Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Post-Quanten-Kryptographie

Das Risiko ist bereits da: Warum Post-Quanten-Kryptographie nicht länger warten kann

Geschrieben vonShruti Chandan 23 Minuten
Inventar kryptografischer Vermögenswerte
Inhaltsverzeichnis

Der gefährlichste Sicherheitsvorfall, dem Ihr Unternehmen je ausgesetzt sein wird, könnte bereits stattgefunden haben, ohne dass Sie es jahrelang bemerken. Angreifer benötigen keinen Quantencomputer, um einen Angriff zu starten. Sie fangen heute verschlüsselte Daten ab und archivieren sie mithilfe klassischer Infrastruktur – mit dem Ziel, sie später zu entschlüsseln, sobald die entsprechende Technologie verfügbar ist. Die Verschlüsselung, die Ihre Daten heute schützt, ist zwar gegen aktuelle Bedrohungen weiterhin wirksam, doch bei Informationen, die über Jahre oder Jahrzehnte vertraulich bleiben müssen, kann sie den Zeitpunkt der Offenlegung lediglich hinauszögern.

Dies ist die Realität, für deren Bewältigung die Post-Quanten-Kryptographie entwickelt wurde. Im August 2024 finalisierte das NIST die erste drei Post-Quanten-Kryptographiestandards Nach acht Jahren weltweiter Evaluierung sind die Algorithmen fertig. Die regulatorischen Vorgaben sind in Kraft. Dieser Blog beleuchtet die Kehrseite dieser Entwicklung: die spezifischen, sich gegenseitig verstärkenden Risiken für Organisationen, die noch nicht aktiv geworden sind, und warum manche Schäden, die durch Zögern entstehen, durch zukünftige Maßnahmen nicht mehr rückgängig gemacht werden können.

Dieser Blog erklärt, was PQC ist, wie Quantencomputing die Systeme, auf die sich Organisationen heute verlassen, revolutioniert, welche realen Risiken es birgt, den Anschluss zu verpassen, und wie man den Übergang schafft, bevor sich das Zeitfenster schließt.

PQC verstehen

PQC, auch als quantenresistente oder quantensichere Kryptographie bezeichnet, bezieht sich auf kryptographische Algorithmen, die speziell für die Ausführung auf klassischen Computern entwickelt wurden und gleichzeitig gegen Angriffe sowohl von klassischen als auch von Quantencomputern sicher sind.

Das NIST bewertete 69 Erstvorschläge über einen Zeitraum von acht Jahren, bevor es im August 2024 die ersten drei Standards finalisierte. Ein paralleler Weg zur Förderung der Vielfalt an Signaturen, der im September 2022 gestartet wurde, brachte neun weitere Kandidaten im Mai 2026 in die dritte Runde.NIST IR 8610Die aktuell standardisierten und in Entwicklung befindlichen Algorithmen sind:

StandardAlgorithmusTypPrimärer AnwendungsfallSicherheitskategorieStatus
FIPS203ML-KEM (Kyber)GitterbasiertSchlüsselaustausch1, 3, 5Fertigstellung August 2024
FIPS204ML-DSA (Dilithium)Gitterbasiertdigitale Signaturen2, 3, 5Fertigstellung August 2024
FIPS205SLH-DSA (SPHINCS+)Hash-basiertLangfristige/hochsichere Signaturen1, 3, 5Fertigstellung August 2024
FIPS206FN-DSA (FALCON)GitterbasiertKompakte UnterschriftenTBDTiefgang - Draft
HauptquartierHauptquartierCodebasiertBackup KEMTBDAusgewählt im März 2025
Zusätzliche Signaturen (IR 8610)FAEST, HAWK, MAYO, MQOM, QR-UOV, SDitH, SNOVA, SQIsign, UOVKastenwagen/PassagierNicht-GittersignaturdiversitätTBDRunde 3 (Mai 2026)

Hinweis: NIST IR 8610 (Mai 2026) dokumentiert die Aufnahme von neun weiteren Signaturkandidaten in die dritte Runde eines separaten Standardisierungsprozesses. Dieser wurde speziell ins Leben gerufen, um das Portfolio um universelle, nicht-gitterbasierte Signaturen sowie um Verfahren mit kürzeren Signaturen oder schnellerer Verifizierung als SPHINCS+ zu erweitern. Keiner dieser Algorithmen ist bisher standardisiert. Organisationen sollten daher die finalisierten FIPS-Standards jetzt übernehmen und diesen Prozess hinsichtlich zukünftiger Optionen zur Algorithmusvielfalt beobachten.

Da Quantencomputer die Art und Weise verändern, wie wir Sicherheit messen, verwendet das NIST für PQC keine einfache Bitstärkeskala. Stattdessen definiert es fünf Sicherheitskategorien, die jeweils anhand eines spezifischen, gut verstandenen Referenzproblems bewertet werden:

  • Kategorie 1: Entspricht den Kosten für das Knacken von AES-128 mit einem Quantencomputer (Grover-Algorithmus). Geeignet für die meisten allgemeinen Anwendungsfälle.
  • Kategorie 2: Entspricht der Kollisionsresistenz nach SHA-256. Höhere Sicherheit als Kategorie 1.
  • Kategorie 3: entspricht AES-192. Empfohlen für sensible Daten mit längeren Vertraulichkeitsanforderungen.
  • Kategorie 4: entspricht der Kollisionsresistenz nach SHA-384.
  • Kategorie 5: entspricht AES-256. Die höchste Sicherheitsstufe; wird dort eingesetzt, wo langfristige, hohe Sicherheit erforderlich ist, einschließlich Regierungssysteme, nationale Sicherheit und kritische Infrastrukturen.

