Quantencomputer brechen heute noch keine Unternehmensverschlüsselung. Das Risiko entsteht trotzdem schon jetzt: Angreifer können Daten sammeln und später entschlüsseln. Mit den finalen NIST-Standards wird Post-Quanten-Kryptografie zur Planungsaufgabe für IT, Security und Einkauf.

Seit Jahren gilt Quantencomputing als eine der potenziell disruptivsten Technologien der digitalen Welt. Während klassische Computer Informationen als Nullen und Einsen verarbeiten, nutzen Quantencomputer quantenmechanische Zustände, um bestimmte Rechenaufgaben erheblich schneller zu lösen. Für viele Anwendungsfelder bleibt dies vorerst Zukunftsmusik. Für die Kryptografie allerdings beginnt die Vorbereitung bereits heute.

Der Grund liegt nicht in den aktuell verfügbaren Quantencomputern. Selbst die leistungsfähigsten Systeme der Gegenwart sind noch weit davon entfernt, moderne Verschlüsselungsverfahren praktisch zu brechen. Dennoch wächst der Handlungsdruck. Mit der Veröffentlichung der ersten finalen Standards für Post-Quanten-Kryptografie durch das US-amerikanische National Institute of Standards and Technology (NIST) existieren erstmals verbindliche Verfahren, die gezielt für die Zeit nach dem Durchbruch leistungsfähiger Quantencomputer entwickelt wurden.

Damit verschiebt sich die Diskussion grundlegend. Die Frage lautet nicht mehr, ob Unternehmen sich mit Post-Quanten-Kryptografie beschäftigen sollten. Die Frage lautet vielmehr, wie sie die Migration organisieren und welche Prioritäten sie setzen müssen.

Warum Quantencomputer klassische Kryptografie bedrohen

Die meisten heute eingesetzten Sicherheitsmechanismen basieren auf asymmetrischer Kryptografie. Dazu gehören Verfahren wie RSA, klassisches Diffie-Hellman oder elliptische Kurvenverfahren wie ECDH und ECDSA. Sie bilden die Grundlage zahlreicher digitaler Sicherheitsdienste:

• TLS und HTTPS
• VPN-Verbindungen
• digitale Zertifikate
• Public-Key-Infrastrukturen
• digitale Signaturen
• SSH-Zugänge
• Code-Signing
• Identitäts- und Authentifizierungssysteme

Diese Verfahren gelten heute als sicher, weil ihre mathematischen Probleme auf klassischen Computern nur mit enormem Aufwand lösbar sind. Leistungsfähige Quantencomputer könnten diese Annahme jedoch grundlegend verändern. Insbesondere der sogenannte Shor-Algorithmus gilt als theoretischer Schlüssel, um viele heute verwendete asymmetrische Verfahren deutlich schneller anzugreifen als dies mit klassischen Rechnern möglich wäre.

Nicht alle kryptografischen Verfahren sind gleichermaßen betroffen. Symmetrische Verschlüsselung wie AES oder kryptografische Hashfunktionen wie SHA-2 und SHA-3 gelten nach aktuellem Wissensstand weiterhin als vergleichsweise robust. Dort reichen in vielen Fällen größere Schlüssellängen oder bestehende Sicherheitsparameter aus, um langfristig Schutz zu gewährleisten. Die größte Herausforderung betrifft daher den Bereich des Schlüsselaustauschs und der digitalen Signaturen.

Quantenrisiken entstehen überall dort, wo Unternehmen heute RSA, Diffie-Hellman oder ECC einsetzen – von TLS und VPN bis zu PKI, Code-Signing, HSMs und IoT. (Grafik: speicherguide.de via DALL-E)

NIST schafft die Grundlage für die Migration

Mit den Standards FIPS 203, FIPS 204 und FIPS 205 hat das NIST produktionsreife Verfahren für die Post-Quanten-Kryptografie definiert. ML-KEM dient als neuer Standard für Schlüsselaustausch und Schlüsselkapselung, ML-DSA adressiert digitale Signaturen und SLH-DSA ergänzt das Portfolio um eine besonders konservative, hashbasierte Signaturalternative.

Für viele Unternehmen wird dies als Signal verstanden, dass die experimentelle Phase endet. PQC ist nicht länger ausschließlich Gegenstand akademischer Forschung oder von Pilotprojekten großer Cloud-Anbieter. Die Standards bilden nun die Grundlage für Betriebssysteme, Browser, Netzwerkinfrastrukturen, Sicherheitsprodukte und Cloud-Dienste.

Die eigentliche Herausforderung beginnt jedoch erst mit der praktischen Umsetzung.

Die größte Schwachstelle: Niemand weiß genau, wo Kryptografie steckt

Wer an Post-Quanten-Kryptografie denkt, denkt häufig an neue Algorithmen. In der Praxis ist das jedoch selten das größte Problem. Die eigentliche Hürde liegt in der Transparenz.

