Ratgeber

Post-Quanten-Kryptographie: Warum Unternehmen jetzt handeln müssen.

Q: Was sind die NIST-PQC-Standards?

Das NIST hat 2024 drei finale Standards für Post-Quanten-Kryptographie veröffentlicht: FIPS 203 (ML-KEM, ehemals CRYSTALS-Kyber) für die Schlüsselkapselung, FIPS 204 (ML-DSA, ehemals CRYSTALS-Dilithium) für digitale Signaturen sowie FIPS 205 (SLH-DSA, ehemals SPHINCS+) für hashbasierte Signaturen. Ein vierter Standard, FIPS 206 (FN-DSA, ehemals FALCON), folgte ebenfalls 2024. Diese Standards gelten als erste Grundlage für die Migration zu quantenresistenter Kryptographie.

Quantencomputer werden RSA und elliptische Kurven brechen. Die NIST-Standards stehen fest, das BSI empfiehlt die Migration. Was Unternehmen über Post-Quanten-Kryptographie wissen müssen und wie die Umstellung gelingt.

Zuletzt aktualisiert: Mai 2026

Hintergrund

Die Kryptographie steht vor dem größten Umbruch seit Jahrzehnten.

Die asymmetrische Kryptographie, auf der ein Großteil der digitalen Sicherheitsinfrastruktur beruht, ist durch die Entwicklung leistungsfähiger Quantencomputer grundlegend gefährdet. Verfahren wie RSA oder ECDSA stützen sich auf mathematische Probleme, die ein ausreichend großer Quantencomputer mit Shors Algorithmus effizient lösen könnte. Damit würden digitale Signaturen, verschlüsselte Kommunikation und Zertifikatsinfrastrukturen ihre Schutzwirkung verlieren.

Kryptographisch relevante Quantencomputer existieren noch nicht. Gleichwohl empfiehlt das BSI, die Migration bereits jetzt einzuleiten. Denn der Umstieg kryptographischer Infrastruktur ist ein langwieriger Prozess, der erfahrungsgemäß 5 bis 10 Jahre in Anspruch nimmt. Hinzu kommt die Bedrohung durch sogenannte Harvest-now-decrypt-later-Angriffe: Staatliche Akteure sammeln bereits heute verschlüsselte Kommunikation, um sie nach Verfügbarkeit eines Quantencomputers zu entschlüsseln.

2024 hat das NIST die ersten finalen Standards für Post-Quanten-Kryptographie veröffentlicht. Damit besteht erstmals eine verbindliche Grundlage für die Migration. Unternehmen, die heute mit der Inventur und Planung beginnen, sind gegenüber dem regulatorischen und technischen Wandel erheblich besser positioniert.

Praxishinweis

Der dringlichste Handlungsbedarf besteht für Daten mit langfristiger Vertraulichkeitsanforderung. Wer heute Daten mit Schutzfristen von 10 oder mehr Jahren verarbeitet, muss davon ausgehen, dass diese Daten bereits durch Harvest-now-decrypt-later-Angriffe gesammelt werden.

Kernaspekte

Sechs Dimensionen der Post-Quanten-Migration.

Die Quantenbedrohung

Shors Algorithmus macht asymmetrische Kryptographie auf Basis von RSA, DSA und elliptischen Kurven angreifbar. Symmetrische Verfahren wie AES-256 und kryptographische Hashfunktionen sind deutlich robuster, erfordern aber bei Bedarf größere Schlüssellängen.

RSA, DSA, ECDSA, ECDH: von Quantenangriffen bedroht
AES-256, SHA-3: ausreichende Quantenresistenz bei richtiger Schlüsselgröße
Grover-Algorithmus halbiert effektive Schlüssellänge symmetrischer Verfahren
TLS, SSH, PKI-Infrastrukturen unmittelbar betroffen

NIST-PQC-Standards 2024

Das NIST hat 2024 vier finale Standards veröffentlicht. ML-KEM und FN-DSA basieren auf gitterbasierten Verfahren, SLH-DSA auf hashbasierten Signaturen. Diese Standards gelten als erste verbindliche Grundlage für die PQC-Migration.

