Quantencomputing als Herausforderung für Cybersicherheit und Datenschutz

Inhaltsverzeichnis

• TEIL I – GRUNDLAGEN UND PROBLEMSTELLUNG
  • 1 Einleitung
    • 1.1 Relevanz und Aktualität des Themas
    • 1.2 Zielsetzung der Arbeit
    • 1.3 Aufbau der Dissertation
  • 2 Problemstellung und Ausgangslage
    • 2.1 Technische Disruption durch Quantencomputing
    • 2.2 Bedrohung kryptographischer Verfahren und Datenschutzmechanismen
    • 2.3 Notwendigkeit rechtlicher Reaktionen
  • 3 Stand der Forschung und Begriffsbestimmungen
    • 3.1 Technologisch-mathematische Grundlagen quantenbasierter Kryptographie und deren rechtliche Relevanz
      • 3.1.1 Qubit, Superposition und Verschränkung – Grundelemente der Quanteninformationsverarbeitung
      • 3.1.2 Quantenalgorithmen mit kryptographischer Relevanz: Shor und Grover
      • 3.1.3 Gitterbasierte Verfahren als Antwort: ML-KEM und ML-DAS
      • 3.1.4 Juristische Einordnung und Relevanz technischer Grundlagen
    • 3.2 Aktueller Stand der technischen Forschung
      • 3.2.1 Quantenhardware und ihre rechtliche Relevanz: NISQ-Systeme, Fehlertoleranz und Schutzpflichten
      • 3.2.2 Quantenalgorithmen: Anwendungsspezifische Optimierungen
      • 3.2.3 Post-Quantum-Kryptographie: Standardisierung und rechtliche Anerkennung
      • 3.2.4 Internationale Forschungsinitiativen und verfassungsrechtlicher Rahmen
    • 3.3 Juristischer Forschungsstand zu Kryptografie, Datenschutz und IT-Recht
      • 3.3.1 Datenschutzrechtlicher Diskurs: DSGVO und kryptographische Schutzpflichten
      • 3.3.2 Kryptographierecht und „Stand der Technik“: Rechtsunsicherheit bei Standardsetzung
      • 3.3.3 IT-Rechtliche Begleitdiskussion: Produktsicherheit, Haftung und Migration
      • 3.3.4 Forschungslücken und Perspektiven
    • 3.4 Abgrenzung und Definition zentraler Begriffe
      • 3.4.1 Quantencomputer / Quantencomputing
      • 3.4.2 Post-Quantum-Kryptographie (PQ-Kryptographie)
      • 3.4.3 Stand der Technik
      • 3.4.4 Wesentliche Einrichtungen / Essential Entities
      • 3.4.5 „Harvest now, decrypt later“-Angriff (HNDL)
      • 3.4.6 Qubit, Superposition und Verschränkung – juristisch relevante Grundbegriffe
    • 3.5 Zusammenfassung: Relevanz von Technik und Begriffsklärung für die juristische Analyse
• TEIL II – FORSCHUNGSRAHMEN UND METHODIK
  • 4 Methodik
    • 4.1 Forschungsfragen und Methodendesign
    • 4.2 Rechtsdogmatische Analyse
    • 4.3 Technikrechtliche Grundlagenanalyse
    • 4.4 Rechtsvergleichende Analyse
    • 4.5 Strukturierende qualitative Inhaltsanalyse nach Mayring
      • 4.5.1 Durchführung und Auswertung der qualitativen Inhaltsanalyse
    • 4.6 Dokumentenanalyse
    • 4.7 Szenarienanalyse
• TEIL III – ANALYSE UND BEWERTUNG
  • 5 Rechtlicher Ordnungsrahmen im Datenschutz- und IT-Recht
    • 5.1 Datenschutz-Grundverordnung (DSGVO)
      • 5.1.1 Datenschutz durch Technikgestaltung (Art. 25 DSGVO)
      • 5.1.2 Sicherheit der Verarbeitung und Stand der Technik (Art. 32 DSGVO)
      • 5.1.3 Rechenschaftspflicht, Haftung und Kryptomigration
      • 5.1.4 Bewertung und dogmatische Einordnung
    • 5.2 Cyber Resilience Act (CRA)
      • 5.2.1 Systematik und Regelungsstruktur
      • 5.2.2 Technikgestaltungspflichten und Verschlüsselungsanforderungen
      • 5.2.3 PQC-Standards als faktische Referenzmaßstäbe
      • 5.2.4 Schnittstellen zu DSGVO, Produktsicherheitsrecht und NIS-2
      • 5.2.5 Rechtsfolgen und Regulierungsperspektive
      • 5.2.6 Bewertung im Lichte quantentechnologischer Risiken
    • 5.3 NIS-2-Richtlinie
      • 5.3.1 Adressatenkreis und Regelungsstruktur
      • 5.3.2 Stand der Technik und vorausschauendes Risikomanagement
      • 5.3.3 Integration von PQC-Standards und sektoraler Verpflichtungsdruck
      • 5.3.4 Verhältnis zu DSGVO, CRA und DORA
      • 5.3.5 Aufsichtsrechtliche Konsequenzen und Bewertung
      • 5.3.6 Dogmatische und grundrechtliche Einordnung
    • 5.4 Weitere einschlägige Normen
      • 5.4.1 ePrivacy-Verordnung (Entwurf)
      • 5.4.2 Digital Services Act (DSA)
