Von Veröffentlicht am

Post-Quantum-Kryptographie

© IBM

1. Die unterschätzte Bedrohung: Quantencomputer und Kryptographie

„Store now, decrypt later“ – was wie ein Thriller-Slogan klingt, ist längst Realität. Geheimdienste, Staaten und Angreifer speichern heute massenhaft verschlüsselte Daten, in der Hoffnung, sie eines Tages mit Quantencomputern zu knacken. Verträge, Gesundheitsakten, Geschäftsgeheimnisse – alles, was langfristig vertraulich bleiben soll, ist potenziell gefährdet.

Und genau das macht Quantencomputer zu einer sicherheitsrelevanten Zeitenwende.

Noch gelten sie für viele als Zukunftsmusik – faszinierend, aber weit weg vom Alltag. Doch diese Wahrnehmung trügt: Konzerne wie IBM, Google und Start-ups wie Rigetti investieren Milliarden in die Quantenforschung. Auch die EU ist aktiv – mit dem „Quantum Flagship“ und einem eigenen Quantencomputer, der bis 2026 in Deutschland realisiert werden soll.

Warum das problematisch ist? Weil Quantencomputer grundlegend anders rechnen. Statt klassischen Bits (0 oder 1) nutzen sie Qubits – die dank Superposition mehrere Zustände gleichzeitig annehmen können. Dadurch lösen sie bestimmte mathematische Probleme dramatisch schneller – etwa das Faktorisieren großer Zahlen oder das Lösen diskreter Logarithmen.

Genau hier setzt der Shor-Algorithmus an. Schon 1994 zeigte Peter Shor, dass ein ausreichend starker Quantencomputer RSA & Co. in Minutenschnelle knacken könnte. Die nötige Hardware fehlt noch – aber niemand bezweifelt ernsthaft, dass sie kommt.

Und weil Daten langlebiger sind als Technologien, reicht es nicht, zu warten. Wer heute nicht vorbereitet, könnte morgen ganze Jahrzehnte an vertraulichen Informationen verlieren.

Jetzt ist der Moment zum Handeln.

2. Die Achillesferse der heutigen Kryptographie

Moderne Kryptographie beruht auf einem simplen Prinzip: Manche mathematische Probleme sind extrem schwer zu knacken – zumindest für klassische Computer. Zwei davon bilden das Rückgrat fast aller asymmetrischen Verschlüsselungsverfahren:

  1. Faktorisierung großer Zahlen (→ RSA): Zwei Primzahlen multiplizieren ist einfach – sie wieder zu finden, ist höllisch schwer.
  2. Diskreter Logarithmus (→ Diffie-Hellman, ECC): Potenzen berechnen geht schnell – die Umkehr ist ein Rechenmonster.

Solange die Schlüssel groß genug sind, gelten diese Probleme als praktisch unlösbar. Deshalb schützen RSA, DH und ECC heute fast alles: Online-Banking, VPNs, digitale Signaturen.

Doch genau diese Annahmen kippen mit Quantencomputern. Der Shor-Algorithmus könnte beide Probleme elegant lösen – und damit die Fundamente der heutigen Kryptographie einstürzen lassen. Besonders tückisch: das Prinzip „Store now, decrypt later“. Angreifer – etwa Geheimdienste – speichern schon heute verschlüsselte Daten (z. B. Gesundheitsakten, Verträge, geheime Kommunikation), um sie später mit Quantenpower zu knacken.

Was heute sicher aussieht, kann morgen zur tickenden Zeitbombe werden – inklusive Vertrauensverlust und Datenlecks aus der Vergangenheit.

3. Was ist Post-Quantum-Kryptographie – und warum sie so wichtig ist

Post-Quantum-Kryptographie (PQC) ist keine Spielerei für die Forschungsecke, sondern eine digitale Überlebensstrategie. Ziel ist es, neue kryptographische Verfahren zu entwickeln, die auch dann sicher bleiben, wenn Quantencomputer Realität werden.

Wichtig: PQC ist nicht dasselbe wie Quantenkryptographie. Letztere nutzt physikalische Quanteneffekte (z. B. Lichtteilchen zur Schlüsselverteilung). PQC dagegen bleibt in der klassischen IT-Welt – nur die mathematischen Probleme dahinter ändern sich.

Damit diese neuen Verfahren zukunftstauglich sind, müssen sie einiges leisten:

  • Sicherheit gegen klassische und Quantenangriffe
  • Effiziente Implementierbarkeit
  • Kompatibilität mit heutigen Protokollen
  • Langfristige Robustheit

Die wichtigsten mathematischen Ansätze der Post-Quantum-Kryptographie lassen sich in fünf Familien einteilen – jede mit eigenen Stärken und Schwächen:

  • Gitter-basierte Verfahren (z. B. CRYSTALS-Kyber, Dilithium, FALCON):
    Sie gelten derzeit als der Goldstandard. Sie sind effizient, vielseitig einsetzbar und gut in bestehende Systeme integrierbar.

  • Code-basierte Verfahren (z. B. Classic McEliece):
    Bieten sehr robuste Sicherheit und gelten als kaum angreifbar – allerdings auf Kosten riesiger öffentlicher Schlüssel.
  • Hash-basierte Verfahren (z. B. SPHINCS+, XMSS):
    Diese Verfahren verlassen sich ausschließlich auf Hashfunktionen. Sie sind extrem sicher, aber erzeugen große Signaturen und sind vergleichsweise rechenintensiv.
  • Isogenie-basierte Verfahren (z. B. SIKE – inzwischen gebrochen):
    Früher als vielversprechend für kompakte Schlüssel gehandelt, aber inzwischen durch erfolgreiche Angriffe verwundbar.
  • Multivariate Verfahren (z. B. Rainbow – ebenfalls gebrochen):
    Heute eher von theoretischem Interesse – in der Praxis kaum noch relevant.

Kurz gesagt: Gitterbasierte Verfahren wie Kyber und Dilithium gelten derzeit als das Maß der Dinge – robust, effizient und praktikabel.

