Post-Quantum-Kryptografie: Deutschland bereitet sich vor
8 Min. Lesezeit
Im August 2024 veröffentlichte NIST die ersten drei finalisierten Post-Quantum-Kryptografie-Standards. Im November 2024 forderten das BSI und 17 weitere europäische Behörden Industrie und Verwaltung auf, die Migration aktiv zu beginnen. Und die Bundeswehr hat ihr 13.000 Kilometer langes Glasfasernetz bereits mit quantensicheren Algorithmen abgesichert. Deutschland bereitet sich vor – aber die Privatwirtschaft hinkt hinterher. Kein einziges großes deutsches Technologieunternehmen hat Post-Quantum-Kryptografie produktiv ausgerollt.
Das Wichtigste in Kürze
- NIST-Standards finalisiert: ML-KEM (FIPS 203), ML-DSA (FIPS 204) und SLH-DSA (FIPS 205) sind seit August 2024 verbindlich – die Basis für die weltweite PQC-Migration
- BSI-Empfehlung: Migration der sensibelsten Systeme bis Ende 2030, Hybrid-Ansatz als Übergangslösung, Kryptoagilität als Designprinzip
- Harvest Now, Decrypt Later: Staatliche Akteure sammeln heute verschlüsselte Daten, um sie mit künftigen Quantencomputern zu entschlüsseln – alle großen Sicherheitsbehörden bestätigen die Bedrohung
- Bundeswehr als Vorreiter: 13.000 Kilometer Glasfasernetz mit quantensicheren Algorithmen abgesichert
- Migrationskosten: Die US-Regierung schätzt allein für Bundesbehörden 7,1 Milliarden Dollar bis 2035
Warum die Bedrohung heute real ist – nicht morgen
Die häufigste Fehlannahme über Quantencomputer und Kryptografie lautet: „Wir haben noch Zeit.“ Das stimmt technisch – kryptografisch relevante Quantencomputer existieren heute nicht. IBM plant ein System mit circa 200 logischen Qubits für 2028/2029, Google peilt ähnliche Größenordnungen an. Für das Brechen von RSA-2048 werden mehrere Millionen logische Qubits benötigt. Das BSI schätzt den Zeithorizont auf möglicherweise 16 Jahre, eventuell früher.
Aber die Bedrohung ist nicht der Tag, an dem ein Quantencomputer RSA bricht. Die Bedrohung ist heute. Die Strategie nennt sich „Harvest Now, Decrypt Later“ (HNDL): Staatliche Akteure sammeln heute verschlüsselte Kommunikation und Datenverkehr, speichern ihn und warten darauf, ihn mit künftigen Quantencomputern zu entschlüsseln. Das US-Heimatschutzministerium, das britische NCSC, die ENISA und das australische ASD bestätigen diese Bedrohung in ihren offiziellen PQC-Empfehlungen. Die EU-Kommission warnte im April 2024 explizit, dass Daten mit langfristiger Vertraulichkeit bereits heute einem HNDL-Risiko ausgesetzt sind.
Für Unternehmen mit sensiblen Langzeitdaten – Patente, Gesundheitsdaten, Staatsgeheimnisse, Finanzverträge – bedeutet das: Jeder Tag ohne quantensichere Verschlüsselung ist ein Tag, an dem diese Daten potenziell abgefangen und für die spätere Entschlüsselung gespeichert werden. Die Supply-Chain-Security-Anforderungen von NIS2 verschärfen diesen Druck zusätzlich.
Quellen: NIST FIPS August 2024, DGAP Policy Brief 2024, White House PQC Report Juli 2024
Die neuen Standards: Was ML-KEM, ML-DSA und SLH-DSA bedeuten
Am 13. und 14. August 2024 hat NIST die ersten drei Post-Quantum-Kryptografie-Standards als Federal Information Processing Standards veröffentlicht. Sie traten sofort in Kraft und definieren die algorithmische Grundlage für die weltweite Migration.