      • 5.4.3 DORA-Verordnung (Finanzsektor)
      • 5.4.4 MDR/IVDR-Verordnungen (Gesundheitswesen)
      • 5.4.5 Gesundheitstelematikgesetz (Österreich)
      • 5.4.6 Zusammenfassende Bewertung
  • 6 Bedrohungsszenarien und Risikoanalyse
    • 6.1 Q-Day und quantenbasierte Angriffe
    • 6.2 „Harvest now, decrypt later“ und zukünftige Entschlüsselung
    • 6.3 Risiken für personenbezogene Daten und Infrastruktur
      • 6.3.1 Personenbezogene Daten als Angriffsvektor
      • 6.3.2 Sektorale Risikoexposition: Gesundheits-, Justiz- und Finanzsektor
      • 6.3.3 Digitale Infrastrukturen und kritische Systeme
      • 6.3.4 Grundrechtliche Implikationen und staatliche Schutzpflicht
      • 6.3.5 Zusammenfassende Bewertung
  • 7 Rechtliche Bewertung und bestehende Schutzlücken
    • 7.1 Systematische Schwächen im geltenden Rechtsrahmen
      • 7.1.1 Technikoffene Vagheit und fehlende Auslegungsklarheit
      • 7.1.2 Fragmentierung des Rechtsrahmens und Sektorinkonsistenz
      • 7.1.3 Fehlende Positivnormierung von Kryptographiestandards
      • 7.1.4 Begrenzte Durchsetzbarkeit sektoraler Schutzpflichten
    • 7.2 Bewertung technischer und regulatorischer Reaktionsmöglichkeiten
      • 7.2.1 Technische Reaktionsmöglichkeiten: Post-Quantum-Kryptographie (PQC)
      • 7.2.2 Standardsetzungsinstitutionen und Soft-Law-Mechanismen
      • 7.2.3 Regulatorische Reaktionsmöglichkeiten: Gesetzgeberische Normanpassung
    • 7.3 Anforderungen an technische und organisatorische Maßnahmen (TOMs)
      • 7.3.1 Rechtsgrundlagen und systematische Einordnung
      • 7.3.2 Dynamischer Rechtsbegriff und Pflicht zur Prognose
      • 7.3.3 Sektorale Konkretisierungen und Sicherheitslücken
      • 7.3.4 Haftungs- und Durchsetzungsperspektiven
• TEIL IV – VERGLEICH UND HANDLUNGSEMPFEHLUNGEN
  • 8 Rechtsvergleichende Perspektiven
    • 8.1 Europäische Union
    • 8.2 Vereinigte Staaten
    • 8.3 Volksrepublik China
    • 8.4 Bewertung der Strategien im internationalen Vergleich
      • 8.4.1 Vergleich der Regulierungslogiken und Steuerungsmechanismen
      • 8.4.2 Dogmatische Bewertung der PQC-Regulierung
      • 8.4.3 Methodische Rückbindung an die Mayring-Ergebnisse
  • 9 Handlungsempfehlungen und normativer Anpassungsbedarf
    • 9.1 Rechtliche Konkretisierung technischer Mindeststandards
      • 9.1.1 Begründung der Notwendigkeit rechtlicher PQC-Mindeststandards
      • 9.1.2 Mögliche Ausgestaltung von PQC-Mindeststandards
      • 9.1.3 Rechtsdogmatische Legitimationsbasis
      • 9.1.4 Risikoorientierte Differenzierung
    • 9.2 Sektorale Implementierungspflichten und Zertifizierungsansätze
      • 9.2.1 Sektorale PQC-Pflichten im Gesundheits-, Justiz- und Finanzbereich
      • 9.2.2 Zertifizierungsbasierte PQC-Integration
      • 9.2.3 Rechtliche Absicherung durch Soft-Law und Harmonisierung
    • 9.3 Institutionelle Steuerung und europäische Rechtssetzungsstrategie
      • 9.3.1 Aufgabenprofil bestehender EU-Behörden
      • 9.3.2 Empfehlung: Einrichtung eines „European PQC Advisory Board“
      • 9.3.3 Rechtssetzungsstrategie: Delegierte Rechtsakte als zentraler Hebel
      • 9.3.4 Risiken bei Untätigkeit und zersplitterter Regulierung
    • 9.4 Zusammenfassende Bewertung und Ausblick auf normpolitische Optionen
      • 9.4.1 Kernaussagen der Analyse
      • 9.4.2 Normpolitische Optionen im Überblick
      • 9.4.3 Empfehlung: Kohärente PQC-Governance statt ad-hoc-Regulierung
• TEIL V – ERGEBNIS, BEWERTUNG UND NORMATIVER AUSBLICK
  • 10 Ergebnisse und zentrale Erkenntnisse
    • 10.1 Zusammenfassung der zentralen Erkenntnisse
    • 10.2 Beantwortung der Forschungsfragen
    • 10.3 Beitrag zur juristischen Grundlagenforschung
  • 11 Ausblick und weiterführender Forschungsbedarf
    • 11.1 Technologische Entwicklung ab 2030 und darüber hinaus
    • 11.2 Bedarf an technikoffener und resilienter Regulierung
    • 11.3 Integration in digitale Grundrechte
  • 12 Schlussfolgerungen und rechtspolitische Bewertung
  • 13 Literaturverzeichnis
  • 14 Abbildungsverzeichnis
  • 15 Tabellenverzeichnis