4. Überblick über die wichtigsten PQC-Verfahren

Die heutigen PQC-Verfahren sind das Ergebnis jahrelanger Forschung – vorangetrieben durch den NIST-Wettbewerb, der seit 2016 Dutzende Kandidaten unter realistischen Bedingungen prüft. Das Ziel: Verfahren, die nicht nur quantensicher sind, sondern sich auch effizient in bestehende IT-Infrastrukturen integrieren lassen – von Smartphones bis zu Hochsicherheitsanwendungen.

Nach vier intensiven Runden kristallisierten sich einige besonders vielversprechende Verfahren heraus:

  • CRYSTALS-Kyber (Gitter-basiert, Verschlüsselung):
    Sehr effizient, moderate Schlüsselgrößen – ideal für TLS, VPNs & Co.

  • CRYSTALS-Dilithium (Gitter-basiert, Signaturen):
    Robuste Sicherheit bei vergleichsweise kleinen Signaturen – Favorit für digitale Signaturen.
  • FALCON (Gitter-basiert, Signaturen):
    Extrem kompakte Signaturen (< 1 KB), aber komplex in der Implementierung.
  • SPHINCS+ (Hash-basiert, Signaturen):
    Gilt als fast unangreifbar – auch bei künftigen mathematischen Durchbrüchen. Nachteil: große Signaturen, hoher Rechenaufwand.
  • Classic McEliece (Code-basiert, Verschlüsselung):
    Der Veteran mit ungebrochener Sicherheit – allerdings riesigen öffentlichen Schlüsseln (mehrere 100 KB bis MB).

Diese Verfahren bilden den Kern künftiger Standards – und sind nur der Anfang. Wer ihre technischen Besonderheiten verstehen will, muss etwas tiefer eintauchen.

4.1 CRYSTALS-Kyber: Das neue Rückgrat für Schlüsselaustausch

CRYSTALS-Kyber gilt aktuell als das wichtigste Verfahren für quantensichere Schlüsselkapselung – also das, was heute etwa RSA beim TLS-Handshake übernimmt. Entwickelt wurde es auf Basis eines mathematischen Problems namens Modul-LWE (Learning With Errors über Modulen) – einem der härtesten Nüsse in der Welt der Gitterprobleme, und selbst für Quantencomputer (nach aktuellem Stand) unknackbar.

Was Kyber so besonders macht? Die Kombination aus Sicherheit, Geschwindigkeit und Praktikabilität. Die Schlüssel sind moderat groß (1–2 KB), der Rechenaufwand für Schlüsselaustausch und Entschlüsselung ist überschaubar – teilweise sogar schneller als bei RSA. Und: Die Struktur ist deterministisch, was die Implementierung deutlich einfacher und sicherer macht – ein riesiger Vorteil für mobile Geräte, eingebettete Systeme oder Cloud-Infrastrukturen.

Kurz gesagt:
Kyber ist nicht nur theoretisch sicher, sondern auch praktisch einsetzbar – und genau das macht es zum Favoriten vieler Expert:innen.

Stärken von Kyber im Überblick:

  • Extrem schneller Schlüsselaustausch – ideal z. B. für TLS oder VPNs

  • Vergleichsweise kleine Schlüssel und Ciphertexte
  • Robust gegenüber Seitenkanalangriffen
  • Einfach in Hardware und Software integrierbar
  • Bereits in realen Pilotprojekten im Einsatz – z. B. bei Cloudflare und Google im „Post-Quantum TLS-Experiment“

Kyber gilt zu Recht als das Flaggschiff unter den PQC-Kandidaten – und es ist sehr wahrscheinlich, dass es in den nächsten Jahren Standard in Protokollen wie TLS 1.3, SSH oder IPsec wird.

4.2 CRYSTALS-Dilithium: Die Speerspitze für digitale Signaturen

CRYSTALS-Dilithium ist das Pendant zu Kyber – nur eben für digitale Signaturen. Auch Dilithium basiert auf Gitterproblemen, allerdings auf einer anderen mathematischen Grundlage, die clever Zufall und Determinismus kombiniert, um Sicherheit und Effizienz unter einen Hut zu bringen. Klingt technisch? Ist es – aber vor allem praktisch relevant.

Denn in der Praxis punktet Dilithium mit einem starken Mix aus Sicherheit, Performance und handhabbaren Schlüsselgrößen. Die öffentlichen Schlüssel liegen bei ca. 1,5 bis 3 KB, die Signaturen zwischen 2 und 4 KB – also absolut im Rahmen für moderne Infrastrukturen. Keine Monsterwerte wie bei anderen PQC-Verfahren, aber auch kein Sicherheitsverzicht.

Warum Dilithium so vielversprechend ist:

  • Sehr effizient – gerade im Vergleich zu früheren gitterbasierten Signatursystemen

  • Robust auch bei aggressiven Angriffsmodellen (klassisch und quantenbasiert)
  • Keine komplexe Fehlerkorrektur wie bei FALCON nötig
  • Einfacher zu implementieren, weniger anfällig für Seitenkanalangriffe

Für viele Anwendungsfälle – von digitale Zertifikate über Software-Signaturen bis hin zu Authentifizierungsprozessen – dürfte Dilithium der neue Standard werden. Es überrascht daher nicht, dass Zertifizierungsstellen wie Let’s Encrypt und Browserhersteller (Chrome, Firefox & Co.) bereits mit ersten PQC-fähigen Versionen experimentieren.

Fazit:
Dilithium ist der Favorit für die breite Masse. Stark, verlässlich, effizient – und bereit für den Einsatz in der realen Welt.

4.3 FALCON: Der Spezialist für extrem kompakte Signaturen

FALCON macht vor allem eines richtig gut: Signaturen so klein wie möglich halten. Mit rund 666 Byte pro Signatur schlägt FALCON in Sachen Kompaktheit sogar Dilithium deutlich – ideal für IoT-Geräte, Sensoren oder mobile Anwendungen, wo jedes Byte zählt.

Technisch basiert FALCON ebenfalls auf Gittern, nutzt dabei aber besonders komplexe Methoden wie die Fast Fourier Transformation (FFT) und präzise Rundungsverfahren. Genau hier liegt die Herausforderung: Die Implementierung ist anspruchsvoll – Fehler in der Mathematik oder im Timing können schnell zu Seitenkanalangriffen führen. Deshalb ist FALCON nichts für schnelle Integrationen oder unerfahrene Entwickler.

