Der Red Sift Leitfaden zur Post-Quanten-Kryptographie

Januar 2026

EXECUTIVE SUMMARY: Die Kryptografie, wie wir sie kennen und verwenden, wird durch Quantencomputer bedroht – eine neue Technologie, die das Potenzial hat, Computer auf völlig anderen Prinzipien zu bauen. Sollte jemals ein für die Kryptographie relevanter Quantencomputer [Anm. 1] gebaut werden – sofern dies nicht ohnehin bereits geschehen ist – könnte er praktisch über Nacht die beliebtesten heute verwendeten kryptografischen Algorithmen knacken. Es ist dringend notwendig, die Bedrohung zu verstehen und auf sichere Verschlüsselungsalgorithmen umzusteigen, bevor es zu spät ist.

Die Post-Quanten-Kryptografie entwickelt sich rasant. Wir halten diesen Leitfaden aktuell und passen ihn an die Entwicklungen an; prüfen Sie gelegentlich, ob es Updates gibt.

Quantencomputer kommen – und erwarten einen enormen Einfluss auf die Kryptografie. Nicht alles wird gleichermaßen betroffen sein, aber einige unserer Grundpfeiler – die Public-Key-Kryptografie – werden vollständig gebrochen. Der Shor-Algorithmus, der einen Quantencomputer benötigt, um zu funktionieren, wird die heute beliebtesten Verfahren knacken, z.B. RSA- und Elliptic Curve-Verschlüsselung sowie den Diffie-Hellman-Schlüsselaustausch [Anm. 2]. Ein weiterer Algorithmus, Grover, gilt als wirksam gegen symmetrische Verschlüsselung und Hashing, allerdings in deutlich geringerem Maße, weshalb er weniger gefährlich ist. Diese Algorithmen wurden 1994 bzw. 1996 entwickelt.

Führende Organisationen mit bedeutendem geistigem Eigentum sowie alle, die Staatsgeheimnisse verwalten, werden wahrscheinlich zu den ersten Angriffszielen gehören. Wenn Sie zu dieser Hochrisikogruppe gehören, sind Sie nicht nur betroffen – Sie müssen sofort handeln. Wahrscheinlich überrascht Sie das nicht, denn die Chancen stehen gut, dass Sie bereits heute intensiv Ziel von Cyberangriffen mit herkömmlichen Mitteln sind; Quantencomputer sind nur ein weiteres Thema, das Sie im Blick behalten müssen.

Alle werden betroffen sein, wenn auch in unterschiedlichem Tempo. Langfristig, sobald Quantencomputer weit verbreitet sind, kann aktuelle Kryptografie auch gegenüber weit schwächeren Angreifern völlig versagen. Im Moment geht es in erster Linie um Risikomanagement. Drei Fragen sollten Sie sich stellen:

1. Haben Sie Geheimnisse, die Sie jahrzehntelang schützen müssen?
2. Sind Sie ein wahrscheinliches Ziel?
3. Wann könnten Sie attackiert werden?

Die amerikanische National Security Agency (NSA) hat den Übergang zur Post-Quanten-Kryptografie im August 2015 mit einer Aktualisierung der NSA Suite B Cryptography angestoßen. Das National Institute of Standards and Technology (NIST) startete 2016 sein Projekt, setzte auf Zusammenarbeit mit der Kryptografie-Community und organisierte Wettbewerbe, um die besten quantenresistenten Algorithmen zu identifizieren.

Im Oktober 2020 standardisierte das NIST zwei zustandsbehaftete Hash-Signatur-Algorithmen: LMS und XMSS. Diese sind Spezialalgorithmen, deren Sicherheit auf den Eigenschaften kryptografischer Hashfunktionen basiert. Sie wurden zuerst ausgewählt, da die zugrundeliegenden Konzepte gut verstanden waren. Da sie eine sorgfältige Zustandsverwaltung erfordern, eignen sich diese Algorithmen insbesondere für Anwendungsfälle mit geringem Volumen und hohem Wert – zum Beispiel für Codesignaturen.

