Cybersicherheit im Zeitalter von KI und Quantencomputing: Wer bezahlt den Übergang?
Es gibt ein Muster, das sich jedes Mal wiederholt, wenn eine Technologie die Spielregeln schnell genug verändert: Die Ersten, die die Kosten absorbieren, sind diejenigen, die am wenigsten Spielraum dafür haben. Die Konvergenz von künstlicher Intelligenz und Quantencomputing folgt diesem Muster mit einer unbehaglichen Präzision. Die Angreifer profitieren von Werkzeugen, die Zeit und Kosten ihrer Operationen reduzieren. Die Verteidiger hingegen häufen technische und organisatorische Schulden an, die sie nun doppelt bezahlen müssen: einmal für die Risiken, die KI heute einführt, und ein weiteres Mal für die kryptografische Migration, die die Quantenwelt morgen verlangen wird.
Die von Michelle Drolet im Forbes Technology Council veröffentlichte Analyse ist keine Laborwarnung. Sie ist eine Karte aktiver Spannungen, die bereits in den Budgets, den Verwaltungsräten und den Sicherheitsteams jedes Unternehmens mit relevanter digitaler Infrastruktur präsent sind. Und der interessanteste Blickwinkel ist nicht der technologische: Es ist der distributive. Wer trägt die Kosten, wer erfasst den Wert des Übergangs und welche strukturellen Anreize treiben jeden Akteur im System an.
KI komprimiert die verfügbare Zeit für den Verteidiger, nicht für den Angreifer
Die Asymmetrie, die künstliche Intelligenz in der Cybersicherheit einführt, ist konzeptionell nicht neu, wohl aber in ihrer Größenordnung. Angreifer nutzen KI, um Schwachstellen schneller zu entdecken, Malware-Varianten in großem Maßstab zu generieren, Social-Engineering-Nachrichten zu personalisieren und die Aufklärung von Zielen zu automatisieren. Die Grenzkosten für einen ausgeklügelten Angriff sind kontinuierlich gesunken. Die Kosten der Verteidigung hingegen bleiben hoch, sind talentintensiv und lassen sich nur schwer automatisieren, ohne neue Risiken einzuführen.
Die Daten des Weltwirtschaftsforums und von Accenture dokumentieren diese Wahrnehmung: 94 % der Sicherheitsführungskräfte betrachten KI als den bedeutendsten Veränderungsfaktor in der Cybersicherheit im kommenden Jahr, und 87 % nennen KI-assoziierte Schwachstellen als das am stärksten wachsende Risiko. Diese Zahlen beschreiben keine zukünftige Sorge. Sie beschreiben die Architektur eines Problems, das bereits innerhalb der Organisationen vorhanden ist.
Einer der in dieser Analyse am wenigsten diskutierten Vektoren ist das, was Drolet als „Shadow AI" bezeichnet: die nicht autorisierte Nutzung von Werkzeugen der künstlichen Intelligenz durch Mitarbeiter, die Besprechungen zusammenfassen, sensible Daten verarbeiten oder Code über Plattformen generieren, die die Organisation weder kontrolliert, noch prüft und manchmal nicht einmal kennt. Das Problem ist nicht ausschließlich eines der Perimetersicherheit. Es ist ein Problem der internen Governance, bei dem der individuelle Anreiz – die unmittelbare Produktivität des Mitarbeiters – in direkten Konflikt mit dem kollektiven Interesse der Organisation tritt. Dieser Anreizkonflikt lässt sich nicht durch Richtlinien lösen, sondern durch Design: Zugangskontrollen, Datennachverfolgbarkeit, technische Beschränkungen und menschliche Aufsicht über die folgenreichsten Handlungen.
Das Aufkommen agentischer KI-Systeme, die in der Lage sind, im Namen eines Benutzers autonom über mehrere Werkzeuge und Arbeitsabläufe hinweg zu handeln, hebt dieses Problem in eine andere Kategorie. Wenn ein KI-Agent Entscheidungen treffen, Transaktionen ausführen oder Informationen teilen kann, ohne Echtzeiteingriffe durch einen Menschen, dann hat der Risikobereich keine klaren Grenzen mehr. Fehler, Missbrauch von Zugangsdaten und Datenlecks können mit einer Geschwindigkeit auftreten, die kein reaktiver Prüfungsprozess eindämmen kann. Die Kosten dieses Risikos absorbiert nicht der Anbieter des Werkzeugs. Sie absorbiert die Organisation, die es eingesetzt hat.