Stärken von FALCON:

  • Extrem kompakte Signaturen – unter 1 KB

  • Geeignet für bandbreiten- oder speicherkritische Anwendungen
  • Theoretisch sehr sicher – aber nur bei sauberer Implementierung

Einschätzung:
FALCON ist ein Spezialwerkzeug – perfekt, wenn es auf minimalen Footprint ankommt. In der Breite dürfte aber Dilithium die Nase vorn behalten, weil es einfacher zu integrieren ist.

4.4 SPHINCS+: Der unkompromissbare Hash-Riese

SPHINCS+ geht einen ganz eigenen Weg – ohne Gitter, ohne Codes, ohne algebraische Fallstricke. Stattdessen basiert es ausschließlich auf Hashfunktionen. Das macht das Verfahren extrem widerstandsfähig – selbst bei künftigen mathematischen Durchbrüchen oder unbekannten Quantenangriffen.

Die Kehrseite? Die Signaturen sind deutlich größer als bei anderen Verfahren – zwischen 8 und 30 KB, je nach gewählter Sicherheitsstufe. Auch die Rechenzeit ist nicht gerade gering. Trotzdem: Wenn absolute Verlässlichkeit zählt, gibt es kaum eine bessere Wahl.

Typische Einsatzszenarien:

  • Root-Zertifikate mit jahrzehntelanger Gültigkeit

  • Hochsicherheitsbereiche in Staat und Militär
  • Langzeitarchivierung sensibler Dokumente

Fazit:
SPHINCS+ ist das Sicherheitsnetz unter den PQC-Verfahren – nicht elegant, nicht schnell, aber brutal verlässlich. Wer auf Nummer sicher gehen will, kommt an SPHINCS+ kaum vorbei.

4.5 Classic McEliece: Die Rückkehr eines alten Giganten

Classic McEliece ist sowas wie der Dinosaurier unter den PQC-Verfahren – aber ein zäher. Bereits 1978 entwickelt, basiert es nicht auf Gitterproblemen oder Hashfunktionen, sondern auf fehlerkorrigierenden Codes. Und genau das macht es so interessant: Dieser Ansatz ist völlig anders – und hat sich bis heute als unglaublich robust erwiesen.

Trotz jahrzehntelanger Forschung konnte kein einziger Angriff – weder mit klassischer noch mit quantenbasierter Rechenkraft – das Verfahren ernsthaft gefährden.

Der Haken? Die riesigen öffentlichen Schlüssel. Je nach Variante sind das schnell mal mehrere Hundert Kilobyte bis über ein Megabyte – ein echter Showstopper für viele moderne Anwendungen.

Wann McEliece trotzdem punktet:

  • Infrastrukturen mit sehr langer Lebensdauer (z. B. Satelliten, Backup-Systeme)

  • Szenarien, in denen Speicherplatz zweitrangig ist – aber Sicherheit alles

Fazit:
McEliece ist sperrig, aber unverwüstlich. Wer langfristige Sicherheit sucht und mit großen Schlüsseln leben kann, findet hier einen verlässlichen Klassiker im neuen Gewand.

4.6 Hashbasierte Signaturverfahren für Firmware-Updates

Neben den bekannten gitter- und codebasierten Verfahren gibt es eine sehr spezielle, aber wichtige Klasse: die zustandsbehafteten hashbasierten Signaturen, wie LMS (Leighton-Micali Signatures) und XMSS (eXtended Merkle Signature Scheme).

Sie basieren ausschließlich auf Hashfunktionen – und gelten deshalb als extrem robust gegen Quantenangriffe. Doch es gibt eine Besonderheit:
Diese Verfahren sind „stateful“ – das heißt, der Signaturersteller muss exakt mitverfolgen, welche Schlüssel bereits verwendet wurden, denn jeder darf nur ein einziges Mal eingesetzt werden. Das macht die Handhabung anspruchsvoller, erhöht aber nicht das Risiko – sofern man es im Griff hat.

Wofür sie besonders geeignet sind:

  • Firmware-Updates bei Embedded Devices

  • Medizinische Geräte und sicherheitskritische Steuerungen
  • Systeme mit wenigen, aber besonders sensiblen Signaturen

Gerade in solchen Szenarien ist die Kombination aus hoher Sicherheit und geringer Signaturfrequenz ideal – denn Speicher und Rechenleistung sind oft limitiert, die Schutzbedürftigkeit aber enorm.

Das BSI empfiehlt daher ausdrücklich den Einsatz von LMS oder XMSS bei Firmware-Signaturen – als verlässlichen Baustein in Richtung Krypto-Agilität und langfristiger Post-Quantum-Sicherheit.

5. Der NIST-Standardisierungsprozess: Wie neue Post-Quantum-Standards entstehen

Wenn wir heute von Post-Quantum-Kryptographie sprechen, führt kein Weg am National Institute of Standards and Technology (NIST) vorbei. Diese US-amerikanische Behörde, bekannt für ihre Standardisierungen in praktisch allen Bereichen der Technik, hat 2016 einen bahnbrechenden Wettbewerb ins Leben gerufen: Das Ziel war es, neue Kryptographiestandards zu entwickeln, die der Bedrohung durch Quantencomputer standhalten können. Dieses Projekt war nicht nur historisch beispiellos in seiner Größenordnung, sondern auch ein Lehrstück dafür, wie moderne, offene Standardisierungsprozesse funktionieren sollten.

Der Wettbewerb startete offiziell mit einem "Call for Proposals". Forscher und Teams aus aller Welt reichten insgesamt 69 verschiedene Algorithmen ein. Diese Vielfalt spiegelte die Unsicherheit und Breite des Forschungsfeldes wider: Gitter-basierte Verfahren, Code-basierte Systeme, Hash-basierte Signaturen, Multivariate Polynomansätze und sogar exotische isogenie-basierte Methoden konkurrierten miteinander.

Der Evaluierungsprozess selbst war intensiv und öffentlich. In mehreren Runden – oft über Jahre hinweg – wurden die Kandidaten auf Sicherheit, Effizienz, Robustheit gegenüber Angriffen (klassisch und Quanten-basiert), Implementierungsfreundlichkeit und Integrationsfähigkeit geprüft. Es gab wissenschaftliche Papers, öffentliche Diskussionen, Sicherheitsanalysen und sogar "Kryptographie-Hacks", bei denen Forscher weltweit versuchten, Schwächen der Algorithmen aufzudecken.

