Quantenrisiko erreicht die Chefetagen – doch viele IT-Teams stehen erst am Anfang

Während Investoren und Spitzenmanager bereits über den „Q-Day“ diskutieren, müssen Unternehmen ihre Kryptografie-Inventare, Datenrisiken und Migrationspläne jetzt systematisch auf Post-Quantum-Sicherheit ausrichten.

Mehrere einflussreiche Wirtschaftsvertreter sollten in New York City zusammenkommen und über das „Q-Day“-Risiko sprechen – also über den Zeitpunkt, an dem leistungsfähige Quantencomputer heutige Public-Key-Verfahren wie RSA oder elliptische Kurven praktisch angreifbar machen könnten. Der Ablauf der Veranstaltung ließ vermuten, dass eine öffentliche journalistische Begleitung nicht vorgesehen war. Die Herausgeberin unserer Schwesterzeitschrift MES Computing, Samara Lynn, erhielt dennoch eine Einladung und berichtet im Folgenden darüber, was sie an dem Tag erlebte und warum das, was passierte, sie so verwirrt.

Angekündigt waren unter anderem der kanadische Unternehmer und „Shark Tank“-Investor Kevin O’Leary, der frühere Stabschef des Weißen Hauses Mick Mulvaney, der Private-Equity-Unternehmer Grant Cardone und der Fox-Business-Moderator Charles Payne.

In einem „Q-Day“-Investitionsforum wollten sie erörtern, wie Quantenrisiken Märkte, Cybersicherheit und die Resilienz von Unternehmen verändern könnten. Veranstaltungsort war „Delmonico’s“, das historische Restaurant in Lower Manhattan, das seit dem 19. Jahrhundert als Treffpunkt für Wirtschafts- und Finanzeliten gilt.

Veranstalter war Naoris Protocol – ein Unternehmen, das ein dezentrales Cybersicherheitsnetzwerk und eine als quantenresistent positionierte Layer-1-Blockchain entwickelt hat. Damit bewegte sich die Veranstaltung an der Schnittstelle von Cybersecurity, Kapitalmarktinteresse und der wachsenden Debatte um Post-Quantum-Kryptografie.

Als ich am Veranstaltungsort eintraf, begab ich mich in den vorgesehenen Bereich. Auffällig war, dass weder bekannte Medienvertreter noch andere Technologiejournalisten zu sehen waren. Ich fragte eine Frau, die offenbar zum Veranstaltungspersonal gehörte, wo die Plätze für die Medien vorgesehen seien. Sie sagte, sie werde sich erkundigen, und verließ den Raum.

Während ich an einem der mit weißen Tischdecken gedeckten Tische saß und auf ihre Rückkehr wartete, kam ein Mann auf mich zu. Er erklärte, die Organisatoren hätten entschieden, dass es sich um eine private Veranstaltung handele; Aufnahmen und Notizen seien nicht erlaubt. Daraufhin verließ ich den Ort.

Ein Gespräch hinter verschlossenen Türen über ein wachsendes Unternehmensrisiko

Die Erfahrung war irritierend. Zugleich verweist sie auf eine größere Frage:

Wenn das Risiko durch Quantencomputer groß genug ist, um einige der sichtbarsten Akteure aus Wirtschaft, Medien und Finanzwelt an einem schwülen Freitagmorgen in Manhattan zusammenzubringen, warum wird diese Debatte dann nicht breiter öffentlich geführt?

Fest steht: Gespräche über den „Q-Day“ erreichen inzwischen die Vorstandsetagen. In vielen IT-Organisationen läuft dagegen erst die Einordnung, ob und in welchem Umfang bereits heute Budgets, Ressourcen und konkrete Migrationsprogramme für Post-Quantum-Kryptografie eingeplant werden müssen.