Die Quantenbedrohung wartet nicht darauf, dass die Teams bereit sind
Das Quantencomputing operiert in einem anderen Horizont als die KI, aber seine Drucklogik auf Sicherheitssysteme ist ebenso strukturell. Der zentrale Mechanismus heißt „Harvest now, decrypt later" (Jetzt ernten, später entschlüsseln): Angreifer erfassen heute verschlüsselte Daten und speichern sie, bis Quantencomputer in der Lage sind, die sie schützende Public-Key-Kryptografie zu brechen. Der Angriff findet nicht heute statt. Der Schaden jedoch wird bereits jetzt gesät.
Das macht die Migration zur quantenresistenten Kryptografie zu einer Entscheidung der gegenwärtigen Planung, nicht einer zukünftigen. Das National Institute of Standards and Technology (NIST) der Vereinigten Staaten hat bereits die ersten Standards für Post-Quanten-Kryptografie veröffentlicht und ersetzt dabei anfällige Schemata wie RSA und elliptische Kurvenkryptografie. Doch die Übernahme dieser Standards ist kein Software-Update. Es ist ein tiefer Eingriff in die Architektur von Systemen, die in vielen Fällen seit Jahrzehnten auf den Algorithmen aufgebaut wurden, die nun ersetzt werden müssen.
Das Ausmaß des Aufwands spiegelt sich in den Marktprognosen wider: Investitionen in Post-Quanten-Kryptografie werden von 1,2 Milliarden US-Dollar im Jahr 2026 auf 13,3 Milliarden US-Dollar im Jahr 2035 steigen, so Juniper Research. Dieses Wachstum ist kein Widerschein eines positiven technologischen Trends. Es ist das Maß des angehäuften Defizits, das Organisationen finanzieren müssen – in Zertifikaten, Schlüsseln, Software, Hardware, Anbietern und Prozessen –, um in einem Moment, in dem das Reaktionsfenster bereits geschlossen sein wird, nicht exponiert dazustehen.
Die Verteilung dieser Kosten ist der Punkt, an dem die Analyse am interessantesten wird. Große Organisationen mit spezialisierten Teams und relevanten Sicherheitsbudgets können strukturierte Migrationsprogramme starten, interne Verantwortliche benennen, kryptografische Abhängigkeiten inventarisieren und mit Anbietern aus einer Position der Stärke verhandeln. Mittlere und kleine KMU, die von denselben Plattform- und Cloud-Dienstleistern abhängen, sind dem Tempo ausgeliefert, mit dem diese Anbieter den Übergang umsetzen. Wenn der Anbieter zunächst seine größten Unternehmenskunden priorisiert, dauert es länger, bis das schwächste Glied der Kette geschützt ist – und das schwächste Glied ist häufig dasjenige, das das gesamte System mit seinen am leichtesten ausnutzbaren Schwachstellen verbindet.
Der Wert der Vorbereitung liegt nicht dort, wo der Markt ihn misst
Es gibt ein strukturelles Missverhältnis darin, wie der Markt die Reaktion auf diese Risiken bewertet. Anbieter von Sicherheitsplattformen – von Herstellern von Netzwerkinfrastrukturen bis hin zu Anbietern von sicherem Zugang und Zero-Trust-Architekturen – integrieren KI-basierte Erkennungsfähigkeiten und quantenresistente Verschlüsselung als Produktmerkmale. Das macht Wettbewerbssinn: Wer zuerst integrierten Schutz anbietet, sichert sich Verträge und baut technische Abhängigkeit auf.
Aber der Wert dieser Fähigkeiten hängt von etwas ab, das keine Plattform direkt verkaufen kann: die organisationale Fähigkeit des adoptierenden Unternehmens, sie kohärent zu betreiben. Ein KI-basiertes Tool zur Erkennung anomaler Verhaltensweisen ersetzt nicht die Notwendigkeit, Einblick in die Assets zu haben, Zugriffskontrollen zu besitzen und Reaktionsprozesse zu haben, die funktionieren, wenn die Warnung ausgelöst wird. Ein Post-Quanten-Kryptografiestandard migriert nicht von selbst die Legacy-Systeme, die seit Jahren ohne Aktualisierungen laufen.