Manche Verfahren mussten den Wettbewerb frühzeitig verlassen – etwa das isogenie-basierte Verfahren SIKE, das 2022 spektakulär gebrochen wurde. Andere schafften es bis zur Finalrunde, wo sie nochmals intensiver getestet wurden.

Bei der Auswahl der künftigen PQC-Standards hat das NIST fünf zentrale Kriterien definiert – und genau darauf kommt es auch in der Praxis an:

  • Sicherheit: Die Verfahren müssen sowohl gegen klassische als auch gegen Quantenangriffe bestehen – und zwar dauerhaft.

  • Effizienz: Sie sollen auf moderner Hardware praktikabel laufen – egal ob auf Smartphones, Servern oder IoT-Geräten.
  • Implementierung: Der Code muss möglichst resistent gegen Seitenkanal- oder Timing-Angriffe sein – also auch unter der Haube sicher.
  • Flexibilität: Die neuen Algorithmen sollten sich in bestehende Protokolle wie TLS, IPsec oder SSH integrieren lassen – ohne alles neu zu bauen.
  • Langlebigkeit: Was heute eingeführt wird, soll auch morgen noch Bestand haben – trotz möglicher neuer Angriffsformen oder mathematischer Fortschritte.

Nach intensiven fünf Jahren und mehreren Runden verkündete das NIST schließlich im Juli 2022 die ersten Finalisten für die Standardisierung:

  • ML-KEM (CRYSTALS-Kyber) für Schlüsselaustausch
  • ML-DSA (CRYSTALS-Dilithium) für digitale Signaturen
  • SLH-DSA (SPHINCS+) als alternative Signaturlösung
  • Classic McEliece für langfristige Verschlüsselung (noch in Evaluation)

Im Jahr 2024 hat das NIST drei Post-Quantum-Verfahren offiziell als neue FIPS-Standards anerkannt – ein historischer Meilenstein für die IT-Sicherheit:

  • FIPS 203 – ML-KEM (Kyber): Für quantensichere Schlüsselkapselung (Key Encapsulation Mechanism, KEM).

  • FIPS 204 – ML-DSA (Dilithium): Für digitale Signaturen mit robustem Sicherheits- und Performanceprofil.
  • FIPS 205 – SLH-DSA (SPHINCS+): Als besonders sichere, hashbasierte Alternative für digitale Signaturen.

Damit hat das NIST einen historischen Meilenstein erreicht: Zum ersten Mal gibt es verbindliche Standards für eine kryptographische Welt nach dem Aufkommen leistungsfähiger Quantencomputer.

5.1 Warum die NIST-Standards weltweit maßgeblich sind

Die Bedeutung der neuen NIST-Standards geht weit über die USA hinaus. Internationale Unternehmen, Organisationen und sogar Regierungen orientieren sich traditionell stark an den NIST-Standards, insbesondere im Bereich der Informationssicherheit. Beispiele sind der Einsatz von AES (Advanced Encryption Standard) und SHA-2 (Secure Hash Algorithm 2) – beide ebenfalls NIST-entwickelt und heute globale De-facto-Standards.

Für Post-Quantum-Kryptographie wird eine ähnliche Entwicklung erwartet. Auch europäische Institutionen wie die ENISA (European Union Agency for Cybersecurity) und das deutsche BSI (Bundesamt für Sicherheit in der Informationstechnik) haben signalisiert, ihre PQC-Roadmaps an den Ergebnissen des NIST-Prozesses auszurichten.

Zusätzlich dazu treiben Organisationen wie die GSM Association (GSMA) und Industriearbeitsgruppen (wie IETF und IEEE) die Integration von PQC-Verfahren in bestehende Standards wie TLS, SSH und VPN-Protokolle voran.

Das bedeutet konkret:
Wer heute Systeme entwickelt, die auf die nächsten 10, 20 oder 30 Jahre hinaus sicher sein sollen, muss die NIST-PQC-Standards berücksichtigen.

5.2 Der Weg in die Praxis: Erste Implementierungen und Pilotprojekte

Bereits heute gibt es erste Pilotprojekte und Experimente, bei denen Post-Quantum-Verfahren in der Praxis getestet werden:

  • Cloudflare und Google haben gemeinsam einen Testlauf für TLS 1.3 mit Kyber durchgeführt. Dabei wurden quantensichere Schlüsselaustauschverfahren in reale HTTPS-Verbindungen integriert, ohne nennenswerte Geschwindigkeitseinbußen.
  • Microsoft testet in seinen Produkten wie Azure bereits hybride Zertifikate (klassisch + PQK), um eine sanfte Übergangsphase zu ermöglichen.
  • Mozilla und Chrome experimentieren mit Post-Quantum-Varianten ihrer Browserprotokolle, um Kompatibilität und Performance zu optimieren.

Diese Pilotprojekte zeigen deutlich: Die Migration zu Post-Quantum-Algorithmen ist nicht nur möglich – sie ist längst im Gange. Unternehmen, die sich nicht frühzeitig darauf vorbereiten, riskieren, in wenigen Jahren gravierende Sicherheits- und Wettbewerbsnachteile zu erleiden.

5.3 Europäischer Fahrplan: Die EU verpflichtet sich zur PQC-Migration

Im April 2024 hat auch die Europäische Kommission ein klares Signal gesetzt: Mit der „Recommendation on a Coordinated Implementation Roadmap for the Transition to Post-Quantum Cryptography“ hat Brüssel erstmals einen offiziellen Fahrplan für alle EU-Mitgliedstaaten veröffentlicht. Ziel ist eine synchronisierte, koordinierte Migration zu PQC, um sicherzustellen, dass kritische Infrastrukturen, Behörden und Unternehmen rechtzeitig auf quantensichere Verschlüsselung umstellen.

Die Roadmap entstand im Rahmen der Zusammenarbeit mit der NIS-Kooperationsgruppe (eine Plattform für die Cybersecurity-Koordination der Mitgliedstaaten) und legt konkrete Maßnahmen fest – unter anderem:

  • Einrichtung nationaler PQC-Arbeitsgruppen, um die Umstellung in Behörden und Infrastruktursektoren zu planen.