Eine detaillierte Aufschlüsselung aller fünf Kategorien finden Sie unter NIST PQC-Sicherheitsstufen: Ein Leitfaden zu den Kategorien 1–5.

Warum PQC benötigt wird

PQC verfolgt ein klares Ziel: die Algorithmen zu ersetzen, die Quantencomputer knacken werden – und zwar bevor diese Computer gegen uns eingesetzt werden können. Doch der tiefere Sinn liegt weniger in der einzelnen Migration selbst, sondern vielmehr in den Herausforderungen, denen sich Organisationen durch diese Migration stellen müssen.

Ziel von PQC ist es, Daten und Systeme zukunftssicher für eine Welt zu machen, in der großflächige Quantencomputer einsatzbereit sind, ohne die bestehende Infrastruktur zu beeinträchtigen oder zu ersetzen. Konkret ist PQC darauf ausgelegt:

  • Schutz der langfristigen Datenvertraulichkeit: Daten, die über Jahre vertraulich bleiben müssen, darunter Gesundheitsdaten, Finanztransaktionen, Rechtsdokumente und nationale Sicherheitskommunikation, müssen vor Angreifern geschützt werden, die verschlüsselten Datenverkehr sammeln, um ihn später zu entschlüsseln. Dies ist die sogenannte „Harvest Now, Decrypt Later“-Bedrohung (HNDL). Angreifer benötigen heute keinen Quantencomputer, um diese Bedrohung auszunutzen. Sie sammeln und speichern bereits jetzt verschlüsselte Daten mit der Absicht, sie zu entschlüsseln, sobald ein leistungsfähiger Quantencomputer verfügbar ist. Daher ist die Einführung von PQC (Process Quantum Computer) eine sofortige und keine zukünftige Notwendigkeit.
  • Digitale Identität und Vertrauen bewahren: Digitale Signaturen bilden die Grundlage des Vertrauens in modernen Systemen. Sie bestätigen, dass ein Zertifikat dem angegebenen Inhaber gehört, die Software vom angegebenen Herausgeber stammt und das Dokument unverändert ist. Können diese Signaturen gefälscht werden, bricht das digitale Vertrauen zusammen. PQC-Signaturen sind so konzipiert, dass sie auch in einer postquantenmechanischen Welt fälschungssicher bleiben.
  • Modernisierung bestehender PKI und Protokollkryptografie: PQC-Algorithmen werden durch hybride Erweiterungen in bestehende Protokolle integriert. Für TLS 1.3 hat die IETF einen hybriden Schlüsselaustausch standardisiert, der klassisches Elliptic-Curve-Diffie-Hellman mit Post-Quantum-KEMs wie ML-KEM kombiniert. Ähnliche Integrationsarbeiten laufen für SSH, X.509-Zertifikate und bestehende PKI-Frameworks. Unternehmen müssen ihre Infrastruktur nicht ersetzen; sie müssen lediglich die darin laufende kryptografische Schicht aktualisieren. Der Übergang ist so konzipiert, dass er mit den bereits vorhandenen Systemen kompatibel ist.
  • Einhaltung regulatorischer und Compliance-Anforderungen: Bundesvorgaben der NSA, CISA und Erlasse der Exekutive fordern quantensichere Kryptografie in allen Bundessystemen; die entsprechenden Fristen sind bereits in Kraft. Die finalisierten Standards des NIST definieren die technische Grundlage, die diese Vorgaben erfordern. Für Organisationen in regulierten Umgebungen ist die Einführung von PQC (Process Qualification Cryptography) verpflichtend, und die Fristen sind bereits abgelaufen.

Ein zentrales Designziel, das sich durch das gesamte Projekt zieht, ist Krypto-AgilitätDas heißt, die Fähigkeit, kryptografische Algorithmen auszutauschen, ohne die zugrunde liegenden Systeme neu aufbauen zu müssen. Das NIST definiert Krypto-Agilität formal als die notwendigen Fähigkeiten, um kryptografische Algorithmen in Protokollen, Anwendungen, Software, Hardware und Firmware zu ersetzen und anzupassen und dabei die Sicherheit und den laufenden Betrieb zu gewährleisten. Dies ist wichtig, da die Migration zu PQC nicht der letzte kryptografische Übergang sein wird. Auch ML-KEM und ML-DSA sind nicht von Dauer.

Die Geschichte der Kryptographie macht dies deutlich. DES wurde durch AES ersetzt, SHA-1 durch SHA-2, und RSA Mit zunehmender Rechenleistung wurden die Schlüssellängen wiederholt erhöht. Jeder dieser Übergänge erforderte erhebliche organisatorische Anstrengungen und kam für diejenigen, die ihn nicht eingeplant hatten, unerwartet. Dieselben Kräfte, die diese Übergänge antrieben, wirken auch heute noch. Systeme zu entwickeln, die sich an zukünftige Algorithmusänderungen anpassen können, unterscheidet eine robuste kryptografische Sicherheitsarchitektur von einer einmaligen Lösung.

Wie Quantencomputing die moderne Kryptographie bedroht

Nachdem wir nun verstanden haben, was PQC ist und wofür es entwickelt wurde, ist es hilfreich, genauer hinzusehen, wovor wir uns schützen, insbesondere wie Quantencomputer die Systeme bedrohen, auf die sich Organisationen täglich verlassen.

