Quantencomputer bedrohen die Grundlagen unserer digitalen Sicherheit. Holger von Rhein hat in seinem Beitrag die Hintergründe beleuchtet: Harvest Now, Decrypt Later, Moscas Theorem und die historische Einordnung kryptografisch relevanter Quantencomputer zeichnen ein klares Bild – wir müssen handeln. Dieser Artikel widmet sich dem „Wie“.
Die unbequeme Wahrheit: Kryptografie ist kein „Set and Forget“. Wer Holgers Artikel gelesen hat, kennt die Ausgangslage: Die Frage ist nicht mehr ob, sondern wann ein kryptografisch relevanter Quantencomputer Realität wird. Die NIST hat mit FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) bereits 2024 die ersten Post-Quantum-Standards finalisiert. Das BSI positioniert sich klar an der Seite der EU und empfiehlt, die Migration zeitnah einzuleiten. Die Werkzeuge liegen auf dem Tisch.
Und trotzdem wird das Thema in vielen Organisationen nicht mit der gebotenen Dringlichkeit behandelt, ähnlich wie in den frühen Tagen der DSGVO oder aktuell mit der NIS-2-Einführung. Man hat vielleicht davon gehört, aber unterschätzt, wie groß der Berg tatsächlich ist. In der Konsequenz bleibt der erste Schritt aus. Dabei offenbart die Post-Quanten-Herausforderung ein weit tieferliegendes, strukturelles Problem: Die meisten Organisationen wissen schlicht nicht, wo und wie sie Kryptografie einsetzen. Keine Inventare, keine zentrale Governance, keine Agilität. Kryptografie wurde über Jahrzehnte als unsichtbare Selbstverständlichkeit behandelt – eingebettet in Bibliotheken, Protokolle und Appliances, über die niemand eine Gesamtübersicht hat.
Genau hier setzt Krypto-Agilität an. Und nein, das ist kein bloßes Buzzword. Es beschreibt die Fähigkeit einer Organisation, kryptografische Algorithmen, Protokolle und Schlüssel systematisch, zeitnah und möglichst unterbrechungsfrei austauschen zu können – nicht nur einmal, sondern kontinuierlich. Denn selbst Post-Quanten-Algorithmen sind nicht für die Ewigkeit gemacht. Wer heute eine starre PQC-Migration durchführt, ohne dabei Agilität als Designprinzip zu verankern, schafft die nächste Altlast.
Bin ich überhaupt betroffen? Die kurze Antwort: Ja. Wenn eine Organisation digitale Kommunikation betreibt, Daten speichert oder Software entwickelt, nutzt sie Kryptografie. TLS, VPN, PKI, Festplattenverschlüsselung, Signaturverfahren, API-Authentifizierung: All das basiert auf kryptografischen Bausteinen, den sogenannten Primitiven,, die durch Quantencomputer bedroht sind.
Die differenziertere Antwort ergibt sich aus zwei Aspekten – dem Zeitdruck und der Komplexität der eigenen kryptografischen Landschaft. Dabei stehen Organisationen mit langfristig schützenswerten Daten unter dem höchsten Zeitdruck. Moscas Theorem gibt uns die entscheidende Formel an die Hand: Wenn die Summe aus der Geheimhaltungsdauer der Daten und der benötigten Migrationszeit größer ist als die Zeit bis zur Verfügbarkeit eines kryptografisch relevanten Quantencomputers, dann sind die Daten bereits jetzt im Risiko.
Für Organisationen, deren Daten über Jahrzehnte hinweg vertraulich bleiben müssen (etwa in der Verteidigung, der Forschung oder dem Gesundheitswesen), hätte die Migration bereits beginnen müssen. Doch mittlerweile geht die Gleichung für „normale“ Betriebe nicht mehr auf. Schon gesetzliche Aufbewahrungsfristen von zehn Jahren, etwa beim Handels- und Steuerrecht, reichen in Kombination mit realistischen Migrationszeiten aus, um das Zeitfenster von Moscas Theorem zu sprengen. Wenn ein Angreifender heute verschlüsselten Datenverkehr abfängt (Harvest Now, Decrypt Later), ist der Schaden bei der Verfügbarkeit eines kryptografisch relevanten Quantencomputers bereits eingetreten – unabhängig davon, wann das sein wird.
