LAGEBRIEFING · 10.07.2026 DEENFRES

Sicherheitslexikon

Was ist Post-Quantum-Kryptografie? Definition und Standards

Von Alec Chizhik · 10. Juli 2026 · 5 Minuten Lesezeit

Was ist Post-Quantum-Kryptografie? Post-Quantum-Kryptografie bezeichnet Verschlüsselungs- und Signaturverfahren, die auch Angriffen mit Quantencomputern standhalten sollen. Sie beruhen auf mathematischen Problemen, für die weder klassische noch Quantenalgorithmen effiziente Lösungen kennen. Die Verfahren laufen auf heutiger Hardware und sollen RSA und elliptische Kurvenkryptografie langfristig ersetzen oder ergänzen.

Das Wichtigste in Kürze

  • Bedrohung: Der Shor-Algorithmus bricht auf einem ausreichend großen Quantencomputer RSA und ECC. Einen solchen Rechner gibt es noch nicht, der Zeithorizont ist offen.
  • Standards: NIST hat im August 2024 die ersten drei finalen Standards veröffentlicht: FIPS 203 (ML-KEM) für die Schlüsselkapselung, FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) für Signaturen.
  • Handlungsdruck: Wegen Harvest now, decrypt later und langer Migrationszeiten empfiehlt das BSI Krypto-Agilität, hybride Verfahren und ein kryptografisches Inventar als ersten Schritt.

Warum Quantencomputer heutige Verschlüsselung bedrohen

Die asymmetrische Kryptografie, die heute TLS-Verbindungen, VPNs und digitale Signaturen absichert, beruht auf Faktorisierung und diskreten Logarithmen. Der Shor-Algorithmus löst genau diese Probleme auf einem Quantencomputer effizient. Ein ausreichend leistungsfähiger Rechner bricht damit RSA, Diffie-Hellman und ECC mathematisch, unabhängig von der Schlüssellänge.

Ein kryptografisch relevanter Quantencomputer existiert derzeit nicht. Skalierung, Fehlerkorrektur und die Zahl stabiler logischer Qubits bleiben ungelöste Hürden. NIST und BSI betonen beide, dass sich der Zeitpunkt nicht seriös vorhersagen lässt. Symmetrische Verfahren wie AES-256 gelten dagegen als deutlich robuster und brauchen allenfalls längere Schlüssel.

Harvest now, decrypt later

Das eigentliche Risiko beginnt vor dem ersten funktionierenden Quantencomputer. Angreifer können verschlüsselten Datenverkehr heute abfangen, speichern und später entschlüsseln, sobald die Technik verfügbar ist. NIST nennt dieses Szenario ausdrücklich als Grund, jetzt mit der Umstellung zu beginnen.

Betroffen sind vor allem Daten mit langer Vertraulichkeitsdauer: Gesundheitsdaten, Konstruktionsunterlagen, Geschäftsgeheimnisse und staatliche Informationen. Das BSI sieht insbesondere Schlüsseleinigungsverfahren durch dieses Szenario bedroht. Wer solche Daten schützt, rechnet die Migrationsdauer der eigenen Systeme gegen die Restlebensdauer der Geheimnisse.

Die Standards und der Weg dahin

13. Aug. 2024

NIST veröffentlicht die ersten drei finalen PQC-Standards

FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA)

Mit den finalen FIPS-Standards ist die Grundsatzfrage beantwortet. ML-KEM übernimmt die quantensichere Schlüsselkapselung, ML-DSA und SLH-DSA decken Signaturen ab. Die Verfahren gelten nach heutigem Stand als sicher gegen bekannte Quantenangriffe und wandern bereits in Protokolle, Bibliotheken und Produkte.

Das BSI empfiehlt für den Übergang hybride Kombinationen aus klassischen und post-quanten Verfahren sowie Krypto-Agilität als Design-Prinzip. Die Technische Richtlinie TR-02102-1 führt in der Fassung von Januar 2026 quantensichere Mechanismen wie ML-KEM auf und empfiehlt die alleinige Nutzung klassischer asymmetrischer Verfahren nur noch für eine Übergangszeit. Auch auf europäischer Ebene haben das BSI und Partnerbehörden den Übergang zur Post-Quantum-Kryptografie in einer gemeinsamen Erklärung zur Priorität erklärt.

