Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

Kryptografie | Quantensicherheit

Post-Quantum-Kryptografie:
Vorbereitung auf die
Quantenbedrohung.

Quantencomputer werden RSA und ECC brechen — die Frage ist nicht ob, sondern wann. NIST hat drei finale Standards veröffentlicht. Angreifer sammeln bereits heute verschlüsselte Daten auf Vorrat (Harvest Now, Decrypt Later).

Kryptografie-Audit vereinbaren NIS-2 Kryptografie-Anforderungen

Zuletzt aktualisiert: März 2026 · Referenziert: NIST FIPS 203/204/205, BSI TR-02102

NIST-Standards
3 finale
FIPS 203, 204, 205 (August 2024)
BSI-Empfehlung
Bis 2030
Migration auf PQC-Algorithmen
Harvest Now
Aktiv
Angreifer sammeln verschlüsselte Daten
Schlüssellängen
2-10x
Größere Schlüssel als RSA/ECC
RSA-2048 durch Quantencomputer brechbar
NIST PQC Standards final veröffentlicht
Aug. 2024
BSI-Migrationsziel für KRITIS-Systeme
Bis 2027
FIPS 203, FIPS 204, FIPS 205

Grundlagen

Was ist Post-Quantum-Kryptografie?

Post-Quantum-Kryptografie (PQC) bezeichnet kryptografische Verfahren, die gegen Angriffe durch Quantencomputer resistent sind. Konkret: Algorithmen, die auch dann sicher bleiben, wenn ein leistungsstarker Quantencomputer mit Shors Algorithmus eingesetzt wird.

Shors Algorithmus kann die mathematischen Probleme, auf denen RSA und ECC basieren (ganzzahlige Faktorisierung, diskreter Logarithmus), in polynomieller Zeit lösen — was klassische Computer nicht können. Ein Quantencomputer mit ausreichend stabilen Qubits würde RSA-2048 in Stunden oder wenigen Tagen knacken.

Die gute Nachricht: Symmetrische Verfahren wie AES-256 und SHA-256 sind kaum bedroht. Grovers Algorithmus halbiert effektiv die Schlüssellänge — AES-256 bleibt mit 128-Bit-Sicherheit ausreichend stark. Die dringende Migration betrifft ausschließlich asymmetrische Kryptografie: RSA, ECDSA, ECDH, Diffie-Hellman.

Post-Quantum-Kryptografie auf einen Blick

NIST Standards
FIPS 203, FIPS 204, FIPS 205 (Aug. 2024 final)
Bedroht
RSA, ECC, ECDH, DH (alle asymmetrisch)
Sicher bleibt
AES-256, SHA-256+ (symmetrisch)
BSI-Ziel DE
KRITIS-Migration bis 2027 (TR-02102)
EU-Empfehlung
Migration bis 2030 (EU PQC Recommendation)
Quantencomputer
RSA-2048 brechbar: 2030–2035 (Expertenkonsens)

Die Bedrohung ist bereits real

"Harvest Now, Decrypt Later": Staatliche Akteure sammeln bereits heute verschlüsselte Daten. Wer mit Daten schutzbedürftig für 10+ Jahre arbeitet, ist jetzt betroffen — nicht erst in 2030.

Aktuelle Bedrohung

Harvest Now, Decrypt Later: Die Bedrohung von heute

Staatliche Nachrichtendienste und hochkarätige Cyberkriminelle sammeln bereits heute massenhaft verschlüsselte Daten — in der Erwartung, sie in wenigen Jahren mit Quantencomputern zu entschlüsseln. Die Migration muss beginnen, bevor Quantencomputer verfügbar sind.

Datenschutzbedarf nach Branche

Staatsgeheimnisse 50+ Jahre

Kritisch — Quantenrisiko besteht heute

Patientendaten (ePA) 30+ Jahre

Kritisch — Sofortiger Handlungsbedarf

Geschäftsgeheimnisse 10–20 Jahre

Hoch — Migrationplanung dringend

Finanztransaktionen 7–20 Jahre

Hoch — DORA-Quantenrisiko beachten

Allgemeine Geschäftsdaten 3–7 Jahre

Mittel — Mittelfristige Planung ausreichend

Wer sammelt bereits Daten?

