top of page
Kopie von logo (1).jpg

Post-Quantum-Kryptographie: Was CISOs heute schon tun sollten – und was noch warten kann

  • Autorenbild: Marcel Küppers
    Marcel Küppers
  • 11. Feb.
  • 5 Min. Lesezeit

Post-Quantum-Kryptographie (PQC) ist eines dieser Themen, das regelmäßig auf Konferenzen, in Artikeln und von Anbietern auftaucht – aber in vielen Unternehmen bleibt es ein diffuses „Irgendwann später“-Thema.


Die Wahrheit liegt dazwischen:

  • Ja, für die meisten Unternehmen ist PQC kein akutes Projekt für die nächsten drei Monate.

  • Aber: Wenn du bestimmte Daten und Systeme betreibst, kannst du es dir nicht leisten, erst zu reagieren, wenn „alle anderen“ schon umstellen.


In diesem Artikel geht es nicht um Kryptomagie, sondern um eine einfache Frage:


Was sollte ein CISO heute konkret tun – und was kann tatsächlich noch warten?


1. Worum es bei Post-Quantum-Kryptographie überhaupt geht


Kurz und schmerzlos:

  • Unsere derzeit gängigen Kryptoverfahren – insbesondere RSA und Elliptic Curve Cryptography (ECC) – basieren auf mathematischen Problemen, die für klassische Rechner schwer sind.

  • Leistungsfähige Quantencomputer könnten diese Probleme deutlich schneller lösen und damit viele aktuelle Verschlüsselungsverfahren angreifbar machen.

  • PQC entwickelt und standardisiert neue Algorithmen, die auch gegen Quantenangriffe resistent sein sollen, aber auf klassischer Hardware laufen.


Wichtig ist vor allem ein Punkt:

Angreifer können heute schon verschlüsselte Daten mitlesen und speichern („Harvest Now, Decrypt Later“), um sie später – mit Quantenrechnern – zu entschlüsseln.


Das heißt:Wenn du Daten hast, die auch in 10–20 Jahren noch vertraulich sein müssen, ist das kein Zukunftsproblem, sondern ein heutiges.


2. Für welche Organisationen ist PQC heute schon relevant?


Post-Quantum ist nicht nur ein Thema für Geheimdienste und Big Tech. Es gibt drei einfache Fragen, mit denen du die Relevanz für dein Unternehmen einschätzen kannst:


  1. Wie lange müssen bestimmte Daten vertraulich bleiben?

    • Kundendaten im Gesundheitsbereich, Forschungsdaten, militärische Informationen, vertrauliche Verträge, Verschlüsselung von geistigem Eigentum

    • Wenn der Wert der Vertraulichkeit >10–15 Jahre ist, wird PQC relevant.

  2. Wie stark euer Bedrohungsmodell ist.

    • Bist du eher Ziel für staatlich unterstützte Akteure / hochmotivierte Angreifer?

    • Oder eher „normale“ Cybercrime-Zielscheibe?

  3. Wie lange eure Systeme leben.

    • In OT/IIoT/Industrie, Automotive, Medizintechnik etc. sind Lebenszyklen von 10–20 Jahren normal.

    • Wenn diese Systeme kryptographisch abgesichert sind, brauchst du langfristige Strategien.


Wenn du jetzt bei mehreren Punkten innerlich genickt hast, solltest du PQC nicht als „Research-Thema“ behandeln, sondern als strategisches Risiko, das in die Roadmap muss.


3. Was CISOs heute schon tun sollten (ohne in Panik zu verfallen)


Statt sofortige Umstellung auf neue Algorithmen (die du weder sauber unterstützt bekommst noch komplett durchtesten kannst), empfehle ich drei pragmatische Schritte:


Schritt 1: Kryptoinventar – weißt du überhaupt, wo und wie ihr verschlüsselt?


Viele Unternehmen haben kein sauberes Bild davon:

  • Wo überall Verschlüsselung im Einsatz ist

  • Welche Algorithmen, Protokolle, Schlüsselgrößen verwendet werden

  • Welche Produkte und Dienste die Krypto eigentlich implementieren


Dein Ziel ist erstmal Sichtbarkeit, nicht sofortige Umstellung.

Pragmatischer Start für ein Kryptoinventar:

  • Netzwerk & Kommunikation:

    • VPNs, TLS/TLS-Termination, Mailverschlüsselung, interne Protokolle

  • Applikationen:

    • Datenbankverschlüsselung, Application-Level Encryption, Verschlüsselung in Message Queues

  • Endgeräte & Storage:

    • Full-Disk Encryption, Backup-Verschlüsselung, Archivsysteme

  • Spezialsysteme:

    • OT/IIoT, Embedded, Hardware-Appliances, HSMs, Smartcards, Tokens

Pro Eintrag solltest du festhalten:

  • System / Produkt

  • Art der Verschlüsselung (Transport, Speicher, Applikation)

  • Genutzte Algorithmen / Protokolle (soweit bekannt)

  • Verantwortliche Person / Team

Allein dieser Schritt zeigt bei vielen CISOs:

„Wir wussten gar nicht, wie viel Krypto wir eigentlich im Einsatz haben.“


Schritt 2: Vertraulichkeitsdauer & Priorisierung

Als nächstes geht es darum, welche Daten wirklich kritisch im Sinne von PQC sind.

Fragen dazu:

  • Wie lange müssen bestimmte Daten vertraulich bleiben? (5, 10, 20+ Jahre)

  • Sind die Daten bereits extern verschlüsselt übertragen/gespeichert, oder „nur“ intern?