  • Aufklärungskampagnen und Fachinformationen für Industrie, Mittelstand und Forschungseinrichtungen.
  • Synchronisierung der Zeitpläne, um Kompatibilitätsprobleme in grenzüberschreitenden Systemen zu vermeiden.
  • Regelmäßiges Monitoring und Review der Fortschritte in den Mitgliedsstaaten.

Mit dieser Roadmap wird klar: PQC ist nicht mehr nur ein Forschungs- oder Technikthema – es ist zur politischen Pflichtaufgabe geworden. Die EU folgt damit dem Vorbild der USA (NIST, NSM-10), positioniert sich aber zugleich mit einer eigenen, abgestimmten Strategie im internationalen PQC-Wettrennen.

Warum das wichtig ist:
Viele Organisationen in Europa haben bisher gezögert, aktiv zu werden – mit Verweis auf fehlende Regulierung. Diese Ausrede gilt nun nicht mehr. Der politische Handlungsrahmen ist gesetzt – und wer in Europa auf Datenverarbeitung, Verschlüsselung oder digitale Signaturen angewiesen ist, wird in den nächsten Jahren handeln müssen.

6. Herausforderungen bei der Migration zu Post-Quantum-Kryptographie

Auf den ersten Blick mag die Einführung von Post-Quantum-Kryptographie wie ein rein technisches Update wirken – ähnlich einem Wechsel von einem alten auf ein neueres Verschlüsselungsverfahren. Doch dieser Eindruck täuscht. Die Umstellung auf quantensichere Kryptographie ist in Wahrheit eine der größten infrastrukturellen Herausforderungen, die IT-Sicherheitsarchitekturen je bewältigen mussten. Sie betrifft nicht nur einzelne Algorithmen, sondern das gesamte Ökosystem: von Protokollen über Hardware bis hin zu organisatorischen Prozessen. Ohne eine präzise Planung und eine durchdachte Strategie drohen massive Kompatibilitätsprobleme, Sicherheitslücken und ein dramatischer Anstieg der Komplexität.

6.1 Technische Hürden: Größe, Performance und Kompatibilität

Eine der unmittelbar spürbaren Herausforderungen bei der Einführung von PQC-Verfahren sind die veränderten Schlüssel- und Signaturgrößen. Während klassische RSA-2048-Schlüssel rund 256 Bytes groß sind, benötigen viele PQC-Verfahren – etwa Classic McEliece – öffentliche Schlüssel von mehreren hundert Kilobytes bis hin zu Megabyte-Größen. Auch die Signaturen, beispielsweise bei SPHINCS+, können um ein Vielfaches größer sein als herkömmliche ECDSA-Signaturen. Das hat erhebliche Auswirkungen auf Speicherbedarf, Netzwerkbandbreite und die Performance insbesondere ressourcenarmer Geräte wie IoT-Sensoren, Smartcards oder Mobiltelefone.

Dazu kommt, dass viele bestehende Kommunikationsprotokolle wie TLS, SSH, S/MIME oder VPN-Standards sehr eng auf klassische Kryptosysteme abgestimmt sind. Eine Integration neuer Verfahren erfordert tiefgreifende Protokollanpassungen – angefangen bei der Aushandlung von kryptographischen Parametern über die Handhabung von Zertifikaten bis hin zu Rückfallmechanismen für Systeme, die noch keine PQC unterstützen. In vielen Fällen werden Hybridansätze notwendig sein, bei denen klassische und quantensichere Algorithmen parallel verwendet werden, um eine sichere Übergangszeit zu gewährleisten.

6.2 Hardware-Restriktionen: Wenn Silizium zum Flaschenhals wird

Ein oft unterschätztes Problem bei der PQC-Migration sind die Hardware-Anforderungen. Viele kryptographische Systeme basieren auf spezialisierter Hardware – etwa Hardware Security Modules (HSMs), TPM-Chips oder kryptographische Beschleuniger auf Servern und Endgeräten. Diese Geräte sind oft für spezifische Schlüssellängen und Algorithmen optimiert. Der Umstieg auf PQC kann dazu führen, dass diese Hardware inkompatibel wird oder zumindest gravierende Leistungseinbußen erleidet.

Ein Beispiel: Viele Smartcards und IoT-Chips sind physisch limitiert auf die Verarbeitung von Schlüsseln bis 4096 Bit. Post-Quantum-Verfahren könnten diese Grenzen schnell sprengen.
Auch VPN-Gateways, SSL-Acceleratoren oder Cloud-Sicherheitsmodule müssen überprüft und oft ersetzt oder mit Firmware-Updates aktualisiert werden, um PQC-fähig zu sein. Hier besteht die Gefahr von "Krypto-Inseln" – Teilen der Infrastruktur, die aufgrund mangelnder Aktualisierbarkeit dauerhaft unsicher bleiben.

6.3 Krypto-Agilität: Die neue Pflichtdisziplin

Einer der wichtigsten Lehren aus der bisherigen Kryptogeschichte – insbesondere der mühsamen Umstellungen von veralteten Algorithmen wie MD5 oder SHA-1 – ist die Notwendigkeit von Krypto-Agilität. Systeme dürfen nicht mehr starr auf einen einzelnen Algorithmus ausgelegt sein. Stattdessen müssen sie modular und flexibel genug sein, um bei Bedarf Algorithmen wechseln oder kombinieren zu können.

Dies bedeutet konkret:

  • Verwendung von sogenannten „Algorithmus-Suiten“, bei denen verschiedene Optionen für Verschlüsselung, Schlüsselaustausch und Signaturen vorgesehen sind
  • Aufbau von Protokollen, die flexibel neue kryptographische Primitive aushandeln können, ohne die gesamte Architektur zu gefährden
  • Design von Softwarebibliotheken, bei denen Algorithmen austauschbar sind, ähnlich wie Plug-ins in einer Software

Organisationen, die diese Prinzipien nicht umsetzen, laufen Gefahr, in wenigen Jahren erneut massive Investitionen tätigen zu müssen, sobald sich herausstellt, dass einzelne PQC-Verfahren Schwächen zeigen oder neue Anforderungen auftreten. Krypto-Agilität ist damit nicht nur ein Nice-to-Have, sondern eine Überlebensstrategie im Zeitalter rapider technologischer Veränderungen.