Die Sicherheit von RSA und ECC beruht auf mathematischen Problemen, die klassische Computer nicht effizient genug lösen können, um Angriffe praktisch durchführbar zu machen. Der bekannteste klassische Algorithmus für RSA, das Allgemeine Zahlkörpersieb (GNFS), hat eine subexponentielle Laufzeit. Das bedeutet, dass die Faktorisierung großer RSA-Schlüssel innerhalb eines praktikablen Zeitraums rechnerisch nicht möglich ist. Bei ECC ist das zugrundeliegende Problem des diskreten Logarithmus klassisch noch schwieriger; die besten bekannten Angriffe benötigen eine vollständig exponentielle Laufzeit. In beiden Fällen gilt die mathematische Aussage nicht, weil die Probleme theoretisch unlösbar wären, sondern weil ihre Lösung bei den in der Praxis verwendeten Schlüssellängen für klassische Computer einen unpraktikablen Zeitaufwand bedeuten würde.

Quantencomputer verändern die Situation grundlegend. Shors Algorithmus löst sowohl die Faktorisierung ganzer Zahlen als auch das Problem des diskreten Logarithmus in Polynomialzeit auf Quantenhardware und bricht damit die Sicherheitsannahmen von RSA, Diffie-Hellman und allen ECC-Varianten mit einem einzigen algorithmischen Schritt zusammen. Dies sind keine geringfügigen Verbesserungen der Angriffseffizienz, sondern fundamentale Sicherheitslücken. Sobald ein kryptografisch relevanter Quantencomputer (CRQC) existiert, werden die Algorithmen, die heute den Großteil des Internetverkehrs sichern, nicht schwächer, sondern geknackt.

Symmetrische Kryptographie ist widerstandsfähiger. Grovers Algorithmus ermöglicht zwar eine Quantenbeschleunigung, halbiert aber die effektive Sicherheit. Eine Verdopplung der Schlüssellänge (AES-256 statt AES-128) gilt als angemessene Reaktion.

Die größte Schwachstelle liegt in der asymmetrischen Public-Key-Kryptographie. Anders als symmetrische Algorithmen beziehen asymmetrische Systeme ihre Sicherheit aus mathematischen Problemen, insbesondere der Faktorisierung ganzer Zahlen und diskreten Logarithmen, die Shors Algorithmus exponentiell schneller lösen kann als jeder klassische Computer. Dies ist keine geringfügige Schwächung, sondern ein fundamentaler Bruch. Eine Anpassung der Schlüssellänge kann dieses Problem nicht beheben, da die zugrunde liegende mathematische Annahme vollständig hinfällig ist. Ein ausreichend leistungsstarker Quantencomputer, der Shors Algorithmus ausführt, würde RSA, Diffie-Hellman und ECC nicht nur schwächen, sondern sie brechen.

Aus diesem Grund konzentriert sich PQC fast ausschließlich auf den Ersatz asymmetrischer Algorithmen.

1. Jetzt ernten, später entschlüsseln (HNDL)

Die unmittelbarste Bedrohung erfordert heute keine CRQC (Quanten- und Quantenverschlüsselung). Staatliche Akteure und gut ausgestattete Angreifer sammeln und speichern bereits verschlüsselte Daten, um sie nach Verfügbarkeit von Quantentechnologie zu entschlüsseln. Dies ist der sogenannte „Ernte-jetzt-Entschlüsselung-später“-Angriff (HNDL), und er ist nicht theoretisch, sondern operativ rational und findet bereits statt.

Für Organisationen, die Daten mit langfristigen Datenschutzanforderungen übertragen – darunter Gesundheitsdaten, Finanztransaktionen, behördliche Kommunikation, geistiges Eigentum und Verträge –, kann das Zeitfenster für einen effektiven Datenleck bereits geöffnet sein. Angreifer benötigen keinen Quantencomputer, um einen Angriff zu starten. Sie fangen heute verschlüsselte Daten mithilfe klassischer Infrastruktur ab und archivieren sie, um sie zu entschlüsseln, sobald ein leistungsfähiger Quantencomputer verfügbar ist. Die derzeitige Verschlüsselung bietet keine Garantie für Vertraulichkeit in einer postquantentechnischen Welt. Sie verzögert lediglich den Zeitpunkt der Offenlegung. Bis ein Quantencomputer verfügbar ist, befinden sich die Daten bereits in den Händen der Angreifer.

2. PKI- und Zertifikatsinfrastruktur

Die meisten PKI-Implementierungen basieren vollständig auf Algorithmen, die Quantencomputer knacken können. Zertifizierungsstellen, TLS-Zertifikate, S/MIME, Gerätezertifikate und Identitätstoken verwenden alle RSA oder ECC. Wenn ein Quantencomputer diese Algorithmen knackt, versagt die gesamte Vertrauenskette der PKI.

Ein Angreifer mit einem CRQC könnte:

  • Fälschen Sie Zertifikate und geben Sie sich als beliebiger vertrauenswürdiger Server, Gerät oder Identität aus.
  • Archivierte TLS-Sitzungsaufzeichnungen nachträglich entschlüsseln
  • Umgehung der gegenseitigen TLS-Authentifizierung in Zero-Trust-Architekturen
  • Die Vertrauenskette für Stamm- und Zwischenzertifizierungsstellen wird ungültig gemacht.

Die Migration einer PKI ist kein einfaches Software-Update. Sie erfordert die Neuausstellung von Zertifikaten in der gesamten Infrastruktur, die Aktualisierung von Stamm- und Zwischenzertifizierungsstellen, die Überprüfung der Kompatibilität mit allen abhängigen Anwendungen und die reibungslose Durchführung des Übergangs. Selbst unter idealen Bedingungen dauert dieser Prozess Jahre.