FIPS 203 (ML-KEM) basiert auf CRYSTALS-Kyber und ist der neue Standard für Key Encapsulation – also den sicheren Schlüsselaustausch. Jedes Mal, wenn zwei Systeme einen verschlüsselten Kanal aufbauen (TLS, VPN, Messaging), wird ein solcher Mechanismus benötigt. ML-KEM ersetzt perspektivisch RSA und Diffie-Hellman in diesem Bereich.
FIPS 204 (ML-DSA) basiert auf CRYSTALS-Dilithium und ist der Primärstandard für digitale Signaturen. Firmware-Updates, Software-Zertifikate, E-Mail-Signaturen und Blockchain-Transaktionen – überall dort, wo heute RSA oder ECDSA eingesetzt wird, tritt ML-DSA als quantensichere Alternative an.
FIPS 205 (SLH-DSA) basiert auf SPHINCS+ und ist ein hash-basierter Signaturalgorithmus. Er dient als Backup-Option für den Fall, dass ML-DSA Schwachstellen zeigt – ein bewusstes Redundanzkonzept. Ein vierter Standard (FN-DSA, basierend auf FALCON) ist in Vorbereitung.
Für Unternehmen bedeuten die drei Standards: Die technische Grundlage steht. Die Frage ist nicht mehr „welchen Algorithmus nehmen wir?“, sondern „wann fangen wir an?“. Und die Antwort des BSI ist eindeutig: jetzt.
BSI: Hybrid-Ansatz und Kryptoagilität als Strategie
Das BSI hat seine Technische Richtlinie TR-02102-1 (Kryptographische Verfahren: Empfehlungen und Schlüssellängen) in der Version 2026-01 erstmals vollständig um die NIST-PQC-Standards erweitert. Empfohlene Verfahren für Key Encapsulation: ML-KEM, FrodoKEM und Classic McEliece. Für digitale Signaturen: ML-DSA, SLH-DSA, LMS/HSS und XMSS.
Zwei Konzepte stehen im Zentrum der BSI-Strategie. Erstens der Hybrid-Ansatz: Bis PQC vollständig etabliert ist, empfiehlt das BSI die Kombination eines klassischen und eines quantensicheren Verfahrens. Der Vorteil: Die Kommunikation ist sicher, solange mindestens eines der beiden Verfahren sicher ist. Die technische Umsetzung folgt der ETSI-Spezifikation TS 103 744 („Cat-then-KDF“).
Zweitens Kryptoagilität: Systeme müssen so gebaut sein, dass ein Algorithmuswechsel ohne komplettes Redesign möglich ist. Das klingt selbstverständlich, ist es aber nicht. Viele bestehende Systeme haben kryptografische Algorithmen so tief in ihre Architektur eingebettet, dass ein Wechsel einem Neubau gleichkommt. Das BSI empfiehlt deshalb, bei jedem neuen System und jeder Systemaktualisierung Kryptoagilität als Designprinzip zu verankern – eine Anforderung, die der Cyber Resilience Act ab 2027 verbindlich macht.
Im November 2024 veröffentlichte das BSI gemeinsam mit 17 europäischen Partnerbehörden ein Statement, das Industrie, KRITIS-Betreiber und öffentliche Verwaltung auffordert, die PQC-Transition aktiv zu beginnen. Für die sensibelsten Anwendungsfälle empfiehlt das BSI die Migration bis Ende 2030. NIST setzt die Zielmarke für breites Deployment auf 2035.
Deutschlands Forschungsvorsprung: CISPA, HGI, Fraunhofer
In der PQC-Forschung gehört Deutschland zur Weltspitze. Fraunhofer AISEC betreibt ein Kompetenzzentrum für Post-Quantum-Kryptografie mit rund 100 PQC-Experten aus Behörden, Unternehmen, Hochschulen und Forschungsinstituten. Auf der PQC Update 2024 Konferenz im Mai formulierte Fraunhofer die Kernbotschaft: „Migrate now to be secure later.“ Das Institut arbeitet an konkreten Implementierungen: vom Impeccable-Keccak-Ansatz zur Absicherung von SPHINCS+ über das KBLS-Projekt (langlebige quantensichere Kryptobibliotheken) bis zum Aquorypt-Projekt für PQC auf ressourcenlimitierten Systemen wie Smartcards und Industriesteuerungen.
