Ein weit verbreitetes Missverständnis rund um den Grover-Algorithmus verleitet IT-Teams dazu, Ressourcen in unnötige Migrationen zu stecken – während die eigentlich kritischen Sicherheitslücken im Bereich asymmetrischer Kryptographie ungestopft bleiben.
AES-128 bleibt auch im Quantenzeitalter sicher – ein hartnäckiger Mythos kostet Unternehmen Zeit und Geld
Ein hartnäckiges Missverständnis in IT-Sicherheitskreisen bremst die ohnehin anspruchsvolle Vorbereitung auf quantenresistente Infrastrukturen aus. Entgegen einer weit verbreiteten Annahme ist AES-128 auch in einer Welt mit leistungsfähigen Quantencomputern als symmetrisches Verschlüsselungsverfahren weiterhin als sicher einzustufen.
Die Fehlvorstellung und ihr Ursprung
Der Irrtum wurzelt in einer Fehlinterpretation des sogenannten Grover-Algorithmus. Dieser quantenmechanische Suchalgorithmus kann theoretisch unstrukturierte Datenmengen quadratisch schneller durchsuchen als klassische Verfahren. Daraus leiten viele IT-Verantwortliche ab, dass AES-128 mit seinen 128-Bit-Schlüsseln im Quantenzeitalter nur noch einer effektiven Schlüssellänge von 64 Bit entspreche – und damit unsicher sei.
Diese Schlussfolgerung ist jedoch nicht korrekt.
Tatsächlich reduziert der Grover-Algorithmus die effektive Sicherheit von AES-128 zwar theoretisch auf etwa 64 Bit. In der Praxis ist ein Angriff dieser Art jedoch schlicht nicht durchführbar. Ein Quantencomputer, der den Grover-Algorithmus auf AES-128 anwenden wollte, müsste über Milliarden von physischen Qubits mit extrem niedriger Fehlerrate verfügen und dabei über Zeiträume von teils Jahrzehnten ohne Unterbrechung betrieben werden. Solche Systeme existieren nicht – und es gibt keine seriösen Prognosen, nach denen sie in absehbarer Zukunft realisierbar wären.
Asymmetrische Kryptographie ist das eigentliche Problem
Der zentrale Unterschied liegt zwischen symmetrischer und asymmetrischer Kryptographie:
- Der Grover-Algorithmus erzielt bei symmetrischen Verfahren wie AES lediglich eine quadratische Beschleunigung.
- Der Shor-Algorithmus hingegen kann asymmetrische Verfahren wie RSA oder Elliptic-Curve-Kryptographie (ECC) exponentiell schneller angreifen – und damit praktisch brechen.
Genau hier liegt die echte Bedrohung durch Quantencomputer.
Unternehmen, die heute RSA-2048 oder ECDSA für Schlüsselaustausch, digitale Signaturen oder Zertifikate einsetzen, stehen vor einem realen Handlungsbedarf. Der Übergang zu den vom NIST standardisierten Post-Quanten-Algorithmen – darunter ML-KEM (ehemals CRYSTALS-Kyber) und ML-DSA (ehemals CRYSTALS-Dilithium) – ist für diese Einsatzfelder dringend geboten.
Ressourcen werden falsch priorisiert
Das eigentliche Problem an der AES-128-Fehlvorstellung ist pragmatischer Natur: Wenn IT-Teams unnötig Kapazitäten in die Migration von AES-128 zu AES-256 investieren, fehlen diese Ressourcen dort, wo tatsächlicher Handlungsbedarf besteht.
Die Umstellung asymmetrischer Infrastrukturen – darunter:
- TLS-Zertifikate
- VPN-Gateways
- Code-Signing-Prozesse
- PKI-Architekturen
– ist komplex, zeitaufwändig und erfordert sorgfältige Planung.
Zudem gilt das Prinzip „Harvest Now, Decrypt Later”: Angreifer sammeln bereits heute verschlüsselte Kommunikation, um sie zu einem späteren Zeitpunkt mit leistungsfähigen Quantensystemen zu entschlüsseln.
Dieses Risiko betrifft ausschließlich asymmetrisch gesicherte Daten – nicht AES-128-verschlüsselte Inhalte.
Einordnung und Prioritäten für deutsche Unternehmen
Für Unternehmen im deutschsprachigen Raum, die ihre Quantum-Readiness-Strategie entwickeln oder überarbeiten, ergibt sich eine klare Prioritätenliste:
- Bestandsaufnahme aller eingesetzten asymmetrischen Kryptographieverfahren
- Migration dieser Systeme auf NIST-standardisierte Post-Quanten-Algorithmen (zeitkritisch)
- AES-128 muss nicht zwingend ersetzt werden – eine Umstellung auf AES-256 ist eine Vorsorgemaßnahme, keine akute Notwendigkeit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in seinen technischen Richtlinien bereits die Priorisierung der asymmetrischen Kryptomigration und bietet konkrete Orientierung für betroffene Organisationen.
Quelle: Ars Technica Security