Post-Quanten-Kryptografie kommt. Was Ihre Organisation vor 2030 tun muss
Im August 2024 veröffentlichte NIST seine ersten finalisierten Post-Quanten-Kryptografiestandards: ML-KEM (FIPS 203), ML-DSA (FIPS 204), SLH-DSA (FIPS 205) und FN-DSA (FIPS 206). Die Ankündigung wurde breit rezipiert. Die Reaktion der meisten Organisationen war, das Thema in einen zukünftigen Sicherheitsfahrplan aufzunehmen und sich dann dringenderen Prioritäten zuzuwenden.
Das ist der falsche Ansatz – und zwar wegen einer Bedrohung, die nicht auf den Abschluss der Migration wartet. Das tatsächliche Risiko zu verstehen – und die konkreten Schritte, die zu dessen Bewältigung nötig sind – unterscheidet die Organisationen, die diesen Übergang gut managen, von denen, die 2029 hektisch reagieren werden.
Das Bedrohungsmodell: Harvest now, decrypt later
Das Standardargument für Dringlichkeit bei quantenresistenter Kryptografie lautet: Kryptografisch relevante Quantencomputer existieren noch nicht – also warum die Eile? Die Antwort ist der Angriff „Harvest now, decrypt later“ (HNDL), der die Zeitleiste der Quantencomputerentwicklung für die heutigen Migrationsentscheidungen weitgehend irrelevant macht.
Staatliche Gegner und ausgeklügelte kriminelle Organisationen zeichnen bereits heute verschlüsselten Datenverkehr auf – TLS-Sitzungen, VPN-Tunnel, verschlüsselte Dateiübertragungen – und speichern ihn zur Entschlüsselung, sobald ein Quantencomputer existiert, der Shors Algorithmus in der erforderlichen Größenordnung ausführen kann. Die heute mit RSA-2048 oder ECDSA P-256 verschlüsselten Daten umfassen langlebige sensible Informationen: Krankenakten, Finanztransaktionen, geistiges Eigentum, klassifizierte Kommunikation. Wenn diese Daten 10 bis 20 Jahre lang vertraulich bleiben müssen, lautet die relevante Frage nicht „Wann werden Quantencomputer RSA brechen?“, sondern vielmehr „Ist ein leistungsfähiger Quantencomputer innerhalb des Vertraulichkeitsfensters der Daten, die ich heute verschlüssele, möglich?“
Die meisten seriösen Schätzungen verorten kryptografisch relevante Quantencomputer (CRQC) in 8 bis 15 Jahren. Die pessimistischsten glaubwürdigen Schätzungen gehen von 5 bis 7 Jahren aus. Die Ernte (Harvest) findet jetzt statt. Die Uhr läuft ab dem Moment, in dem die Daten erfasst werden, nicht ab dem Moment, in dem ein Quantencomputer eingeschaltet wird.
Die vier NIST-Standards und wofür sie stehen
ML-KEM (FIPS 203) – basierend auf dem CRYSTALS-Kyber-Algorithmus – ist ein Key Encapsulation Mechanism, der RSA und ECDH beim Schlüsselaustausch ersetzen soll. Dies ist der für die meisten Organisationen sofort wichtigste Standard: TLS 1.3-Schlüsselaustausch, VPN-Sitzungsaufbau und sichere Messaging-Protokolle basieren alle auf Schlüsselaustauschmechanismen, die ML-KEM ersetzt.
ML-DSA (FIPS 204) – basierend auf CRYSTALS-Dilithium – ist ein digitaler Signaturalgorithmus, der RSA und ECDSA zum Signieren ersetzt. Er ist überall dort relevant, wo Authentifizierung auf Signaturen angewiesen ist: Code-Signing, Zertifikatsausstellung, Dokumentensignierung, SSH-Authentifizierung.
SLH-DSA (FIPS 205) – basierend auf SPHINCS+ – ist ein zustandsloses, hash-basiertes Signaturschema. Es ist langsamer und erzeugt größere Signaturen als ML-DSA, hat aber einen Sicherheitsbeweis, der ausschließlich auf der Sicherheit von Hash-Funktionen beruht – eine wertvolle Backup-Algorithmus-Option für den Fall, dass eine Schwachstelle in gitterbasierten Schemata gefunden wird. Empfohlen für Fälle, die eine langfristige Signaturverifikation (Jahre bis Jahrzehnte) erfordern.
FN-DSA (FIPS 206) – basierend auf FALCON – ist ein Signaturschema mit kleineren Signaturgrößen als ML-DSA, nützlich in bandbreitenbeschränkten Umgebungen. Es erfordert eine sorgfältige Implementierung, um Seitenkanalangriffe zu vermeiden, und ist für die meisten Organisationen im Vergleich zu ML-DSA von niedrigerer Priorität.
Die Migrationspriorität für die meisten Organisationen: zuerst ML-KEM (Sicherung des Schlüsselaustauschs während der Übertragung), dann ML-DSA (Sicherung der Authentifizierung), dann SLH-DSA für langlebige Signaturen in Betracht ziehen. FN-DSA ist für spezialisierte Umgebungen.