Das Horst Görtz Institut (HGI) an der Ruhr-Universität Bochum war direkt an der Entwicklung der Algorithmen beteiligt, die heute in den NIST-Standards stehen. CRYSTALS-Kyber und CRYSTALS-Dilithium – die Grundlage von ML-KEM und ML-DSA – wurden unter maßgeblicher Beteiligung von Forschern aus dem HGI-Umfeld entwickelt. Das CISPA in Saarbrücken, weltweit Nummer eins in Computer Security, arbeitet an der nächsten Generation post-quantensicherer Protokolle. Und der SFB CROSSING an der TU Darmstadt forscht seit 2014 an kryptografischen Lösungen für die Post-Quantum-Ära.
Deutschland hat also die Forschungskompetenz. Das Problem liegt im Transfer.
Die Bundeswehr hat ihr 13.000 Kilometer langes Glasfasernetz mit quantensicheren Algorithmen abgesichert – einer der wenigen konkreten PQC-Deployments weltweit. Kein einziges großes deutsches Technologieunternehmen hat Vergleichbares im Produktivbetrieb.
DGAP Policy Brief 2024
Öffentlicher Sektor vorne, Privatwirtschaft hinten
Die Deutsche Gesellschaft für Auswärtige Politik (DGAP) hat 2024 eine schonungslose Bestandsaufnahme veröffentlicht. Der Befund: Deutschlands öffentlicher Sektor ist bei PQC auf Augenhöhe mit führenden Nationen. Die Privatwirtschaft liegt deutlich hinter US-Konzernen zurück.
Die Bundeswehr hat ihr 13.000 Kilometer langes Glasfasernetz mit quantensicheren Algorithmen abgesichert – ein konkretes Deployment, das Deutschland zu einem globalen Vorreiter bei der staatlichen PQC-Implementierung macht. Das BSI hat als erste europäische Behörde umfassende PQC-Richtlinien entwickelt. Und die enge Abstimmung mit den NIST-Standards sichert die NATO/EU-Interoperabilität.
Die Privatwirtschaft hingegen: SAP hat Proof-of-Concept-Tests durchgeführt, aber noch keine PQC in produktiven Systemen deployed. Siemens bestätigt Aktivitäten im PQC-Bereich, ohne Deployment-Details zu veröffentlichen. Die Deutsche Telekom arbeitet an Forschungsprojekten für quantensichere Netze (DemoQuanDT, QSNP, EuroQCI), aber eine kommerzielle Ausrollung ist nicht belegt. Der DGAP-Befund ist eindeutig: Kein einziges großes deutsches Technologieunternehmen hat PQC produktiv ausgerollt – während Amazon (AWS), IBM und Apple in den USA bereits aktiv implementieren.
Besonders kritisch: Deutsche E-Mail-Provider bieten keine quantensicheren Lösungen an. Remote-Access-Software (die schlchteste Kategorie laut DGAP) hat keinen einzigen Anbieter mit PQC-Ankündigung. Und selbst BWMessenger und BundesMessenger – die offiziellen Messaging-Dienste der Bundeswehr und Bundesverwaltung – sind noch ohne Quantenschutz.
CRA und NIS2: Regulierung als Migrationstreiber
Der Cyber Resilience Act (seit Dezember 2024 in Kraft) wird PQC ab 2027 faktisch verbindlich machen. Produkte müssen mit Kryptoagilität designt sein und Firmware-Updates mit quantensicheren Algorithmen signieren können. Der CRA verlangt „State-of-the-Art“-Verschlüsselung – und ab dem Moment, in dem NIST-Standards existieren und das BSI sie empfiehlt, gehört PQC zum State of the Art.
