Die Ära der Quantencomputer rückt näher – und Unternehmen, die ihre kryptografische Infrastruktur noch nicht modernisiert haben, spielen mit der Sicherheit ihrer sensibelsten Daten. Der Handlungsdruck ist längst keine abstrakte Zukunftsfrage mehr.
Post-Quanten-Kryptografie: Warum der Migrationsdruck für Unternehmen jetzt steigt
Quantencomputer sind noch kein Massenphänomen – doch die Bedrohung, die sie für bestehende Verschlüsselungsstandards darstellen, ist real genug, um heute zu handeln. Sicherheitsexperten und Behörden weltweit warnen, dass Unternehmen, die ihre kryptografische Infrastruktur nicht rechtzeitig modernisieren, erhebliche Risiken eingehen.
Das „Harvest Now, Decrypt Later”-Problem
Der entscheidende Grund für die Dringlichkeit liegt nicht in der aktuellen Leistungsfähigkeit von Quantencomputern, sondern in einer längst etablierten Angriffsstrategie:
Staatliche Akteure und kriminelle Organisationen sammeln bereits heute verschlüsselte Datenpakete – um sie zu entschlüsseln, sobald leistungsfähige Quantencomputer verfügbar sind.
Für Unternehmen, die mit langfristig sensiblen Daten arbeiten – etwa in der Pharmaindustrie, im Finanzsektor oder bei Behörden – bedeutet das: Informationen, die heute als sicher gelten, könnten in fünf bis zehn Jahren kompromittiert werden.
Besonders anfällig sind asymmetrische Verschlüsselungsverfahren wie RSA und Elliptic Curve Cryptography (ECC), die den Großteil der heutigen TLS-Verbindungen, digitalen Signaturen und VPN-Tunnel absichern. Ein hinreichend leistungsfähiger Quantencomputer könnte diese Verfahren mit dem Shor-Algorithmus in praktisch handhabbarer Zeit brechen.
NIST-Standards als Orientierungsrahmen
Mit der Veröffentlichung erster Post-Quantum-Kryptografie-Standards durch das US-amerikanische National Institute of Standards and Technology (NIST) im Jahr 2024 liegt nun ein konkreter Referenzrahmen vor. Drei Algorithmen wurden standardisiert:
- ML-KEM (ehemals CRYSTALS-Kyber) – für den Schlüsselaustausch
- ML-DSA – für digitale Signaturen
- SLH-DSA – ebenfalls für digitale Signaturen
Diese Verfahren basieren auf mathematischen Problemen, die auch für Quantencomputer als schwer lösbar gelten.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt deutschen Behörden und Unternehmen, mittelfristig auf quantensichere Verfahren umzusteigen.
Die Europäische Union hat die Relevanz dieser Standards für europäische Organisationen bereits anerkannt und schafft damit einen klaren regulatorischen Rahmen.
Migration ist komplex – und zeitaufwendig
Die eigentliche Herausforderung für Unternehmen liegt weniger in der Technologie selbst als in der Migrationslogistik. Kryptografische Verfahren sind tief in Softwareinfrastrukturen, Hardwarekomponenten, Protokollen und Zertifikatsketten verwurzelt.
Ein sogenanntes Cryptographic Inventory – eine vollständige Bestandsaufnahme aller kryptografischen Abhängigkeiten – ist der notwendige erste Schritt, den viele Organisationen bislang nicht unternommen haben.
Hinzu kommt:
- Hybride Übergangslösungen, die klassische und quantensichere Verfahren kombinieren, bringen zusätzliche Komplexität in bestehende Systeme.
- Technische Schulden in Legacy-Infrastrukturen können den Migrationsprozess erheblich verlangsamen.
Regulatorischer Druck nimmt zu
Auf regulatorischer Seite zeichnen sich ebenfalls Veränderungen ab. Im Finanz- und Versicherungssektor beginnen Aufsichtsbehörden, Post-Quanten-Kryptografie in ihre Prüfrahmen aufzunehmen.
Für Unternehmen in regulierten Branchen dürfte die Frage nach quantensicherer Verschlüsselung mittelfristig zu einem handfesten Compliance-Thema werden.
Handlungsempfehlung: Jetzt mit der Planung beginnen
Für deutsche Unternehmen empfiehlt sich ein strukturiertes Vorgehen:
- Inventarisierung – Vollständige Erfassung aller kryptografischen Systeme und Abhängigkeiten
- Risikopriorisierung – Bewertung nach Datensensitivität und Speicherdauer
- Technische Grundlage – Orientierung an den NIST-Standards
- Regulatorischer Kontext – Einhaltung der BSI-Richtlinien für den deutschen Markt
Wer jetzt mit der Planung beginnt, verschafft sich den notwendigen zeitlichen Puffer – denn bis eine vollständige Migration abgeschlossen ist, vergehen in der Regel mehrere Jahre.
Quelle: New Scientist Tech – „We urgently need to prepare for quantum computers breaking encryption”