Innovation im digitalen Untergrund

Kyber Ransomware: Warum Hacker jetzt auf Post-Quanten-Kryptografie setzen

Quantencomputing, Quantencomputing Luftfahrt, planqc Quantencomputer, planqc, Quantencomputer, Quanten
LinkedInRedditWhatsApp

Die Ransomware Kyber nutzt als erste ihrer Art Post-Quanten-Verschlüsselung. Doch Experten entlarven die Technik als psychologischen Marketing-Trick.

In der Welt der Cybersicherheit gibt es Entwicklungen, die auf den ersten Blick wie ein technologischer Quantensprung wirken, bei genauerer Analyse jedoch ein völlig anderes Motiv offenbaren. Die Sicherheitsfirma Rapid7 veröffentlichte eine detaillierte Analyse einer relativ neuen Ransomware-Familie namens Kyber, wie ars Technica berichtete. Diese Schadsoftware sorgt derzeit für Aufsehen, weil sie als erste ihrer Art offiziell Post-Quanten-Kryptografie (PQC) einsetzt, um die Daten ihrer Opfer zu sichern. Doch während der Begriff nach Science-Fiction und unbezwingbarer Technologie klingt, verfolgen die Hintermänner damit ein primär psychologisches Ziel. Die Wahrheit hinter Kyber legt offen, wie geschickt Kriminelle den aktuellen Diskurs um zukünftige Bedrohungen für ihre eigenen Erpressungsmanöver instrumentalisieren.

Anzeige

Ransomware hat höchste Sicherheitsstufe implementiert

Die Ransomware Kyber, die seit etwa September 2025 aktiv beobachtet wird, nutzt für ihre Operationen den kryptografischen Standard ML-KEM. Dieser Algorithmus, ursprünglich unter dem Namen Kyber bekannt, wurde vom US-amerikanischen National Institute of Standards and Technology (NIST) als einer der ersten Standards für das Post-Quanten-Zeitalter ausgewählt. Er basiert auf mathematischen Problemen in Gitterstrukturen (Lattices), die nach derzeitigem Kenntnisstand weder von heutigen Supercomputern noch von zukünftigen Quantencomputern effizient gelöst werden können. Damit unterscheidet sich ML-KEM grundlegend von heute gängigen Verfahren wie RSA oder der Elliptischen-Kurven-Kryptografie (ECC), die durch leistungsstarke Quantenrechner theoretisch in kurzer Zeit geknackt werden könnten.

Die technische Untersuchung durch Rapid7 ergab, dass die Windows-Variante der Ransomware tatsächlich die höchste Sicherheitsstufe des Standards, ML-KEM1024, implementiert hat. Dabei geht die Schadsoftware in zwei Schritten vor: Zuerst werden die Dateien des Opfers mit dem symmetrischen Verfahren AES-256 verschlüsselt. Dieser Standard gilt ohnehin bereits als quantensicher. Im zweiten Schritt wird der für AES verwendete Schlüssel mittels ML-KEM gekapselt, sodass nur die Angreifer ihn wieder herstellen können. Technisch gesehen bringt dieser Einsatz von PQC zum jetzigen Zeitpunkt jedoch keinerlei praktischen Vorteil für die Angreifer.

Hacker setzen auf Angst

Um heutige Verschlüsselungsverfahren wie RSA oder ECC zu brechen, müssten Quantencomputer den sogenannten Shor-Algorithmus ausführen. Experten sind sich einig, dass solche Rechner noch Jahre, wenn nicht Jahrzehnte von ihrer praktischen Einsetzbarkeit entfernt sind. Seriöse Schätzungen gehen davon aus, dass wirksame Quantenangriffe frühestens in drei bis fünf Jahren eine theoretische Rolle spielen könnten. Da die Erpresser von Kyber ihren Opfern jedoch meist nur eine Frist von 72 Stunden bis zu einer Woche für die Lösegeldzahlung setzen, ist die Sicherheit der Verschlüsselung gegenüber einer Technologie der fernen Zukunft für den aktuellen Vorfall völlig irrelevant.