Die EU-Kommission hat im April 2024 eine koordinierte Implementierungs-Roadmap (C(2024) 2393) veröffentlicht mit Meilensteinen für 2026, 2030 und 2035. Eine finale koordinierte EU-Roadmap war für Juni 2025 geplant. NIS2 verschärft den Druck zusätzlich: Die Anforderung an „State-of-the-Art“-Sicherheitsmaßnahmen erstreckt sich auch auf die eingesetzte Kryptografie. Für die über 30.000 NIS2-regulierten Unternehmen in Deutschland wird PQC-Readiness damit zur Compliance-Anforderung, nicht zur freiwilligen Maßnahme.
Die regulatorische Kaskade ist klar: Wer ab 2027 Produkte auf dem EU-Markt verkauft, muss Kryptoagilität und quantensichere Firmware-Updates unterstützen (CRA). Wer unter NIS2 fällt, muss State-of-the-Art-Kryptografie einsetzen – und das schließt PQC ein, sobald die Standards etabliert sind. Das BSI hat diese Standards bereits in seine Empfehlungen aufgenommen. Für CISOs und CTOs bedeutet das: PQC-Migration ist nicht irgendwann. Sie ist der nächste regulatorische Compliance-Sprint nach der NIS2-Umsetzung.
Was die Migration kostet – und wie lange sie dauert
Die US-Regierung schätzt die Kosten der PQC-Migration allein für US-Bundesbehörden auf circa 7,1 Milliarden Dollar für den Zeitraum 2025 bis 2035. Für Unternehmen variieren die Schätzungen stark: Kleine Organisationen brauchen 5 bis 7 Jahre, mittlere 8 bis 12 Jahre und Großunternehmen 12 bis 15 Jahre oder mehr.
Die Kosten entstehen in vier Phasen. Erstens: das kryptografische Inventar – eine vollständige Bestandsaufnahme aller eingesetzten Verschlüsselungsverfahren. Das ist der aufwändigste Schritt, weil viele Organisationen nicht wissen, wo überall Kryptografie eingesetzt wird. Zweitens: Software-Updates und neue Bibliotheken. Drittens: Hardware-Austausch für Systeme, die PQC nicht per Update unterstützen. Viertens: der Testaufwand, um sicherzustellen, dass hybride und neue Verfahren in allen Systemen korrekt funktionieren.
Wer bis 2030 migriert haben will (BSI-Empfehlung für die sensibelsten Systeme), muss jetzt anfangen. Das kryptografische Inventar allein kann bei einem Großunternehmen sechs bis zwölf Monate dauern. Danach beginnt die eigentliche Migration – und die braucht Zeit, weil sie in jedem System getestet und validiert werden muss.
Deutschland vs. USA vs. China: Drei Strategien
Die drei führenden PQC-Nationen verfolgen unterschiedliche Strategien. Die USA setzen auf die Privatwirtschaft als Treiber: Amazon, IBM und Apple implementieren PQC bereits aktiv. Das National Security Memorandum NSM-10 schreibt die Migration für nationale Sicherheitssysteme vor. In Deutschland führt der öffentliche Sektor: BSI, Bundeswehr und Behörden sind Vorreiter, während die Privatwirtschaft hinterherläuft.
China entwickelt eigene PQC-Standards unabhängig von NIST. Das bedeutet algorithmische Divergenz: Chinesische und westliche Systeme werden in der Post-Quantum-Ära inkompatibel sein. China gilt gleichzeitig als führende HNDL-Bedrohung für westliche Langzeitdaten und investiert deutlich mehr in Quantenforschung als die meisten westlichen Einzelstaaten.
Für Deutschland bedeutet das: Die Forschungskompetenz ist da (HGI hat CRYSTALS-Kyber mitentwickelt). Die behördliche Infrastruktur ist da (BSI-Standards, Bundeswehr-Deployment). Was fehlt, ist der Transfer in die Privatwirtschaft. Die 1.700 Hidden Champions im deutschen Mittelstand haben das Problem noch nicht einmal auf dem Radar.