Was Unternehmen jetzt prüfen müssen

Der erste Schritt kostet keine neue Technik: ein Inventar der eingesetzten Kryptografie. Ohne Überblick über Verfahren, Protokolle und Zertifikate lässt sich weder priorisieren noch migrieren. Danach zählt die Frage, welche Daten am längsten vertraulich bleiben müssen.

Jetzt prüfen

  • Kryptografisches Inventar erstellen: Verfahren, Protokolle, Zertifikate und Abhängigkeiten erfassen
  • Daten nach Vertraulichkeitsdauer priorisieren, lange Lebensdauer zuerst
  • Krypto-Agilität als Beschaffungs- und Designkriterium festschreiben
  • Hersteller und Dienstleister nach PQC-Roadmaps und ML-KEM-Unterstützung fragen
  • Hybride Verfahren für den Übergang evaluieren, wo eine vollständige Migration noch nicht möglich ist

Abgrenzung zu verwandten Begriffen

Post-Quantum-Kryptografie wird häufig mit Quantenkryptografie verwechselt. Quantenkryptografie wie die Quantenschlüsselverteilung nutzt physikalische Quanteneffekte und benötigt spezielle Hardware. Post-Quantum-Kryptografie ist dagegen klassische Mathematik, die auf vorhandenen Rechnern läuft und sich per Software-Update ausrollen lässt.

Ebenso wichtig ist die Trennung nach Verfahrenstyp. Akut betroffen ist die asymmetrische Kryptografie, also Schlüsselaustausch und Signaturen. Symmetrische Verschlüsselung und Hash-Funktionen gelten mit angemessenen Parametern weiterhin als sicher. Eine PQC-Migration ersetzt deshalb gezielt die Public-Key-Bausteine und lässt bewährte symmetrische Verfahren im Einsatz.

Häufige Fragen

Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.

Wann kommt der Quantencomputer, der RSA bricht?

Das weiß niemand seriös. Ein kryptografisch relevanter Quantencomputer existiert derzeit nicht, NIST und BSI halten den Zeithorizont ausdrücklich für offen. Schätzungen variieren stark.

Muss ich jetzt schon handeln?

Ja, zumindest mit Inventar und Planung. Heute abgefangene Daten können später entschlüsselt werden und Krypto-Migrationen dauern erfahrungsgemäß Jahre. Beides zusammen erzeugt den Handlungsdruck.

Was ist ML-KEM?

ML-KEM ist der in FIPS 203 standardisierte Mechanismus zur quantensicheren Schlüsselkapselung auf Basis von Gitterproblemen. Er ersetzt perspektivisch den klassischen Schlüsselaustausch etwa in TLS.

Was empfiehlt das BSI?

Krypto-Agilität bei Neuentwicklungen, hybride Kombinationen aus klassischen und post-quanten Verfahren sowie die Empfehlungen der TR-02102-1. Ein kryptografisches Inventar gilt als erster praktischer Schritt.

Betrifft das auch digitale Signaturen?

Ja. Für Signaturen stehen mit ML-DSA und SLH-DSA eigene Standards bereit. Kritisch wird es vor allem bei langen Gültigkeitszeiträumen, etwa bei Dokumenten-Archivierung oder Firmware-Signaturen.

Lesetipps der Redaktion

LesetippPost-Quantum wird Pflicht in der Cloud-ZertifizierungLesetippPost-Quantum-Kryptografie: Deutschland bereitet sich vorLesetippPost-Quantum-Kryptographie: Warum Unternehmen jetzt ihre Verschlüsselung umstellen müssen

Mehr aus dem MBF Media Netzwerk

cloudmagazinEuropas erster Exascale-Rechner – wer darf rechnen?MyBusinessFuturePost-Quanten-Krypto: Warum 2026 der Startschuss istDigital ChiefsPost-Quantum-Kryptographie drängt Konzern-IT

Weiterführende Lektüre

Sicherheitslexikon · 9. Juli 2026

Was ist ein SIEM? Definition, Nutzen und Grenzen

SIEM einfach erklärt: wie zentrale Log-Korrelation funktioniert, was sie von SOC und XDR unterscheidet und welche Fehler bei der Einführung Geld kosten.

Ein Magazin der Evernine Media GmbH