NISTs Post-Quanten-Verschlüsselungsstandards sind final – der Countdown für die Migration hat begonnen
Im August 2024 veröffentlichte das National Institute of Standards and Technology (NIST) drei finalisierte Post-Quanten-Kryptografie-Standards (PQC) – ein Meilenstein, der über Jahre hinweg erarbeitet wurde. Für die meisten Menschen kam diese Nachricht leise, begraben unter der täglichen Flut von Tech-Headlines. Für Cybersicherheitsexperten und Behörden war es jedoch der Startschuss.
Was standardisiert wurde – und warum es wichtig ist
Die drei neuen Standards sind:
ML-KEM (FIPS 203), basierend auf CRYSTALS-Kyber – für Key Encapsulation und Schlüsselaustausch, ersetzt die Verfahren, die heute in TLS, VPNs und sicheren Messaging-Diensten verwendet werden.
ML-DSA (FIPS 204), basierend auf CRYSTALS-Dilithium – ein digitales Signaturverfahren zur Authentifizierung von Software, Dokumenten und Kommunikation.
SLH-DSA (FIPS 205), basierend auf SPHINCS+ – ein Backup-Signaturverfahren mit einem völlig anderen mathematischen Ansatz (hash-basierte Kryptografie) für zusätzliche Robustheit.
Diese Algorithmen wurden speziell entwickelt, um Angriffen von Quantencomputern zu widerstehen. Dieser Unterschied macht sie notwendig: Die Verschlüsselungsprotokolle, auf die die Welt heute vertraut – RSA, Elliptische-Kurven-Kryptografie (ECC) und Diffie-Hellman-Schlüsselaustausch – sind alle mathematisch verwundbar gegenüber einem ausreichend leistungsfähigen Quantencomputer, der Shors Algorithmus ausführt.
Warum die heutige Verschlüsselung gefährdet ist
Die Sicherheit von RSA und ECC beruht auf der Annahme, dass das Faktorisieren großer Zahlen oder das Lösen des diskreten Logarithmusproblems für klassische Computer eine unpraktikable Zeit in Anspruch nimmt. Für einen 2048-Bit-RSA-Schlüssel würde das mit heutiger Hardware länger dauern als das Alter des Universums. Ein großer Quantencomputer mit Shors Algorithmus könnte dies in Stunden erledigen.
Quantencomputer, die stark genug sind, um aktuelle Verschlüsselung zu brechen – sogenannte kryptografisch relevante Quantencomputer (CRQCs) – gibt es noch nicht. Aber glaubwürdige Schätzungen gehen von einem Zeitfenster von fünf bis fünfzehn Jahren aus. Einige Prognosen sind aggressiver. IBM, Google und staatlich geförderte Forschungsprogramme machen rasche Fortschritte, und die Unsicherheit selbst ist die Bedrohung.
Die „Ernte jetzt, entschlüssele später“-Bedrohung
Man braucht heute keinen Quantencomputer, um morgen davon zu profitieren. Gegnerische Staaten – und die sie verfolgenden Geheimdienste – sind sich dessen wohl bewusst. Die Strategie ist einfach: Verschlüsselten Datenverkehr jetzt abfangen und archivieren, solange er noch geschützt ist, und entschlüsseln, sobald ein ausreichend leistungsfähiger Quantencomputer verfügbar ist.
Dieser Ansatz, bekannt als „Harvest Now, Decrypt Later“ (HNDL), verwandelt ein scheinbares Zukunftsproblem in ein gegenwärtiges. Klassifizierte Kommunikation, langfristige Finanzunterlagen, medizinische Daten, geistiges Eigentum, das heute unter RSA oder ECC geschützt ist – all das ist potenziell gefährdet, wenn es von einem geduldigen Gegner gesammelt wird. NSA, CISA und NIST haben alle Leitlinien herausgegeben, die HNDL explizit als aktuelle Bedrohung einstufen, die sofortiges Handeln erfordert – kein Abwarten.
Wer Fristen hat – und wie sie aussehen
US-Bundesbehörden arbeiten unter einem formellen Migrationsmandat. Das National Security Memorandum 10 (NSM-10) des Weißen Hauses von 2022 verpflichtet Behörden, ihre kryptografischen Systeme zu inventarisieren und mit der Migrationsplanung zu beginnen. Die CISA-Richtlinie fordert, dass kritische Systeme bis 2030 auf PQC-Algorithmen migriert werden, mit einem breiteren Ziel, die Migration der gesamten Bundesinfrastruktur bis 2035 abzuschließen.
Finanzregulierer in den USA und der EU beobachten die Lage genau. SWIFT, das den Interbanken-Nachrichtenverkehr für das globale Finanzsystem abwickelt, arbeitet mit Mitgliedsbanken an der PQC-Bereitschaft. Zahlungskartennetzwerke und Clearinghäuser mit langen Datenaufbewahrungsfristen stehen aufgrund des HNDL-Risikos besonders unter Druck.
