Quantencomputing Post-Quantum-Kryptographie: Höchste Zeit für die Migration

Anbieter zum Thema

NetApp Deutschland GmbH

xSuite Group GmbH

Yorizon GmbH & Co. KG

Quantencomputer sind gleichermaßen Chance und Risiko für Datenschutz und Datensicherheit. Auch DSGVO und NIS2 zwingen Unternehmen zum Handeln. Drei Schritte führen zur Zukunftssicherheit: Krypto-Inventar erstellen, Risiken priorisieren und Migration von Post-Quantum-Kryptographie starten.

Cyberkriminelle nutzen bereits heute die Strategie „Harvest now, decrypt later“: Das heißt, sie greifen bereits verschlüsselte Daten ab und lagern sie, um sie, sobald möglich, mit Quantencomputern zu entschlüsseln. Was nach Science-Fiction klingt, ist wissenschaftlich fundierte Realität: Eine aktuelle Studie rechnet damit, dass zwischen 2028 und 2033 Quantencomputer klassische Verschlüsselungsverfahren wie RSA oder ECC innerhalb von Tagen oder Wochen knacken können. Dieser Zeitpunkt wird als Q-Day bezeichnet – und er rückt schneller näher als gedacht. Daher sollten sich Unternehmen auf Post-Quantum-Kryptographie einstellen.

Die Herausforderung für Unternehmen und Behörden: Viele sensible Informationen müssen Jahrzehnte lang vertraulich bleiben. Gesundheitsdaten, Forschungsergebnisse, Verträge, Produktdesigns – alle diese Daten sind bereits heute gefährdet. Gleichzeitig dauert die Umstellung auf quantensichere Verschlüsselung bei großen Unternehmen seine Zeit – zwölf bis 15 Jahre stehen im Raum. Die Rechnung ist einfach: Setzt man den erwarteten Q-Day in Relation zur voraussichtlichen Migrationsdauer von Post-Quantum-Kryptographie – dann baut sich bereits heute enormer Handlungsdruck auf.

Post-Quantum-Kryptographie: Compliance wird zur Pflicht

Die Lösung heißt Post-Quantum-Kryptographie (PQC): Diese neuen Verschlüsselungsverfahren basieren auf mathematischen Problemen, die auch Quantencomputer nicht in vertretbarer Zeit lösen können. Das US-amerikanische National Institute of Standards and Technology (NIST) hat 2024 drei PQC-Standards zertifiziert: FIPS 203, FIPS 204 und FIPS 205. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt diese Verfahren in der Technischen Richtlinie TR-02102-1 und fordert gemeinsam mit 21 europäischen Partnerbehörden Unternehmen auf, Post-Quantum-Kryptographie bis spätestens 2030 zu etablieren. Um das zu erreichen, müssen deutsche Unternehmen noch Gas geben: Laut einer Studie zum „State of PQC readiness“ hinken 90 Prozent der Befragten noch hinterher.

Im Februar 2026 hat die EU-Kommission vorgeschlagen, die PQC-Migration explizit auch in die NIS2-Richtlinie aufzunehmen. Die DSGVO verlangt bereits „dem Stand der Technik entsprechende“ Datenschutzmaßnahmen – doch das ist immer auch Auslegungssache. PQC würde mit der Integration in NIS2 vom Nice-to-have zur Compliance-Pflicht. Für Unternehmen stellt sich nun – auch angesichts der drängenden Zeit – die Frage, wie konkret sie die Thematik angehen und Post-Quantum-Kryptographie etablieren sollen. Zukunftssicherheit verspricht ein Vorgehen in drei Schritten:

Schritt 1: Krypto-Inventar erstellen

Bevor Unternehmen handeln können, müssen sie wissen, wo sie überall Kryptographie einsetzen. Bei großen Organisationen kann diese Bestandsaufnahme mehrere Jahre dauern – ein Zeitfaktor, der einkalkuliert werden muss.

In der Praxis bildet eine zentrale Liste aller Systeme und Anwendungen die Grundlage: Erste Informationen liefern technische Dokumentationen und Sicherheitsrichtlinien, und auch Abteilungen wie IT, Entwicklung, HR und Einkauf verfügen über hilfreiches Detailwissen. Klare Zuständigkeiten und enge, crossfunktionale Zusammenarbeit beschleunigen Prozesse.

Unified Storage

NetApp beschleunigt Cloud-Transformation mithilfe von Google Cloud