Viele Unternehmen können heute nicht vollständig beantworten, wo und in welchem Umfang kryptografische Verfahren eingesetzt werden. In gewachsenen IT-Landschaften existieren häufig tausende Zertifikate, verschiedene TLS-Versionen, VPN-Systeme, Hardware Security Module, PKI-Komponenten sowie unzählige Anwendungen mit eingebetteten kryptografischen Funktionen. Hinzu kommen IoT-Geräte, OT-Systeme und Industrieanlagen, deren kryptografische Abhängigkeiten oft nur unzureichend dokumentiert sind.

Selbst moderne Lieferantenprodukte verwenden intern häufig RSA- oder ECC-basierte Mechanismen, ohne dass Kunden deren genaue Implementierung kennen. Dadurch entsteht eine Situation, die das NIST NCCoE-Projekt als »cryptographic visibility and risk management« beschreibt. Bevor Unternehmen überhaupt über Migration sprechen können, müssen sie zunächst verstehen, welche Kryptografie heute tatsächlich im Einsatz ist. Viele Experten betrachten deshalb das Kryptografie-Inventar als den wichtigsten ersten Schritt der gesamten PQC-Migration.

»Harvest now, decrypt later« verändert die Risikobetrachtung

Ein weiterer Grund für die frühe Vorbereitung ist das sogenannte »Harvest now, decrypt later«-Szenario. Dabei sammeln Angreifer bereits heute verschlüsselte Datenübertragungen, um diese in Zukunft mit leistungsfähigen Quantencomputern zu entschlüsseln.

Für Unternehmen bedeutet dies, dass die Bedrohung nicht erst mit dem Erscheinen großer Quantencomputer beginnt. Daten, die heute übertragen werden und langfristig vertraulich bleiben müssen, könnten bereits jetzt gefährdet sein.

Besonders betroffen sind:

• Gesundheitsdaten
• Forschungsdaten
• staatliche Informationen
• geistiges Eigentum
• personenbezogene Daten
• langfristige Geschäftsgeheimnisse

Unternehmen müssen deshalb bewerten, welche Informationen auch in zehn, zwanzig oder dreißig Jahren noch geschützt sein müssen. Diese Risikobetrachtung wird zunehmend zum Ausgangspunkt jeder PQC-Strategie.

Langfristige Systeme werden zum Sonderfall

Zusätzliche Herausforderungen entstehen durch Systeme mit langen Lebenszyklen. Während klassische IT-Infrastrukturen häufig innerhalb weniger Jahre modernisiert werden, bleiben Industrieanlagen, Medizintechnik, Energieinfrastrukturen oder Fahrzeuge oft über Jahrzehnte im Einsatz.

Viele dieser Systeme wurden entwickelt, lange bevor Post-Quanten-Kryptografie überhaupt ein Thema war. Nicht selten fehlen Update-Mechanismen oder die Hardware bietet nur begrenzte Ressourcen für neue kryptografische Verfahren.

Gerade Betreiber kritischer Infrastrukturen müssen daher deutlich früher mit der Planung beginnen als klassische Office-Umgebungen.

Crypto Agility wird zur Kernkompetenz

Ein Begriff taucht in nahezu jeder Diskussion über Post-Quanten-Kryptografie auf: Crypto Agility. Gemeint ist die Fähigkeit einer Organisation, kryptografische Verfahren flexibel auszutauschen, ohne Anwendungen oder Infrastrukturen vollständig neu entwickeln zu müssen. In einer Welt sich ständig verändernder Bedrohungen wird diese Eigenschaft zunehmend zur Grundvoraussetzung moderner IT-Architekturen.

Crypto Agility bedeutet unter anderem:

• keine fest verdrahteten Algorithmen
• zentrale Kryptobibliotheken
• konfigurierbare Cipher Suites
• automatisierte Zertifikatsverwaltung
• saubere Schlüsselrotation
• updatefähige Sicherheitsarchitekturen

Gerade ältere Systeme erfüllen diese Anforderungen häufig nicht. Viele Appliances, VPN-Gateways oder Embedded-Systeme wurden für eine Zeit entwickelt, in der RSA und ECC als dauerhaft gesetzt galten. Die Folge sind hohe Migrationsaufwände und teilweise umfangreiche Modernisierungsprojekte.

Warum Hybridmodelle derzeit als realistischer Weg gelten

Die meisten Unternehmen werden ihre Kryptografie nicht über Nacht austauschen. Stattdessen setzen Hersteller und Standardisierungsgremien zunehmend auf hybride Modelle.

Dabei werden klassische Verfahren und Post-Quanten-Verfahren parallel eingesetzt. Ein Schlüsselaustausch kann beispielsweise gleichzeitig über ECDH und ML-KEM abgesichert werden. Fällt eines der Verfahren aus oder zeigt später unerwartete Schwächen, bleibt die zweite Schutzebene erhalten.