Was Unternehmen jetzt tun müssen
1. Kryptografisches Inventar erstellen. Jedes Unternehmen muss wissen, wo welche Verschlüsselung eingesetzt wird. Das umfasst TLS-Verbindungen, VPN-Tunnel, Datenbankverschlüsselung, E-Mail-Signaturen, Code-Signing und alle eingebetteten kryptografischen Komponenten in Produkten.
2. Daten nach Schutzbedarf klassifizieren. Nicht alle Daten haben das gleiche HNDL-Risiko. Patente, Gesundheitsdaten und langfristige Verträge haben einen Schutzhorizont von 10 bis 30 Jahren und sind sofort migrationsbedürftig. Marketing-E-Mails nicht.
3. Hybrid-Verschlüsselung einführen. Der BSI-empfohlene Hybrid-Ansatz (klassisch plus PQC) ist der sicherste Migrationspfad. Er schützt sofort gegen HNDL-Angriffe und bleibt sicher, selbst wenn ein PQC-Algorithmus Schwachstellen zeigt.
4. Kryptoagilität als Designprinzip verankern. Jedes neue System und jede Systemaktualisierung muss Algorithmuswechsel ohne Redesign ermöglichen. Der CRA macht das ab 2027 zur Pflicht.
5. Fraunhofer-Expertise nutzen. Das PQC-Kompetenzzentrum bei Fraunhofer AISEC bietet Beratung, Proof-of-Concept-Projekte und konkrete Implementierungsunterstützung. Für den Mittelstand ist das der pragmatischste Einstiegspunkt.
Häufige Fragen
Was ist Post-Quantum-Kryptografie?
Verschlüsselungsverfahren, die auch von Quantencomputern nicht gebrochen werden können. Die heutige Standardverschlüsselung (RSA, Diffie-Hellman, ECDSA) ist theoretisch durch Quantencomputer angreifbar. Die neuen NIST-Standards ML-KEM, ML-DSA und SLH-DSA basieren auf mathematischen Problemen, die auch Quantencomputer nicht effizient lösen können.
Wann können Quantencomputer aktuelle Verschlüsselung brechen?
BSI-beauftragte Studien schätzen möglicherweise 16 Jahre, eventuell früher. IBM plant ein System mit circa 200 logischen Qubits für 2028/2029, für RSA-2048 werden aber Millionen logischer Qubits benötigt. NIST empfiehlt die Migration bis 2030 für kritische Systeme und breites Deployment bis 2035.
Was bedeutet „Harvest Now, Decrypt Later“?
Staatliche Akteure sammeln heute verschlüsselte Daten und speichern sie, um sie mit künftigen Quantencomputern zu entschlüsseln. Das betrifft insbesondere Daten mit langfristiger Vertraulichkeit wie Patente, Gesundheitsdaten oder Staatsgeheimnisse. Alle großen westlichen Sicherheitsbehörden bestätigen diese Bedrohung.
Was empfiehlt das BSI für die PQC-Migration?
Einen Hybrid-Ansatz (klassisch plus quantensicher) als Übergangslösung, Kryptoagilität als Designprinzip und eine Migration der sensibelsten Systeme bis Ende 2030. Im November 2024 forderten das BSI und 17 europäische Partnerbehörden gemeinsam den Beginn der aktiven Migration.
Wie weit ist Deutschland bei der PQC-Implementierung?
Der öffentliche Sektor ist Vorreiter: Die Bundeswehr hat 13.000 Kilometer Glasfaser quantensicher abgesichert. Die Privatwirtschaft liegt zurück: Kein großes deutsches Technologieunternehmen hat PQC produktiv ausgerollt. Die Forschungskompetenz (CISPA, HGI, Fraunhofer) ist erstklassig, der Transfer fehlt.
Weiterlesen
- Security-Fachkräfte: Warum Deutschlands Cybersecurity-Talente ein heimlicher Exportschlager sind
- Supply Chain Security: Vom Compliance-Zwang zum Wettbewerbsvorteil
- Reboot Germany: 735 Milliarden, drei Mittelständler und die Frage, ob die Krise wirklich so schlimm ist
Quelle Titelbild: Pexels / Markus Spiske (px:1089438)
