Post-Quanten-Kryptografie: Warum Unternehmen jetzt die Weichen stellen sollten
Der Übergang zur Post-Quanten-Kryptografie hat bereits begonnen – getrieben durch regulatorische Vorgaben und schnellere Fortschritte im Quantencomputing. Unternehmen sollten ihre Sicherheitsarchitekturen jetzt darauf vorbereiten.
Tobias Fehenberger
Post-Quanten-Kryptografie galt lange als Zukunftsthema. Irgendwann würden leistungsfähige Quantencomputer kommen, irgendwann müssten Unternehmen ihre Kryptografie anpassen. Diese Sichtweise verändert sich derzeit spürbar.
Sicherheitsbehörden arbeiten an konkreten Migrationsplänen, Standardisierungsgremien treiben neue Verfahren voran und große Technologieanbieter bereiten ihre Plattformen auf die Post-Quanten-Ära vor. Aus einem Forschungsthema wird zunehmend eine praktische Aufgabe für IT- und Security-Verantwortliche.
Die Migration hat begonnen
Ein wichtiges Signal kommt direkt aus Europa: Mit der neuen PQC-Roadmap der NIS-Kooperationsgruppe liegt erstmals ein gemeinsamer Fahrplan für die Migration zu quantensicherer Kryptografie vor. Bis 2026 sollen nationale Roadmaps und Pilotprojekte etabliert werden, bis 2030 Anwendungen mit besonders hohem Schutzbedarf umgestellt sein.
Auch außerhalb von Behörden nimmt die Dynamik zu. Google hat kürzlich angekündigt, die eigene Migration zu Post-Quanten-Kryptografie bis 2029 voranzutreiben. Dahinter steht die Einschätzung, dass Fortschritte bei Quantenhardware schneller erfolgen könnten als lange angenommen.
Für Unternehmen ist das ein klares Signal: Die Vorbereitung beginnt nicht erst mit dem ersten leistungsfähigen Quantencomputer. Sie läuft bereits.
Das Risiko besteht schon heute
In vielen Diskussionen dreht sich alles um die Frage, wann Quantencomputer aktuelle Verschlüsselungsverfahren brechen können. Für die Praxis greift diese Betrachtung zu kurz.
Schon heute können verschlüsselte Daten abgefangen und gespeichert werden, um sie später zu entschlüsseln. Dieses Szenario, bekannt als „Store now, decrypt later“, betrifft insbesondere Informationen mit langfristigem Schutzbedarf.
Behörden, Betreiber kritischer Infrastrukturen und Unternehmen aus regulierten Branchen sollten deshalb nicht darauf warten, bis Quantencomputer Realität werden. Für sensible Daten beginnt die Vorbereitung bereits heute.
Gleichzeitig geht es längst nicht mehr nur um die Vertraulichkeit von Informationen. Auch digitale Signaturen, Zertifikate und Authentifizierungsverfahren müssen auf die Zeit nach klassischen Public-Key-Verfahren vorbereitet werden.
Der Übergang ins Post-Quanten-Zeitalter hat bereits begonnen – Unternehmen müssen jetzt handeln, um Daten und Infrastrukturen zu schützen.
Die Herausforderung ist die Migration
Die Umstellung auf Post-Quanten-Kryptografie wird häufig als Austausch einzelner Algorithmen beschrieben. In der Praxis ist sie deutlich komplexer.
Aus unserer Sicht wird häufig unterschätzt, wie tief Kryptografie in bestehende Infrastrukturen eingebettet ist. Sie steckt in Anwendungen, Zertifikaten, Netzwerkprotokollen, Identitätslösungen und zahlreichen Betriebsprozessen. Entsprechend viele Systeme und Verantwortlichkeiten sind betroffen.
Genau deshalb gewinnt Kryptoagilität an Bedeutung. Sicherheitsarchitekturen sollten so aufgebaut sein, dass kryptografische Verfahren künftig angepasst oder erweitert werden können, ohne komplette Systeme neu aufbauen zu müssen.
Die entscheidende Frage lautet daher nicht, welcher Algorithmus sich langfristig durchsetzt. Entscheidend ist, ob die eigene Infrastruktur flexibel genug ist, auf neue Standards reagieren zu können.
Warum die Netzinfrastruktur ein guter Einstiegspunkt ist
Für viele Unternehmen bietet die Netzinfrastruktur einen pragmatischen Einstieg in die PQC-Migration. Hier laufen zentrale Kommunikationsbeziehungen zusammen, hier werden sensible Daten transportiert und hier lassen sich Sicherheitsmaßnahmen häufig mit vergleichsweise geringem Aufwand umsetzen.
Aus unserer Erfahrung liegt genau darin ein wesentlicher Vorteil: Kommunikationswege lassen sich frühzeitig absichern, während Anwendungen und darüberliegende Systeme schrittweise nachgezogen werden können. Bereits heute können hybride Verfahren eingesetzt werden, die klassische und quantensichere Kryptografie kombinieren. Dadurch entsteht ein praktikabler Migrationspfad, ohne bestehende Sicherheitsarchitekturen grundlegend verändern zu müssen.
Wer heute in Cybersecurity und Netzwerkinfrastruktur investiert, sollte deshalb nicht nur aktuelle Anforderungen betrachten. Ebenso wichtig ist die Frage, ob eingesetzte Lösungen PQC-fähig oder zumindest PQC-ready sind. Investitionen, die diese Entwicklung bereits berücksichtigen, schaffen langfristig mehr Handlungsspielraum und vermeiden spätere Umrüstungsprojekte.
Jetzt die Grundlagen schaffen
Für die meisten Unternehmen geht es heute noch nicht um eine vollständige Migration. Wichtiger ist zunächst Transparenz: Welche kryptografischen Verfahren werden eingesetzt? Welche Daten müssen langfristig geschützt werden? Wo bestehen besondere Abhängigkeiten?
Auf dieser Grundlage lassen sich Prioritäten definieren und erste Migrationspfade entwickeln. Genau deshalb empfehlen Sicherheitsbehörden bereits heute den Aufbau eines Kryptoinventars und die Entwicklung entsprechender Roadmaps. Die kommenden Jahre bieten die Chance, den Übergang zur Post-Quanten-Kryptografie kontrolliert vorzubereiten. Wer früh beginnt, kann bestehende Investitionen schützen, Risiken reduzieren und die Migration schrittweise gestalten.
Aus unserer Sicht ist genau das die wichtigste Aufgabe der kommenden Jahre: Sicherheitsarchitekturen so weiterzuentwickeln, dass sie nicht nur heutigen Bedrohungen standhalten, sondern auch auf die Anforderungen der Post-Quanten-Ära vorbereitet sind.
Weiterführende Informationen
- BSI: NIS-Kooperationsgruppe veröffentlicht EU-Roadmap für quantensichere Kryptografie:
https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/EU-Roadmap_Quantenkryptografie_250711.html