Das betrifft zum Beispiel:
- Behörden und Verteidigung: Staatliche Kommunikation, die über Dekaden geheim bleiben muss.
- Gesundheitswesen: Patientendaten unterliegen strengstem Schutz – und zwar dauerhaft.
- Forschung und geistiges Eigentum: Forschungsergebnisse, deren wirtschaftlicher Wert auf Jahre hinaus kritisch ist.
- Finanzsektor: Langfristige Vertragsdaten, Transaktionshistorien, strategische Planungen
- Konzerne: Hochkomplexe IT-Landschaften, Patente, Firmengeheimnisse und strategische Planungen
Regulatorische Rahmenwerke verschärfen den Druck zusätzlich. Wer unter NIS-2, den Cyber Resilience Act (CRA), ISO 27001, IT-Grundschutz oder branchenspezifische Regelungen wie DORA oder TISAX fällt, wird sich bald mit der Frage konfrontiert sehen, ob die eigene kryptografische Praxis den Anforderungen noch genügt. Diese Regularien fordern üblicherweise bereits heute explizit den Einsatz „dem Stand der Technik entsprechender“ Kryptografie. Das BSI empfiehlt explizit klassisch eingesetzte Kryptografie für hohe Schutzbedarfe nur bis Ende 2030 und für die restlichen Anwendungen bis Ende 2031. Demnach ist die Definition vom „Stand der Technik“ klar: Die Nutzung von quantensicheren Verfahren.
Organisationen mit komplexen, historisch gewachsenen IT-Landschaften – typischerweise im Mittelstand und in Konzernen – stehen vor einer besonderen Herausforderung: Kryptografie steckt nicht nur in den offensichtlichen Punkten (TLS-Zertifikate, VPN-Gateways), sondern tief in der Lieferkette, in eingebetteten Systemen, in OT-Umgebungen und in selbst entwickelter Software. Die Migrationszeit kann hier besonders groß sein, was das von Mosca beschriebene Zeitfenster weiter verengt.
Selbst wenn ihre Daten keine jahrzehntelange Geheimhaltung erfordern und sie keiner strikten Regulatorik unterliegen: Krypto-Agilität ist eine architektonische Eigenschaft, die sich nicht über Nacht herstellen lässt. Wer heute beginnt, verschafft sich strategischen Spielraum. Wer wartet, wird irgendwann unter Zeitdruck und einem erhöhten Risiko sowie höheren Kosten migrieren müssen.
Der Weg zur Krypto-Agilität
Krypto-Agilität entsteht nicht durch ein einzelnes Projekt, sondern durch einen strategischen Aufbauprozess, der sich in klar abgrenzbare Phasen gliedern lässt. Im Folgenden skizzieren wir unseren erprobten Ansatz, der sich an der Realität mittelständischer und großer Organisationen orientiert.
Phase 1: Standortbestimmung – Wo stehen wir?
Bevor man irgendetwas migriert, muss man verstehen, was es zu migrieren gilt. Und genau hier liegt bei den meisten Organisationen die größte Lücke.
