Post-Quantum-Kryptographie: Warum Unternehmen jetzt ihre Verschlüsselung umstellen müssen

7 Min. Lesezeit

Der Vorstand fragt, ob Quantencomputer ein Risiko für die Verschlüsselung sind. Die ehrliche Antwort lautet: ja, und zwar nicht erst in zwanzig Jahren. Seit August 2024 hat das amerikanische National Institute of Standards and Technology drei Post-Quantum-Standards finalisiert. Das BSI empfiehlt die Migration bis spätestens 2030 für kritische Infrastrukturen. Und Nachrichtendienste sammeln heute bereits verschlüsselte Daten, um sie zu entschlüsseln, sobald die Technik dafür reif ist.

Das Wichtigste in Kürze

NIST hat im August 2024 drei Post-Quantum-Standards finalisiert: ML-KEM (FIPS 203) für Schlüsselaustausch, ML-DSA (FIPS 204) und SLH-DSA (FIPS 205) für digitale Signaturen.
Harvest Now, Decrypt Later beschreibt eine reale Bedrohung: Angreifer speichern heute verschlüsselte Daten, um sie mit künftigen Quantencomputern zu entschlüsseln.
Das BSI setzt die Deadline für die PQC-Migration auf 2030 für kritische Infrastrukturen und 2032 für alle anderen Unternehmen.
Weniger als 5 Prozent der Unternehmen haben bisher einen formalen Migrationsplan für quantensichere Kryptographie.
Die neuen Algorithmen laufen auf bestehender Hardware. Eine Migration erfordert kein neues Equipment, sondern aktualisierte Software und Protokolle.

Harvest Now, Decrypt Later: Warum die Bedrohung heute beginnt

Die Strategie klingt einfach und ist genau deshalb so gefährlich: Nachrichtendienste und staatlich unterstützte Angreifer fangen heute verschlüsselte Datenströme ab und speichern sie. Sobald ein kryptographisch relevanter Quantencomputer verfügbar ist, werden diese Archive entschlüsselt. Die Methode heißt Harvest Now, Decrypt Later und betrifft jede Organisation, deren heutige Daten in fünf, zehn oder fünfzehn Jahren noch sensibel sind.

Das betrifft Finanzdienstleister mit Kundendaten und Transaktionshistorien. Es betrifft Unternehmen mit geistigem Eigentum, das über Jahre wettbewerbsrelevant bleibt. Es betrifft Behörden mit als geheim eingestuften Informationen. Und es betrifft Gesundheitsdienstleister, deren Patientendaten zeitlich unbegrenzt schützenswert sind.

Die Frage ist nicht, ob Quantencomputer die heutige Verschlüsselung brechen werden. Die Frage ist, wann. Das Global Risk Institute schätzt in seiner Quantum Threat Timeline 2026, dass ein kryptographisch relevanter Quantencomputer innerhalb von zehn Jahren wahrscheinlich und innerhalb von fünfzehn Jahren sehr wahrscheinlich ist. Das bedeutet: Daten, die heute mit RSA oder elliptischen Kurven verschlüsselt werden, könnten in den frühen 2030er Jahren innerhalb von Minuten entschlüsselbar sein.

„The quantum age is no longer when, but now.“

BSI (Bundesamt für Sicherheit in der Informationstechnik), PQC Migration Guidance

Die drei NIST-Standards: Was sich konkret ändert

Am 13. August 2024 veröffentlichte NIST die ersten drei finalisierten Post-Quantum-Kryptographie-Standards. Diese sind keine Entwürfe mehr, sondern produktionsreife Federal Information Processing Standards, die sofort einsetzbar sind.

FIPS 203: ML-KEM

Module-Lattice-Based Key-Encapsulation Mechanism. Ersetzt RSA und ECDH für den Schlüsselaustausch. Basiert auf dem CRYSTALS-Kyber-Algorithmus. Drei Parametersätze: ML-KEM-512, ML-KEM-768, ML-KEM-1024.

FIPS 204: ML-DSA

Module-Lattice-Based Digital Signature Algorithm. Ersetzt RSA- und ECDSA-Signaturen. Basiert auf dem CRYSTALS-Dilithium-Algorithmus. Drei Parametersätze: ML-DSA-44, ML-DSA-65, ML-DSA-87.

FIPS 205: SLH-DSA

Stateless Hash-Based Digital Signature Standard. Konservativer Backup-Algorithmus für Signaturen, basiert auf SPHINCS+. Größere Signaturen, aber mathematisch diverser Sicherheitsansatz.