Zielsetzung & Themen

Diese Dissertation bietet eine umfassende rechtliche Analyse der regulatorischen Herausforderungen, die mit der Integration der Post-Quanten-Kryptographie (PQC) in die digitalen Sicherheits- und Datenschutzrahmen der Europäischen Union verbunden sind. Die Studie identifiziert zentrale strukturelle und normative Lücken, die die bindende rechtliche Implementierung von PQC als Mindeststandard derzeit behindern.

• Analyse regulatorischer Herausforderungen der Post-Quanten-Kryptographie (PQC) in der EU.
• Fokus auf Schnittstellen von Datenschutz (DSGVO), Cybersicherheit (CRA, NIS-2) und Sektorspezifika (DORA, eHealth).
• Identifikation struktureller und normativer Lücken bei der Implementierung von PQC-Mindeststandards.
• Formulierung einer mehrstufigen Regulierungsstrategie.
• Beitrag zur Etablierung von PQC als rechtlich bindende und verfassungsrechtlich notwendige Komponente der digitalen EU-Infrastruktur.
• Förderung technischer Resilienz und Grundrechtsschutz im Zeitalter des Quantencomputings.

Auszug aus dem Buch

Zusammenfassung der Kapitel

Kapitel 1 Einleitung: Dieses Kapitel führt in die Thematik des Quantencomputings und dessen potenziellen Einfluss auf etablierte kryptographische Sicherheitsmechanismen ein, wodurch die Notwendigkeit rechtlicher Anpassungen verdeutlicht wird.

