Von Veröffentlicht am

NIS-2 und Quantenresistenz: Risiko für heutige Verschlüsselung

© IBM

Quantencomputer als Risiko für heutige Verschlüsselung

Quantencomputer gelten zunehmend als sicherheitspolitischer und wirtschaftlicher Faktor. Während leistungsfähige Systeme noch nicht im breiten Einsatz sind, ist ihre potenzielle Wirkung auf heutige Kryptografie gut verstanden. Insbesondere asymmetrische Verschlüsselungsverfahren beruhen auf mathematischen Problemen, die für klassische Rechner praktisch nicht lösbar sind, für Quantencomputer jedoch grundsätzlich effizient angreifbar werden können. Bereits Shors Algorithmus hat gezeigt, dass sowohl die Faktorisierung großer Zahlen als auch das diskrete Logarithmusproblem mit ausreichend leistungsfähiger Quantenhardware lösbar wären.

Die eigentliche Gefahr entsteht dabei nicht erst mit dem Erreichen eines sogenannten „Q-Day“. Angreifer können verschlüsselte Daten schon heute abfangen und langfristig speichern, um sie später mit Quantencomputern zu entschlüsseln. Dieses Vorgehen – bekannt als „Harvest Now, Decrypt Later“ – betrifft insbesondere Daten mit langer Schutzbedürftigkeit, etwa personenbezogene Informationen, vertrauliche Geschäftsunterlagen oder staatliche Kommunikation. Der Verlust der Vertraulichkeit wirkt damit zeitversetzt, ist aber irreversibel. Entscheidend ist, dass die sicherheitsrelevante Zeitachse bereits heute beginnt: Organisationen, die erst reagieren, wenn Quantenangriffe praktisch möglich werden, verlieren die Möglichkeit zur Prävention und können dann nur noch Schadensbegrenzung betreiben.

Regulatorischer Druck durch NIS-2 und Empfehlungen des BSI

Parallel zur technologischen Entwicklung verschärft sich der regulatorische Rahmen. Die NIS-2-Richtlinie verpflichtet betroffene Organisationen nicht ausdrücklich zur sofortigen Einführung postquantenresistenter Kryptografie, fordert jedoch ein belastbares Kryptografiekonzept als Teil der technischen und organisatorischen Maßnahmen. Dieses Konzept muss den Stand der Technik berücksichtigen, Risiken bewerten und Vorsorge gegen absehbare Bedrohungen treffen. NIS-2 verschiebt damit den Fokus klar von reaktiver Absicherung hin zu nachweisbarer, vorausschauender Sicherheitsplanung.

Vor diesem Hintergrund haben das Bundesamt für Sicherheit in der Informationstechnik (BSI) und weitere europäische Partner eine klare Empfehlung ausgesprochen: Der aktive Übergang zu quantenresistenten kryptografischen Verfahren soll spätestens bis 2030 erfolgen. Auch wenn diese Empfehlung rechtlich nicht bindend ist, prägt sie maßgeblich die Auslegung dessen, was im Sinne von NIS-2 als angemessene Sicherheitsmaßnahme gilt – insbesondere für kritische Infrastrukturen und regulierte Branchen.

Post-Quanten-Kryptografie: Stand der Technik und aktuelle Standards

Post-Quanten-Kryptografie bezeichnet kryptografische Verfahren, die auch gegenüber Angriffen mit Quantencomputern als widerstandsfähig gelten. Anders als klassische Algorithmen basieren sie auf mathematischen Problemen, für die bislang keine effizienten quantenmechanischen Lösungsverfahren bekannt sind. Internationale Standardisierungsprozesse haben in den vergangenen Jahren zu einer deutlichen Konsolidierung geführt.

Aktuell gelten insbesondere folgende Algorithmen als empfohlener Stand der Technik:

Schlüsselaustausch / Key Encapsulation

  • ML-KEM (ehemals Kyber), standardisiert als FIPS 203
    Grundlage: gitterbasierte Kryptografie (Module-LWE)

Digitale Signaturen

  • ML-DSA (ehemals Dilithium)
  • SLH-DSA (SPHINCS+)

Diese Empfehlungen werden sowohl vom NIST als auch vom BSI getragen. Erste zertifizierte Produkte zeigen zudem, dass Post-Quanten-Kryptografie nicht mehr nur theoretisch existiert. So wurden bereits Smartcards mit hoher Common-Criteria-Bewertung (EAL6+) zertifiziert, die ML-KEM implementieren und damit die praktische Umsetzbarkeit unter realistischen Angriffsmodellen belegen.

