PQC: Der Wettlauf gegen die Zeit
Wie sich Unternehmen auf die Ära der Post-Quanten-Kryptographie vorbereiten sollten
Seit Snowden ist klar: Vertrauen ist keine Sicherheitsstrategie. Wer heute noch glaubt, klassische Verschlüsselung reicht, spielt mit dem Feuer. Google hat es damals auf den Punkt gebracht: “Now we encrypt”. Dies sollte man mittlerweile ergänzen: “Tomorrow, we must go quantum-safe”. Die gute Nachricht: Noch haben wir Zeit – aber nicht unbegrenzt. Mit der bevorstehenden Standardisierung durch NIST und den Empfehlungen des BSI ist klar: Post-Quanten-Kryptographie ist nicht mehr Zukunftsmusik, sondern eine strategische Notwendigkeit. Wer jetzt handelt, sichert seine Zukunft.
"Harvest now, decrypt later" ist eine wachsende Gefahr
Es besteht die Möglichkeit, dass Angreifer heute verschlüsselte Daten sammeln, um sie später mit Quantencomputern zu entschlüsseln. Mit zunehmender Verfügbarkeit und Leistungsfähigkeit dieser Systeme steigt das Risiko, dass langfristig vertrauliche Informationen wie z.B. Gesundheitsdaten, geistiges Eigentum oder kritische Infrastrukturdaten betroffen sein könnten. Quantencomputer sind deutlich schneller als klassische Rechner, weil sie mit Qubits arbeiten. Diese können mehrere Zustände gleichzeitig annehmen, wodurch viele Berechnungen parallel ausgeführt werden. Das macht Aufgaben, die für herkömmliche Computer aufwendig sind, plötzlich lösbar. Die Folge: Verschlüsselungsverfahren wie RSA oder ECC, die heute als sicher gelten, könnten in Zukunft in kürzester Zeit gebrochen werden. Deshalb müssen Unternehmen schon jetzt auf Post-Quanten-Kryptographie setzen, um ihre Daten langfristig zu schützen.
Die Zukunft sicherer Verschlüsselung
Post-Quanten-Kryptographie (PQC) setzt auf völlig andere mathematische Grundlagen als klassische Verfahren. Statt auf Faktorisierung oder diskrete Logarithmen, die für Quantencomputer leicht lösbar werden, basieren PQC-Algorithmen auf Problemen wie Gitterstrukturen, Code-Theorie oder Multivariaten Gleichungen. Diese Aufgaben sind selbst für Quantencomputer komplex und nicht effizient lösbar. PQC-Verfahren werden bereits von internationalen Standardisierungsgremien wie NIST und dem BSI empfohlen und bilden die Basis für die nächste Generation kryptographischer Sicherheit. Zu den Verfahren, die zeitnah abzulösen sind, zählen z.B. TLS 1.2 Cipher-Suiten ohne Perfect Forward Secrecy (PFS), TLS 1.2 Cipher-Suiten mit Pre-Shared Key (PSK) auf Basis von RSA sowie RSA als Signaturverfahren für TLS 1.2.
Darüber hinaus sollten Unternehmen planen, weitere kryptographische Algorithmen und Protokolle, die auf klassischen Verfahren wie RSA oder ECC basieren, spätestens bis Ende 2029 zu ersetzen. Dazu gehören beispielsweise E-Mail-Verschlüsselungen, VPN-Lösungen und Public Key Infrastrukturen (PKI). Auch regulatorische Vorgaben und Standards wie ISO 27001, das BSI-Gesetz (BSIG), branchenspezifische Sicherheitsstandards (B3S) und die beschlossene NIS2-Richtlinie tragen der zunehmenden Bedeutung kryptographischer Konzepte Rechnung. Sie fordern von Unternehmen, die eingesetzte Verschlüsselung regelmäßig zu überprüfen und an neue Bedrohungslagen sowie technologische Entwicklungen anzupassen.
PQC-Migration in IT & OT richtig angehen
Die Umstellung auf Post-Quanten-Kryptographie betrifft nicht nur einzelne Algorithmen, sondern zentrale Sicherheitsmechanismen wie TLS, VPN, PKI und E-Mail-Verschlüsselung. In großen IT-Umgebungen ist ein automatisiertes Verschlüsselungsmanagement unverzichtbar. Hunderte Zertifikate und Schlüssel lassen sich nicht manuell verwalten, ohne Risiken wie abgelaufene Zertifikate oder fehlende Rotation. Hinzu kommt, dass die Laufzeiten von Zertifikaten im Internetkontext immer kürzer werden – teilweise nur noch wenige Monate. Dies erhöht den Druck auf Unternehmen, Prozesse für die automatische Erneuerung und Verteilung zu etablieren. Zentralisierte Lösungen mit einem Key-Management-Systemen (KMS) ermöglichen genau das: automatisierte Zertifikatsverwaltung, sichere Schlüsselrotation und nahtlose Integration in Cloud- und DevOps-Prozesse – ein Muss für Skalierbarkeit und Compliance.
Besondere Herausforderungen bestehen in der Produktion (OT). Viele industrielle Steuerungen und IoT-Geräte unterstützen keine modernen Cipher Suites und verfügen nur über rudimentäre Sicherheitsmechanismen. Da diese Systeme oft jahrzehntelang im Einsatz bleiben, ist eine vollständige PQC-Migration kurzfristig nicht realistisch. Hier sind hybride Ansätze notwendig, die klassische und quantensichere Verfahren kombinieren. Ergänzend sollten Unternehmen auf Netzwerksegmentierung, Monitoring und den Einsatz von Gateways setzen, um Risiken zu minimieren, bis PQC-fähige Systeme verfügbar sind.
Diese Schritte sichern Ihre IT- und OT-Systeme:
Kryptographie-Richtlinien prüfen
- Sind PQC-Anforderungen und Übergangsszenarien bereits berücksichtigt?
Inventarisierung starten
- Identifizieren Sie alle Systeme und Anwendungen, hinsichtlich Ihrer genutzten Cipher Suites
Konzept zur Umsetzung einer PQC-Strategie
- Beschreibung der Strategie für zentrale Verwaltung, Schlüsselrotation und Zertifikatslebenszyklen
- Berücksichtigung kürzerer Zertifikatslaufzeiten
- Key-Management-Systeme (KMS)
- Berücksichtigen Sie Vorgaben vom BSI hinsichtlich der TR 102 02
- Informieren Sie IT- und OT-Teams über Risiken und neue Standards
Pilotprojekt als Proof of Concept umsetzen
- Nach Fertigstellung des Konzepts: Testen Sie PQC-Algorithmen und Schlüsselmanagement in einer kontrollierten Umgebung, bevor die breite Migration erfolgt
Migration der Systeme
Ausblick
Die Post-Quanten-Ära kommt – wann genau, ist unklar. Sicher ist: Wer heute handelt, reduziert spätere Risiken und Kosten. Mit einem klaren Konzept, Pilotprojekten und kontinuierlicher Anpassung sind Sie vorbereitet. Die folgende Grafik veranschaulicht, wie Sie den Übergang von bestehenden Infrastrukturen hin zu einer vollständig PQC-sicheren Umgebung meistern können:
Kontaktieren Sie uns für eine individuelle Beratung oder melden Sie sich zu einem unserer kommenden Workshops an. Gemeinsam entwickeln wir Ihre Roadmap für eine sichere und PQC-konforme Zukunft.
Autor: Christian Müller
Bildquellen: SHD, Shutterstock