Kapitel 2 Problemstellung und Ausgangslage: Hier werden die technische Disruption durch Quantencomputing und die daraus resultierende Bedrohung für kryptographische Verfahren sowie Datenschutzmechanismen detailliert analysiert und die Notwendigkeit rechtlicher Reaktionen begründet.

Kapitel 3 Stand der Forschung und Begriffsbestimmungen: Das Kapitel erläutert die technologisch-mathematischen Grundlagen quantenbasierter Kryptographie, den aktuellen Stand der technischen Forschung und definiert zentrale Begriffe, die für die juristische Analyse relevant sind.

Kapitel 4 Methodik: Dieses Kapitel beschreibt das interdisziplinäre Forschungsdesign der Dissertation, das rechtsdogmatische, technikrechtliche, rechtsvergleichende und qualitative Inhaltsanalysen sowie eine Szenarienanalyse umfasst.

Kapitel 5 Rechtlicher Ordnungsrahmen im Datenschutz- und IT-Recht: Die Arbeit analysiert systematisch die Eignung zentraler unionsrechtlicher Regelwerke (DSGVO, CRA, NIS-2, DORA u.a.), quantentechnologisch induzierte Bedrohungen präventiv zu steuern und risikoadäquat abzusichern.

Kapitel 6 Bedrohungsszenarien und Risikoanalyse: Es werden konkrete Bedrohungsszenarien wie der „Q-Day“ und das „Harvest now, decrypt later“-Angriffsszenario im Lichte bestehender unionsrechtlicher Schutzpflichten detailliert untersucht und deren Implikationen bewertet.

Kapitel 7 Rechtliche Bewertung und bestehende Schutzlücken: Dieses Kapitel widmet sich einer systematischen Schwächenanalyse des geltenden Rechtsrahmens in Bezug auf die Bewältigung quantentechnologischer Bedrohungen und identifiziert technische sowie normative Defizite.

Kapitel 8 Rechtsvergleichende Perspektiven: Hier werden die regulatorischen Strategien der Europäischen Union, der Vereinigten Staaten und der Volksrepublik China im Umgang mit Post-Quanten-Bedrohungen verglichen, um Stärken und Schwächen zu identifizieren.

Kapitel 9 Handlungsempfehlungen und normativer Anpassungsbedarf: Aufbauend auf den Analysen werden konkrete rechtspolitische Handlungsempfehlungen zur Konkretisierung technischer Mindeststandards, sektoralen Implementierung und institutionellen Steuerung von PQC in der EU formuliert.

Kapitel 10 Ergebnisse und zentrale Erkenntnisse: Das Kapitel fasst die zentralen Erkenntnisse der Dissertation zusammen und beantwortet die Forschungsfragen zur rechtlichen Steuerungsfähigkeit und Umsetzung von PQC im europäischen Rechtsrahmen.

Kapitel 11 Ausblick und weiterführender Forschungsbedarf: Es werden zukünftige technologische Entwicklungen im Quantencomputing skizziert und der Bedarf an technikoffener und resilienter Regulierung sowie die Integration in digitale Grundrechte erörtert.

Kapitel 12 Schlussfolgerungen und rechtspolitische Bewertung: Dieses abschließende Kapitel verdichtet die Ergebnisse der Dissertation zu einer übergreifenden Bewertung der regulatorischen Ausgestaltung von PQC und hebt die Notwendigkeit normsetzender Klarheit hervor.

Schlüsselwörter

Post-Quanten-Kryptographie (PQC), Datenschutz-Grundverordnung (DSGVO), Cyber Resilience Act (CRA), NIS-2-Richtlinie, DORA-Verordnung, Technische und organisatorische Maßnahmen (TOMs), Quantencomputing, Kryptographische Sicherheit, Grundrechte, Shor-Algorithmus, Grover-Algorithmus, Harvest now, decrypt later (HNDL), Q-Day, NIST, Standardisierung.

Häufig gestellte Fragen

Worum geht es in dieser Arbeit grundsätzlich?