Quelle: NIST, August 2024. Alle drei Standards sind seit dem 14. August 2024 in Kraft.

Im März 2025 wählte NIST zusätzlich den HQC-Algorithmus (Hamming Quasi-Cyclic) als Backup für ML-KEM aus. Der finale Standard wird für 2027 erwartet. Damit existieren bald zwei unabhängige mathematische Ansätze für den quantensicheren Schlüsselaustausch: ML-KEM basiert auf Gitterstrukturen, HQC auf fehlerkorrigierenden Codes. Diese Diversität ist entscheidend. Sollte ein mathematischer Durchbruch einen der beiden Ansätze kompromittieren, bleibt der andere als Fallback bestehen.

Wichtig für die Praxis: Die Schlüssel- und Signaturgrößen der neuen Algorithmen sind deutlich größer als bei ihren klassischen Vorgängern. Ein ML-KEM-768-Schlüssel ist etwa 1.184 Byte groß, verglichen mit 32 Byte bei ECDH. ML-DSA-65-Signaturen umfassen rund 3.309 Byte statt 64 Byte bei ECDSA. Das hat Auswirkungen auf TLS-Handshakes, Zertifikatsketten und IoT-Geräte mit begrenzter Bandbreite. Der hybride Ansatz fängt dieses Problem auf, weil er die Performance-Basislinie des klassischen Algorithmus beibehält.

Timeline: Der Fahrplan zur quantensicheren Verschlüsselung

Aug 2024

NIST finalisiert FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA). Die Standards sind sofort produktionsreif und einsetzbar.

Mär 2025

NIST wählt HQC als Backup-Algorithmus für den Schlüsselaustausch aus. Draft-Standard wird für Anfang 2026 erwartet.

Jan 2026

G7 Cyber Expert Group veröffentlicht eine koordinierte Roadmap für die PQC-Transition. Regierungen weltweit beschleunigen ihre Migrationspläne.

2027

Finaler HQC-Standard erwartet. Browser und Betriebssysteme beginnen mit standardmäßiger PQC-Unterstützung in TLS-Verbindungen.

2030

BSI-Deadline für kritische Infrastrukturen: Vollständige Migration auf quantensichere Kryptographie. Unternehmen unter NIS2 und KRITIS-Regulierung müssen konform sein.

2032

BSI-Deadline für alle übrigen Unternehmen. Ab diesem Zeitpunkt gelten klassische Verfahren wie RSA-2048 und ECDSA als nicht mehr ausreichend sicher.

Was die Migration konkret bedeutet

Die gute Nachricht zuerst: Post-Quantum-Algorithmen laufen auf bestehender Hardware. Kein Unternehmen muss Server oder Netzwerkgeräte austauschen, um quantensichere Verschlüsselung einzusetzen. Die Migration betrifft Software, Bibliotheken, Protokolle und Zertifikate.

Der empfohlene Einstieg ist der hybride Ansatz: Bestehende klassische Algorithmen werden parallel zu Post-Quantum-Algorithmen eingesetzt. Scheitert einer der beiden, schützt der andere. Google Chrome und Cloudflare setzen seit 2024 bereits hybride TLS-Verbindungen mit ML-KEM ein. Signal hat seine Messaging-Verschlüsselung ebenfalls auf hybride PQC umgestellt. Apple hat mit iMessage PQ3 eines der ersten Protokolle eingeführt, das Post-Quantum-Sicherheit für Milliarden von Nutzern bietet.

Für Unternehmen ist der hybride Modus der sicherste Migrationspfad: Er schützt bereits gegen Harvest Now, Decrypt Later, ohne die Kompatibilität mit bestehenden Systemen zu brechen. Die Internet Engineering Task Force (IETF) hat mit RFC 9370 und weiteren Drafts die technischen Grundlagen für hybride Schlüsselvereinbarung in TLS 1.3 geschaffen. Die wichtigsten Kryptographie-Bibliotheken wie OpenSSL 3.x, BoringSSL und liboqs unterstützen die NIST-Algorithmen bereits.

Die Migration eines durchschnittlichen Unternehmens umfasst vier Phasen: Inventarisierung aller kryptographischen Assets, Risikobewertung nach Datenlebensdauer, Priorisierung der Umstellung und schrittweise Implementation. Laut einer Studie des MDPI-Journals dauert die Migration für kleine Unternehmen fünf bis sieben Jahre, für mittlere Unternehmen acht bis zwölf Jahre und für große Unternehmen zwölf bis fünfzehn Jahre. Das bedeutet: Wer 2032 fertig sein will, muss jetzt beginnen.

