Quantencomputer drohen in naher Zukunft Kryptoverfahren zu brechen. Kritische Daten sind dadurch bereits jetzt gefährdet, wenn sie abgegriffen und später mit Quantencomputern entschlüsselt werden. Beim 5. PQC-Update des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit AISEC zeigten Expertinnen und Experten für Post-Quanten-Kryptografie (PQC) den aktuellen Stand der internationalen PQC-Migration und gaben Handlungsempfehlungen: Unternehmen und Behörden müssen spätestens jetzt ihre Kryptografie inventarisieren, Prioritäten setzen und besonders sensible Daten zuerst schützen, klassische und PQC-Verfahren kombinieren sowie Kryptoagilität etablieren. Der Handlungsbedarf ist groß, da PQC auch die seit Ende 2025 in Deutschland umzusetzende EU-Richtlinie NIS-2 für mehr Cybersicherheit betrifft. Die EU-Roadmap sieht die PQC-Migration von kritischen Infrastrukturen bereits bis 2030 und die vollständige Umsetzung bis 2035 vor.

Es wird erwartet, dass Quantencomputer viele der Kryptoverfahren brechen, die heute unsere Kommunikation schützen – im Online-Banking, bei Gesundheitsdaten, bei digitalen Ausweisen und in Industrieanlagen. Kryptografische Verfahren sichern die Vertraulichkeit (über Verschlüsselung) und die Integrität (z.B. über Signaturen) von Daten und IT-Systemen ab. Angreifer können vertrauliche Daten schon jetzt unbemerkt kopieren und später entschlüsseln. Wer Informationen über Jahre oder Jahrzehnte geheim halten muss, kann sich auf klassische Kryptografie allein nicht mehr verlassen.

Zwischen Science-Fiction und regulatorischem Druck

Doch viele Unternehmen und Behörden wissen nicht genau, wo und wie sie verschlüsseln, welche Zertifikate welche Anwendungen schützen oder welche älteren Systeme sich kaum noch aktualisieren lassen. Während kleinere Firmen das Thema oft für Science‑Fiction halten, stehen Betreiber kritischer Infrastrukturen unter hohem regulatorischem Druck. Hier setzte das Netzwerktreffen »PQC Update« des Fraunhofer AISEC an, das zum fünften Mal ca. 130 Fachleute aus Forschung, Industrie, Verwaltung und Politik an einen Tisch gebracht hat, um Antworten zu finden auf die Frage: Wie gelingt der Umstieg auf quantensichere Verfahren erfolgreich in der Praxis?

Es gibt Standards, Roadmaps und erste Anwendungen für die Praxis

Die Grundlagen für die PQC-Migration stehen: Das National Institute of Standards and Technology (NIST) – eine Behörde des US-Handelsministeriums, die als eines der weltweit führenden Forschungsinstitute für Messtechnik und Technologie-Standards fungiert – hat erste post‑quanten‑sichere Verfahren ausgewählt und als Standards veröffentlicht. Deutschland z.B. und viele andere europäische Länder richten ihre Fahrpläne danach aus.

Gesetzliche Vorgaben geben klare Aufgaben und Fristen vor: Laut EU-Roadmap müssen kritische Infrastrukturen in Europa bereits bis 2030 PQC-migriert haben. Eine vollständige Umsetzung ist bis 2035 vorgesehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die zentrale Cyber-Sicherheitsbehörde in Deutschland, setzt auf hybride Ansätze, die klassische Kryptografie und quantensichere Verfahren kombinieren.

Die NIS-2-Richtlinie (Network and Information Security) – ein EU-weites Gesetz zur Stärkung der Cybersicherheit, die deutlich mehr Unternehmen als bisher zu Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen verpflichtet und die Geschäftsführung direkt in die Haftung nimmt – verlangt außerdem, dass systemrelevante und große Unternehmen ihre Kryptoverfahren systematisch planen, dokumentieren und regelmäßig überprüfen  – und dabei auch ihre Lieferketten einbeziehen.

Die Internet Engineering Task Force (IETF) – eine führende, offene internationale Gemeinschaft von Netzwerkexpertinnen und Netzwerkexperten, die technische Standards für das Internet entwickelt und weiterentwickelt – arbeitet die wichtigsten Internet-Protokolle um, etwa für Web-Verbindungen, VPN, E-Mail und Fernzugriffe. Erste große Anbieter setzen diese Bausteine bereits ein, so dass Teile des Internets bereits heute schon post-quanten-sicher sind. Pilotprojekte mit elektronischen Ausweisen, Identitätskarten und sicheren Hardware-Chips in Deutschland zeigen: Quantensichere Verfahren funktionieren alltagstauglich auch auf Hardware-Systemen.

Fünf konkrete Handlungsempfehlungen

Was heißt das konkret für Wirtschaft und Verwaltung? Auf dem 5. PQC-Update wurden fünf wesentliche Punkte deutlich:

1. Überblick schaffen: Kryptografie-Einsatz komplett erfassen, idealerweise durch automatisierte »kryptografische Stücklisten« (Cryptography Bill of Materials/CBOM: detailliertes, maschinenlesbares Verzeichnis aller kryptografischen Algorithmen, Protokolle, Schlüssel und Zertifikate, die in einer Software oder einem IT-System verwendet werden).
2. Risiken priorisieren: Sensible Daten mit langem Schutzbedarf zuerst absichern.
3. Kryptoagilität sicherstellen: Infrastrukturen so umsetzen, dass ein einfacher Austausch kryptografischer Verfahren möglich ist.
4. Hybride Verfahren einführen: Im Übergang klassische und PQC-Komponenten kombinieren, um Sicherheit zu maximieren.
5. Kooperation fördern: PQC-Leitfäden umsetzen, Standards aktiv mitgestalten und interne Expertise aufbauen – gemeinsam mit Partnern.

Prof. Daniel Loebenberger und Prof. Marian Margraf, Organisatoren des 5. PQC-Updates und Leiter des Kompetenzzentrums Post-Quanten-Kryptografie am Fraunhofer AISEC sind sich einig: »Die Bausteine für eine quantensichere Zukunft liegen auf dem Tisch. Jetzt entscheidet gemeinsames Handeln. Post‑Quanten‑Kryptografie ist keine Spezialdisziplin, sondern die Grundlage dafür, dass Digitalisierung auch in zehn oder 20 Jahren noch vertrauenswürdig bleibt. Wer früh startet und sein Ökosystem mit ins Boot holt, schafft den Umstieg jetzt Schritt für Schritt – statt später unter Zeitdruck und im Krisenmodus reagieren zu müssen.«