6.4 Komplexität durch Hybride Systeme

In der Übergangszeit wird der sogenannte Hybridansatz der Schlüssel zum Erfolg sein. Dabei werden klassische und PQC-Verfahren kombiniert, um sowohl gegen heutige als auch zukünftige Bedrohungen Schutz zu bieten. Beispielsweise könnte ein TLS-Handshake gleichzeitig ein RSA-2048- und ein Kyber-basiertes Schlüsselaustauschverfahren durchführen. Erst wenn beide Verfahren erfolgreich abgeschlossen sind, wird eine Sitzung aufgebaut.

Diese Hybridsysteme erhöhen jedoch die Komplexität erheblich:

  • Verifikation und Validierung: Beide Verfahren müssen unabhängig korrekt validiert werden. Fehler in einem Teil können die Gesamtsicherheit kompromittieren
  • Performance: Doppelte Schlüsselaustausche und Signaturen führen zu höherer Latenz und mehr Rechenaufwand
  • Kompatibilität: Alle Kommunikationspartner müssen beide Algorithmen unterstützen, sonst scheitert die Verbindung

Trotz dieser Schwierigkeiten bieten Hybridsysteme derzeit die beste Möglichkeit, eine sanfte Migration zu ermöglichen und einen plötzlichen "Krypto-Kollaps" zu verhindern, falls ein PQC-Verfahren wider Erwarten doch gebrochen werden sollte.

7. Krypto-Agilität als Überlebensstrategie: Best Practices für die Post-Quantum-Ära

In einer Welt, in der technologische Durchbrüche die Spielregeln radikal und schnell verändern können, ist Krypto-Agilität kein optionales Extra mehr – sie wird zur Pflicht. Der Begriff beschreibt die Fähigkeit eines Systems, kryptographische Verfahren flexibel auszutauschen, zu aktualisieren oder zu kombinieren, ohne dass dafür grundlegende Änderungen an der Architektur notwendig sind. In der klassischen Welt der IT-Sicherheit wurde dieser Aspekt lange vernachlässigt. Kryptographische Primitive wie RSA oder ECDSA wurden fest in Protokolle, Geräte und Anwendungen eingebaut – oft ohne vorausschauend an mögliche zukünftige Angriffe oder notwendige Algorithmuswechsel zu denken. Das Resultat: teure, langwierige und risikobehaftete Migrationen. Ein bekanntes Beispiel dafür war die Ablösung des unsicheren MD5-Hashalgorithmus in digitalen Zertifikaten, die Jahre in Anspruch nahm und erhebliche operative Risiken verursachte.

In der Post-Quantum-Ära wäre ein solcher Fehler fatal. Sobald ein PQC-Algorithmus als kompromittiert gilt oder neue Anforderungen auftreten, müssen Systeme in der Lage sein, innerhalb von Wochen oder Monaten – nicht Jahren – zu reagieren. Deshalb gehört Krypto-Agilität heute in jede IT-Strategie.

7.1 Was bedeutet Krypto-Agilität in der Praxis?

Krypto-Agilität umfasst mehrere Ebenen, die ineinandergreifen:

  • Modulare Software-Architekturen: Kryptographische Funktionen dürfen nicht fest in den Code eingebrannt sein. Stattdessen sollten sie über klar definierte Schnittstellen (APIs) dynamisch eingebunden werden können

  • Mehrfach-Support in Protokollen: Protokolle wie TLS 1.3 oder SSH 2.0 sollten nicht nur einen, sondern mehrere alternative Algorithmen für jeden kryptographischen Mechanismus unterstützen (z.B. mehrere Schlüsselaustausch- und Signaturoptionen)
  • Zertifikatsmanagement: Zertifikate und Public Key Infrastrukturen (PKIs) müssen flexibel neue Signaturalgorithmen einbinden können, ohne die gesamte Infrastruktur neu aufzusetzen
  • Konfigurierbarkeit auf Systemebene: IT-Systeme sollten erlauben, Algorithmen und Parameter zentral zu konfigurieren (z.B. über Policy Engines) – und nicht nur durch Softwareupdates anpassbar sein

Ziel: Es soll möglich sein, einen unsicheren Algorithmus mit minimalem Aufwand zu deaktivieren und durch einen neuen, sicheren Algorithmus zu ersetzen – ohne dass Systeme lange offline gehen oder Sicherheitslücken entstehen.

7.2 Technische Prinzipien für krypto-agile Architekturen

Damit echte Krypto-Agilität möglich wird, braucht es bestimmte technische Designprinzipien – quasi das Fundament für zukunftssichere Systeme. Die wichtigsten davon:

  • Abstraktion der Kryptographie: Kryptographie darf nicht fest in die Business-Logik eingebrannt sein. Sie muss modular und klar getrennt implementiert werden.

  • Mehrschichtige Sicherheitsarchitektur: Kryptographie sollte als eigenständige Schicht im Software-Stack gedacht sein – austauschbar, nicht tief verankert.
  • Algorithmus-Suiten: Systeme sollten mehrere Algorithmen gleichzeitig unterstützen können – inklusive klarer Priorisierung (z. B. Fallback auf klassische Verfahren, falls PQC noch nicht überall unterstützt wird).
  • Versionierung und Negotiation: Protokolle müssen aushandeln können, welcher Algorithmus genutzt wird – flexibel und zukunftsfähig.
  • Policy-driven Crypto: Welche Algorithmen eingesetzt werden, sollte zentral über Policies steuerbar sein – nicht hart im Code verdrahtet.

Ein praktisches Beispiel hierfür sind sogenannte Hybrid-Zertifikate, die derzeit von Initiativen wie Cloudflare und der IETF (Internet Engineering Task Force) entwickelt werden. Diese Zertifikate enthalten sowohl klassische als auch PQC-Signaturen und Schlüsselmaterial, sodass ältere Clients weiterhin funktionieren, während neue Systeme bereits auf PQC umsteigen können.

7.3 Warum Krypto-Agilität auch organisatorisch gedacht werden muss

echnische Krypto-Agilität allein reicht nicht. Organisationen müssen auch ihre Prozesse und ihre Denkweise anpassen. Klassische Releasezyklen von mehreren Monaten oder Jahren sind für kryptographische Notfälle schlichtweg zu langsam.