Unternehmen sollten den „Q-Day“ ernst nehmen – auch wenn sein Zeitpunkt offen ist. Gemeint ist der Moment, an dem Angreifer Quantencomputer einsetzen können, um heute verbreitete Public-Key-Verschlüsselung zu brechen. Genau diese Verfahren sichern derzeit zentrale Bestandteile digitaler Infrastruktur, darunter TLS-Verbindungen, Zertifikate, VPNs, digitale Signaturen, Software-Updates und Identitätsnachweise.

Eine solche Fähigkeit könnte Angreifern ermöglichen, sichere Webkommunikation zu kompromittieren, digitale Identitäten zu fälschen, Software-Lieferketten zu manipulieren oder langfristig vertrauliche Daten nachträglich offenzulegen.

Hinzu kommt ein bereits aktuelles Risiko: Angreifer können nach dem Prinzip „jetzt sammeln, später entschlüsseln“ verschlüsselte Daten abgreifen und speichern, um sie zu einem späteren Zeitpunkt mit leistungsfähigeren Quantencomputern auszuwerten. Besonders betroffen sind Informationen mit langer Schutzbedürftigkeit – etwa geistiges Eigentum, Forschungsdaten, Gesundheitsinformationen, Vertragsunterlagen oder sicherheitsrelevante Unternehmenskommunikation.

Für mittelständische Unternehmen bedeutet das: Sensible Daten können bereits heute gefährdet sein, selbst wenn ein kryptografisch relevanter Quantencomputer noch nicht verfügbar ist. Entscheidend ist nicht nur die Frage, wann der Q-Day eintritt, sondern wie lange Daten vertraulich bleiben müssen und wie stark Geschäftsprozesse von verwundbarer Kryptografie abhängen.

Ein bestätigtes Datum für den Q-Day gibt es nicht; Expertenschätzungen unterscheiden sich deutlich, und auch die technische Reife fehlertoleranter Quantencomputer bleibt umstritten. Gleichzeitig ist die Bedrohung konkret genug, dass Sicherheitsbehörden und Standardisierungsgremien zur Vorbereitung drängen. Das National Institute of Standards and Technology (NIST) hat bereits im August 2024 die ersten drei Standards für Post-Quantum-Kryptografie veröffentlicht: FIPS 203 für ML-KEM, FIPS 204 für ML-DSA und FIPS 205 für SLH-DSA.

Vor diesem Hintergrund ist es bedauerlich, dass die Veranstalter eine medienferne Sitzung wählten. Gerade weil das Thema technisch komplex, langfristig und zugleich strategisch relevant ist, wäre eine breitere öffentliche Diskussion sinnvoll – nicht zuletzt für IT- und Sicherheitsverantwortliche, die Investitionsentscheidungen vorbereiten müssen.

IT-Verantwortliche sollten jetzt mit der Vorbereitung beginnen: Sie sollten erfassen, wo in ihren Systemen, Anwendungen, Produkten und Lieferketten Kryptografie eingesetzt wird, die Schutzdauer sensibler Daten bewerten, kritische Abhängigkeiten priorisieren, Anbieter und Partner nach ihren Post-Quantum-Roadmaps fragen und die Leitlinien von NIST, CISA, NSA, ENISA sowie des britischen NCSC oder des deutschen BSI verfolgen. Fast alle empfehlen unter anderem, bis 2028 Migrationsziele zu definieren und eine vollständige Bestandsaufnahme kryptografischer Abhängigkeiten vorzunehmen, bis 2031 erste priorisierte Migrationen umzusetzen und bis 2035 die Umstellung auf Post-Quantum-Kryptografie abzuschließen.

Empfohlen wird, zunächst verwundbare Algorithmen zu identifizieren und diese schrittweise zu ersetzen. Damit wird das Quantenrisiko weniger zu einer abstrakten Zukunftsfrage als zu einer konkreten Governance-, Budget- und Architekturaufgabe der kommenden Jahre.

--

Dieser Artikel erschien ursprünglich auf unserer Schwester-Website MES Computing.