Eine gemeinsame Studie von BSI und KPMG ergab, dass die Bedrohung durch Quantencomputer für die Informationssicherheit in Deutschland weithin unterschätzt wird. Weniger als 5 Prozent aller Unternehmen haben einen formalen Migrationsplan. Die Finanzbranche, Telekommunikation und der öffentliche Sektor sind am weitesten, aber auch dort befinden sich die meisten Organisationen noch in der Explorationsphase.

Dafür und dagegen: Sofort migrieren oder abwarten?

Dafür spricht: Jetzt starten

Harvest Now, Decrypt Later läuft bereits. Jeder Tag ohne PQC ist ein Tag, an dem Daten verwundbar gesammelt werden.
NIST-Standards sind finalisiert und produktionsreif. Es gibt keinen Grund mehr auf bessere Standards zu warten.
Frühe Migration gibt Zeit für Tests und Troubleshooting, ohne unter Zeitdruck Fehler zu machen.
BSI-Deadlines 2030/2032 klingen weit weg, aber die durchschnittliche Migrationsdauer beträgt 5 bis 12 Jahre.

Dagegen spricht: Abwarten

Kryptographisch relevante Quantencomputer existieren noch nicht. Das Risiko ist theoretisch, nicht akut.
Tooling und Library-Support reifen noch. Frühe Adoption birgt das Risiko von Kompatibilitätsproblemen.
Post-Quantum-Schlüssel und Signaturen sind deutlich größer als klassische. Das kann Performance und Bandbreite beeinflussen.
Die Kosten für eine vollständige Migration sind signifikant, besonders für den Mittelstand mit begrenztem Security-Budget.

Die Abwägung fällt eindeutig aus: Für Unternehmen, deren Daten eine Lebensdauer von mehr als fünf Jahren haben, überwiegen die Argumente für einen sofortigen Start. Der hybride Ansatz minimiert das Risiko von Kompatibilitätsproblemen, weil die klassische Verschlüsselung als Fallback bestehen bleibt. Wer erst 2028 oder 2029 beginnt, wird die BSI-Deadline 2032 kaum einhalten können.

Ein oft übersehener Aspekt: Crypto-Agility. Viele Unternehmen haben ihre kryptographischen Algorithmen tief in Anwendungscode, Konfigurationsdateien und Hardware-Security-Module eingebrannt. Ein Algorithmus-Wechsel erfordert dann Codeänderungen an Dutzenden Stellen. Wer jetzt eine Abstraktionsschicht einführt, die den konkreten Algorithmus von der Anwendungslogik trennt, macht nicht nur die PQC-Migration einfacher. Er bereitet sich auch auf künftige Algorithmuswechsel vor, die in einer sich schnell entwickelnden kryptographischen Landschaft unvermeidlich sind.

Für Finanzdienstleister und den Gesundheitssektor kommt ein regulatorischer Aspekt hinzu: Die Europäische Zentralbank hat im November 2025 eine Empfehlung zur PQC-Readiness für Zahlungsdienstleister veröffentlicht. DORA (Digital Operational Resilience Act) verlangt von Finanzunternehmen ein aktuelles Kryptographie-Inventar. Wer die PQC-Migration als Teil der DORA-Compliance rahmt, kann Budget und Management-Aufmerksamkeit leichter sichern.

Checkliste: Die ersten 90 Tage der PQC-Migration

Monat 1: Inventar und Risikobewertung

Kryptographisches Inventar erstellen: Welche Algorithmen werden wo eingesetzt?
Datenklassifizierung nach Schutzdauer: Welche Daten sind in 10 oder 15 Jahren noch sensibel?
VPN-Tunnel, TLS-Zertifikate, Code-Signing und S/MIME-Einsatz dokumentieren
Drittanbieter-Abhängigkeiten prüfen: Welche Lieferanten nutzen welche Kryptographie?