Der Artikel von Drolet beschreibt einen Vorbereitungsprozess mit sieben Schritten. Was er nicht beschreibt – obwohl es in jedem dieser Schritte impliziert ist –, ist, wie viel von diesem Prozess eine nachhaltige Investition in interne Fähigkeiten erfordert, die der Markt für Sicherheitslösungen nicht ersetzen kann. Die Risikobewertung muss von jemandem durchgeführt werden, der die reale Architektur der Organisation kennt. Das Inventar der kryptografischen Abhängigkeiten muss von jemandem erstellt werden, der Zugang zu den Systemen hat. Die Governance über KI-Agenten muss von jemandem entworfen werden, der versteht, wie die Teams arbeiten. Kein externer Anbieter verfügt über diese Ausgangsinformation.
Das grundlegende distributive Problem ist folgendes: Der Übergang zu einer Sicherheitslage, die in einem Umfeld allgemeiner KI und wachsendem Quantendruck tragfähig ist, erfordert, dass ein erheblicher Teil des Werts intern generiert wird – in Form von Fähigkeiten, Prozessen und Governance. Aber der Cybersicherheitsmarkt ist darauf ausgerichtet, externe Produkte und Dienstleistungen zu verkaufen, nicht interne Kapazitäten aufzubauen. Das bedeutet nicht, dass externe Anbieter irrelevant sind. Es bedeutet, dass die Logik der vollständigen Delegation – das Modell, bei dem ein Unternehmen seine Sicherheit auslagert und davon ausgeht, dass das Problem gelöst ist – keinen Spielraum mehr hat zu funktionieren, wenn sich die Risiken schneller bewegen als die Dienstleistungsverträge.
Die Migration, die nicht aufgeschoben werden kann, ohne dass die Kosten sich vervielfachen
Die Vorbereitung auf diese Risiken hat eine finanzielle Eigenschaft, die Verwaltungsräte noch nicht deutlich genug internalisieren: Die Kosten des späten Handelns sind nicht linear. Jeder Monat, der vergeht, ohne das kryptografische Inventar zu beginnen, ohne Kontrollen über interne KI einzurichten und ohne einen Verantwortlichen für das Quanten-Migrationsprogramm zu benennen, ist ein Monat, in dem Legacy-Systeme mehr technische Schulden anhäufen, Anbieter ohne Koordination mit der Organisation voranschreiten und Angreifer mehr Daten mit langfristigem Wert erfassen.
Die Migration zur Post-Quanten-Kryptografie ist der anschaulichste Fall. Systeme, die nicht schnell aktualisiert werden können, sind keine Minderheit. In Branchen wie dem Finanzwesen, dem Gesundheitswesen oder der kritischen Infrastruktur gibt es Komponenten mit Lebenszyklen von Jahrzehnten, die auf kryptografischen Annahmen aufgebaut wurden, die das Quantencomputing zunichte macht. Ihre Ersetzung erfordert Zeit, Geld und Koordination mit Lieferketten, die auch ihre eigenen Systeme aktualisieren müssen. Je später dieser Prozess beginnt, desto enger wird die verfügbare Zeit und desto teurer ist es, ihn abzuschließen, bevor das Risiko sich materialisiert.
Das Muster, auf das Drolet hinweist und das die Anreizanalyse bestätigt, ist folgendes: Organisationen, die diesen Prozess jetzt beginnen, zahlen Kosten, die über die Zeit verteilt sind und innerhalb der ordentlichen Technologie- und Sicherheitsbudgets bewältigbar sind. Diejenigen, die ihn aufschieben, häufen eine Schuld an, die sie auf einen Schlag zahlen müssen – unter regulatorischem, vertraglichem oder wettbewerblichem Druck – zu einem Zeitpunkt, an dem sie weniger Verhandlungsmacht und weniger Zeit haben werden, es richtig zu tun.
Cybersicherheit hat ihre Grundlagen mit der KI nicht verändert und wird sie auch mit dem Quantencomputing nicht ändern. Was sich ändert, sind die Kosten, diese Grundlagen zu ignorieren – und diese Kosten lassen keine schrittweise Abschreibung mehr zu. Organisationen, die die Vorbereitung auf diese Risiken als gegenwärtige Investition behandeln, kaufen Zeit und Handlungsoptionen. Diejenigen, die sie als aufschiebbaren Aufwand betrachten, häufen eine Exposition an, deren Preis letztendlich von jemandem festgesetzt wird, der keinen Anreiz hat, großzügig zu sein.