Unser Crypto-Basis-Check ist der erste, entscheidende Schritt. Er umfasst die Sichtung der kryptografischen Landschaft. Das bedeutet eine systematische Erfassung über alle relevanten Domänen hinweg, von der Zusammenarbeit, Vendor- & Supply-Chain-Readiness bis zum internen Wissen. Dabei betrachten wir alle kryptografischen Kategorien:
- Operative Kryptografie: PKI-Infrastrukturen, Schlüsselmanagement, Konfigurationen, At-Rest-Verschlüsselung, OT-Umgebungen, …
- Software-Kryptografie: Kryptografische Bibliotheken, Abhängigkeiten, hartcodierte Schlüssel oder Algorithmen …
- Netzwerk-Kryptografie: Protokolle, Cipher Suites, In-Transit-Verschlüsselung, Firewall- und VPN-Konfigurationen, …
- Managed und Hardware-basierte Kryptografie: Verwaltete Schlüssel, HSMs, …
Außerdem gilt klar: Nicht jede Kryptografie ist gleich kritisch. Die zentrale Frage lautet daher:
„Wie lange müssen welche Daten vertraulich, integer oder authentisch bleiben?“
Diese Frage speist direkt in Moscas Theorem ein und liefert die Grundlage für jede sinnvolle Priorisierung. Aus alldem entsteht ein Lagebild, das sich in einem Krypto-Reifegrad-Modell verdichten lässt – von Ad hoc (keine Sichtbarkeit, keine Strategie) bis Optimierend (automatisierte Inventarisierung, abgeschlossener PQC-Rollout für Hochrisikosysteme, kontinuierliche Verbesserung). Dieses Modell dient als KPI-Framework: messbar, nachvollziehbar und steuerungsrelevant. Ein solcher Basis-Check ist – je nach Größe der Organisation – in wenigen Tagen bis zu wenigen Wochen durchführbar und liefert die Entscheidungsgrundlage für alles Weitere.
Phase 2: Inventarisierung und Risikoanalyse – Was haben wir und was davon ist kritisch?
Auf dem Crypto-Basis-Check aufbauend folgt die systematische, unternehmensweite Inventarisierung kryptografischer Assets. Hier gelten einige Grundprinzipien, die wir aus der Praxis ableiten:
- Vollständigkeit: Das Inventar wird nie vollständig sein – und das ist in Ordnung. Wer auf Vollständigkeit wartet, wird nie fertig. Wichtiger als Perfektion ist ein belastbarer Prozess, der kontinuierlich verbessert wird. Dennoch muss die Erfassung ambitioniert sein.
- Automatisierung: Netzwerk-Scans, TLS-Checks, Dependency-Analysen in CI/CD-Pipelines – vieles lässt sich toolgestützt erfassen. Wo Scanner nicht hinkommen (OT, Legacy, Blackbox-Appliances), braucht es halbautomatisierte oder manuelle Erfassung.
- Standardisierung durch CBOM: Die Cryptographic Bill of Materials (CBOM) hat sich als Standardformat für kryptografische Inventare etabliert. Wer sein Inventar heute auf dem CBOM-Standard aufbaut, schafft Anschlussfähigkeit für zukünftige Automatisierung und Tool-Ökosysteme.
- Erweiterung des bestehenden Asset-Managements: In vielen Organisationen existieren bereits CMDB- oder Asset-Management-Systeme. Die Frage ist nicht, ob man ein neues System braucht, sondern wie sich das bestehende um kryptografische Attribute erweitern lässt.
- Dokumentation: Was nicht erfasst werden kann, muss dokumentiert werden. Wenn ein System sich einer kryptografischen Inventarisierung entzieht – etwa eine proprietäre Appliance ohne Einsicht in die verwendete Kryptografie – ist das kein Grund, es zu ignorieren. Es ist ein Grund, es als Risiko zu behandeln und den Hersteller in die Pflicht zu nehmen.
Auf Grundlage des Inventars erfolgt die Risikoanalyse. Hierbei empfiehlt sich eine Dreistufung:
| Kategorie | Beschreibung |
| Akutes Risiko | bereits heute unsichere Kryptografie (z.B. TLS 1.0, SHA-1, RSA < 2048 Bit)sofortiger Handlungsbedarf, unabhängig von der Quantenbedrohung |
| Quantum-Risiko | heute noch sichere Kryptografie, in Zukunft durch Quantencomputer knackbarPriorisierung über Moscas Theorem |
| Kein (akutes) Risiko | kurzlebige Daten mit niedrigem Schutzbedarf und geringer Migrationszeit |
Die Ergebnisse lassen sich in einer Risiko-Heatmap verdichten, die sowohl dem operativen Team als auch dem Management als Steuerungsinstrument dient. Assets, die sich der Inventarisierung entzogen haben, sollten mindestens als PQC-Risiko eingestuft werden, denn wo Unklarheit herrscht, muss das Vorsichtsprinzip gelten.
