
Discovery und InventarisierungVollständige Erfassung kryptografischer Assets, Kommunikationsprotokolle und Drittanbieter-Abhängigkeiten.
Risikoanalyse und PlanungDifferenzierte Migrationspläne für kritische und weniger kritische Systeme, Anpassung von Governance- und Risikoprozessen.
Migration und ImplementierungStufenweise Einführung quantensicherer Verfahren, beginnend mit priorisierten Systemen.
Test und ValidierungSystem- und funktionsübergreifende Tests, einschließlich Resilienz- und Krisenszenarien.
Monitoring und WeiterentwicklungLaufende Validierung, Integration neuer Standards und Anpassung an die Bedrohungslage.
Diese Phasen sind ausdrücklich nicht linear zu verstehen. Vielmehr betont der Fahrplan, dass Institute iterative und parallele Vorgehensweisen wählen können, abhängig von Systemkritikalität, Ressourcen und technologischer Reife.
Einordnung in bestehende Governance- und Aufsichtslogik
Besonders relevant für diese Studie ist, dass der G7-Fahrplan explizit empfiehlt, Post-Quanten-Kryptografie nicht als isoliertes IT-Projekt, sondern als Bestandteil bestehender Governance-, Risiko- und Resilienzstrukturen zu behandeln. Damit fügt sich das Papier nahtlos in die Logik von DORA, den EBA-Guidelines zu ICT- und Sicherheitsrisiken sowie die technologieneutrale Haltung von ESMA und BaFin ein.
Hervorgehoben werden insbesondere:
die fortbestehende Verantwortung des Managements,
die Bedeutung von Drittparteien- und Lieferkettensteuerung,
sowie der Bedarf an kryptografischer Agilität, um auch künftige technologische Umbrüche bewältigen zu können.
Bedeutung für die Studie von S+P Compliance Services
Für die vorliegende Studie bestätigt der G7-Fahrplan die zentrale These, dass Quantum-Readiness bereits heute ein Governance- und Compliance-Thema ist. Auch ohne formale Regulierung entsteht ein klarer Erwartungsrahmen, an dem sich Institute messen lassen müssen – insbesondere imRahmen von Prüfungenzu ICT-Risiken, Informationssicherheit und operationeller Resilienz.
Die Veröffentlichung unterstreicht zudem, dass Aufsicht und Politik das Thema 2026 und darüber hinaus aktiv begleiten werden. Für Institute ergibt sich daraus die Notwendigkeit, Quantenrisiken systematisch in Strategie, Risikomanagement und Investitionsentscheidungen einzubetten, um nicht ineinen reaktiven Anpassungsmodus zu geraten.
Die beiden Links passen sehr gut in die Studie und sollten im Kapitel zu Post?Quanten?Kryptografie sowie im Quellenverzeichnis als zentrale Referenzen hervorgehoben werden. Im Folgenden ein Vorschlag, wie sie inhaltlich eingebunden und als Quellenverzeichnis ausgewiesen werden können.[bundesbank]?
Quellenverzeichnis
ESMA
European Securities and Markets Authority (ESMA):„EFIF Taxonomy of Financial Innovation – Matrix and Glossary“, Januar 2024, Paris. Verfügbar unter: https://www.esma.europa.eu/sites/default/files/2024-01/Taxonomy_of_Financial_Innovation_-_Matrix_and_Glossary.pdf
European Securities and Markets Authority (ESMA):„European Forum for Innovation Facilitators (EFIF) – Summary of Conclusions, conference call May 2022“, ESMA, Paris, 2022. Verfügbar unter: https://www.esma.europa.eu/sites/default/files/library/efif_meeting_may_2022_minutes.pdf
EBA
European Banking Authority (EBA):„Guidelines on ICT and security risk management“, EBA/GL/2019/04, 28. November 2019, mit späteren Anpassungen im Kontext von DORA. Verfügbar unter: https://www.eba.europa.eu/sites/default/files/document_library/Publications/Guidelines/2020/GLs%20on%20ICT%20and%20security%20risk%20management/872936/Final%20draft%20Guidelines%20on%20ICT%20and%20security%20risk%20management.pdf[eba.europa]?
BaFin / Deutsche Bundesbank / deutsche Stellen
Deutsche Bundesbank / Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): „BaFinTech 2025 – AI, quantum computing and the digital euro“, Konferenzbeiträge, 2025. Verfügbar unter (Beispiel?Einstieg): https://www.bundesbank.de/en/tasks/topics/bafintech-2025-ai-quantum-computing-and-the-digital-euro-856240[bundesbank]?
Deutsche Bundesbank:„Frequently Asked Questions on Financial Sector Risks from Quantum Computing“, 24. September 2024, Frankfurt am Main. Verfügbar unter: https://www.bundesbank.de/en/homepage/frequently-asked-questions-on-financial-sector-risks-from-quantum-computing-745194[bundesbank]?
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): „Post?Quanten?Kryptographie: G7 Cyber Expert Group veröffentlicht Fahrplan – Fahrplan für den Übergang des Finanzsektors auf Post?Quanten?Kryptografie“, Meldung vom 14. Januar 2026, Bonn/Frankfurt. Verfügbar unter: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2026/neu/meldung_2026_01_14_g7_cyber_expert_group_fahrplan_post-quanten-kryptographie.html[bundesbank]?
EU? und sonstige staatliche Stellen
Europäische Kommission: „Ein koordinierter Implementierungsfahrplan für den Übergang zur Post?Quantum?Kryptographie (PQC)“, Empfehlung und Roadmap, Brüssel, 2024/2025. Verfügbar unter: https://digital-strategy.ec.europa.eu/de/library/coordinated-implementation-roadmap-transition-post-quantum-cryptography[digital-strategy.ec.europa]?
G7 Cyber Expert Group:„G7 Cyber Expert Group Statement on Advancing a Coordinated Roadmap for the Transition to Post?Quantum Cryptography in the Financial Sector“, 12./13. Januar 2026. Offizielle Veröffentlichung (u.?a.) über die Regierung des Vereinigten Königreichs: https://www.gov.uk/government/publications/advancing-a-coordinated-roadmap-for-the-transition-to-post-quantum-cryptography-in-the-financial-sector/g7-cyber-expert-group-statement-on-advancing-a-coordinated-roadmap-for-the-transition-to-post-quantum-cryptography-in-the-financial-sector-january-2026[gov]?
Government of the United Kingdom:„G7 Cyber Expert Group – collection page“, GOV.UK, London. Verfügbar unter: https://www.gov.uk/government/collections/g7-cyber-expert-group[gov]?
Datum: 22.01.2026 - 09:00 Uhr
Sprache: Deutsch
News-ID 2225986
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Cassedy Brose
Stadt:
Unterföhring bei München
Kategorie:
Bildung & Beruf
Dieser Fachartikel wurde bisher 11 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Quantencomputing im Finanzsektor–Strategische Chancen, technologische Risiken und regulatorische Herausforderungen"
steht unter der journalistisch-redaktionellen Verantwortung von
S&P Unternehmerforum GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).