Folgende organisatorische Maßnahmen sind essenziell:

  • Etablierung eines "Crypto Response Teams": Ein interdisziplinäres Team aus Entwicklern, Architekten und Sicherheitsbeauftragten, das regelmäßig neue kryptographische Risiken bewertet und Anpassungen plant

  • Regelmäßige Krypto-Reviews: Algorithmen, Schlüsselgrößen und Zertifikatspraktiken sollten jährlich überprüft werden – nicht erst bei einem Angriff
  • Notfallpläne für Algorithmuswechsel: Bereits heute sollte definiert sein, wie auf die Entdeckung schwerwiegender Schwächen in PQC-Verfahren reagiert wird (z.B. Hotfix-Mechanismen, alternative Algorithmen im Standby-Modus)
  • Sensibilisierung des Managements: Geschäftsführungen müssen verstehen, dass kryptographische Resilienz ein kritischer Bestandteil der Unternehmensstrategie ist – vergleichbar mit Backup-Strategien oder Disaster Recovery

8. Handlungsempfehlungen: So gelingt der Umstieg auf Post-Quantum-Kryptographie

Quantencomputer bedrohen die Grundlagen unserer heutigen Verschlüsselung. Post-Quantum-Kryptographie (PQC) ist deshalb keine Option mehr – sondern Pflicht. Krypto-Agilität wird zur Schlüsselkompetenz. Doch wie gelingt der Umstieg in der Praxis?

Die Antwort: mit einem klar strukturierten, phasenweisen Vorgehen. Denn die Einführung von PQC ist nicht nur eine technische Frage – sie betrifft Prozesse, Organisation, Infrastruktur und Security-Kultur gleichermaßen. Es braucht Projektmanagement, Know-how und Weitblick.

8.1 Roadmap zur PQC-Migration: Fünf Phasen für einen sicheren Übergang

Für alle, die den schnellen Überblick wollen – hier ist die kompakte Roadmap:

  1. Bestandsaufnahme: Überblick schaffen – wo und wie ist Kryptographie im Einsatz?

  2. Risikoanalyse: Kritische Systeme erkennen und priorisieren.
  3. Pilotprojekte: Neue Verfahren testen, Erfahrungen sammeln.
  4. Krypto-agile Architektur: Flexibel und zukunftsfähig bauen.
  5. Rollout & Monitoring: Breite Umsetzung, kontinuierliche Kontrolle.

Im Folgenden schauen wir uns jede Phase genauer an.

8.2 Phase 1: Bestandsaufnahme – Wissen, was überhaupt betroffen ist

Bevor irgendetwas migriert wird, muss klar sein, wo überhaupt Kryptographie eingesetzt wird. Das ist oft tief in Systeme eingebettet und längst nicht immer dokumentiert:

  • TLS/HTTPS für Webserver und APIs

  • VPN-Tunnel für Remote-Zugriffe
  • Digitale Signaturen (z. B. PDF, E-Mail, Software)
  • Interne PKI und Authentifizierungsmechanismen
  • Embedded Devices (IoT, Medizin, Industrieanlagen)

Tipp: Erstelle ein Krypto-Inventar – wie ein Asset-Management, nur für Algorithmen. Notiere: genutzte Verfahren, Schlüssellängen, Bibliotheken, Lebensdauer der Daten, betroffene Systeme.

8.3 Phase 2: Risikoanalyse – Wo brennt es am meisten?

Nicht jede Anwendung ist gleich kritisch. Die Kunst liegt darin, die richtigen Prioritäten zu setzen. Besonders gefährdet sind:

  • Langfristig vertrauliche Informationen, die heute gespeichert und später entschlüsselt werden könnten (z. B. medizinische Daten, Forschung, Verträge).

  • Kritische Infrastrukturen, die dauerhaft verfügbar und sicher bleiben müssen (z. B. Energieversorgung, Gesundheitswesen, Verwaltung).
  • Legacy-Systeme, die schwer aktualisierbar sind, aber noch lange im Einsatz bleiben.

Empfehlung: Verteile Risikoklassen – hoch, mittel, niedrig – und leite daraus einen gestaffelten Migrationsplan ab.

8.4 Phase 3: Pilotprojekte – Klein anfangen, groß denken

PQC sollte nicht mit einem Big Bang eingeführt werden. Der bessere Weg: kontrollierte Tests in isolierten Umgebungen.

Beispiele für Pilotprojekte:

  • Hybrid-TLS mit Kyber und klassischem RSA

  • PQC-Zertifikate in internen Testumgebungen
  • Quantenresistente VPN-Verbindungen oder SSH-Server
  • Firmware-Updates mit SPHINCS+ oder XMSS-Signaturen

Nutze diese Projekte, um zu lernen: Wie ist die Performance? Welche Tools sind kompatibel? Wo gibt’s Integrationsprobleme? Das spart später viel Aufwand.

8.5 Phase 4: Krypto-agile Architektur – Zukunftssicherheit einbauen

Jetzt kommt der entscheidende Schritt: Systeme so gestalten, dass sie in Zukunft neue Algorithmen aufnehmen können – ohne jedes Mal alles neu zu bauen.

Das bedeutet konkret:

  • Kryptographische Funktionen über APIs abstrahieren

  • Algorithmen konfigurierbar und austauschbar machen
  • Toolkits mit PQC-Support verwenden (z. B. OpenSSL 3.0, BoringSSL, wolfSSL)
  • Protokolle so bauen, dass mehrere Verfahren parallel unterstützt werden können (Algorithmus-Suiten)

Ziel: Systeme müssen nicht perfekt sein – aber wandelbar. Krypto-Agilität ist die neue Widerstandskraft.

8.6 Phase 5: Breiter Rollout & kontinuierliches Monitoring

Wenn Architektur und Know-how stehen, kann die breite Umstellung starten – aber mit Plan, Training und Monitoring.

Wichtige Maßnahmen:

  • Schulungen: Admins und Entwickler müssen PQC-Verfahren verstehen und sicher anwenden können.

  • Monitoring: PQC-Systeme müssen überwacht werden – auf Fehler, Lücken, Integrationsprobleme.
  • Updates & Pflege: PQC entwickelt sich weiter. Systeme müssen darauf vorbereitet sein, neue Versionen und Verfahren zügig zu integrieren.