3. Codesignierung

Die Codesignierung ist der Mechanismus, der die Echtheit von Software garantiert: dass sie vom angegebenen Herausgeber stammt und nicht manipuliert wurde. Die meisten Codesignierungsinfrastrukturen verwenden heute RSA oder ECDSAEin Quantencomputer, der diese Signaturen fälschen kann, schafft einen direkten Weg für die großflächige Verbreitung von Schadsoftware.

Die Konsequenzen sind konkret:

  • Schadsoftware kann mit einer gültig aussehenden gefälschten Signatur verpackt und über offizielle Software-Update-Kanäle verbreitet werden, wodurch Endpoint-Detection-Tools vollständig umgangen werden.
  • Die Firmware für kritische Infrastrukturen kann durch bösartige Versionen ersetzt werden, die die Signaturprüfung bestehen.
  • Zuvor signierte Softwarepakete werden unzuverlässig, da historische Signaturen nachträglich gefälscht werden können.

CISA-Leitfaden „Überlegungen zur Betriebstechnologie nach der Quantenberechnung“ vom Oktober 2024 Identifiziert explizit die Firmware-Integrität und die Gefährdung des sicheren Bootvorgangs als Hauptrisiken für vernetzte OT- und IoT-Systeme.

4. Andere betroffene Systeme

Die Quantenanfälligkeit erstreckt sich auf jedes System, das asymmetrische Kryptographie verwendet:

SystemRisiko
VPNs und IPsecDer Diffie-Hellman-Schlüsselaustausch wird angreifbar, wodurch Angreifer abgefangene VPN-Sitzungen entschlüsseln können.
SSHRSA- und ECDSA-Hostschlüssel werden anfällig für Identitätsdiebstahl, wodurch Man-in-the-Middle-Angriffe auf Remote-Zugriffssitzungen ermöglicht werden.
Blockchain und KryptowährungBei ECC-basierten Wallet-Schlüsselpaaren können private Schlüssel von öffentlichen Schlüsseln abgeleitet werden, was Diebstahl und Transaktionsfälschung ermöglicht, ohne dass jemals auf das Gerät des Benutzers zugegriffen werden muss.
IoT- und OT-GeräteEingebettete Systeme, die RSA oder ECC zur Geräteauthentifizierung verwenden, können oft nicht im Feld aktualisiert werden, sodass der Austausch der Hardware unter Umständen die einzige Lösungsmöglichkeit darstellt.
E-Mail-SicherheitS/MIME- und PGP-verschlüsselte E-Mails unterliegen der HNDL-Erfassung; signierte E-Mails werden fälschbar, sobald RSA- oder ECDSA-Signaturen geknackt werden können.

CBOM

Erhalten Sie vollständige Transparenz durch kontinuierliche kryptografische Erkennung, automatisierte Inventarisierung und datengesteuerte PQC-Sanierung.

Demo buchen

Risiken bei Nichtumstellung auf PQC

Die Bedrohung zu erkennen ist das eine. Zu verstehen, welche Kosten Untätigkeit für ein Unternehmen – operativ, finanziell und reputationsbezogen – mit sich bringt, ist etwas ganz anderes. Im Folgenden werden die Hauptrisiken für Unternehmen aufgeführt, die die Einführung von PQC verzögern oder vermeiden.

1. Datenschutzverletzungen und Verlust der Vertraulichkeit

Sobald ein CRQC in Betrieb ist, können alle durch RSA- oder ECC-Verschlüsselung geschützten Daten entschlüsselt werden, darunter Datenbanken, archivierte E-Mails, vergangene Transaktionen und Kommunikationsdaten. Aufgrund von HNDL hat dieser Risikoprozess jedoch bereits begonnen. Organisationen in den folgenden Branchen mit langen Aufbewahrungsfristen für Daten sind dem höchsten Risiko ausgesetzt:

  • Persönlich identifizierbare Informationen (PII), geschützte Gesundheitsdaten und Finanzdaten werden rückwirkend zugänglich.
  • Durch die Auswertung historischer Datenspeicher können Geschäftsgeheimnisse, Forschungsdaten und geistiges Eigentum offengelegt werden.
  • Regierungs- und Justizkommunikation, die vor Jahren verschlüsselt wurde, könnte möglicherweise noch vor Ablauf der Geheimhaltungsfrist entschlüsselt werden.

2. Vertrauensverlust in digitale Systeme

Digitales Vertrauen beruht auf der Annahme, dass Signaturen echt sind und Zertifikate den Aussteller korrekt identifizieren. Wenn RSA- und ECC-Signaturverfahren versagen, bricht diese Annahme im gesamten Ökosystem zusammen.

  • Durch gefälschte Code-Signaturzertifikate kann Schadsoftware über legitime Update-Kanäle verbreitet werden, ohne dass Endbenutzer oder Endpoint-Sicherheitstools eine sichtbare Warnung erhalten.
  • Die TLS-Zertifikatsfälschung ermöglicht es Angreifern, die Kommunikation von Benutzern abzufangen, die glauben, mit einem vertrauenswürdigen Dienst verbunden zu sein.
  • Die zertifikatsbasierte Geräteidentität wird unzuverlässig, wodurch nicht autorisierte Geräte die Authentifizierungsprüfungen bestehen können.
  • Systeme zur Identitätsprüfung mittels digitaler Zertifikate (Smartcards, FIDO-Token, Gerätezertifikate) werden direkt untergraben.

Der Reputations- und Betriebsschaden, der durch eine Kompromittierung der Zertifikatsinfrastruktur entsteht, reicht weit über das technische Versagen selbst hinaus.