Ein nicht zu unterschätzender Nebeneffekt: Die kryptografische Risikoanalyse fördert häufig akute Schwachstellen zutage, die mit der Quanten-Bedrohung gar nichts zu tun haben. Veraltete Protokolle, abgelaufene Zertifikate, unsichere Konfigurationen – die „Krypto-Hygiene“ ist oft der erste sogenannte No-Regret-Move.
Phase 3: Governance – Richtlinien, Prozesse, Verantwortlichkeiten
Technische Migration ohne organisatorische Verankerung ist Sisyphusarbeit. Deshalb ist die Etablierung einer kryptografischen Governance ein essenzieller Baustein – und einer, der oft unterschätzt wird. Viele Organisationen verfügen über eine Krypto-Richtlinie und seltener über ein Krypto-Konzept. Für die vorhandene Richtlinie gilt allerdings oft, dass sie seit Jahren nicht aktualisiert wurde, ausschließlich auf die ungelesene TR-02102 des BSI für Details verweist und PQC nur indirekt berücksichtigt. Eine zeitgemäße Krypto-Richtlinie muss folgende Aspekte abdecken:
- Zuverlässige Verfahren: Klare Vorgaben für zulässige Algorithmen, Schlüssellängen und Protokolle, inklusive einer Positionierung zu PQC und hybriden Verfahren
- Regulatorischer Bezug: Ausrichtung an einschlägigen Standards und Vorgaben (BSI TR-02102, NIST SP 800-131A, branchenspezifische Regelwerke)
- Reaktionsfähigkeit: Finden von Antworten auf die Fragen: Was passiert, wenn morgen ein Algorithmus gebrochen wird? Wer entscheidet? In welcher Zeit? Über welche Meldewege?
Kryptografie betrifft nicht nur die IT-Abteilung. Einkaufsprozesse müssen kryptografische Anforderungen an Produkte und Dienstleister stellen. Softwareentwicklungsprozesse müssen kryptografische Prüfungen einschließen. Und im Lieferantenmanagement müssen PQC-Roadmaps eingefordert und bewertet werden, denn Ihre Krypto-Agilität ist immer nur so gut wie die Ihrer schwächsten Abhängigkeit. Wenn Ihr VPN-Anbieter, Ihr Cloud-Dienstleister oder Ihr HSM-Hersteller keine PQC-Roadmap hat, wird Ihre eigene Migration an genau dieser Stelle blockiert. Der Dialog mit dritten Parteien muss frühzeitig und strukturiert geführt werden.
Phase 4: Proof of Concept und Pilotprojekte – Kontrolliertes Lernen
Bevor eine unternehmensweite Migration beginnt, braucht es kontrollierte Erfahrungsräume. PoC- und Pilotprojekte sind keine optionale Kür, sondern eine notwendige Risikominderung.
Warum Pilotprojekte unverzichtbar sind:
- Wissensaufbau: PQC-Algorithmen verhalten sich anders als ihre klassischen Vorgänger. Signaturgrößen von ML-DSA oder SLH-DSA sind zum Teil erheblich größer als bei RSA oder ECDSA. Schlüsselgrößen bei ML-KEM unterscheiden sich von ECDH. Dieses Wissen muss in der Organisation ankommen. Nicht nur theoretisch, sondern durch praktische Erfahrung.
- Interoperabilitätstests: Legacy-Systeme und Middleware kommen mit größeren Schlüsseln und Signaturen nicht immer zurecht. Paketgrößen können MTU-Grenzen überschreiten, Zertifikatsketten können Parser überfordern, Handshakes können Timeouts auslösen. All das will vor dem Produktiv-Rollout entdeckt werden.
