Die BaFin warnt die Finanzindustrie vor Gefahren durch Quantencomputing. Banken müssten ihre Systeme, Hardware und Software quantensicher machen, bevor bislang sicher geglaubte Verschlüsselungen geknackt werden könnten. Hier entstünden erhebliche neue Risiken, sagte der für Bankenaufsicht zuständige Exekutivdirektor Nikolas Speer am 4. Dezember bei der virtuellen BaFin-Veranstaltung „IT-Aufsicht im Finanzsektor“.

Kriminelle witterten bereits ihre Chance, auch wenn die Technologie aktuell noch nicht in ihrem Sinne eingesetzt werden könne. „Nach dem Prinzip ,Harvest Now – Decrypt Later‘ sammeln ,bad actors‘ schon heute verschlüsselte Daten, um sie dann später mithilfe von Quantentechnologie zu entschlüsseln“, warnte Speer. Darauf gelte es sich jetzt vorzubereiten, und zwar „ohne genau zu wissen, wann eine praktische Nutzung realistisch ist“.

Das Thema beschäftige Politik wie Aufsicht, machte Speer deutlich. So plane die Europäische Kommission im nächsten Jahr die Einführung eines Quantengesetzes, und auch die BaFin werde sich 2026 intensiver damit auseinandersetzen, wie Quantencomputing aufsichtlich zu behandeln ist.

Auch klassische IT-Probleme und Cyberattacken beschäftigen die Aufseher weiter. Seit dem Start des neuen Regulierungswerks Digital Operational Resilience Act (Dora) am 17. Januar 2025 seien der BaFin mehr als 600 schwerwiegende IT-Vorfälle gemeldet worden, sagte Speer. Dabei handelt es sich in der Regel um IT-Fehler und menschliches Versagen und vergleichsweise selten um Cyberattacken. Dora verpflichtet etwa Banken, Versicherungen, Kryptoverwahrer und Börsen, solche Vorfälle der BaFin als zentraler Meldestelle mitzuteilen, wenn sie bestimmte Schwellenwerte und damit eine gewisse Größenordnung erreichen. Viele Vorfälle und damit Attacken bleiben somit unter dem Radar.

Kein Grund zur Entwarnung also. Die Situation bleibe „angespannt“, sagte Speer. Angriffe auf die deutsche Wirtschaft und die Schadenshöhe nähmen zu. Im Finanzsektor sei zuletzt die Zahl der Vorfallsmeldungen zur Cybersicherheit gestiegen.