Im August 2024 hat das NIST eine neue Generation von Algorithmen für vielseitige Anwendungen standardisiert:

• ML-KEM. Ehemals CRYSTALS-Kyber, ist dies der neue Standard für die Schlüsselkapselung (ein verbessertes Verfahren für den Schlüsselaustausch).
• ML-DSA. Ehemals CRYSTALS-Dilithium, neuer Standard für digitale Signaturen.
• SLH-DSA. Ehemals Sphincs+, neuer Standard für digitale Signaturen. Verwendet andere Mathematik und dient als Backup-Alternative zu ML-DSA.

Weitere Standards stehen an:

• FN-DSA. Ehemals FALCON, neuer Standard für digitale Signaturen, Einführung voraussichtlich 2025.
• Weitere Signaturschemata werden noch bewertet, mit weiteren Schritten voraussichtlich 2026.
• HQC. Ein Backup-Algorithmus für ML-KEM, basiert auf anderen mathematischen Prinzipien, zur Standardisierung im März 2025 vorgesehen. Der Abschluss des Prozesses wird für 2027 erwartet.

Zugleich prüft die International Organization for Standardization (ISO) die Algorithmen Classic McEliece und FrodoKEM – beide für die Schlüsselkapselung. Diese Varianten gelten als konservativer und damit potenziell sicherer als die vom NIST gewählten. Sie werden auch in der Europäischen Union implementiert bzw. untersucht.

Viele Post-Quanten-Algorithmen sind völlig neu, d. h. sie wurden bislang nicht ausreichend getestet, um ihre Robustheit endgültig zu bestätigen. Weil die Zeit drängt, wurden Algorithmen mit unterschiedlichen mathematischen Ansätzen ausgewählt – für eine größere Diversität und als Backup-Lösungen. Sollte sich ihre Robustheit bestätigen, werden ihre Akronyme so gebräuchlich werden wie heute RSA, ECDSA, DH und ECDHE.

Hybride Ansätze sind ebenfalls möglich, bei denen klassische und Post-Quanten-Kryptografie gemeinsam zum Einsatz kommen. So verringert ein Ausfall einer neuartigen Post-Quanten-Variante die Sicherheit nicht unter das derzeitige Niveau.

In TLS 1.3 wurde ein hybrider Schlüsselaustausch namens X25519MLKEM768 etabliert (basierend auf einer Kombination aus ECDHE und ML-KEM), der von allen großen Browsern und ersten Servern übernommen wurde bzw. übernommen wird. Er schützt bereits erhebliche Teile des Internet-Verkehrs.

Die Aktualisierung von X.509-Zertifikaten wird schwieriger sein, insbesondere da neue Post-Quanten-Algorithmen deutlich längere Signaturen verwenden. Würde man die Algorithmen einfach so ersetzen, würde ein TLS-Handshake das Netzwerk um das Zehnfache stärker belasten. Das ist für Browser zu viel, könnte jedoch in privaten PKI-Infrastrukturen akzeptabel sein. Besonders herausfordernd ist die Aktualisierung der Internet- und Web-PKI, gerade aufgrund ihrer starken Dezentralisierung.

Einige der führenden Messaging-Plattformen – z. B. Apple und Signal – haben ihre Protokolle bereits aktualisiert, um sich gegen Quantencomputer zu wappnen. Für Nutzer genügt es, die jeweils aktuellen Versionen zu installieren, um hiervon zu profitieren.

Zahlreiche weitere Standards werden aktuell in IETF-Arbeitsgruppen entwickelt. Die Umstellung ist mit vielen Herausforderungen verbunden. Die neuen Algorithmen bringen andere Leistungscharakteristika und Speicherbedarfe mit sich, was häufig auch Anpassungen von Protokollen erfordert. Die Diskussionen dauern an; ebenso wird sich die Integration in Softwarebibliotheken über einen längeren Zeitraum hinziehen.