  • Staatliche Nachrichtendienste (NSA, GCHQ, FSB, MSS)
  • Staatlich geförderte APT-Gruppen (Lazarus, APT28, APT41)
  • Industriespionage-Akteure (besonders gegen DE Wirtschaft)
  • Organisierte Kriminalität mit langem Zeithorizont

Welche Daten sind heute schon in Gefahr?

  • Langfristige diplomatische und militärische Kommunikation
  • Patente, F&E-Daten und Geschäftsgeheimnisse
  • Elektronische Patientenakten und Gesundheitsdaten
  • Verschlüsselte Finanztransaktionen und Vertragsdaten

NIST FIPS 203/204/205

Die neuen NIST Post-Quantum-Standards

Nach einem 7-jährigen, öffentlichen Standardisierungsprozess mit Hunderten teilnehmender Kryptografen weltweit hat NIST im August 2024 drei finale Post-Quantum-Standards veröffentlicht. Das sind die Algorithmen, auf die Ihre Systeme migrieren müssen.

01
FIPS 203

ML-KEM

Module-Lattice-Based Key-Encapsulation Mechanism
Ersetzt: RSA, ECDH (Schlüsselaustausch)
Basis: CRYSTALS-Kyber (Gitterbasiert)

Der primäre Standard für den quantensicheren Schlüsselaustausch. ML-KEM ersetzt RSA und Elliptic Curve Diffie-Hellman (ECDH) für die Verschlüsselung von Kommunikationskanälen. Wird in TLS 1.3, SSH und VPN-Protokollen eingesetzt. Hybridmodus (ML-KEM + ECDH) für Übergangszeitraum empfohlen.

Krypto-Analyse im Pentest
02
FIPS 204

ML-DSA

Module-Lattice-Based Digital Signature Algorithm
Ersetzt: ECDSA, RSA-PSS (Digitale Signatur)
Basis: CRYSTALS-Dilithium (Gitterbasiert)

Der primäre Standard für quantensichere digitale Signaturen. ML-DSA ersetzt ECDSA und RSA-PSS für Code-Signing, Zertifikate (X.509) und Authentifizierung. Besonders relevant für PKI-Infrastrukturen, Software-Lieferketten und E-Mail-Signierung (S/MIME). Kleiner als SPHINCS+ und schneller als FALCON.

ISMS-Beratung
03
FIPS 205

SLH-DSA

Stateless Hash-Based Digital Signature Algorithm
Ersetzt: ECDSA, RSA-PSS (als Backup)
Basis: SPHINCS+ (Hash-basiert)

Die konservative Backup-Option für digitale Signaturen. Hash-basierte Verfahren sind mathematisch unabhängig von gitterbasierten Algorithmen — falls ML-DSA je kompromittiert werden sollte, bietet SLH-DSA eine unabhängige Alternative. Größere Signaturen als ML-DSA, aber maximale Sicherheitsgarantien. Empfohlen für besonders langlebige Signaturen.

Empfehlung BSI & ENISA: Für den Übergangszeitraum wird hybride Kryptografie empfohlen: klassischer Algorithmus (z. B. ECDH) kombiniert mit PQC-Algorithmus (z. B. ML-KEM). So ist die Verbindung gegen klassische UND Quantenangriffe geschützt, ohne ausschließlich auf noch junge PQC-Implementierungen zu vertrauen.

Betroffenheit

Welche Branchen müssen zuerst migrieren?

Die Dringlichkeit der PQC-Migration hängt vom Datenschutzbedarf und der regulatorischen Bindung ab. KRITIS-Betreiber, Finanzsektor und Behörden sind zuerst gefordert.

Bis 2027 Kritisch

KRITIS-Betreiber

Energie, Wasser, Transport, Gesundheit

BSI TR-02102 bindend. Langlebige Systeme und Daten mit 10-20 Jahren Schutzbedarf.
Bis 2027 Kritisch

Finanzsektor

Banken, Börsen, Versicherungen, Zahlungsdienstleister

DORA "Quantum Risks" in Guidance Documents. Transaktionsdaten, langfristige Finanzverträge.
Bis 2027 Kritisch

Verteidigung & Behörden

Bundeswehr, Nachrichtendienste, Behörden

BSI-Mandat. Staatsgeheimnisse mit Schutzbedarf von Jahrzehnten.
Bis 2029 Hoch

Gesundheitswesen

Krankenhäuser, ePA, Pharmaunternehmen

Patientendaten haben Schutzbedarf von 30+ Jahren. ePA-Verschlüsselung muss migriert werden.

