Was ist Post-Quantum-Kryptografie? Definition und Standards
Was ist Post-Quantum-Kryptografie? Post-Quantum-Kryptografie bezeichnet Verschlüsselungs- und Signaturverfahren, die auch Angriffen mit Quantencomputern standhalten sollen. Sie beruhen auf mathematischen Problemen, für die weder klassische noch Quantenalgorithmen effiziente Lösungen kennen. Die Verfahren laufen auf heutiger Hardware und sollen RSA und elliptische Kurvenkryptografie langfristig ersetzen oder ergänzen.
Das Wichtigste in Kürze
- Bedrohung: Der Shor-Algorithmus bricht auf einem ausreichend großen Quantencomputer RSA und ECC. Einen solchen Rechner gibt es noch nicht, der Zeithorizont ist offen.
- Standards: NIST hat im August 2024 die ersten drei finalen Standards veröffentlicht: FIPS 203 (ML-KEM) für die Schlüsselkapselung, FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) für Signaturen.
- Handlungsdruck: Wegen Harvest now, decrypt later und langer Migrationszeiten empfiehlt das BSI Krypto-Agilität, hybride Verfahren und ein kryptografisches Inventar als ersten Schritt.
Warum Quantencomputer heutige Verschlüsselung bedrohen
Die asymmetrische Kryptografie, die heute TLS-Verbindungen, VPNs und digitale Signaturen absichert, beruht auf Faktorisierung und diskreten Logarithmen. Der Shor-Algorithmus löst genau diese Probleme auf einem Quantencomputer effizient. Ein ausreichend leistungsfähiger Rechner bricht damit RSA, Diffie-Hellman und ECC mathematisch, unabhängig von der Schlüssellänge.
Ein kryptografisch relevanter Quantencomputer existiert derzeit nicht. Skalierung, Fehlerkorrektur und die Zahl stabiler logischer Qubits bleiben ungelöste Hürden. NIST und BSI betonen beide, dass sich der Zeitpunkt nicht seriös vorhersagen lässt. Symmetrische Verfahren wie AES-256 gelten dagegen als deutlich robuster und brauchen allenfalls längere Schlüssel.
Harvest now, decrypt later
Das eigentliche Risiko beginnt vor dem ersten funktionierenden Quantencomputer. Angreifer können verschlüsselten Datenverkehr heute abfangen, speichern und später entschlüsseln, sobald die Technik verfügbar ist. NIST nennt dieses Szenario ausdrücklich als Grund, jetzt mit der Umstellung zu beginnen.
Betroffen sind vor allem Daten mit langer Vertraulichkeitsdauer: Gesundheitsdaten, Konstruktionsunterlagen, Geschäftsgeheimnisse und staatliche Informationen. Das BSI sieht insbesondere Schlüsseleinigungsverfahren durch dieses Szenario bedroht. Wer solche Daten schützt, rechnet die Migrationsdauer der eigenen Systeme gegen die Restlebensdauer der Geheimnisse.
Die Standards und der Weg dahin
NIST veröffentlicht die ersten drei finalen PQC-Standards
FIPS 203 (ML-KEM), FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA)
Mit den finalen FIPS-Standards ist die Grundsatzfrage beantwortet. ML-KEM übernimmt die quantensichere Schlüsselkapselung, ML-DSA und SLH-DSA decken Signaturen ab. Die Verfahren gelten nach heutigem Stand als sicher gegen bekannte Quantenangriffe und wandern bereits in Protokolle, Bibliotheken und Produkte.
Das BSI empfiehlt für den Übergang hybride Kombinationen aus klassischen und post-quanten Verfahren sowie Krypto-Agilität als Design-Prinzip. Die Technische Richtlinie TR-02102-1 führt in der Fassung von Januar 2026 quantensichere Mechanismen wie ML-KEM auf und empfiehlt die alleinige Nutzung klassischer asymmetrischer Verfahren nur noch für eine Übergangszeit. Auch auf europäischer Ebene haben das BSI und Partnerbehörden den Übergang zur Post-Quantum-Kryptografie in einer gemeinsamen Erklärung zur Priorität erklärt.
