Post-Quanten-Kryptographie: Warum Unternehmen jetzt handeln müssen

1 Min. Lesezeit

Quantencomputer, die aktuelle Public-Key-Verschlüsselung brechen können, existieren heute noch nicht in ausreichender Stärke. Aber das Konzept „Harvest Now, Decrypt Later“ macht Post-Quanten-Sicherheit zu einem akuten Problem: Angreifer sammeln heute verschlüsselte Daten, um sie zu entschlüsseln, sobald Quantencomputer stark genug sind. Für langlebige Geheimnisse ist das eine reale Bedrohung.

Das Wichtigste in Kürze

NIST PQC-Standards finalisiert (2024): CRYSTALS-Kyber (Schlüsselaustausch) und CRYSTALS-Dilithium (Signaturen) sind die neuen Standards.
„Harvest Now, Decrypt Later“: Angreifer sammeln heute verschlüsselte Daten – für Geheimnisse mit 10+ Jahren Schutzbedarf ist das relevant.
Migration dauert Jahre: Kryptographie-Migration ist komplex – alle Systeme, alle Zertifikate, alle Protokolle müssen angepasst werden.
Crypto-Agility als Ziel: Architekturen, die einfach auf neue Algorithmen wechseln können, sind der richtige Ansatz.
Zeitplan: Experten schätzen „Cryptographically Relevant Quantum Computer“ (CRQC) frühestens 2030-2035.

Warum die Bedrohung real ist – auch ohne heutige Quantencomputer

Das Argument für frühe Handlung ist nicht „Quantencomputer brechen heute Ihre Verschlüsselung“. Es ist „Harvest Now, Decrypt Later“: Nachrichtendienste und gut aufgestellte Angreifer sammeln heute verschlüsselten Datenverkehr, speichern ihn und warten auf Quantencomputer der nächsten Generation.

Für welche Daten ist das relevant? Staatsgeheimnisse (klar), aber auch: Medizinische Daten mit Langzeitschutzpflicht, finanzielle Transaktionen mit Langzeitarchivierung, Unternehmensgeheimnisse mit dauerhafter Konkurrenzrelevanz, und digitale Signaturen auf Dokumenten, die Jahrzehnte gültig sein müssen.

NIST Post-Quantum-Standards: Was jetzt gilt

Im August 2024 hat NIST die ersten finalen Post-Quantum-Kryptographie-Standards veröffentlicht:

FIPS 203 (CRYSTALS-Kyber / ML-KEM): Key Encapsulation Mechanism – ersetzt RSA und Diffie-Hellman für den sicheren Schlüsselaustausch.

FIPS 204 (CRYSTALS-Dilithium / ML-DSA): Digitale Signaturen – ersetzt RSA-Signaturen und ECDSA.

FIPS 205 (SPHINCS+ / SLH-DSA): Hash-basiertes Signaturverfahren als Alternative, besonders konservativ und gut analysiert.

Diese Standards sind die Grundlage für alle Migrationen. TLS, VPNs, Code-Signing, PKI-Zertifikate – alle müssen langfristig auf diese Algorithmen umgestellt werden.

Was Unternehmen jetzt konkret tun können

Kryptographie-Inventar erstellen: Welche kryptographischen Verfahren werden wo eingesetzt? RSA-Schlüsselgrößen, ECC-Kurven, Hash-Funktionen, Protokolle (TLS-Version, Cipher Suites). Ohne Inventar keine Migration.

Krypto-Agile Architektur planen: Systeme so gestalten, dass der Austausch von Algorithmen ohne vollständige Neuentwicklung möglich ist. Algorithmus-Abstraktion in Code, konfigurierbare Cipher Suites, modulare PKI-Komponenten.

Prioritäten setzen: Langlebige Geheimnisse zuerst. Daten, die noch 2030 schützenswert sind, brauchen heute PQC-Schutz. Kurzlebige Session-Keys sind weniger dringend.

Lieferanten befragen: Welche Hersteller bieten PQC-Unterstützung in welchen Produkten und wann? Roadmaps von VPN, PKI, HSM und TLS-Stack-Herstellern einholen.

Key Facts auf einen Blick

NIST PQC-Standards finalisiert: August 2024 (FIPS 203, 204, 205)

Geschätzter CRQC-Zeitpunkt: Frühestens 2030-2035 (BSI, NIST, BIS)

Algorithmen die gebrochen werden: RSA, ECC, DH – alle auf asymmetrischer Kryptographie basierend

Sichere Post-Quantum-Algorithmen: CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ (NIST-finalisiert)

Migrationsdauer Schätzung: 5-10 Jahre für vollständige Enterprise-Migration

Fakt: NIST hat im August 2024 mit FIPS 203 (ML-KEM) und FIPS 204 (ML-DSA) die ersten Post-Quantum-Kryptographie-Standards finalisiert – Unternehmen sollten die Migration jetzt planen.

Fakt: Laut einer Studie von Munich Re sind 61 % der befragten Unternehmen noch nicht auf Post-Quantum-Kryptographie vorbereitet, obwohl sie das Risiko als „hoch“ einstufen.

Häufige Fragen

Was bedeutet „Cryptographically Relevant Quantum Computer“ (CRQC)?

Ein Quantencomputer mit ausreichend stabilen Qubits (Schätzung: mehrere Millionen fehlerkorrigierte logische Qubits), um RSA-2048 in vertretbarer Zeit zu brechen. Heutige Quantencomputer haben einige hundert bis tausend physische Qubits – weit entfernt von CRQC.

Ist AES durch Quantencomputer bedroht?

Nur teilweise. Grover’s Algorithmus halbiert die effektive Schlüssellänge symmetrischer Verfahren. AES-256 ist mit Quantencomputern auf AES-128 Niveau reduziert – das ist noch sicher. AES-128 wird auf 64 Bit Sicherheitsniveau reduziert – langfristig kritisch. Empfehlung: AES-256 verwenden.

Was ist Crypto-Agility?

Crypto-Agility ist die Fähigkeit, kryptographische Algorithmen in einem System schnell auszutauschen, ohne die Gesamtarchitektur neu zu entwickeln. Es ist das Gegenteil von „Algorithm-Hardcoding“. Crypto-agile Systeme können auf neue Bedrohungen oder neue Standards reagieren, ohne vollständige Neuentwicklung.

Müssen wir sofort migrieren?

Nicht sofort, aber beginnen. Sofortiger Handlungsbedarf: Krypto-Inventar erstellen, PQC-Roadmap entwickeln, langlebige Geheimnisse identifizieren. Technische Migration in 2-3 Jahren starten, wenn Produkte PQC-Support liefern. Vollständige Migration bis 2030 anstreben.

Welche deutschen Behörden bieten Guidance zu PQC?

Das BSI hat umfangreiche Technische Richtlinien zu Post-Quantum-Kryptographie veröffentlicht (TR-02102). Diese geben klare Empfehlungen zu Algorithmen, Schlüssellängen und Migrationspfaden. Kostenlos verfügbar auf bsi.bund.de.