Bis 2029 Hoch

Automotive & IoT

Connected Cars, OTA-Updates, Fahrzeugzertifikate

Fahrzeuge mit 15-20 Jahren Lebensdauer müssen heute quantensichere Krypto verbaut bekommen.

Bis 2029 Hoch

Telekommunikation

5G-Infrastruktur, 3GPP-Standards, Backbone

5G-Protokolle nutzen ECC. 3GPP arbeitet an PQC-Profilen für zukünftige Standards.

Umsetzung

PQC-Migrationsfahrplan für Unternehmen

Die vollständige PQC-Migration dauert 3 bis 7 Jahre. Wer heute beginnt, hat ausreichend Zeit für eine geordnete Transition. Wer wartet, riskiert regulatorischen Druck und kurzfristige, teure Notmigrationen.

  1. 1 Phase 1 — Jetzt · 2026

    Kryptografie-Inventur & Risikoanalyse

    • Vollständige Kryptografie-Inventur: Wo wird RSA, ECC, DH eingesetzt?
    • Identifikation von "Harvest Now, Decrypt Later"-Risiken (Datenschutzbedarf > 10 Jahre)
    • Bewertung der Daten-Lebensdauer vs. erwarteter Quantencomputer-Verfügbarkeit
    • Priorisierung der zu migrierenden Systeme nach Risiko und Aufwand
    • Krypto-Agilität-Assessment: Können Systeme Algorithmen flexibel wechseln?
  2. 2 Phase 2 — Bis 2027

    Hybrid-Kryptografie & Pilotprojekte

    • Implementierung von Hybrid-Kryptografie (klassisch + PQC kombiniert)
    • Pilotprojekte für kritische Systeme: TLS-Verbindungen, VPN, PKI
    • Beschaffung PQC-fähiger HSMs (Hardware Security Modules)
    • Aktualisierung der Krypto-Richtlinien gemäß BSI TR-02102
    • Lieferantenaudits: Unterstützen kritische Drittanbieter PQC?
  3. 3 Phase 3 — Bis 2030

    Vollständige PQC-Migration

    • Vollständige Migration aller kritischen Systeme auf FIPS 203/204/205
    • PKI-Migration: CA-Hierarchie auf ML-DSA/SLH-DSA umstellen
    • Klassische Algorithmen (RSA, ECC) für hochsensible Daten deaktivieren
    • Dokumentation und Compliance-Nachweis für Aufsichtsbehörden
    • Kontinuierliches Monitoring neuer Quantencomputer-Entwicklungen

Beratungsleistungen

Wie AWARE7 bei der PQC-Migration hilft

Von der initialen Kryptografie-Inventur bis zur Validierung der migrierten Systeme — wir begleiten Ihre PQC-Migration mit technischer Tiefe und regulatorischem Know-how.

Kryptografie-Inventur & Risikoanalyse

Vollständige Identifikation aller eingesetzten asymmetrischen Algorithmen, Risikoklassifizierung nach Datenschutzbedarf und Priorisierung der Migrationsreihenfolge.

Krypto-Inventur anfragen

Penetrationstest inkl. Krypto-Analyse

Penetrationstests mit expliziter Prüfung der eingesetzten Kryptografie: schwache Algorithmen, Zertifikatsprobleme, unsichere TLS-Konfigurationen und fehlende Krypto-Agilität.

Pentest anfragen

ISMS & BSI TR-02102 Compliance

Einbettung der PQC-Migration in Ihr ISMS. Kryptografie-Richtlinien gemäß BSI TR-02102, NIS-2-konforme Krypto-Agilität und Nachweis für Aufsichtsbehörden.

ISMS-Beratung starten
„Post-Quantum-Kryptografie ist keine Zukunftsmusik — die Bedrohung durch Harvest-Now-Decrypt-Later ist bereits real. Wer mit Daten arbeitet, die 10 oder mehr Jahre schutzbedürftig sind, muss heute handeln. Wir helfen Unternehmen, ihre Kryptografie zu inventarisieren und einen realistischen Migrationsplan aufzustellen.“

Chris Wojzechowski

Kryptografie & Sicherheitsberatung · AWARE7 GmbH

FAQ

Häufige Fragen zur Post-Quantum-Kryptografie

Die wichtigsten Fragen zu PQC, NIST-Standards und der Quantenbedrohung — fachlich fundiert und praxisnah beantwortet.