Anzeige

Warum also der Aufwand? Anna Sirokova, leitende Sicherheitsforscherin bei Rapid7, bezeichnet die Verwendung von ML-KEM als reinen Branding-Gimmick. Für nicht-technische Entscheider, Anwälte oder Vorstände klingt Post-Quanten-Verschlüsselung weitaus furchteinflößender als herkömmliche Begriffe. Es suggeriert eine Endgültigkeit und technologische Überlegenheit, die die Opfer dazu bewegen soll, den Forderungen schneller nachzugeben. Die Angreifer setzen darauf, dass die Angst vor einer unknackbaren Verschlüsselung die Bereitschaft zur Zahlung erhöht, bevor IT-Experten die Situation nüchtern analysieren können.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Vorgehen hat nichts mit Quantensicherheit zu tun

Ein weiterer Punkt, der die Marketing-Theorie stützt, ist die geringe Hürde bei der Implementierung. Moderne Programmiersprachen wie Rust bieten bereits fertige und gut dokumentierte Bibliotheken für ML-KEM an. Ein Ransomware-Entwickler muss diese lediglich als Abhängigkeit in seinen Code aufnehmen. Der Aufwand für die Integration dieser hochmodernen Mathematik ist somit minimal, während der Effekt auf die Wahrnehmung des Opfers maximal ist. Kyber nutzt hierbei den Ruf der Wissenschaft, um sein kriminelles Handwerk aufzuwerten.

Besonders entlarvend ist zudem die Entdeckung von Rapid7 bei einer speziellen Kyber-Variante für VMware-Systeme. Obwohl die Angreifer auch hier behaupteten, Post-Quanten-Algorithmen einzusetzen, zeigte der Blick unter die Haube ein anderes Bild. Tatsächlich wurde für den Schlüsselaustausch herkömmliches RSA mit 4096-Bit-Schlüsseln verwendet. Dies ist zwar ein sehr sicheres Verfahren für heutige Standards, hat aber nichts mit Quantensicherheit zu tun. Dies belegt eindeutig, dass es den Hintermännern primär um das Etikett geht, das sie ihrem Produkt aufkleben, und nicht um die tatsächliche mathematische Absicherung gegen zukünftige Rechner.

Offline-Backup als wirksamstes Mittel gegen Ransomware

Für betroffene Unternehmen bedeutet dies vor allem eines: Ruhe bewahren. Die Verwendung von Post-Quanten-Kryptografie durch Erpresser ändert nichts an der grundlegenden Verteidigungsstrategie. Die Daten sind verschlüsselt, egal ob mit RSA-4096 oder ML-KEM1024. In beiden Fällen ist eine Entschlüsselung ohne den passenden Schlüssel nach heutigem Stand der Technik unmöglich. Die Priorität muss daher weiterhin auf der Prävention durch Multi-Faktor-Authentifizierung, der Segmentierung von Netzwerken und vor allem auf einer robusten Backup-Strategie liegen. Ein Offline-Backup bleibt das wirksamste Mittel gegen Ransomware, unabhängig davon, mit welchen modischen Fachbegriffen die Angreifer hantieren.

Abschließend lässt sich sagen, dass Kyber ein Beispiel für die Professionalisierung des Ransomware-Marktes ist. Die Kriminellen beobachten technologische Trends sehr genau und adaptieren Begriffe aus der Forschung, um ihre psychologische Druckmittel zu verfeinern. Post-Quanten-Kryptografie ist eine notwendige Entwicklung für die langfristige Sicherheit unserer digitalen Infrastruktur. In den Händen von Erpressern ist sie derzeit jedoch vor allem ein Instrument der Einschüchterung. Der Fall mahnt zur Wachsamkeit gegenüber Buzzwords und unterstreicht die Bedeutung einer nüchternen, faktenbasierten Risikobewertung in der IT-Sicherheit.


Autorenbild Lisa Löw

Lisa

Löw

Junior Online-Redakteurin

IT-Verlag

Anzeige
Telekom
27. April 2026
Telekom kündigt eigene „souveräne“ ePA an
Quantencomputing, Quantencomputing Luftfahrt, planqc Quantencomputer, planqc, Quantencomputer, Quanten
27. April 2026
Kyber Ransomware: Warum Hacker jetzt auf Post-Quanten-Kryptografie setzen
Geld Laptop
27. April 2026
Industrialisierte Geldwäsche: „Mule-Account-Fabriken“
Cyberangriff, zwei Angreifer im Netzwerk gleichzeitig, Phishing, was ist Multi-Actor Intrusion, Multi-Actor Intrusion erkennen und verhindern, Multi-Actor Intrusion, Cyberattacke
27. April 2026
Multi-Actor Intrusion: Wenn nicht einer, sondern zwei Angreifer im Netzwerk wirken

Weitere Artikel

Telekom kündigt eigene „souveräne“ ePA an
Hackerangriff auf Bitwarden: Supply-Chain-Malware befällt Entwickler-Tools
McDonald’s als kostenlose ChatGPT-Alternative: Funktioniert der virale Spartrick?
Immer mehr Apps im Alltag: Smartphone-Nutzung nimmt weiter zu
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.