Pro Tipp: Behandle die Migration wie Patch-Management – nicht als Einmalprojekt, sondern als dauerhaften Prozess.

9. Fazit: Zukunftssicherheit ist kein Luxus, sondern Pflicht

Die Einführung der Post-Quantum-Kryptographie markiert eine der größten Umwälzungen in der Geschichte der IT-Sicherheit. Sie zwingt Unternehmen, Behörden und Organisationen weltweit, grundlegende Annahmen über Sicherheit, Vertraulichkeit und langfristigen Schutz neu zu überdenken. Dabei geht es nicht um ein futuristisches Szenario am Horizont – die Bedrohung durch Quantencomputer entwickelt sich stetig, und die Weichen für die kommenden Jahrzehnte werden jetzt gestellt.

Die gute Nachricht: Mit den neuen PQC-Standards – insbesondere ML-KEM (Kyber), ML-DSA (Dilithium) und SLH-DSA (SPHINCS+) – liegen robuste, wissenschaftlich geprüfte Lösungen bereit. Die Grundlagen für eine quantensichere Zukunft sind geschaffen. Unternehmen und Behörden, die heute den Umstieg strategisch vorbereiten und Krypto-Agilität ernst nehmen, können sich damit nicht nur absichern, sondern auch einen Wettbewerbsvorteil aufbauen.

Allerdings darf man den Aufwand nicht unterschätzen:
Die Migration auf Post-Quantum-Kryptographie ist ein komplexer Prozess, der nicht nur die Technologie betrifft, sondern Organisation, Prozesse und Sicherheitskultur gleichermaßen. Systeme müssen neu gedacht, Protokolle angepasst, und Hardwareinfrastrukturen auf ihre Zukunftsfähigkeit überprüft werden. Alte Denkweisen – wie das blinde Vertrauen auf einzelne Algorithmen oder die Fixierung auf kurzfristige Sicherheit – haben in der Quantenära keinen Platz mehr.

Was heute zu tun ist:

  • Frühzeitig handeln: Wer jetzt mit der Bestandsaufnahme, Pilotprojekten und dem Aufbau krypto-agiler Strukturen beginnt, wird beim Eintreffen leistungsfähiger Quantencomputer nicht kalt erwischt
  • Krypto-Agilität konsequent umsetzen: Nur Systeme, die flexibel auf neue Bedrohungen reagieren können, werden langfristig Bestand haben
  • Migrationsstrategien entwickeln und testen: Frühzeitige Praxisprojekte helfen, Erfahrungen zu sammeln und spätere Großumstellungen reibungslos zu gestalten
  • Fachwissen aufbauen und pflegen: PQC ist dynamisch. Unternehmen müssen in Know-how investieren, um die Entwicklungen kontinuierlich verfolgen und bewerten zu können

In einer zunehmend vernetzten und digitalisierten Welt ist Sicherheit kein statischer Zustand, sondern ein dynamischer Prozess. Wer diesen Wandel versteht und beherzt gestaltet, kann nicht nur Risiken minimieren, sondern auch Vertrauen aufbauen – bei Kunden, Partnern und der Öffentlichkeit.

Und genau dieses Vertrauen wird in der Quantenära die härteste Währung sein.

10. Ausblick 2025: Trends und Prognosen für die Post-Quantum-Kryptographie

10.1 Migration zuerst bei kritischen IoT-Systemen

Die Einführung von PQC wird ab 2025 insbesondere in kritischen Sektoren wie Energieversorgung, Gesundheitswesen, Transport und Behörden Fahrt aufnehmen. Zuerst migrieren hochwertige IoT-Geräte wie intelligente Zähler und medizinische Systeme – Konsumgeräte wie Heimrouter werden später folgen.

10.2 Regulierungen und Standards erzwingen den Umstieg

Regionen wie Europa (Cyber Resilience Act) und die USA (NIST-Richtlinien, NSM-10) treiben verbindliche Vorgaben für quantenresistente Kryptographie voran.
Hersteller müssen "Secure-by-Design" umsetzen – also Quantenresistenz direkt in Chips und Geräte einbauen, bevor sie auf den Markt kommen.

Auch Länder wie Japan arbeiten an eigenen PQC-Standards, was auf eine Vielfalt an globalen Verfahren in Zukunft hindeutet.

10.3 Neue Bedrohungen: KI-gestützte Quantenangriffe

Ab 2025 erwarten Experten erste KI-gestützte "Capture now, decrypt later"-Angriffe auf Finanz- und Gesundheitsdaten.
Angreifer könnten verschlüsselte Daten bereits heute massenhaft abfangen, KI-gestützt speichern und analysieren – und in einigen Jahren mit Quantencomputern entschlüsseln. Besonders Finanzinstitute und Krankenhäuser stehen im Fokus.

10.4 Strategische Partnerschaften werden entscheidend

Unternehmen werden auf die Unterstützung von Cybersecurity-Konsortien, Kryptoanbietern und Universitäten angewiesen sein, um PQC effizient zu integrieren.
Gerade kleinere Unternehmen ohne eigene Krypto-Teams profitieren von SaaS-Anbietern wie Keyfactor oder spezialisierten PQC-Dienstleistern.

───────────────────────────────────────────────────────

Store now, decrypt later – jetzt handeln!

Was bisher als theoretisches Risiko galt, wird jetzt zur Realität:
Die EU hat mit ihrer PQC-Roadmap bestätigt, was längst klar ist:
Geheimdienste, Staaten und Angreifer speichern heute verschlüsselte Daten, um sie mit künftigen Quantencomputern zu entschlüsseln.

„Store now, decrypt later“ ist nicht Fiktion – es ist Strategie.
Und jede Organisation, die heute nicht handelt, läuft Gefahr, dass morgen jahrzehntealte Informationen kompromittiert werden – Verträge, Gesundheitsakten, Geschäftsgeheimnisse.

Deshalb: Bestandsaufnahme starten. Architektur krypto-agil umbauen. Pilotprojekte aufsetzen. Nicht später. Jetzt.

───────────────────────────────────────────────────────

Quellenangaben:
1. Europäische Kommission – Fahrplan zur Post‑Quantum‑Kryptographie