  • Würde es – im Szenario eines späteren Entschlüsselens –

    • „nur peinlich“

    • „geschäftsschädigend“

    • oder „existenzbedrohend / rechtlich verheerend“ sein?

Du kannst z. B. eine einfache Matrix bauen:

Daten-/Systemtyp

Vertraulichkeitsdauer

Impact bei späterem Leak

Priorität (hoch/mittel/niedrig)

Forschungsdaten

15+ Jahre

sehr hoch

hoch

Kundendaten B2C

7–10 Jahre

mittel/hoch

mittel

interne E-Mails

3–5 Jahre

kontextabhängig

eher niedrig

Die Kombination aus Kryptoinventar + Vertraulichkeits-Impact ergibt deine erste Prioritätenliste.


Schritt 3: „Crypto Agility“ als Zielbild definieren

Bevor du konkret auf PQC umsteigst, brauchst du eine Fähigkeit, überhaupt sinnvoll wechseln zu können:


Crypto Agility = die Fähigkeit, Kryptoverfahren ohne komplette Systemabrisse austauschen zu können.


Was dazu gehört:

  • Abstraktionsschicht für Krypto in Applikationen (statt überall direkt Algorithmus XY zu verwenden)

  • Zentral verwaltete Bibliotheken / Services für Kryptofunktionen

  • Klare Verantwortlichkeiten: Wer entscheidet, wann Algorithmen aktualisiert werden?

  • Prozesse für Krypto-Updates (inkl. Test, Rollback, Kompatibilität)

Pragmatisches Vorgehen:

  • In kritischen Neuprojekten: „Crypto Agility“ als Architekturprinzip festschreiben

  • In bestehenden Systemen: zumindest dokumentieren, wo Krypto hart verdrahtet ist und später teure Umbauten braucht



4. Was noch warten kann (aber auf dem Radar bleiben muss)


Es gibt Dinge, die du heute noch nicht tun musst – aber für die du dir einen Plan zurechtlegen solltest:


4.1. Vollständige PQC-Umstellung über alle Systeme

Eine schnelle, pauschale Umstellung auf „irgendeine“ PQC-Lösung macht in den seltensten Fällen Sinn. Gründe:

  • Standardisierung, Interoperabilität, Support in Produkten sind noch im Fluss

  • Performance- und Kompatibilitätsfragen sind nicht trivial

  • Du riskierst, neue Komplexität und Fehler einzubauen

Besser: Pilotprojekte und gezielte Umstellungen auf Basis deiner Prioritätenliste.


4.2. „PQ-Ready“-Marketing ohne Substanz

Viele Anbieter werden dir erzählen, dass sie bereits 100 % „Post-Quantum ready“ seien.

Deine Aufgabe als CISO:

  • Hinterfragen, was genau das bedeutet

  • Welche Algorithmen? Auf welcher Ebene? Mit welchem Migrationspfad?

  • Passt das zu deiner eigenen Krypto-Strategie – oder erzeugt es Insellösungen?


4.3. „Alles auf einmal machen“

PQC sollte ein Programm, kein spontanes Projekt sein.

Du brauchst:

  • Langfristige Roadmap (3–10 Jahre, je nach Branche)

  • Verzahnung mit anderen Initiativen:

    • Cloud-Migration

    • Modernisierung von Kernsystemen

    • OT-/IIoT-Rollouts

    • Compliance- und Regulierungsvorgaben


5. Wie du PQC in deine Security-Strategie integrierst


Statt „PQC-Projekt 2027“ irgendwo in eine Liste zu schreiben, empfehle ich:

Ein eigenes Kapitel / Abschnitt in deiner Security-Strategie:„Kryptographie & Post-Quantum-Fähigkeit“


Mit z. B. diesen Bestandteilen:

  1. Ist-Situation

    • Kryptoübersicht (Inventar in groben Zügen)

    • Erste Einschätzung der Vertraulichkeitsdauern

  2. Zielbild (3–5 Jahre)

    • Etablierte Crypto-Agility-Prinzipien in neuen Systemen

    • Priorisierte Systeme mit klarer Umstiegsstrategie

  3. Maßnahmen / Roadmap

    • Jahr 1: Kryptoinventar, Kritikalitätsanalyse, Verantwortlichkeiten

    • Jahr 2–3: Crypto Agility in zentrale Architekturprinzipien integrieren, erste PQC-Piloten

    • Jahr 3–5: Rollout gemäß Prioritäten, Update von Policies & Standards

  4. Governance & Kommunikation

    • Wer verantwortet das Thema im Unternehmen?

    • Wie werden Vorstand / Management informiert, ohne Panik oder Hype?


Hinweis in eigener Sache: Buch & CISO-Masterclass

Wenn du das Thema vertiefen willst:


  • Viele der hier beschriebenen Denkmodelle – insbesondere zu Crypto Agility, Risikoperspektiven und strategischer Einordnung – habe ich in meinem Buch ausführlich aufbereitet. Dort gehe ich tiefer darauf ein, wie ein moderner CISO Kryptographie nicht nur „mitverwaltet“, sondern als strategisches Thema versteht und steuert.

  • In der CISO Masterclass greifen wir das Thema im Modul „Zukunft & Spezialthemen“ konkret auf:

    • Wir führen eine vereinfachte Kryptoinventur in deinem Unternehmenskontext durch

    • bewerten gemeinsam, wo Post-Quantum für dich wirklich relevant ist

    • und erarbeiten eine erste Skizze für einen Krypto-Agilitätsplan

    Die Masterclass ist bewusst praxisorientiert: Pro Modul gibt es eine Übung im eigenen Unternehmen und ein 1:1 Coaching, in dem wir deine Ergebnisse gemeinsam schärfen.


 
 
 

Kommentare

bottom of page