Quantencomputer, die die heutige Verschlüsselungsinfrastruktur brechen können, existieren noch nicht. Aber staatliche Akteure sammeln bereits heute verschlüsselte Daten, um sie später zu entschlüsseln. Der Zeitdruck entsteht nicht durch den Quantencomputer selbst, sondern durch die Dauer der Migration. Wer heute nicht beginnt, wird nicht rechtzeitig fertig sein.

Das Fundament: Warum heutige Kryptographie verwundbar ist

Die öffentliche Schlüsselinfrastruktur (PKI), auf der ein Großteil der digitalen Sicherheit basiert, beruht auf mathematischen Problemen, die klassische Computer in vertretbarer Zeit nicht lösen können: Primfaktorzerlegung großer Zahlen (RSA) und das diskrete Logarithmusproblem (Elliptic Curve Cryptography, ECC). Ein hinreichend leistungsstarker Quantencomputer kann diese Probleme mithilfe des Shor-Algorithmus in polynomialer Zeit lösen.
Das bedeutet: Jede Signatur, jeder Schlüsselaustausch, jede VPN-Verbindung, jedes TLS-Zertifikat, das heute auf RSA oder ECC basiert, kann von einem ausreichend starken Quantencomputer gebrochen werden. Grover’s Algorithmus schwächt zudem symmetrische Verschlüsselungsverfahren wie AES, was längere Schlüssellängen erfordert.

Harvest now, decrypt later: Das Risiko existiert bereits heute

Das unmittelbarste Risiko der Quantenbedrohung ist die Gegenwart. Das sogenannte „Harvest now, decrypt later“-Szenario beschreibt eine Angriffsstrategie, die bereits aktiv eingesetzt wird: Staatliche Akteure und hochmotivierte Angreifer sammeln heute systematisch verschlüsselte Daten, Kommunikation, Dokumente, Transaktionen, mit dem Ziel, sie zu entschlüsseln, sobald Quantencomputer die nötige Leistung erreicht haben. Für Unternehmen mit langfristig sensitiven Daten ist dieses Risiko bereits heute real. Patente mit einer Laufzeit von 20 Jahren, strategische M&A-Informationen, Patientendaten, langfristige Verträge, Behördenkommunikation. All das ist potenziell bereits in den Händen von Akteuren, die nur auf den richtigen Moment warten.
Moscas Theorem liefert die formale Risikoquantifizierung: Wenn die Zeit bis zur Verfügbarkeit eines kryptographisch relevanten Quantencomputers (t_quantum) plus die Zeit für die Migration (t_migrate) die Schutzdauer der Daten (t_secret) übersteigt, besteht unmittelbarer Handlungsbedarf. Für Unternehmen mit Daten, deren Schutzdauer 10 oder mehr Jahre beträgt, ist dieser Schwellenwert bereits heute erreicht.

NIST 2024: Die neuen Standards sind da, die Migration kann beginnen

Im August 2024 veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) nach einem achtjährigen globalen Wettbewerbsprozess die ersten verbindlichen Post-Quantum-Kryptographie-Standards (PQC):

– ML-KEM (CRYSTALS-Kyber, FIPS 203): Für Key Encapsulation und Schlüsselaustausch, als Ersatz für RSA und Diffie-Hellman
– ML-DSA (CRYSTALS-Dilithium, FIPS 204): Für digitale Signaturen, als Ersatz für RSA- und ECC-basierte Signaturen
– SLH-DSA (SPHINCS+, FIPS 205): Hash-basierte Signaturen als konservativer Alternativansatz

Diese Algorithmen basieren auf Gittern, Hash-Funktionen und anderen Strukturen, für die keine bekannten Quantenangriffe existieren. Das BSI, TISAX und eIDAS 2.0 übernehmen diese Vorgaben schrittweise in ihre Anforderungsrahmen. Hybride Zertifikate, die sowohl klassische (RSA/ECC) als auch PQC-Algorithmen kombinieren, sind die empfohlene Übergangsstrategie. Sie gewährleisten Rückwärtskompatibilität während der Migration und bieten sofortigen Schutz gegen „Harvest now“-Angriffe.

Der Migrationspfad: Was Unternehmen konkret tun müssen

Die Migration zu post-quantum-sicherer Kryptographie ist ein mehrjähriger Transformationsprozess, der strategische Weichenstellungen heute erfordert. Typische Migrationsprojekte dauern fünf bis zehn Jahre, abhängig von der Komplexität der IT-Landschaft. Der erste und kritischste Schritt ist die Erstellung eines kryptographischen Inventars: eine vollständige Übersicht aller Systeme, Anwendungen und Kommunikationskanäle, die RSA oder ECC nutzen. Ohne dieses Inventar ist keine priorisierte Migration möglich. In der Praxis ist genau dieses Inventar in den meisten Organisationen nicht vorhanden. Darüber hinaus empfehlen BSI und NIST übereinstimmend, Krypto-Agilität als Architekturprinzip zu verankern: Systeme so zu gestalten, dass kryptographische Algorithmen ausgetauscht werden können, ohne die gesamte Systemarchitektur neu bauen zu müssen. Dieses Prinzip hilft nicht nur bei der PQC-Migration, sondern erhöht langfristig die Anpassungsfähigkeit der gesamten Sicherheitsarchitektur.

Sechs Schritte zur PQC-Readiness

– Kryptographisches Inventar erstellen: Welche Systeme nutzen RSA/ECC?
– Risikopriorisierung: Welche Daten haben eine Schutzdauer von 10+ Jahren?
– PQC-Readiness Task Force einsetzen: IT, Security, Compliance, Recht
– Krypto-Agilität als Architekturprinzip verankern
– Hybride Zertifikate als Übergangsstrategie planen
– Vendor-Anforderungen definieren: PQC-Readiness als Beschaffungskriterium

Fazit: Der Zeitdruck kommt nicht vom Quantencomputer

Der häufigste Irrtum in der Diskussion um Post-Quantum-Kryptographie ist die Annahme, man müsse erst handeln, wenn Quantencomputer tatsächlich einsatzbereit sind. Das Gegenteil ist wahr: Der Zeitdruck entsteht durch die Migrationsdauer, nicht durch den Quantencomputer. Für Daten mit langer Schutzdauer besteht das Risiko durch „Harvest now“-Angriffe bereits heute. Die Botschaft für Unternehmen ist klar: Wer heute beginnt, hat Zeit für eine geordnete, priorisierte Migration. Wer wartet, bis Quantencomputer aktuell werden, wird nicht mehr rechtzeitig fertig sein und sitzt auf einem Berg bereits kompromittierter Daten, ohne es zu wissen.