Die Arbeit analysiert die regulatorischen Herausforderungen, die sich aus der Integration von Post-Quanten-Kryptographie (PQC) in die digitalen Sicherheits- und Datenschutzrahmen der Europäischen Union ergeben, und formuliert Handlungsempfehlungen zur Schließung bestehender Schutzlücken.

Was sind die zentralen Themenfelder?

Zentrale Themenfelder sind die Auswirkungen des Quantencomputings auf Cybersicherheit und Datenschutz, die Analyse relevanter EU-Regelwerke (DSGVO, CRA, NIS-2, DORA), die Entwicklung von PQC-Standards sowie die rechtliche Verankerung technischer Schutzmaßnahmen.

Was ist das primäre Ziel oder die Forschungsfrage?

Das primäre Ziel ist es, zu analysieren, ob und inwieweit die bestehenden regulatorischen Rahmenbedingungen in der EU geeignet sind, die Sicherheit personenbezogener Daten und digitaler Infrastrukturen unter Bedingungen quantentechnologischer Bedrohungen zu gewährleisten, und welche Anpassungen hierfür erforderlich sind.

Welche wissenschaftliche Methode wird verwendet?

Die Dissertation verfolgt einen methodenpluralistischen Ansatz, der rechtsdogmatische, rechtsvergleichende und technikanalytische Methoden umfasst, ergänzt durch eine strukturierende qualitative Inhaltsanalyse nach Mayring und eine Szenarienanalyse.

Was wird im Hauptteil behandelt?

Der Hauptteil der Arbeit (Teil III) analysiert und bewertet die maßgeblichen Normen des Datenschutz- und IT-Rechts, insbesondere die DSGVO, den Cyber Resilience Act (CRA) und die NIS-2-Richtlinie, hinsichtlich ihrer Tauglichkeit zur Bewältigung quantentechnologischer Bedrohungen.

Welche Schlüsselwörter charakterisieren die Arbeit?

Die Arbeit wird durch Schlüsselwörter wie Post-Quanten-Kryptographie (PQC), DSGVO, Cyber Resilience Act (CRA), NIS-2-Richtlinie, Technische und organisatorische Maßnahmen (TOMs), Quantencomputing und Grundrechte charakterisiert.

Was versteht man unter dem "Q-Day" und dem "Harvest now, decrypt later"-Szenario?

Der "Q-Day" bezeichnet den Zeitpunkt, an dem leistungsfähige Quantencomputer klassische Verschlüsselungsverfahren brechen können. Das "Harvest now, decrypt later"-Szenario beschreibt das Risiko, dass heute verschlüsselte Daten abgefangen und später, nach dem "Q-Day", entschlüsselt werden.

Warum sind ML-KEM und ML-DSA als Post-Quanten-Kryptographie wichtig?

ML-KEM (Key Encapsulation Mechanism) und ML-DSA (Digital Signature Algorithm) sind gitterbasierte Verfahren, die vom NIST als Standards für Post-Quanten-Kryptographie festgelegt wurden. Sie gelten als besonders resistent gegenüber Quantenangriffen und bilden die Grundlage für zukunftsfähige kryptographische Infrastrukturen.

Welche Rolle spielen der Shor- und Grover-Algorithmus im Kontext der Quantenbedrohung?

Der Shor-Algorithmus kann asymmetrische Verschlüsselungsverfahren wie RSA und ECC in realistischer Rechenzeit brechen. Der Grover-Algorithmus reduziert den Suchaufwand bei Brute-Force-Angriffen auf symmetrische Verfahren wie AES, was die effektive Sicherheit herkömmlicher Schlüssel halbiert.

Wie wird der Begriff "Stand der Technik" in dieser Dissertation interpretiert?

Der "Stand der Technik" wird als dynamischer und unbestimmter Rechtsbegriff ausgelegt, der nicht nur marktübliche Praxis, sondern auch den aktuellen, fachlich anerkannten Entwicklungsstand von Wissenschaft und Technik umfasst und sich im Lichte quantentechnologischer Entwicklungen kontinuierlich fortentwickelt.