3. Regulatorische und Compliance-Risiken

Die Anforderungen an die Einhaltung der PQC-Richtlinien sind nicht länger hypothetisch. Verbindliche Vorgaben sind bereits in Kraft:

MandatDetails
NSM-10Verpflichtet Bundesbehörden, quantenanfällige Systeme zu inventarisieren und auf PQC umzusteigen, um das Quantenrisiko bis 2035 so weit wie möglich zu minimieren. Die Behörden sind verpflichtet, jährlich kryptografische Inventare sowohl an CISA als auch an das Office of the National Cyber ​​Director (ONCD) zu übermitteln, wobei die erste Einreichungsfrist im Mai 2023 abgelaufen ist.
NSA CNSA 2.0 Die Einführung von PQC für nationale Sicherheitssysteme erfolgt schrittweise und systemspezifisch. Netzwerkgeräte wie VPNs und Router müssen bis 2030 ausschließlich CNSA 2.0 nutzen; Betriebssysteme, Cloud-Dienste, Anwendungen und Altsysteme müssen bis 2033 umgestellt sein; die vollständige Migration aller nationalen Sicherheitssysteme ist bis 2035 geplant.
Executive Order 14306 Bundesbehörden sind verpflichtet, in Kategorien, in denen quantensichere Alternativen weit verbreitet sind, nur noch PQC-fähige Produkte zu beschaffen. CISA veröffentlichte in Abstimmung mit der NSA die erste Liste der Produktkategorien am 23. Januar 2026 und wird diese regelmäßig aktualisieren.
Memorandum des CIO des Kriegsministeriums Alle Komponenten des Verteidigungsministeriums sind verpflichtet, sämtliche kryptografischen Systeme in allen Systemtypen, einschließlich nationaler Sicherheitssysteme, Waffensysteme, Cloud-Funktionen, mobiler Geräte, IoT und Betriebstechnologie, zu erfassen; Verantwortliche für die Migration von PQC auf Komponentenebene zu benennen; und die Protokolle zur Verteilung vorab geteilter Schlüssel und symmetrischer Schlüssel bis spätestens 31. Dezember 2030 schrittweise durch NIST-zugelassene PQC-Algorithmen zu ersetzen. Das Memorandum verbietet außerdem das Testen, die Beschaffung und die Verwendung von Quantenschlüsselverteilung für Sicherheitszwecke.

Für Organisationen außerhalb des direkten Zuständigkeitsbereichs der Bundesregierung entwickeln sich branchenspezifische Anforderungen in dieselbe Richtung, wenn auch in unterschiedlichen Stadien der Formalisierung. Ein im Januar 2025 veröffentlichter Vorschlag zur Aktualisierung der HIPAA-Sicherheitsregel sieht die verpflichtende Verschlüsselung aller elektronisch geschützten Gesundheitsdaten vor. Organisationen, die heute lediglich klassische Verschlüsselung einsetzen, stehen vor einer zweiten, weitreichenderen Migration, sobald quantensichere Verschlüsselung zum regulatorischen Standard wird. PCI DSS 4.0 verpflichtet Organisationen bereits zur Führung eines kryptografischen Inventars und eines Migrationsplans für veraltete Algorithmen. Finanzinstitute und Betreiber kritischer Infrastrukturen sollten mit expliziten Anforderungen an die Quantenverschlüsselung (PQC) rechnen, sobald sich die Rahmenbedingungen weiterentwickeln. Organisationen, die die Migration verzögern, setzen sich einer Reihe sich gegenseitig verstärkender Konsequenzen aus, darunter die folgenden:

  • Ausschluss von öffentlichen Beschaffungsaufträgen, da die Fähigkeit zur Qualitätskontrolle (PQC) zur Voraussetzung für den Anbieter wird.
  • Bußgelder und Durchsetzungsmaßnahmen drohen, da die Datenschutzbestimmungen aktualisiert werden und quantensichere Verschlüsselung vorschreiben.
  • Die Ergebnisse der Prüfung weisen darauf hin, dass die fortgesetzte Verwendung veralteter Algorithmen eine wesentliche Sicherheitslücke darstellt.

4. Steigende Betriebs- und Migrationskosten

Das NIST hat in SP 1800-38 und CSWP 39 wiederholt betont, dass die meisten aktuellen Systeme nicht auf kryptografische Agilität ausgelegt sind. Das bedeutet, dass ein Algorithmuswechsel in der Regel eine umfassende Überarbeitung und nicht nur ein einfaches Update erfordert. Je länger Organisationen warten, desto größer wird dieses Problem.

  • Systeme werden im Laufe der Zeit immer stärker miteinander verwoben, voneinander abhängig und resistenter gegen Veränderungen.
  • Bei älteren Geräten in OT-, ICS- und Gesundheitsumgebungen kann es vorkommen, dass ein Hardwareaustausch anstelle von Softwareaktualisierungen erforderlich ist.
  • Organisationen, die unvorbereitet auf regulatorische Fristen stoßen, sehen sich mit einem engen Zeitplan konfrontiert, der überstürzte und risikoreiche Migrationen erzwingt.
  • Eine reaktive Migration unter Zeitdruck ist wesentlich teurer und mit größeren Störungen verbunden als ein schrittweiser, geplanter Übergang, der lange im Voraus begonnen wird.

Organisationen, die frühzeitig handeln, haben einen Vorteil, der sich mit der Zeit verstärkt. Jeder Monat Vorbereitung reduziert später Kosten, Risiken und Störungen.