Gleichzeitig ist festzuhalten, dass PQC-Verfahren noch nicht über dieselbe jahrzehntelange Betriebserfahrung verfügen wie etablierte Algorithmen. Fragen der Implementierungssicherheit und der Resistenz gegen Seitenkanalangriffe werden weiterhin intensiv erforscht. Entsprechend empfehlen Fachgremien einen schrittweisen und kontrollierten Übergang.

Krypto-Agilität als zentrale Voraussetzung für Migration

Vor diesem Hintergrund rückt weniger der einzelne Algorithmus als vielmehr die strukturelle Fähigkeit zur Anpassung in den Fokus. Krypto-Agilität beschreibt die Eigenschaft von IT-Systemen, kryptografische Verfahren austauschen oder ergänzen zu können, ohne grundlegende Architekturänderungen vornehmen zu müssen. Gerade weil kryptografische Migrationen zeitaufwendig sind, ist Abwarten hier die risikoreichste Strategie.

Aus technischer Sicht umfasst dies insbesondere:

  • modulare Hard- und Softwarearchitekturen
  • abstrahierte kryptografische Schnittstellen
  • vollständige Dokumentation eingesetzter Verfahren in Form eines Krypto-Inventars
  • definierte Migrations- und Fallback-Strategien

Organisationen, die Krypto-Agilität frühzeitig etablieren, reduzieren das Risiko technologischer Sackgassen und können regulatorische sowie technische Anforderungen flexibler erfüllen.

Hybride Kryptografie als pragmatischer Übergang

Als derzeit praktikabelster Ansatz gilt die hybride Kryptografie. Dabei werden klassische und postquantenresistente Verfahren kombiniert, sodass die Sicherheit nicht von einem einzelnen Algorithmus abhängt. Besonders relevant ist dieser Ansatz beim Schlüsselaustausch, der die Grundlage sicherer Kommunikationsverbindungen bildet.

Typische hybride Konstruktionen kombinieren:

  • klassische Verfahren wie ECDH
  • mit postquantenresistenten Verfahren wie ML-KEM
  • unter gemeinsamer Schlüsselableitung, etwa mittels HKDF

Solange mindestens eines der eingesetzten Verfahren nicht kompromittiert ist, gilt die Gesamtkonstruktion als sicher. Erste Implementierungen zeigen, dass dieser Ansatz technisch umsetzbar ist. So wurden in Projekten wie OpenSSH die internen Strukturen gezielt so angepasst, dass KEM-basierte Verfahren modular eingebunden und zukünftige PQC-Algorithmen ohne tiefgreifende Eingriffe ergänzt werden können.

Vorbereitung auf das Quantenzeitalter

Für Unternehmen bedeutet dies, dass der Fokus weniger auf einer kurzfristigen Komplettumstellung liegt, sondern auf strategischer Vorbereitung. Dazu zählen die systematische Erfassung eingesetzter kryptografischer Verfahren, die Bewertung der Datenlebensdauer sowie der gezielte Aufbau krypto-agiler Architekturen. Wer diese Schritte frühzeitig angeht, handelt proaktiv im Sinne von NIS-2 – wer abwartet, reagiert erst, wenn die Handlungsspielräume bereits eingeschränkt sind.

Fazit

Quantencomputer sind keine ferne Science-Fiction mehr, sondern eine absehbare Realität, die unsere heutigen Sicherheitsannahmen schleichend untergräbt. Als IT-Sicherheitsspezialist sehe ich hier eine klare Verantwortung: Wer heute abwartet, riskiert morgen den Verlust sensibler Daten – nicht erst am „Q-Day“, sondern schon durch „. , dass wir uns dieser Entwicklung nicht entziehen können.

Ich empfehle dir daher, nicht auf eine plötzliche Umstellung zu warten, sondern jetzt strategisch zu handeln: Bewerte deine kryptografischen Abhängigkeiten, erfasse die Lebensdauer deiner Daten und baue auf. sind keine Zukunftsmusik, sondern essenzielle Bausteine für eine langfristige Sicherheitsstrategie. Mein Rat: Nutze die Zeit, um modular und schrittweise vorzugehen – so bist du vorbereitet, bevor der Handlungsdruck steigt.