Obgleich sich viele Länder am NIST orientieren, verfolgt die ISO einen eigenen Standardisierungsweg, ebenso wie einige Länder, etwa China, Russland und Südkorea.

Die kurzfristige (flüchtige) Anwendung der heutigen Public-Key-Verschlüsselung bleibt sicher, solange es keinen Durchbruch gibt. Und selbst nach einem solchen wird es dauern, bis die neue Technologie weitverbreitet verfügbar ist.

Leider ist es für Akteure aus der „dringlichen Kategorie“ womöglich bereits zu spät. Das ist einer der Hauptgründe, warum die Umstellung dringend beschleunigt werden muss. Warum das so ist, zeigt ein Blick auf verschiedene Szenarien:

• Starke Gegner könnten bereits heute Ihre verschlüsselten Daten abfangen. Auch wenn sie sie derzeit nicht knacken können, könnten sie sie speichern, bis ein Quantencomputer verfügbar ist – und dann entschlüsseln und Ihre Geheimnisse offenlegen. Diese Angriffsart wird oft „Collect now, decrypt later“ oder „Store now, decrypt later“ genannt. Staatliche Akteure zeichnen traditionell Netzwerkverkehr zu Analysezwecken auf. Zunächst betraf das Klartext, dann Metadaten – und mittlerweile auch verschlüsselten Verkehr. Bestimmte verschlüsselte Daten wie z.B. E-Mails sind vom Volumen her eher klein und lassen sich leicht speichern und später entschlüsseln. 2021 veröffentlichte die Beratung Booz Allen Hamilton einen Bericht, wonach chinesische Cybergruppen bereits 2020 verschlüsselten Traffic aufgezeichnet hätten. Seit 2022 schützt Google seinen internen Netzwerkverkehr mittels Post-Quanten-Kryptografie. Auch verschlüsselte Backups sind ein offensichtliches Ziel. Ebenso zentralisierte kryptografische Architekturen, bei denen der Bruch eines zentralen Schlüssels eine gesamte Kryptohierarchie kompromittiert.
• Digitale Signaturen, die heute erstellt werden, müssen jahrzehntelang zuverlässig bleiben. Sie sind heute sicher, könnten aber in wenigen Jahren als nicht mehr vertrauenswürdig gelten. Verträge: Ein Quantencomputer könnte in einigen Jahren ein Dokument mit einer aktuellen Signatur so fälschen, dass es nicht mehr vom Original zu unterscheiden wäre – oder die Unterschrift abstreiten. Auch langlebige private Schlüssel und Codesignaturen fallen in diese Kategorie.
• Physische Systeme, die schwer oder teuer zu aktualisieren sind. Es gibt Plattformen, etwa spezielle Industrie-IoT-Geräte, die für Jahrzehnte betrieben werden und sich schwer, teuer oder gar nicht updaten lassen. Neue Post-Quanten-Algorithmen könnten etwa Hardware-Ressourcen erfordern, die solche Geräte nicht bieten. Diese Systeme sind in einigen Jahren möglicherweise angreifbar.

Für die meisten Organisationen empfiehlt sich, so bald wie möglich mit der Entwicklung von Gegenmaßnahmen zu beginnen. Kleine Unternehmen können meist schneller handeln – in komplexeren Umgebungen wird der Wechsel fünf bis zehn Jahre in Anspruch nehmen. Viele Regierungen haben Fahrpläne für die Migration veröffentlicht; schauen Sie nach, ob Sie betroffen sind und welche nächsten Schritte vorgesehen sind.

