Zum Inhalt springen
Resilience Platform Resilience Platform

Crypto Agility · PQC · Quantum Readiness

Crypto Agility & Post-Quantum Watchlist

Vorbereitung auf die Post-Quantum-Ära: Kryptographie-Inventar, Harvest-Now-Decrypt-Later-Risiko, TLS/mTLS-Abhängigkeiten und PQC-Migrationsbereitschaft.

Hinweis: Diese Seite ist eine Umsetzungshilfe und ersetzt keine Rechtsberatung oder verbindliche aufsichtsrechtliche Auslegung.

Watchlist / Radar-Thema — keine fertige Lösung. Diese Seite dient der Orientierung und Früherkennung. Post-Quantum-Kryptographie ist ein sich entwickelndes Feld. Die hier beschriebenen Maßnahmen sind vorbereitender Natur und ersetzen keine fertigen PQC-Implementierungen.

Management-Zusammenfassung

  • Quantencomputer werden aktuelle asymmetrische Kryptographie (RSA, ECDSA, ECDH) mittelfristig brechen können.
  • Harvest-Now-Decrypt-Later: Heute abgefangene verschlüsselte Daten können später mit Quantencomputern entschlüsselt werden.
  • NIST PQC-Standards (CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+) sind veröffentlicht — Migration beginnt jetzt.

Kryptographie-Inventar

Erstellen Sie ein vollständiges Inventar aller kryptographischen Verfahren in Ihrer Organisation:

  • Asymmetrische Verfahren: RSA, ECDSA, ECDH, EdDSA — mit Schlüssellängen und Kurven
  • Symmetrische Verfahren: AES, ChaCha20 — mit Schlüssellängen
  • Hash-Funktionen: SHA-2, SHA-3 — mit Bit-Längen
  • Einsatzorte: TLS-Zertifikate, mTLS, Code-Signing, Dokumentensignaturen, Datenverschlüsselung

Harvest-Now-Decrypt-Later

Das Risiko: Angreifer sammeln heute verschlüsselte Daten mit langer Schutzdauer (Finanzdaten, Personendaten, Geschäftsgeheimnisse) und speichern sie für die spätere Entschlüsselung mit Quantencomputern. Besonders gefährdet sind Daten mit Schutzfristen über 10 Jahre.

  • Identifizieren Sie Daten mit langen Schutzfristen (Kundendaten, Vertragsdaten, Prüfberichte)
  • Bewerten Sie das Risiko für Daten in Transit und at Rest
  • Priorisieren Sie PQC-Migration für Systeme mit langen Datenschutzfristen

TLS- und mTLS-Abhängigkeiten

TLS und mTLS sind die am stärksten betroffenen Protokolle, da sie auf asymmetrischer Kryptographie für den Schlüsselaustausch basieren:

  • Inventarisieren Sie alle TLS-Endpunkte und deren Cipher-Suite-Konfiguration
  • Planen Sie die Migration zu hybriden Zertifikaten (klassisch + PQC)
  • Testen Sie TLS 1.3 mit PQC-Cipher-Suites in isolierten Umgebungen

PQC-Migrationsbereitschaft

Bewerten Sie Ihre organisatorische und technische Bereitschaft für die PQC-Migration:

  • NIST-Standards: FIPS 203 (ML-KEM/Kyber), FIPS 204 (ML-DSA/Dilithium), FIPS 205 (SLH-DSA/SPHINCS+)
  • BSI-Empfehlungen: TR-02102-1 (Kryptographische Verfahren) und PQC-Migrationsleitfaden
  • Crypto-Agility: Stellen Sie sicher, dass Ihre Systeme Krypto-Verfahren austauschen können, ohne die Anwendungslogik zu ändern
  • Hybride Ansätze: Kombination aus klassischer und PQC-Kryptographie für Übergangsphase

Verantwortlichkeiten und Timeline

Maßnahme Verantwortlich Zeitrahmen
Krypto-Inventar erstellen CISO / IT-Sicherheit Q3 2026
Harvest-Now-Decrypt-Later-Risiko bewerten CISO / Datenschutz Q4 2026
TLS-PQC-Testumgebung aufbauen IT-Architektur Q1 2027
Crypto-Agility-Roadmap erstellen CISO / IT-Architektur Q2 2027
Management-Review PQC-Readiness Geschäftsleitung Jährlich ab 2027

Verknüpfte Module

DORA NIS2 BSI Crosswalk