FIPS 203 (ML-KEM): Schlüsselkapselung, ehemals CRYSTALS-Kyber
FIPS 204 (ML-DSA): digitale Signaturen, ehemals CRYSTALS-Dilithium
FIPS 205 (SLH-DSA): hashbasierte Signaturen, ehemals SPHINCS+
FIPS 206 (FN-DSA): digitale Signaturen, ehemals FALCON

BSI-Empfehlungen

Das BSI empfiehlt in der Technischen Richtlinie TR-02102 die schrittweise Migration zu quantenresistenten Algorithmen. Für die Übergangsphase befürwortet das BSI hybride Kryptographie, die klassische und PQC-Verfahren kombiniert.

TR-02102: verbindliche Empfehlungen zu kryptographischen Verfahren
Hybride Kryptographie für Übergangsphase empfohlen
Priorität: Schutz langfristig vertraulicher Daten
Crypto-Agility als strukturelles Ziel

Harvest-now-decrypt-later

Staatliche Akteure sammeln heute bereits verschlüsselt übertragene Daten mit dem Ziel, diese nach Verfügbarkeit eines Quantencomputers zu entschlüsseln. Diese Bedrohung ist für Daten mit langfristiger Vertraulichkeitsanforderung unmittelbar relevant.

Betroffen: Daten mit Schutzfristen von 10 oder mehr Jahren
Typische Bereiche: Gesundheit, Finanzen, Staatsgeheimnisse, F&E
Verschlüsselung heute schützt nicht vor zukünftiger Entschlüsselung
Sofortiger Handlungsbedarf für hochkritische Kommunikation

Hybride Kryptographie

Hybride Kryptographie kombiniert klassische und PQC-Algorithmen. Beide Verfahren müssen unabhängig voneinander gebrochen werden, um die Sicherheit aufzuheben. Damit wird die Übergangsphase sicherer und Interoperabilitätsprobleme lassen sich schrittweise lösen.

Klassisches Verfahren (z.B. ECDH) plus PQC-Verfahren (z.B. ML-KEM)
Sicherheit bleibt auch bei Schwäche eines der Verfahren erhalten
TLS 1.3 unterstützt bereits hybride Schlüsselvereinbarungen
Empfohlen von BSI und NIST für die Migrationsphase

Crypto-Agility

Crypto-Agility bezeichnet die Fähigkeit eines Systems, kryptographische Algorithmen ohne tiefe Umstrukturierung austauschen zu können. Sie ist die entscheidende Voraussetzung dafür, dass Unternehmen auf neue Bedrohungen und neue Standards reagieren können, ohne jede Anwendung neu zu entwickeln.

Algorithmen in konfigurierbaren Parametern kapseln, nicht hardcoden
Kryptographie-Bibliotheken abstrahieren und zentral verwalten
Schlüssellängen und Algorithmen über Konfiguration steuerbar machen
Voraussetzung für die langfristige Reaktionsfähigkeit

Vorgehen

Kryptographie strukturiert auf Quantensicherheit umstellen.

Inventur und Klassifizierung

Alle eingesetzten kryptographischen Verfahren, Schlüssellängen und Abhängigkeiten erfassen. Systeme und Daten nach Schutzbedarf und Vertraulichkeitsdauer klassifizieren, um Prioritäten für die Migration zu setzen.

Risikoanalyse und Priorisierung

Bedrohungen durch Harvest-now-decrypt-later bewerten, kritische Systeme identifizieren und eine Migrationsreihenfolge festlegen. Hochkritische Kommunikationsstrecken erfordern sofortigen Handlungsbedarf.

Migration und Testbetrieb

NIST-konforme PQC-Algorithmen einführen, zunächst als hybride Lösung neben klassischen Verfahren. Systeme testen, Zertifikatsinfrastrukturen anpassen und schrittweise auf quantenresistente Verfahren umstellen.