Was Unternehmen jetzt prüfen müssen
Der erste Schritt kostet keine neue Technik: ein Inventar der eingesetzten Kryptografie. Ohne Überblick über Verfahren, Protokolle und Zertifikate lässt sich weder priorisieren noch migrieren. Danach zählt die Frage, welche Daten am längsten vertraulich bleiben müssen.
Jetzt prüfen
- ✓Kryptografisches Inventar erstellen: Verfahren, Protokolle, Zertifikate und Abhängigkeiten erfassen
- ✓Daten nach Vertraulichkeitsdauer priorisieren, lange Lebensdauer zuerst
- ✓Krypto-Agilität als Beschaffungs- und Designkriterium festschreiben
- ✓Hersteller und Dienstleister nach PQC-Roadmaps und ML-KEM-Unterstützung fragen
- ✓Hybride Verfahren für den Übergang evaluieren, wo eine vollständige Migration noch nicht möglich ist
Abgrenzung zu verwandten Begriffen
Post-Quantum-Kryptografie wird häufig mit Quantenkryptografie verwechselt. Quantenkryptografie wie die Quantenschlüsselverteilung nutzt physikalische Quanteneffekte und benötigt spezielle Hardware. Post-Quantum-Kryptografie ist dagegen klassische Mathematik, die auf vorhandenen Rechnern läuft und sich per Software-Update ausrollen lässt.
Ebenso wichtig ist die Trennung nach Verfahrenstyp. Akut betroffen ist die asymmetrische Kryptografie, also Schlüsselaustausch und Signaturen. Symmetrische Verschlüsselung und Hash-Funktionen gelten mit angemessenen Parametern weiterhin als sicher. Eine PQC-Migration ersetzt deshalb gezielt die Public-Key-Bausteine und lässt bewährte symmetrische Verfahren im Einsatz.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Wann kommt der Quantencomputer, der RSA bricht?
Das weiß niemand seriös. Ein kryptografisch relevanter Quantencomputer existiert derzeit nicht, NIST und BSI halten den Zeithorizont ausdrücklich für offen. Schätzungen variieren stark.
Muss ich jetzt schon handeln?
Ja, zumindest mit Inventar und Planung. Heute abgefangene Daten können später entschlüsselt werden und Krypto-Migrationen dauern erfahrungsgemäß Jahre. Beides zusammen erzeugt den Handlungsdruck.
Was ist ML-KEM?
ML-KEM ist der in FIPS 203 standardisierte Mechanismus zur quantensicheren Schlüsselkapselung auf Basis von Gitterproblemen. Er ersetzt perspektivisch den klassischen Schlüsselaustausch etwa in TLS.
Was empfiehlt das BSI?
Krypto-Agilität bei Neuentwicklungen, hybride Kombinationen aus klassischen und post-quanten Verfahren sowie die Empfehlungen der TR-02102-1. Ein kryptografisches Inventar gilt als erster praktischer Schritt.
Betrifft das auch digitale Signaturen?
Ja. Für Signaturen stehen mit ML-DSA und SLH-DSA eigene Standards bereit. Kritisch wird es vor allem bei langen Gültigkeitszeiträumen, etwa bei Dokumenten-Archivierung oder Firmware-Signaturen.
Lesetipps der Redaktion
LesetippPost-Quantum wird Pflicht in der Cloud-ZertifizierungLesetippPost-Quantum-Kryptografie: Deutschland bereitet sich vorLesetippPost-Quantum-Kryptographie: Warum Unternehmen jetzt ihre Verschlüsselung umstellen müssen
Mehr aus dem MBF Media Netzwerk
cloudmagazinEuropas erster Exascale-Rechner – wer darf rechnen?MyBusinessFuturePost-Quanten-Krypto: Warum 2026 der Startschuss istDigital ChiefsPost-Quantum-Kryptographie drängt Konzern-IT