5. Lieferketten- und Drittparteienrisiken

Selbst eine vollständig migrierte interne Umgebung bleibt angreifbar, wenn kritische Anbieter, Softwarelieferanten oder Managed Service Provider weiterhin auf quantenanfällige Algorithmen setzen. Firmware-Signierung, PKI-Infrastruktur, Hardware-Sicherheitsmodule und Software-Update-Mechanismen von Drittanbietern stellen potenzielle Angriffsflächen dar, und die meisten Unternehmen haben nur begrenzten Einblick, welche ihrer Lieferanten quantensicher sind.

  • Softwareanbieter, deren Update-Pakete mit RSA oder ECDSA signiert sind, stellen ein Codesignaturrisiko dar, das sich auf jede Kundenumgebung auswirkt, die sie bedienen.
  • Managed Service Provider und Cloud-Plattformen, die verschlüsselte Daten verarbeiten oder kryptografische Schlüssel im Auftrag von Kunden verwalten, erben und erweitern jede Quanten-Schwachstelle, die in der zugrunde liegenden Infrastruktur, auf der sie arbeiten, vorhanden ist.
  • Hardware-Lieferanten wie HSM-Anbieter, TPM-Hersteller und Netzwerkgeräteanbieter benötigen möglicherweise Firmware-Updates oder einen Hardware-Austausch zur Unterstützung von PQC; die Beschaffungszeiten für diese Komponenten können 12 bis 24 Monate betragen.
  • Drittanbieterbibliotheken und Open-Source-Abhängigkeiten, die in Anwendungen eingebettet sind, enthalten oft fest codierte kryptografische Implementierungen, die für Standard-Softwareinventare unsichtbar und gegen schnelle Patches resistent sind.

NIST-SP 1800-38 Die Bereitschaft von Drittanbietern und der Lieferkette wird ausdrücklich als Voraussetzung für die Migration genannt. Die PQC-Fähigkeit sollte bewertet und in Lieferantenverträgen, Ausschreibungen und Beschaffungskriterien gefordert werden.

Wie man sich auf die PQC vorbereitet

NIST, CISA und die NSA empfehlen jeweils einen strukturierten Migrationsansatz, der auf NIST SP 1800-38 und den CISA-Richtlinien zur Quantenbereitschaft basiert. Die folgenden Schritte spiegeln diesen Rahmen wider:

Schritt 1: Erstellen Sie ein kryptografisches Inventar

Zunächst einmal müssen Organisationen wissen, wo die Kryptografie angesiedelt ist. Kryptografische Stückliste Die Zertifikatsliste (CBOM) bildet die Grundlage für dieses Inventar. Sie sollte Folgendes dokumentieren: jedes Zertifikat und dessen Ausstellungsalgorithmus; alle Schlüsselverwaltungssysteme und Schlüsselaustauschmechanismen; jede Anwendung und jeden Dienst, der TLS, SSH, S/MIME oder andere kryptografische Protokolle implementiert; eingebettete Geräte und OT/IoT-Geräte, die Kryptografie verwenden; sowie Abhängigkeiten von Drittanbietern und vom Hersteller bereitgestellte Systeme. NIST SP 1800-38 definiert dieses Inventar als Voraussetzung für jede nachfolgende Migrationsentscheidung.

Schritt 2: Priorisierung nach Risiko

Nicht alle Systeme müssen gleichzeitig migriert werden. Die Priorisierung sollte sich nach der Sensibilität der Daten, der Dauer der erforderlichen Vertraulichkeit und dem Risiko der Offenlegung sensibler Daten richten. Systeme, die langlebige sensible Daten schützen, sollten zuerst migriert werden. Das NIST empfiehlt eine Risikomanagement-Methodik, die sowohl die Kritikalität der Daten als auch den technischen Aufwand der Migration jedes Systems berücksichtigt.

Schritt 3: Erstellung eines stufenweisen Migrationsplans

Ein strukturierter Fahrplan sollte Folgendes festlegen: Zielalgorithmen (ML-KEM für den Schlüsselaustausch, ML-DSA für Signaturen in den meisten Fällen, SLH-DSA, wenn langfristige oder hochsichere Signaturen erforderlich sind), Protokollmigrationspfade für TLS, SSH, PKI und andere betroffene Systeme sowie Zeitpläne, die an regulatorische Fristen gekoppelt sind. Wo Systeme nicht sofort migriert werden können, gewährleistet hybride Kryptografie, die sowohl klassische als auch PQC-Algorithmen parallel verwendet, die Interoperabilität während der Übergangsphase.

Schritt 4: Lieferanten- und Lieferkettenbereitschaft bewerten

Die NIST SP 1800-38-Reihe, die CISA-Leitlinien zur Quantenbereitschaft und umfassendere Rahmenwerke der Bundesregierung zur Migration von PQC betonen, dass Quantenbereitschaft nicht an den eigenen Perimeter einer Organisation enden darf. Organisationen sollten frühzeitig mit Technologieanbietern in Kontakt treten, klare Fahrpläne für Quantenbereitschaft anfordern und PQC-Fähigkeiten in die Anbieterbewertung und Beschaffungsentscheidungen einbeziehen. Selbst eine vollständig migrierte interne Umgebung bleibt gefährdet, wenn die Firmware-Signatur, die PKI-Infrastruktur oder die Hardware-Sicherheitsmodule eines kritischen Anbieters weiterhin quantensicher sind. PQC-Fähigkeiten sollten daher zu einem Standardbeschaffungskriterium werden. Die von der CISA gemäß Executive Order 14306 veröffentlichte Produktkategorienliste bietet eine praktische Referenz zur Identifizierung von Produktkategorien, für die bereits weit verbreitete quantensichere Alternativen verfügbar sind.