Monat 2: Priorisierung und Pilotierung

Highest-Risk-First: Systeme mit langer Datenlebensdauer zuerst migrieren
Hybriden TLS-Modus testen: ML-KEM parallel zu ECDH in Testumgebungen
Crypto-Agility-Fähigkeit prüfen: Können Algorithmen ohne Code-Änderung getauscht werden?
Budget und Ressourcen für die mehrjährige Migration einplanen

Monat 3: Governance und Roadmap

PQC-Migrationsplan dokumentieren und vom CISO freigeben lassen
Meilensteine an BSI-Deadlines ausrichten: 2030 für KRITIS, 2032 für alle
Verantwortlichkeiten zuweisen: Wer steuert die Migration für welche Systeme?
Vierteljährlichen Review-Zyklus etablieren und Fortschritt tracken

Fazit: Die Migration beginnt mit dem Inventar

Post-Quantum-Kryptographie ist kein Zukunftsthema mehr. Die Standards sind finalisiert, die Deadlines stehen und die Bedrohung durch Harvest Now Decrypt Later ist real. Wer heute noch keine Bestandsaufnahme seiner kryptographischen Assets gemacht hat, sollte damit diese Woche beginnen. Der erste Schritt kostet kein Budget und keine externe Beratung: Listen Sie alle Stellen auf, an denen Ihr Unternehmen RSA, ECDH oder ECDSA einsetzt. Prüfen Sie für jedes System, wie lange die damit geschützten Daten sensibel bleiben. Allein diese Übung wird zeigen, wie groß die Aufgabe ist, wo die Prioritäten liegen müssen und welche Systeme Sie zuerst migrieren sollten. Die Standards sind da. Die Deadlines stehen. Was fehlt, ist Ihr erster Schritt.

Häufige Fragen

Was ist Post-Quantum-Kryptographie?

Post-Quantum-Kryptographie bezeichnet kryptographische Verfahren, die auch gegenüber Angriffen mit Quantencomputern sicher sind. Die vom NIST standardisierten Algorithmen ML-KEM, ML-DSA und SLH-DSA basieren auf mathematischen Problemen wie Gitterstrukturen und Hash-Funktionen, die nach aktuellem Wissensstand auch von Quantencomputern nicht effizient gelöst werden können. Diese Algorithmen laufen auf herkömmlicher Hardware.

Was bedeutet Harvest Now, Decrypt Later?

Harvest Now, Decrypt Later beschreibt eine Angriffsstrategie, bei der verschlüsselte Daten heute abgefangen und gespeichert werden, um sie in Zukunft mit Quantencomputern zu entschlüsseln. Die Bedrohung betrifft alle Daten, die länger als fünf bis zehn Jahre sensibel bleiben. Nachrichtendienste und staatlich unterstützte Akteure praktizieren diese Strategie bereits heute.

Bis wann müssen Unternehmen auf PQC umstellen?

Das BSI setzt die Deadline auf 2030 für Betreiber kritischer Infrastrukturen und 2032 für alle übrigen Unternehmen. Da die durchschnittliche Migrationsdauer laut Studien fünf bis zwölf Jahre beträgt, sollten Unternehmen jetzt mit der Bestandsaufnahme und Pilotierung beginnen. Der hybride Einsatz von klassischer und quantensicherer Kryptographie ist der empfohlene Einstieg.

Welche Algorithmen empfiehlt das NIST?

NIST empfiehlt ML-KEM (FIPS 203) für den Schlüsselaustausch als Ersatz für RSA und ECDH, ML-DSA (FIPS 204) für digitale Signaturen als Ersatz für RSA- und ECDSA-Signaturen und SLH-DSA (FIPS 205) als konservative Backup-Option für Signaturen. Zusätzlich wurde HQC als Backup-Algorithmus für den Schlüsselaustausch ausgewählt, dessen finaler Standard 2027 erwartet wird.

Muss ich neue Hardware kaufen?

Nein. Die neuen Post-Quantum-Algorithmen laufen auf bestehender Hardware. Die Migration betrifft Software-Bibliotheken, Protokollkonfigurationen und Zertifikate. Allerdings sind Post-Quantum-Schlüssel und Signaturen größer als klassische Pendants, was bei bandbreitenkritischen Anwendungen oder eingebetteten Systemen berücksichtigt werden sollte. Ein Performance-Test in der eigenen Umgebung ist Teil der Pilotierungsphase.

Lesetipps der Redaktion

On-Premise-KI als Sicherheitsstrategie: Was Gemma 4 für den Datenschutz bedeutet (SecurityToday)
Cyber-Versicherung 2026: Was der Versicherer wirklich prüft (SecurityToday)
Threat Intelligence für den Mittelstand: Bedrohungen erkennen bevor sie zuschlagen (SecurityToday)

Mehr aus dem MBF Media Netzwerk

Gemma 4 lokal deployen: Was Googles Open-Source-Offensive für Cloud-Architekturen bedeutet (cloudmagazin)
EU-Kommission gehackt: 350 GB von AWS-Infrastruktur abgeflossen (cloudmagazin)

Quelle Titelbild: Pexels / cottonbro studio (px:5473960)

Artikel drucken

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow