Anbieter zum Thema

NetApp Deutschland GmbH

xSuite Group GmbH

Yorizon GmbH & Co. KG

Schritt 2: Risiken priorisieren für Post-Quantum-Kryptographie

Nicht alle Daten sind gleich schutzbedürftig und gleichermaßen sensibel. Und nicht alle Systeme lassen sich gleichzeitig auf Post-Quantum-Kryptographie umstellen. Unternehmen brauchen klare Prioritäten, damit sie ihre Aufwände richtig einteilen können. Ein Entscheidungskriterium ist die Schutzdauer: Wie lange müssen welche Daten vertraulich bleiben? Bei Gesundheitsdaten können das in Deutschland bis zu 30 Jahre sein, bei Verträgen zehn Jahre. Je länger die Schutzdauer, desto dringender ist die Migration auf PQC. Unterstützen kann ein PQC-Risikobewertungsmodell mit verschiedenen Kriterien, wie es die Finanzbranche entwickelt hat. Systeme mit langer Schutzdauer und hoher Kritikalität, aber niedrigem Migrationsaufwand sind zum Beispiel ideale Kandidaten für den Start.

Schritt 3: Pilotprojekt im Storage starten

Der beste Einstieg in das Post-Quantum-Kryptographie ist ein Pilotprojekt im Speicherbereich. Hier lagern die meisten Unternehmensdaten, und moderne Storage-Systeme bieten bereits PQC-konforme Lösungen. Ein Pilotprojekt ermöglicht es, Erfahrungen zu sammeln, ohne die Produktion zu gefährden – und schnell sichtbare Resultate zu erzielen.

Verschlüsselung im Ruhezustand (data at rest) gilt als die letzte Verteidigungslinie. Selbst wenn Angreifer Netzwerk-Sicherheitsmaßnahmen überwinden, bleiben Daten im Storage geschützt. Hier hilft, dass es für die Erneuerung oder Aufrüstung von Storage-Systemen in praktisch allen Unternehmen etablierte Prozesse und Ansprechpartner gibt, im Zweifelsfall auf Partnerseite. Konkrete Schritte in diesem Zug können selbstverschlüsselnde Laufwerke mit PQC-Algorithmen sowie ein krypto-agiles Schlüsselmanagement sein. Ein überschaubares System für den PQC-Start – etwa ein internes Backup-System oder ein Datenarchiv – reduziert das Risiko. War das Pilotprojekt erfolgreich, lässt sich die Umstellung schrittweise auf andere Bereiche ausweiten.

PQC bedeutet mehr, als nur die Verschlüsselung auszutauschen. Es erfordert Anpassungen in Prozessen, Schulungen der Mitarbeiter und aktualisierte Notfallpläne.

Sebastian Hausmann

Stolpersteine bei Post-Quantum-Kryptographie vermeiden

Bei der Einführung von Post-Quantum-Kryptographie lauern einige Fallen: Viele Unternehmen warten auf vermeintlich bessere Standards, obwohl die NIST-Standards bereits weltweit Anwendung finden. Weiter abzuwarten, erhöht das Risiko, denn dies verschiebt den Start der Migration nach hinten – Zeit, die am Ende fehlen wird. Eine weitere Fehlannahme ist, dass PQC nur ein IT-Projekt sei. Tatsächlich betrifft es das ganze Unternehmen. Datenschutz, Compliance, Einkauf und Fachabteilungen müssen von Anfang an eingebunden werden, sonst drohen Verzögerungen und Abstimmungsprobleme. PQC bedeutet mehr, als nur die Verschlüsselung auszutauschen. Es erfordert Anpassungen in Prozessen, Schulungen der Mitarbeiter und aktualisierte Notfallpläne.

Post-Quantum-Kryptographie: Höchste Zeit, zu handeln

 Die Umstellung auf Post-Quantum-Kryptographie ist eine strategische Notwendigkeit und Pflicht für Unternehmen, um sensible Daten langfristig zu schützen. Mit einem strukturierten Vorgehen in drei Schritten lässt sich die Herausforderung meistern: Krypto-Inventar erstellen, Risiken priorisieren und Pilotprojekt im Storage starten. Wer jetzt beginnt, gewinnt Zeit, vermeidet Hektik kurz vor dem Q-Day und sichert sich einen Wettbewerbsvorteil. Denn quantensichere IT wird künftig ein Qualitätsmerkmal sein, auf das Kunden, Partner und Aufsichtsbehörden achten werden. Die Bedrohung wartet nicht. Unternehmen sollten es auch nicht tun.