Dieser Ansatz gilt insbesondere für TLS-Verbindungen, VPN-Infrastrukturen, Cloud-Anbindungen, Identitätsdienste und Unternehmensnetzwerke als realistischer Migrationspfad.

Viele Experten erwarten deshalb, dass hybride Architekturen die kommenden Jahre dominieren werden, bevor reine PQC-Umgebungen zum Standard werden.

Die Migration zu quantensicherer Kryptografie beginnt mit Inventar und Risikoanalyse. Erst danach folgen Lieferantenprüfung, Crypto Agility, Hybridmodelle und Rollout. (Grafik: speicherguide.de via DALL-E)

Lieferanten geraten zunehmend unter Zugzwang

Für die meisten Unternehmen wird die PQC-Migration weniger durch Eigenentwicklungen als durch Lieferantenentscheidungen bestimmt. Betriebssysteme, Firewalls, VPN-Systeme, HSMs, IAM-Plattformen und Cloud-Dienste müssen die neuen Standards unterstützen.

Entsprechend verändern sich die Anforderungen an Ausschreibungen und Lieferantenbewertungen. Immer häufiger stellen Unternehmen Fragen wie:

• Unterstützt die Lösung ML-KEM oder ML-DSA?
• Wann werden PQC-Funktionen bereitgestellt?
• Gibt es FIPS-validierte Implementierungen?
• Lassen sich bestehende Zertifikate parallel betreiben?
• Wie sieht die langfristige Migrationsstrategie aus?

Wer diese Fragen nicht beantworten kann, könnte künftig Wettbewerbsnachteile erleiden.

Die Praxis bringt technische Nebenwirkungen

Post-Quanten-Kryptografie ist nicht einfach nur ein Austausch von Algorithmen. Viele Verfahren erzeugen größere Schlüssel, größere Signaturen und größere Zertifikate. Dadurch verändern sich Anforderungen an Speicher, Netzwerk und Performance.

Probleme können unter anderem auftreten bei älteren Protokollen, Smartcards, Hardware-Security-Modulen, Embedded-Systemen, Netzwerkgrenzen und MTU-Größen sowie Zertifikatsketten

Unternehmen benötigen deshalb umfangreiche Test- und Pilotphasen. Interoperabilität, Performance und Betriebsstabilität müssen unter realen Bedingungen überprüft werden, bevor produktive Umstellungen erfolgen.

Die PQC-Migration wird ein Jahrzehntprojekt

Die meisten Organisationen werden ihre Migration in mehreren Stufen umsetzen. Typischerweise beginnt der Prozess mit der Inventarisierung kryptografischer Abhängigkeiten, gefolgt von Risikoanalysen und Zielarchitekturen. Erst danach folgen Pilotprojekte, schrittweise Rollouts und langfristig die Ablösung klassischer RSA- und ECC-Strukturen.

Für kleine und mittlere Unternehmen bedeutet dies meist nicht, eigene PQC-Verfahren zu entwickeln. Viel wichtiger ist es, aktuelle Software einzusetzen, Lieferanten aktiv zu befragen und neue Produkte konsequent auf ihre Post-Quanten-Fähigkeit zu prüfen.

Die Mathematik ist nicht das Problem

Die Einführung von Post-Quanten-Kryptografie wird häufig als technologisches Zukunftsthema wahrgenommen. Tatsächlich handelt es sich vor allem um ein Infrastruktur-, Governance- und Modernisierungsprojekt. Die neuen Algorithmen existieren bereits. Die eigentliche Herausforderung liegt in den bestehenden IT-Landschaften.

Alte VPNs, Zertifikatsketten, Hardware-Security -Module, Industrieanlagen, eingebettete Systeme und historisch gewachsene Sicherheitsarchitekturen werden die Migration wesentlich stärker prägen als die mathematischen Eigenschaften von ML-KEM oder ML-DSA.

Mit den ersten finalen NIST-Standards hat die Vorbereitungsphase begonnen. Unternehmen müssen jetzt Transparenz schaffen, Risiken bewerten und langfristige Migrationsstrategien entwickeln. Wer frühzeitig handelt, gewinnt Zeit. Wer wartet, riskiert später eine deutlich komplexere und kostspieligere Umstellung.

Resümee in Kürze

• NIST hat die ersten finalen PQC-Standards veröffentlicht.
• Gefährdet sind vor allem RSA, Diffie-Hellman und elliptische Kurvenverfahren.
• Kryptografie-Inventare bilden die Grundlage jeder Migration.
• »Harvest now, decrypt later« erhöht den Handlungsdruck bereits heute.
• Crypto Agility wird zur zentralen Architekturanforderung.
• Hybride Verfahren gelten als realistischer Übergangspfad.
• Die größte Herausforderung sind Alt-Systeme und fehlende Transparenz.
• PQC-Migration wird für viele Unternehmen ein mehrjähriges Infrastrukturprojekt.