Betreiber kritischer Infrastrukturen – Energie, Wasser, Telekommunikation – stehen unter ähnlichem Druck. Das Problem ist in OT-Umgebungen (Operational Technology) besonders akut, wo eingebettete Systeme eine Lebensdauer von 20 Jahren haben können und kein einfacher Upgrade-Pfad existiert.
Die hybride Übergangsphase
Niemand erwartet, dass Organisationen von heute auf morgen den Schalter umlegen. Die aktuelle Empfehlung von NIST und großen Normungsgremien empfiehlt während des Übergangs einen hybriden Ansatz: Führen Sie gleichzeitig einen klassischen und einen Post-Quanten-Algorithmus aus, sodass die Verbindung auch dann sicher ist, wenn einer von ihnen später als verwundbar eingestuft wird.
Dieser Ansatz wird bereits in der Praxis eingesetzt. Cloudflare, Google und Apple haben hybriden Schlüsselaustausch in TLS-Verbindungen implementiert. Signal hat 2023 eine Post-Quanten-Schicht zu seinem Schlüsselvereinbarungsprotokoll hinzugefügt. Der hybride Ansatz kostet etwas mehr Rechenaufwand, bietet aber ein Sicherheitsnetz, während die neuen Algorithmen einer realen Überprüfung ausgesetzt sind.
Was Unternehmen und Einzelpersonen jetzt tun sollten
Die Herausforderung der Migration ist in erster Linie keine mathematische – die Algorithmen sind fertig. Sie ist eine operative und organisatorische Herausforderung. Für Unternehmen und Institutionen sind die praktischen Schritte:
Inventarisieren Sie kryptografische Assets. Sie können nicht migrieren, was Sie nicht kartiert haben. Das bedeutet, jede Stelle in Ihrer Infrastruktur zu identifizieren, an der RSA, ECC oder DH verwendet werden – TLS-Zertifikate, SSH-Keys, Code-Signing-Pipelines, VPN-Konfigurationen, verschlüsselte Datenbanken und API-Authentifizierung.
Priorisieren Sie langlebige sensible Daten. Daten, die heute verschlüsselt sind und für zehn Jahre oder länger vertraulich bleiben müssen – Gesundheitsakten, Rechtsdokumente, Geschäftsgeheimnisse – sollten unter HNDL-Annahmen als bereits gefährdet betrachtet werden. Priorisieren Sie die Neuverschlüsselung dieser Daten mit PQC-geschützten Methoden.
Aktualisieren Sie TLS- und SSH-Konfigurationen. Die großen Bibliotheken – OpenSSL, BoringSSL, libsodium – fügen PQC-Unterstützung hinzu. Browser-Anbieter und Serversoftware folgen. Halten Sie Abhängigkeiten aktuell und achten Sie auf PQC-kompatible Cipher-Suite-Unterstützung in Ihrem Web-Stack – das ist ein konkreter Schritt, den jeder Infrastrukturverwalter unternehmen kann.
Warten Sie nicht auf Anbieter. Viele Enterprise-Software-Anbieter bewegen sich langsam bei der PQC-Integration. Wenn Sie an Systeme gebunden sind, die keine PQC-Roadmap haben, ist das ein Risiko, das Sie jetzt bei Ihrem Anbieter ansprechen sollten – nicht erst 2029.
Für normale Nutzer ist der praktischste Ratschlag einfacher: Verwenden Sie Software, die aktiv gewartet und aktualisiert wird. Wenn Ihre Messaging-App, Ihr Browser und Ihr Betriebssystem aktuell sind, erhalten Sie die PQC-Schutzmaßnahmen wahrscheinlich im Laufe der Zeit ohne besonderes Zutun. Die schwere Arbeit wird auf der Infrastrukturebene geleistet.
Das Fazit
Die Finalisierung der Post-Quanten-Standards von NIST beendet die Frage „Welche Algorithmen sollen wir verwenden?“, die viele Organisationen in einer Abwartehaltung gefangen hielt. Diese Frage hat jetzt eine Antwort. Die verbleibenden Fragen sind operativer Natur: Wie schnell können Sie handeln, wo liegt Ihre höchste Priorität bei der Gefährdung, und haben Ihre Anbieter einen glaubwürdigen Plan?
Kryptografische Migrationen sind langsam, teuer und disruptiv – der Übergang von SHA-1 zu SHA-256 dauerte über ein Jahrzehnt und war weitaus einfacher als das, was die PQC-Migration erfordert. Die Tatsache, dass Quantencomputer, die RSA knacken können, noch nicht existieren, ist kein Grund zum Aufschieben. Es ist genau der Grund, jetzt zu beginnen, während noch Zeit bleibt, methodisch vorzugehen – statt in Panik zu verfallen.
Der Countdown hat begonnen. Die Standards sind final. Die einzige verbleibende Variable ist, wie viel Vorsprung die Migration bekommt.