Post-Quantum-Kryptografie (PQC) bezeichnet kryptografische Algorithmen, die auch gegen Angriffe mit leistungsfähigen Quantencomputern sicher sind. Die meisten heute eingesetzten asymmetrischen Verfahren — RSA, Elliptic Curve Cryptography (ECC), Diffie-Hellman (DH) — basieren auf mathematischen Problemen (ganzzahlige Faktorisierung, diskreter Logarithmus), die ein ausreichend leistungsstarker Quantencomputer mit Shors Algorithmus effizient lösen kann. Symmetrische Verfahren wie AES-256 und SHA-256 sind dagegen von Quantencomputern kaum bedroht (nur Verdopplung der Schlüssellänge effektiv). Die Notwendigkeit ergibt sich aus der "Harvest Now, Decrypt Later"-Bedrohung: Angreifer sammeln heute verschlüsselte Daten auf Vorrat, um sie zu entschlüsseln, sobald leistungsstarke Quantencomputer verfügbar sind.
Nach aktuellem wissenschaftlichen Konsens werden kryptografisch relevante Quantencomputer voraussichtlich zwischen 2030 und 2035 für RSA-2048 gefährlich. Einige Schätzungen — darunter NSA und NIST-Experten — sehen das Fenster als breiter an (2029–2040). Wichtig ist: Die Migration dauert Jahre, nicht Monate. Organisationen müssen heute beginnen, um rechtzeitig fertig zu sein. Außerdem existiert das "Harvest Now, Decrypt Later"-Risiko bereits heute — Angreifer müssen nicht warten, bis sie selbst einen Quantencomputer betreiben.
NIST hat im August 2024 drei finale Standards veröffentlicht: FIPS 203 (ML-KEM, basierend auf CRYSTALS-Kyber): Schlüsselaustausch, ersetzt RSA/ECDH. FIPS 204 (ML-DSA, basierend auf CRYSTALS-Dilithium): Digitale Signaturen, ersetzt ECDSA/RSA-PSS. FIPS 205 (SLH-DSA, basierend auf SPHINCS+): Hash-basierte digitale Signaturen als Backup-Option. Ein vierter Standard für FALCON-basierte Signaturen (FIPS 206, ML-DSA-Variante) ist in finaler Vorbereitung. Die Algorithmen wurden in einem über 7 Jahre laufenden öffentlichen Wettbewerb ausgewählt und intensiv kryptanalysiert.
"Harvest Now, Decrypt Later" (HNDL) bezeichnet die Angriffsstrategie, verschlüsselte Daten heute auf Vorrat zu sammeln und zu speichern, um sie zu einem späteren Zeitpunkt — wenn Quantencomputer verfügbar sind — zu entschlüsseln. Konkret betrifft das: Staatliche Geheimdienste, die heute verschlüsselte diplomatische Kommunikation abfangen, Cyberkriminelle, die heute verschlüsselte Finanztransaktionen oder Gesundheitsdaten sammeln, Industriespionage, die verschlüsselte Geschäftsgeheimnisse archiviert. Besonders betroffen sind Daten mit langem Schutzbedarf: Staatsgeheimnisse (50+ Jahre), Patientendaten (30 Jahre), Finanzdaten (7-20 Jahre), Geschäftsgeheimnisse (10-20 Jahre).
Ja, symmetrische Kryptografie ist deutlich robuster gegenüber Quantenangriffen. Grovers Algorithmus kann die effektive Schlüssellänge symmetrischer Verfahren halbieren — AES-256 bietet dann noch 128-Bit-Sicherheit, was nach heutiger Einschätzung ausreichend sicher ist. AES-128 hingegen würde auf 64-Bit-Sicherheit reduziert, was nicht mehr ausreichend wäre. SHA-256 bleibt bei 128-Bit-Kollisionssicherheit. BSI TR-02102 empfiehlt: AES-256 verwenden (nicht AES-128), SHA-256 oder besser SHA-384 verwenden. Die dringende Migration betrifft ausschließlich asymmetrische Verfahren: RSA, ECDSA, ECDH, DH.