Im ersten Schritt sollten Sie eine Risikoanalyse durchführen, um festzustellen, ob und wann bei Ihnen eine Post-Quanten-Migration dringend wird. Je nach Größe der Organisation kann dies umfangreiche Arbeit sein. Es empfiehlt sich, mit einem schnellen Überblick zu beginnen, um den Aufwand grob abzuschätzen. Das Vorgehen umfasst die folgenden Etappen:

1. Inventarisieren Sie Ihre Daten: Erfassen Sie sämtliche Datentypen, die Sie verwalten – egal ob in eigenen Infrastrukturen oder bei Dritten. Verstehen Sie deren Art und deren Schutzbedarf.
2. Inventarisieren Sie Kryptografie-Assets: Befragen Sie Entwickler- und DevOps-Teams, um Krypto-Assets (Schlüssel, Zertifikate, Algorithmen …) zu identifizieren. Überprüfen Sie Ihre Systeme und überwachen Sie Netzwerkverkehr für Hinweise. Vergessen Sie dabei nicht die Auditierung von Software und Hardware, die Kryptografie einsetzt.
3. Inventarisieren Sie Dienstleister: Listen Sie alle Dritten auf, die mit Ihren Daten umgehen. Sie sollten sie frühzeitig über die Post-Quanten-Anforderungen informieren.
4. Inventarisieren Sie geltende Vorschriften: Notieren Sie alle auf Sie zutreffenden Gesetze und Regelwerke, inklusive Anforderungen und Fristen.
5. Bewerten Sie die Risiken: Prüfen Sie Ihre Gefährdungslage. Sind Sie bereits optimal aufgestellt? Wo besteht Nachholbedarf?

Sie gehören zur dringlichen Kategorie, falls Sie sensible Daten mit besonderem staatlichen Interesse verarbeiten. Entscheiden Sie anhand der Datenart sowie des notwendigen Schutzzeitraums. Alles rund um Staatsgeheimnisse, Militär, Kryptowährungen, hochwertiges geistiges Eigentum fällt darunter. Wenn Sie mit langfristigen Schutzfristen rechnen (zehn Jahre und mehr), befinden Sie sich sicher in dieser Gruppe. Wenn Sie andere Organisationen beliefern, werden auch Sie tendenziell früh handeln müssen.

Im Zuge der Inventur werden Sie vermutlich feststellen, dass Sie auf diese Herausforderung noch nicht ausreichend vorbereitet sind. So geht es den meisten Organisationen. Nutzen Sie die Gelegenheit, um Prozesse in folgenden Bereichen zu stärken:

• Asset-Management: Behalten Sie stets den Überblick, was zu schützen ist, vor wem und wie lange.
• Kryptografie-Governance: Definieren Sie Richtlinien und Kontrollen, um Schlüssel/Algorithmen richtig zu verwalten und mit Assets zu verknüpfen.
• Kryptografie-Erfassung: Führen Sie ein systematisch gepflegtes, aktuelles Inventar Ihrer kryptografischen Assets (Schlüssel, Algorithmen etc.).
• Krypto-Agilität: Schaffen Sie Prozesse, um bei erkannten Schwächen oder Angriffen aus der vorherigen Stufe schnell reagieren zu können.

Sobald Sie Ihre Umgebung kartiert haben, können Sie sich auf technische Empfehlungen konzentrieren, die in der nächsten Sektion folgen.

Alle großen Staaten haben mittlerweile Empfehlungen zur Post-Quanten-Migration veröffentlicht. Trotz gewisser Unterschiede sehen die wichtigsten Punkte und Zeitachsen ähnlich aus:

1. Starten Sie unverzüglich mit Planung und Priorisierung.
2. Beginnen Sie mit der Umstellung so früh wie möglich oder spätestens bis 2026.
3. Schließen Sie prioritäre Aufgaben bis spätestens 2030 ab.
4. Beenden Sie die vollständige Migration bis 2035.

In den USA hat die NSA einen leicht vorgezogenen Zeitplan: Für National Security Systems muss alles bis 2033 fertig sein.

Die technischen Empfehlungen lauten:

• Setzen Sie Post-Quanten-Standards ein, sobald sie verfügbar sind.
• Stellen Sie RSA-, EC-, DH- und ECDH-Algorithmen schrittweise ein.
• Wechseln Sie auf 256 Bit symmetrische Verschlüsselung (z. B. AES-256).
• Nehmen Sie 384 Bit lange Hashfunktionen in Betrieb.