Was CISA und NIST tatsächlich gefordert haben
NIST Special Publication 1800-38C (Dezember 2024) enthält Migrationsleitlinien für TLS 1.3 und empfiehlt spezifische hybride Schlüsselaustauschkonfigurationen: X25519MLKEM768 (ML-KEM-768 kombiniert mit X25519) für die sofortige Bereitstellung. Hybride Modi führen klassischen und Post-Quanten-Schlüsselaustausch gleichzeitig durch – wenn einer der beiden sicher ist, ist die Sitzung sicher – und erlauben es Organisationen, PQC einzusetzen, ohne alles auf die neuen Algorithmen zu setzen, bevor diese länger im Einsatz waren.
Die CISA-Leitlinien für Bundesbehörden von 2025 setzten zwei Meilensteine: vollständiges kryptografisches Inventar bis Ende 2026 und vollständige Migration der prioritären Systeme bis Ende 2030. „Prioritäre Systeme“ umfassen Systeme, die klassifizierte Informationen verarbeiten, für die Steuerung kritischer Infrastrukturen zuständig sind oder personenbezogene Daten in großem Umfang verarbeiten.
Für den Privatsektor sind dies keine gesetzlichen Vorgaben. Aber regulierte Branchen sehen die Anforderungen bereits auf sich zukommen: Finanzdienstleistungsaufsichtsbehörden in der EU haben die PQC-Bereitschaft in ihre technischen DORA-Standards für 2026 integriert. Der HIPAA-Leitfaden, der 2025 aktualisiert wurde, verweist für Gesundheitssysteme mit langen Aufbewahrungsfristen auf die NIST-PQC-Standards. Die Beschaffungsanforderungen sind bereits im Anmarsch: Wenn Sie an Bundesbehörden liefern, werden PQC-fähige Systeme vor 2028 eine Vertragsanforderung sein.
Wo anfangen: das kryptografische Inventar
Der erste und meist unterschätzte Schritt ist, zu wissen, welche Kryptografie Sie derzeit einsetzen. Die meisten Organisationen haben kein vollständiges Bild davon, wo RSA und ECDSA in ihren Systemen verwendet werden. Das Inventar ist schwieriger als es klingt, weil kryptografische Primitive in Anwendungsbibliotheken, Netzwerkinfrastruktur, PKI-Systemen, Hardware Security Modules und Software Dritter eingebettet sind.
Das Inventar sollte eine Liste umfassen: aller Zertifikate und ihrer Algorithmen, aller verwendeten Schlüsselaustauschmechanismen (nach Protokoll und System), der gesamten Code-Signing- und Dokumentensignierungsinfrastruktur, aller HSMs und deren Algorithmenunterstützung sowie aller Drittanbieter, deren kryptografische Fähigkeiten Ihre Sicherheitslage beeinflussen.
Tools, die helfen: Das National Cybersecurity Center of Excellence des NIST hat ein PQC-Migrationsprojekt mit Open-Source-Tools veröffentlicht. Anbieter wie Keyfactor, AppViewX und Venafi haben Zertifikatsinventar-Tools mit PQC-Migrationszuordnung veröffentlicht. Netzwerkscan-Tools wie Qualys und Tenable haben PQC-Erkennungsfunktionen hinzugefügt. Es geht nicht darum, sofort ein perfektes Inventar zu haben – sondern einen vertretbaren Ausgangspunkt.
Was heute einsetzbar ist
Mehrere große Systeme unterstützen bereits Post-Quanten-Schlüsselaustausch im Hybridmodus:
OpenSSH 9.0 (veröffentlicht April 2022) verwendet standardmäßig sntrup761x25519 für den Schlüsselaustausch. Obwohl dies den endgültigen NIST-Standards vorausgeht und einen anderen Algorithmus verwendet, zeigt es das Prinzip: Hybrider Schlüsselaustausch funktioniert in der Produktion – und das seit Jahren.
TLS 1.3 mit X25519MLKEM768 wird in Chrome 131 (veröffentlicht November 2024), Firefox 132 und OpenSSL 3.5 unterstützt. Cloudflare hat im September 2024 PQC-Hybrid-Schlüsselaustausch für den gesamten Datenverkehr aktiviert. Apple hat im Februar 2025 mit dem PQ3-Protokoll den ML-KEM-Hybrid-Schlüsselaustausch in iMessage aktiviert und ersetzt damit das 2024 gestartete PQXDH-Schema.
Der praktische Ausgangspunkt für die meisten Organisationen im Jahr 2026: Aktivieren Sie X25519MLKEM768 in Ihrer TLS-Terminierungsschicht (Load Balancer, API-Gateways, CDN-Konfigurationen) und aktualisieren Sie Ihre interne PKI-Roadmap, um bis 2028 ML-DSA-Zertifikatausstellungsfähigkeiten zu enthalten. Keiner dieser Schritte erfordert Heldentaten – es sind Konfigurationsänderungen und PKI-Planungsarbeiten, die sofort beginnen können.
Die Organisationen, die 2029 kämpfen werden, sind jene, die dies als Problem der Zukunft behandeln. Diejenigen, die es gut managen, erstellen jetzt ein Inventar, setzen hybriden Schlüsselaustausch am Edge ein und bauen Lieferantenanforderungen inklusive PQC in laufende Beschaffungszyklen ein – schon heute.