- Hybride Verfahren validieren: Der empfohlene Migrationspfad führt über hybride Kryptografie – also die Kombination klassischer und PQC-Algorithmen. Damit bleibt die Sicherheit auch dann gewährleistet, wenn sich einer der beiden Algorithmen als schwächer herausstellt als erwartet.
Phase 5: Migration und kontinuierliche Verbesserung
Die eigentliche Migration ist kein Sprint, sondern ein priorisierter, phasenweiser Marathon. Dabei müssen Abhängigkeiten der Assets untereinander, technische Einschränkungen und Work-Arounds sowie Kritikalität berücksichtigt werden. Außerdem können PQC-Algorithmen – je nach Parametersatz – signifikant größere Schlüssel, Signaturen und Ciphertexte erzeugen. Das hat Auswirkungen auf Netzwerkbandbreite, Speicher, CPU-Last und Latenz. Eine vorgelagerte Kapazitätsplanung verhindert böse Überraschungen im Produktivbetrieb.
PQC ist komplex. Entwickelnde und Administrierende müssen verstehen, was sich ändert, warum es sich ändert und wie die neuen Algorithmen korrekt eingesetzt werden. Falsch konfigurierte PQC-Kryptografie ist nicht besser als gar keine. Schulungen sind also zu Beginn von Migrationsbestrebungen besonders sinnvoll.
Nach Abschluss der Migrationsschritte sollte der Krypto-Reifegrad erneut erhoben werden. Das macht Fortschritte sichtbar, identifiziert verbleibende Baustellen und gibt dem Management eine belastbare Grundlage für weitere Investitionsentscheidungen.
Krypto-Reifegrad: Wo stehen Sie?
Um die eigene Position auf dem Weg zur Krypto-Agilität greifbar zu machen, hat sich ein fünfstufiges Reifegradmodell bewährt:
| Stufe | Bezeichnung | Charakteristik |
| 1 | Ad hoc | Keine Sichtbarkeit über die eigene kryptografische Landschaft. Kryptografie wird reaktiv und ohne zentralen Plan implementiert. Kein Bewusstsein für PQC-Risiken. |
| 2 | Sensibilisiert | Wichtige Stakeholder sind informiert. Erste isolierte Assessments finden statt. Pläne werden entwickelt, um Erwartungen und Erkenntnisse mit relevanten Stakeholdern zu teilen. |
| 3 | Strukturiert | Unternehmensweite Krypto-Inventare sind erstellt. Risiko-Heatmaps und Strategiedokumente liegen vor. Tools und Ressourcen für die Migration sind identifiziert und zugewiesen. |
| 4 | Operativ | Prinzipien der Krypto-Agilität sind in der Architektur verankert. PQC-Piloten laufen. Kryptografische Metriken werden überwacht (z. B. Alerts bei Richtlinienverstößen, Certificate-Lifecycle-Monitoring, Anomalie-Erkennung in hybriden Prozessen). |
| 5 | Optimierend | Vollständig automatisierte Inventarisierung und Krypto-Überwachung. PQC-Rollout für Hochrisikosysteme ist abgeschlossen. Prozesse zur kontinuierlichen Verbesserung sind etabliert. Die Organisation kann schnell auf neue Standards oder Bedrohungen reagieren. |
Die meisten Organisationen, mit denen wir sprechen, befinden sich derzeit irgendwo zwischen Stufe 1 und 2. Das ist keine Schande – es ist der Normalzustand. Entscheidend ist, dass der Weg nach oben jetzt beginnt.
Der nächste Schritt
Die Post-Quanten-Migration ist aktuell eine der größten Herausforderungen für die IT-Sicherheit. Sie betrifft jede Schicht des Technologie-Stacks, jede Branche und jede Organisationsgröße. Aber sie kann bewältigt werden, wenn man sie strukturiert angeht. Der beste Zeitpunkt, mit Krypto-Agilität zu beginnen, war gestern. Der zweitbeste ist heute.