Es gibt unterschiedliche Meinungen, ob hybride Ansätze – Kombination alter und neuer Algorithmen – langfristig sinnvoll sind. Manche Organisationen vertrauen Post-Quanten-Algorithmen inzwischen so sehr, dass die zusätzliche Komplexität hybrider Betriebsweisen für sie keinen langfristigen Mehrwert bietet. Die NSA wird daher hybride Algorithmen in der Commercial National Security Algorithms (CNSA) Suite 2.0 ab 2030 (Software- und Firmware-Signaturen, Netzwerkausrüstung) und ab 2033 (alle anderen Fälle) verbieten.

Spricht man von Post-Quanten-Kryptografie, geht es um Kryptografie, die gegen relevante Quantencomputer schützt. Die Prinzipien der Quantenmechanik können jedoch auch zu anderen Zwecken verwendet werden – weshalb Sie z. B. auch von Quanten-Netzwerken, Quanten-Kryptografie, Quanten-Schlüsselaustausch, quantengenerierter Zufall etc. lesen.

Trotz ähnlicher Begriffe handelt es sich hier um andere Herausforderungen: Diese Technologien machen eigene Fortschritte. Stand heute werden sie jedoch nicht empfohlen.

Krypto-Agilität bedeutet, dass kryptografische Algorithmen flexibel und mit minimalem Aufwand ausgetauscht werden können. Gerade im Post-Quanten-Kontext ist das ein wichtiges Thema: Noch nie stand ein solcher Umbruch bevor – und es ist zu erwarten, dass sich solches in Zukunft wiederholt.

Kryptografie ist eine junge Disziplin; Public-Key-Verfahren sind kaum 50 Jahre alt. Neue Erkenntnisse werden auch künftige Systeme beeinflussen. Die Post-Quanten-Welle markiert den Beginn einer neuen Unsicherheitsphase: Nur wer seine Kryptografie flexibel anpassen kann, bleibt Angreifern dauerhaft voraus.

Kryptografie-Entdeckung ist der erste Schritt zu einem Inventar kryptografischer Assets, das wiederum Voraussetzung für Agilität ist. Manche Bestandsaufnahmen lassen sich automatisieren, andere erfordern manuelle Arbeit und dauern entsprechend länger.

Kryptografie-Entdeckung braucht gute Tools. Im öffentlichen Infrastrukturkontext bedeutet das meist, große Datenmengen zu überwachen, um kryptografische Assets zu identifizieren. Red Sift Certificates wurde genau zu diesem Zweck entwickelt. Das Tool überwacht die globale öffentliche Infrastruktur und legt ein automatisches Inventar für Kunden-Domains, Subdomains, Zertifikate und Netzwerke an – automatisch und fortlaufend. Alle erkannten öffentlichen Services werden hinsichtlich ihrer Konfiguration geprüft, inklusive kryptografischer Parameter (Protokolle, Cipher Suiten, Algorithmus der privaten Schlüssel, …). Das Ergebnis: ein vollständiges, stets aktuelles Inventar öffentlicher kryptografischer Assets bei minimalem Aufwand nach der initialen Einrichtung. Die schnelle Einführung von Red Sift Certificates verschafft nahezu perfekte, unmittelbare Übersicht über die Post-Quanten-Exposition Ihrer Organisation nach außen.

Für den internen Netzwerkverkehr können Protokolle und verwendete kryptografische Parameter mittels Netzwerküberwachung erkannt werden. Wenn keine derartigen Kontrollen existieren, ist die Einrichtung einer umfassenden Netzwerkanalyse ein eigenes Großprojekt.

Der Rest der Arbeit betrifft interne, von außen nicht sichtbare Aspekte: Es gilt, die Architektur der internen Systeme zu verstehen und Repositories durchzugehen, um Einsatzorte von Kryptografie, Speicherorte von kryptografischen Schlüsseln usw. zu ermitteln.