Das BSI aktualisiert TR-02102 (Kryptografische Verfahren: Empfehlungen und Schlüssellängen) regelmäßig. Aktuelle Empfehlungen: Migration auf quantensichere Algorithmen sollte bei KRITIS-Systemen bis 2027 abgeschlossen sein, hybride Verfahren (klassisch + PQC) sind im Übergangszeitraum empfohlen, CRYSTALS-Kyber (ML-KEM), CRYSTALS-Dilithium (ML-DSA) und FALCON sind als geeignet eingestuft. BSI TR-02102-1 empfiehlt für neu entwickelte Systeme bereits jetzt hybride Krypto. Für KRITIS-Betreiber ist TR-02102 bindend — Abweichungen müssen begründet und risikobasiert dokumentiert werden.
Krypto-Agilität (Crypto Agility) bezeichnet die Fähigkeit eines Systems, kryptografische Algorithmen flexibel auszutauschen, ohne das gesamte System neu entwickeln zu müssen. Systeme mit eingebetteten, "hard-codierten" Krypto-Algorithmen (z. B. RSA direkt in Firmware gebacken) sind äußerst schwer zu migrieren. NIS-2 fordert ausdrücklich Krypto-Agilität als Teil der Kryptografie-Anforderungen (§30 Abs. 2 Nr. 9). Konkret bedeutet das: Kryptografische Algorithmen sollten als konfigurierbare Parameter, nicht als fester Code implementiert sein. Algorithmus-Updates sollten durch Konfigurationsänderung oder Software-Update möglich sein.
Mehrere regulatorische Rahmenwerke adressieren PQC: BSI TR-02102: Bindend für KRITIS, Migrationsziel 2027 für kritische Systeme. EU-Empfehlung zu PQC (April 2024): Migration bis 2030, hybride Krypto als Übergangslösung. NIS-2 §30 Abs. 2 Nr. 9: Kryptografie-Agilität und Ausrichtung an BSI/ENISA-Empfehlungen. DORA: "Quantum Risks" explizit in Guidance Documents erwähnt, Finanzsektor muss Quantenrisiken in IKT-Risikomanagement einbeziehen. ENISA PQC Roadmap: Technische Empfehlungen für europäische Organisationen. Für viele Branchen besteht noch keine explizite PQC-Pflicht, aber die regulatorische Reise ist klar vorgezeichnet.
Eine Kryptografie-Inventur (Crypto Discovery) umfasst: (1) Automatisierter Scan der IT-Infrastruktur nach verwendeten kryptografischen Algorithmen (TLS-Zertifikate, SSH-Keys, Code-Signing-Zertifikate, VPN-Konfigurationen, Datenbankverbindungen). (2) Manuelle Analyse: Softwarecode-Review (welche Krypto-Bibliotheken werden genutzt?), HSM-Inventur, PKI-Hierarchie-Analyse. (3) Risikoklassifizierung: Welche Systeme verarbeiten Daten mit langem Schutzbedarf? (4) Abhängigkeits-Mapping: Welche externen Partner, Lieferanten und APIs nutzen noch klassische Krypto? AWARE7 führt Kryptografie-Inventuren im Rahmen von Penetrationstests und ISMS-Projekten durch.
PQC-Migration ist ein mehrjähriges Programm, keine einmalige Aktivität. Typische Kosten und Zeitrahmen: Kryptografie-Inventur: 15.000–60.000 EUR (je nach Infrastrukturkomplexität), Hybrid-Pilotprojekte: 30.000–100.000 EUR, Vollständige PKI-Migration: 100.000–500.000 EUR für große Organisationen, Zeitrahmen gesamt: 3–7 Jahre für vollständige Migration. Die größten Kostentreiber sind: Altsysteme ohne Update-Möglichkeit (erfordern Replacement), Hardware-HSMs ohne PQC-Unterstützung und Zertifikate mit langer Restlaufzeit. Frühes Handeln ist erheblich kostengünstiger als kurzfristige Notmigration unter regulatorischem Druck.

Aus dem Blog

Weiterführende Artikel

Kryptografie-Audit vereinbaren

In einem kostenlosen 30-minütigen Gespräch analysieren wir Ihre aktuelle Kryptografie-Situation, identifizieren die dringlichsten Migrationsprioritäten und zeigen einen realistischen Weg zur Post-Quantum-Readiness — mit konkretem nächsten Schritt.

Kryptografie-Audit buchen Oder mehr über NIS-2 Kryptografie erfahren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung