Kryptografie am Scheideweg

PQC – Rettungsanker oder Marketing-Hype?

Bild: Getty Images / Credits: koto_feja

Während Quantencomputer immer leistungsfähiger werden, wächst der Druck auf die IT-Sicherheit. Das Schlagwort der Stunde heißt „Post-Quanten-Kryptografie“ (PQC). Ein Blick auf den Stand der Technik zum World Quantum Day 2026.

Der Wettlauf gegen die Zeit hat längst begonnen. Das Problem ist nicht nur der zukünftige Quantencomputer, sondern die Strategie „Harvest Now, Decrypt Later“: Geheimdienste und Hacker sammeln heute verschlüsselte Datenströme, um sie in wenigen Jahren mit Quanten-Power zu knacken.

“Für Unternehmen sollte die Umstellung auf quantenresistente Kryptografie bereits im Gange sein. Die Auswirkungen sind sehr real, und dies ist eine der Veränderungen mit den höchsten Risiken in der Cybersicherheit seit einer Generation”, sagt Jon France, CISO bei ISC2. “Quantencomputing ist nicht das Sicherheitsrisiko von heute, doch die mangelnde Vorbereitung auf postquantenkryptografische Lösungen könnte zum Governance-Versagen von morgen werden.”

Tiho Saric von Gigamon warnt ebenfalls: “Auch wenn derzeit noch diskutiert wird, wie schnell sich Quantencomputing durchsetzen wird, ist das Risiko real und der Zeitrahmen so knapp, dass es sich Unternehmen nicht mehr leisten können, abzuwarten. Wenn private Schlüssel kompromittiert werden, gerät die Integrität von Identitäten, Transaktionen und digitalen Signaturen in Gefahr. Damit steht nichts weniger als das Rückgrat der digitalen Moderne auf dem Spiel. Dies wird sich auf Unternehmen in allen Branchen auswirken und sowohl Verbraucher als auch Unternehmen betreffen.”

Warum klassische Codes fallen

RSA – die Abkürzung steht für die Anfangsbuchstaben der Familiennamen der Entwickler Rivest, Shamir und Adleman – basiert auf der mathematischen Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen. Die Sicherheit von ECC (Elliptic Curve Cryptography) beruht auf der Schwierigkeit, das Problem des diskreten Logarithmus auf elliptischen Kurven (Elliptic Curve Discrete Logarithm Problem, kurz ECDLP) zu lösen.

Beide Verfahren gelten heute als nicht quantenresistent.

Post-Quanten-Kryptografie (PQC): Die mathematische Antwort

PQC nutzt mathematische Probleme, die so komplex sind, dass sie weder für klassische noch für Quantenrechner effizient lösbar sind. Seit der Veröffentlichung der ersten finalen Standards durch das US-amerikanische NIST im August 2024 (als FIPS 203/204/205) hat sich das Feld gelichtet:

Obwohl NTRU ein Pionier der gitterbasierten Verfahren war, hat das NIST in den finalen Runden vorrangig auf ML-KEM (Kyber) gesetzt. NTRU bleibt jedoch praktisch relevant – etwa in hybriden SSH‑Key‑Exchanges und in Performance‑Experimenten für TLS.

Keine Option mehr ist Rainbow. Das Signaturverfahren wurde 2022 durch einen praktischen Schlüsselrückgewinnungsangriff (≈ 53 Stunden Rechenzeit auf einem Standard-Laptop bei den niedrigsten Parametern) diskreditiert und gilt seitdem als unsicher.

Performance vs. Sicherheit

Der Umstieg auf PQC ist kein Software-Update im Vorbeigehen. PQC-Schlüssel sind deutlich länger als RSA-Schlüssel. Das bedeutet:

Pioniere und „Potemkinsche Dörfer“

Führende europäische Unternehmen haben die Zeichen der Zeit erkannt. Bereits 2021 ebnete Thales mit Senetasden Weg für hybride Lösungen. Auch die Kooperation zwischen genua und Adva zeigt, wie zeigt, wie L2‑ und L3‑Verschlüsselung zentral verwaltet und in hochsicheren Netzarchitekturen kombiniert werden können.

Aber Vorsicht: Nicht jede Lösung, die mit dem Siegel „PQC“ wirbt, verdient es. Einige Anbieter setzen lediglich auf hybride Verfahren, bei denen ein klassischer Schlüssel mit einem (nicht immer starken) zusätzlichen Geheimnis „angereichert“ wird. Kritisch wird es bei der Verwendung einfacher Gruppenschlüssel (Closed User Groups). Diese vermitteln eine trügerische Sicherheit, da sie oft auf denselben verwundbaren Architekturen basieren, die sie eigentlich schützen sollen.

Nur Quanten sind quantensicher

Während viele IT-Sicherheitsexperten auf mathematische Post-Quanten-Algorithmen setzen, gehen einige Hersteller einen Schritt weiter und nutzen mit Quanten-Zufallszahlengeneratoren (QRNG) und der Quanten-Schlüsselverteilung (QKD) die Physik selbst als Schutzschild.

Sicherheit durch Verschränkung

Einen innovativen Weg geht das Jenaer Startup Quantum Optics. Ihr System „Elvis“ nutzt verschränkte Photonenpaare. Laut Hersteller basiert die Implementierung „LLC“ auf dem BBM92-Protokoll und ist Teil der Systemsoftware. Je nach Systemdesign kann dadurch (im Vergleich zu klassischen „Prepare-and-Measure“-Ansätzen) weniger zusätzliche Zufallszahl-Infrastruktur notwendig sein; für die Gesamtsicherheit bleibt jedoch ein sauberer, auditierbarer Zufallszahl- und Schlüsselmanagement-Prozess entscheidend.

Auch das Fürther High-Tech-Startup KEEQuantist auf quantensichere Kommunikation spezialisiert. Das Unternehmen entwickelt QKD-Systeme mit integrierter Photonik.

Die größte Hürde der Quantenkommunikation bleibt die Reichweite. Da Signale in Glasfasern schwächer werden und sich nicht einfach verstärken lassen, arbeiten Forschende weltweit an Quantenrepeatern. In Deutschland läuft dazu seit Januar 2026 das vom BMFTR geförderte Verbundprojekt TD.QR.

Miniaturisierung für den Massenmarkt

Dass Quantentechnologie miniaturisiert werden kann, zeigt eine strategische Kooperation zwischen ID Quantique und dem Dortmunder Halbleiterspezialisten Elmos: Beide kündigten Anfang 2025 an, einen energieeffizienten, monolithisch integrierten Quantenzufallszahlengenerator(QRNG) zu entwickeln; als Zielgröße wurde 2 mm × 2 mm genannt. Solche Bausteine gelten als potenziell attraktiv für sicherheitskritische Anwendungen (z. B. Automotive/IoT), müssen aber – wie jede Sicherheitskomponente – erst in konkrete Produkte, Zertifizierungen und Lieferketten überführt werden.

Handlungsempfehlung

In einer Gigamon-Umfrage gaben 80 Prozent der teilnehmenden deutschen Unternehmen an, dass sie besorgt über die Zunahme von „Harvest now, decrypt later“-Angriffen sind. Doch auch wenn ein klares Bewusstsein für die Bedrohung vorhanden ist, fehlt es bisher an echten Maßnahmen: Die meisten Unternehmen stützen sich noch auf eine begrenzte Anzahl veralteter kryptografischer Algorithmen, die bislang weitgehend unverändert geblieben sind, da Umstellungen kompliziert sind.

Für Unternehmen mit höheren Schutzbedarfen kann eine Kombination aus PQC (breit ausrollbar) und QKD (spezialisierte physikalische Schlüsselverteilung) sinnvoll sein. QKD bleibt aber infrastrukturlastig und ist heute meist auf Pilot‑/Spezialumgebungen begrenzt.

„Zur Vorbereitung sollten Unternehmen intern ein spezielles Team einrichten“, rät Saric. „Diese Spezialisten sollten erfassen, wo in ihren Umgebungen Kryptografie zum Einsatz kommt, Prioritäten setzen und die internen Kapazitäten aufbauen, um diese Upgrades zu verwalten und durchzuführen.“

Damit ist der Job aber nicht getan. „Sobald dies geschehen ist, müssen Unternehmen ihre Umgebungen konstant überwachen, um sicherzustellen, dass keine anfällige Nicht-Post-Quanten-Kryptografie übersehen wurde oder sich wieder einschleicht“, so Saric weiter. „Wenn diese Bemühungen zu echter kryptografischer Agilität führen, bei der Richtlinien und Algorithmen als Reaktion auf zukünftige Bedrohungen schnell ausgetauscht werden können, dann wird sich die Investition gelohnt haben – unabhängig davon, wie sich die Quantenbedrohung letztendlich entwickelt.“

Fazit: Agilität ist alles

Die perfekte Verschlüsselung gibt es nicht. Auch PQC-Verfahren könnten theoretisch durch neue mathematische Durchbrüche fallen. Deshalb ist das wichtigste Schlagwort für 2026 die „Krypto-Agilität“: Unternehmen müssen in der Lage sein, ihre Verschlüsselungsalgorithmen innerhalb von Stunden auszutauschen, ohne die gesamte Infrastruktur neu zu bauen. Wer heute nur auf einen einzelnen „Wunder-Algorithmus“ setzt, baut auf Sand.