Schritt 5: Krypto-Agilität einbauen

Der Übergang zu ML-KEM und ML-DSA ist notwendig, aber nicht das Endziel. Das NIST finalisiert derzeit FIPS 206 (FN-DSA) und treibt die Standardisierung von HQC voran. Zukünftige Algorithmusaktualisierungen sind unausweichlich, da sich die Kryptographie stetig weiterentwickelt. Krypto-Agilität bedeutet, fest codierte Algorithmusabhängigkeiten zu vermeiden, die Durchsetzung kryptographischer Richtlinien zu zentralisieren und in Tools zu investieren, die kontinuierliche Transparenz über den eigenen kryptographischen Status gewährleisten. Ziel ist es, den nächsten Übergang geordnet und nicht disruptiv zu gestalten.

Um in der Praxis kryptografische Agilität zu erreichen, sind wohlüberlegte Architekturentscheidungen erforderlich. Organisationen sollten kryptografische Funktionen in zentralen Bibliotheken oder Diensten abstrahieren, anstatt algorithmenspezifische Logik in einzelne Anwendungen einzubetten. Schlüsselverwaltungssysteme, Zertifizierungsstellen und TLS-Konfigurationen sollten so konzipiert sein, dass sie die Aushandlung und den schnellen Austausch von Algorithmen unterstützen, ohne dass Änderungen auf Anwendungsebene erforderlich sind. kryptographische Entdeckung Die Tools gewährleisten, dass der in Schritt 1 erstellte Bestand mit der Weiterentwicklung der Systeme nicht veraltet. Dank dieser Funktionen ist das Unternehmen in der Lage, bei der nächsten Algorithmusänderung – sei es aufgrund eines neuen Standards, einer veralteten Funktion oder einer unvorhergesehenen Sicherheitslücke – innerhalb von Wochen, nicht Jahren, zu reagieren.

Diese fünf Schritte bilden den Migrationsrahmen, den führende Unternehmen heute anwenden. Die Herausforderung besteht für die meisten nicht darin, zu verstehen, was zu tun ist, sondern darin, über das nötige Fachwissen, die passenden Werkzeuge und die erforderlichen Kapazitäten zu verfügen. Genau hier setzt Encryption Consulting an und unterstützt Unternehmen beim Übergang vom Rahmenkonzept zur praktischen Umsetzung.

PQC-Beratungsdienste

Erreichen Sie die Post-Quanten-Bereitschaft mit einer von Experten geleiteten kryptografischen Bewertung, einer Migrationsstrategie und einer praktischen Implementierung gemäß den NIST-Standards.

Mehr erfahren

Wie kann Verschlüsselungsberatung helfen?

Wenn Sie sich fragen, wo und wie Sie Ihre Reise in die Post-Quanten-Verschlüsselung beginnen sollen, steht Ihnen Encryption Consulting zur Seite. Sie können auf uns als Ihren vertrauenswürdigen Partner zählen, und wir begleiten Sie Schritt für Schritt mit Klarheit, Zuversicht und praktischer Expertise. PQC Beratungsdienste Sie wurden entwickelt, um Sie durch jede Phase Ihrer postquantenmechanischen Transformation zu begleiten.

Kryptografische Erkennung und Inventarisierung

Wir scannen Zertifikate, Schlüssel, Algorithmen, Bibliotheken und Protokolle in Ihrer gesamten IT-Umgebung, einschließlich Endpunkten, Anwendungen, APIs, Netzwerkgeräten, Datenbanken und eingebetteten Systemen. Wir identifizieren alle On-Premise-, Cloud- und Hybridsysteme mithilfe von Kryptografie und erfassen wichtige Metadaten wie Algorithmustypen, Schlüssellängen, Ablaufdaten und Zertifikatsketten. Das Ergebnis ist eine detaillierte Inventardatenbank, die als Grundlage dient für Risikobewertung und Migrationsplanung.

PQC-Bewertung

Wir analysieren Ihre IT-Umgebung hinsichtlich ihrer Quantensicherheit durch Interviews mit den Beteiligten und die Untersuchung kryptografischer Elemente, insbesondere solcher, die auf RSA, ECC und anderen gefährdeten Algorithmen basieren. Wir bewerten PKI- und HSM-Konfigurationen hinsichtlich ihrer Post-Quantensicherheit und kennzeichnen Anwendungen mit fest codierten kryptografischen Abhängigkeiten. Abschließend erhalten Sie einen Bericht mit einer Bestandsaufnahme der gefährdeten Assets, Risikobewertungen und einem priorisierten Migrationsplan.

PQC-Strategie und -Roadmap

Wir entwickeln eine maßgeschneiderte, phasenweise Migrationsstrategie, die auf Ihre geschäftlichen, technischen und regulatorischen Anforderungen abgestimmt ist und Ihre Risikobereitschaft, die NIST-Standards sowie die Empfehlungen der NSA CNSA 2.0 berücksichtigt. Zu den Ergebnissen gehören aktualisierte Sicherheitsrichtlinien, Verfahren für das Schlüsselmanagement und ein detaillierter Fahrplan mit kurz-, mittel- und langfristigen Meilensteinen für die Pilot-, Hybrid- und vollständige Implementierungsphase.

Anbieterbewertung und Proof of Concept

Wir unterstützen Sie bei der Auswahl und Validierung der passenden Tools und Partner für Ihre Post-Quantum-Ziele, definieren Ihre Anforderungen an Angebotsanfragen (RFI/RFP), erstellen eine Vorauswahl PQC-fähiger Anbieter und führen PoC-Tests in isolierten Umgebungen durch. Sie erhalten eine Anbietervergleichsmatrix und einen Empfehlungsbericht basierend auf praktischen Erkenntnissen.