Crypto-Agility und Monitoring

Crypto-Agility strukturell verankern, damit künftige Algorithmuswechsel ohne Neuentwicklung möglich sind. Entwicklungen bei NIST, BSI und Angreifern kontinuierlich beobachten und Kryptographie-Richtlinien regelmäßig aktualisieren.

FAQ

Häufige Fragen zur Post-Quanten-Kryptographie.

Verwandte Themen

Wann sind Quantencomputer eine reale Bedrohung für die Kryptographie?+

Kryptographisch relevante Quantencomputer, die RSA oder elliptische Kurven brechen könnten, existieren heute noch nicht. Die meisten Experten gehen davon aus, dass diese Schwelle innerhalb der nächsten 10 bis 20 Jahre erreicht werden könnte. Da die Migration kryptographischer Infrastruktur erfahrungsgemäß 5 bis 10 Jahre dauert, empfiehlt das BSI, die Vorbereitung jetzt zu beginnen. Zusätzlich gefährden Harvest-now-decrypt-later-Angriffe bereits heute langfristig vertrauliche Daten.

Welche kryptographischen Verfahren sind durch Quantencomputer bedroht?+

Quantencomputer mit Shors Algorithmus können asymmetrische Verfahren brechen, die auf der Schwierigkeit der Faktorisierung großer Zahlen oder des diskreten Logarithmus beruhen. Betroffen sind RSA, DSA und Verfahren auf Basis elliptischer Kurven wie ECDSA und ECDH. Symmetrische Verfahren wie AES sowie kryptographische Hashfunktionen gelten als deutlich robuster und bieten bei ausreichend großen Schlüsseln akzeptablen Schutz.

Was sind die NIST-PQC-Standards?+

Das NIST hat 2024 vier finale Standards für Post-Quanten-Kryptographie veröffentlicht: FIPS 203 (ML-KEM) für die Schlüsselkapselung, FIPS 204 (ML-DSA) und FIPS 206 (FN-DSA) für gitterbasierte digitale Signaturen sowie FIPS 205 (SLH-DSA) für hashbasierte Signaturen. Diese Standards bilden die erste verbindliche Grundlage für die Migration zu quantenresistenter Kryptographie und werden von BSI und anderen nationalen Behörden anerkannt.

Was bedeutet Harvest-now-decrypt-later?+

Harvest-now-decrypt-later bezeichnet eine Angriffsstrategie, bei der verschlüsselt übertragene Daten heute abgefangen und gespeichert werden, um sie zu einem späteren Zeitpunkt mit einem Quantencomputer zu entschlüsseln. Diese Bedrohung ist besonders relevant für Daten mit langfristiger Vertraulichkeitsanforderung, etwa Gesundheitsdaten, Finanztransaktionen oder Forschungsdaten. Solche Daten sind bereits heute gefährdet, auch wenn Quantencomputer noch nicht einsatzbereit sind.

Was empfiehlt das BSI zur Post-Quanten-Kryptographie?+

Das BSI empfiehlt in seiner Technischen Richtlinie TR-02102 die schrittweise Migration zu quantenresistenten Algorithmen und befürwortet während der Übergangsphase hybride Kryptographie, die klassische und PQC-Verfahren kombiniert. Priorität hat der Schutz langfristig vertraulicher Daten. Das BSI rät außerdem zum Aufbau von Crypto-Agility, also der Fähigkeit, kryptographische Algorithmen ohne tiefe Systemeingriffe austauschen zu können.

Leistung Informationssicherheit Zur Leistung Kerndisziplin ISMS aufbauen Zur Leistung Standard ISO 27001 Zur Seite

Migration auf quantensichere Kryptographie.

Krypto-Inventur, Risikobewertung und Migration zu quantenresistenter Kryptographie — strukturiert und normgerecht umgesetzt.

Kostenloses Erstgespräch buchen