Pilottests und Skalierung

Wir validieren die Migration durch kontrollierte Pilotprojekte, in denen wir neue kryptografische Modelle in Sandbox-Umgebungen testen, die Interoperabilität mit bestehenden und älteren Systemen bestätigen und Feedback von IT-, Sicherheits- und Business-Teams einbeziehen. Nach erfolgreicher Validierung unterstützen wir einen schrittweisen, skalierbaren Rollout mit kontinuierlicher Überwachung und Optimierung.

PQC-Implementierung

Wir führen die vollständige Migration durch und implementieren hybride klassische und quantensichere Modelle für Abwärtskompatibilität. Dabei führen wir PQC in PKI, Anwendungen, Infrastruktur, Cloud-Diensten und APIs ein und bieten praxisnahe Schulungen sowie technische Dokumentation. Wir etablieren Überwachungs- und Lebenszyklusmanagementprozesse, um den kryptografischen Zustand zu verfolgen und zukünftige Upgrades zu unterstützen.

Der Übergang zu quantensicherer Kryptografie ist ein großer Schritt, den Sie aber nicht allein bewältigen müssen. Eine erfolgreiche Migration beginnt damit, zu verstehen, wo in Ihrer Umgebung Kryptografie eingesetzt wird und welche Assets anfällig für Bedrohungen des Quantenzeitalters sein könnten.

CBOM Secure

Unsere CBOM Secure Diese Lösung bewältigt die Herausforderung, indem sie kryptografische Assets im gesamten Unternehmen kontinuierlich erkennt und inventarisiert. Anstatt auf manuelle Nachverfolgung und Tabellenkalkulationen angewiesen zu sein, erhalten Sicherheitsteams einen zentralen Überblick über Schlüssel, Zertifikate, Algorithmen, kryptografische Bibliotheken, Protokolle und Abhängigkeiten in ihrer gesamten Umgebung. 

Dank dieser Transparenz können Unternehmen schnell quantenanfällige Algorithmen identifizieren, Systeme lokalisieren, die möglicherweise einer Behebung bedürfen, und Migrationsmaßnahmen anhand von Risiko und Geschäftsauswirkungen priorisieren. Unser CBOM Secure hilft zudem, versteckte kryptografische Abhängigkeiten aufzudecken, die andernfalls Post-Quanten-Initiativen verzögern oder unerwartete operative Herausforderungen während der Migration verursachen könnten. 

Über die Quantencomputing-Fähigkeit hinaus verbessert unser CBOM Secure die gesamte kryptografische Governance, indem es Teams bei der Pflege präziser Inventarlisten, der Überwachung kryptografischer Änderungen sowie bei Compliance- und Sicherheitsbewertungen unterstützt. Die kontinuierliche Erkennung gewährleistet, dass die Inventarlisten stets aktuell bleiben, auch wenn sich Infrastruktur, Anwendungen und Cloud-Ressourcen im Laufe der Zeit ändern. 

Mit Encryption Consulting an Ihrer Seite erhalten Sie die richtige Beratung und Expertise, um eine robuste und zukunftssichere Sicherheitsarchitektur aufzubauen. Kontaktieren Sie uns unter [E-Mail geschützt] und lassen Sie uns einen individuellen Fahrplan erstellen, der auf die spezifischen Anforderungen Ihres Unternehmens abgestimmt ist.

Fazit

Quantencomputing ist nicht das Problem. Es ist der Beweis dafür, dass sich die Kryptographie verändert und dass alles, was darauf aufbaut, so konzipiert sein muss, dass es sich mit ihr verändert.

PQC existiert, weil Normengeber, Regierungen und die globale Sicherheitsgemeinschaft diese Realität frühzeitig erkannt und entsprechend gehandelt haben. Die wichtigsten Algorithmen sind standardisiert. Die Migrationsrichtlinien sind veröffentlicht. Die regulatorischen Fristen sind festgelegt. Nach acht Jahren umfassender globaler Evaluierung ist die kryptografische Grundlage geschaffen. Die Standards existieren, und der Weg ist frei. Organisationen müssen nun nur noch beginnen.

Die Risiken des Nichtstuns sind real. Daten werden bereits heute für die spätere Entschlüsselung gesammelt. PKI- und Codesignatur-Infrastrukturen, die auf RSA und ECC basieren, werden bei der Einführung eines CRQC versagen. Für Systeme der Bundesregierung gelten bereits verbindliche Compliance-Vorgaben, und branchenspezifische Anforderungen folgen. Je länger Organisationen warten, desto größer wird das Risiko. Die Migrationskosten steigen, regulatorische Fristen werden kürzer, und größere Mengen bereits übertragener Daten bleiben für die zukünftige Entschlüsselung anfällig.

Organisationen, die jetzt handeln, behalten die Kontrolle über den Prozess und haben ausreichend Zeit, ihre Assets gründlich zu inventarisieren, Systeme systematisch umzustellen und Krypto-Agilität aufzubauen. Genau diese Position unterstützt Encryption Consulting bei der Erreichung dieser Ziele.

Entdecken Sie unsere

Verwandte Blogs

kryptographisches Haltungsmanagement

Kryptografisches Statusmanagement erklärt: Einblick in die CBOM-Sicherheitsplattform

17. Juni 2026
kryptografische Konformität

Kryptografische Konformität: Wie CBOM Secure die relevanten Vorgaben erfüllt

16. Juni 2026
Bereiten Sie sich auf das Quantenzeitalter vor

Vorbereitung auf das Quantenzeitalter: Ist Ihr Unternehmen bereit?

14. Juni 2026

Entdecken

Weitere Themen