Post-Quantum-Kryptografie: Warum Unternehmen jetzt handeln müssen

Quantencomputer können heutige Verschlüsselung brechen — nicht morgen, aber die Daten, die heute verschlüsselt werden, sind dann lesbar. Das BSI warnt: „Harvest Now, Decrypt Later" ist keine Theorie, sondern dokumentierte Praxis staatlicher Akteure.

Das Problem: Harvest Now, Decrypt Later

Geheimdienste und staatliche Akteure sammeln heute verschlüsselte Daten — in der Erwartung, sie in 5-10 Jahren mit Quantencomputern entschlüsseln zu können. Für Daten mit langer Vertraulichkeitsdauer (Staatsgeheimnisse, Patente, Gesundheitsdaten, Geschäftsgeheimnisse) ist das eine reale Bedrohung.

Die entscheidende Frage ist nicht „Wann gibt es Quantencomputer?", sondern „Wie lange müssen meine Daten vertraulich bleiben?". Wenn die Antwort „länger als 10 Jahre" lautet, müssen Sie heute handeln.

Was Quantencomputer brechen können — und was nicht

Bedroht: Asymmetrische Kryptografie

• RSA: Shors Algorithmus faktorisiert große Zahlen effizient — RSA-2048 wird unsicher
• ECDSA/EdDSA: Elliptische-Kurven-Kryptografie fällt ebenfalls vor Shors Algorithmus
• Diffie-Hellman: Schlüsselaustausch über diskrete Logarithmen wird unsicher

Betroffen sind: TLS-Verbindungen, digitale Signaturen, SSH-Keys, Code-Signing, E-Mail-Verschlüsselung (S/MIME, PGP).

Weniger bedroht: Symmetrische Kryptografie

AES-256 und SHA-256 sind durch Grovers Algorithmus theoretisch geschwächt (effektive Sicherheit halbiert), bleiben aber mit ausreichender Schlüssellänge sicher. AES-256 bietet auch post-quantum ein effektives 128-Bit-Sicherheitsniveau (durch Grovers Halbierung) – das gilt weiterhin als sicher. KI-Shield setzt ausschließlich AES-256-GCM ein.

NIST Post-Quantum-Standards

Das National Institute of Standards and Technology (NIST) hat nach 8 Jahren Evaluierung die ersten Post-Quantum-Standards verabschiedet:

FIPS 203: ML-KEM (Kyber)

Schlüsselaustausch-Mechanismus basierend auf dem Module-Lattice-Problem. Ersetzt RSA und ECDH für Key Encapsulation. Standardisiert in drei Sicherheitsstufen: ML-KEM-512, ML-KEM-768, ML-KEM-1024.

FIPS 204: ML-DSA (Dilithium)

Digitale Signatur basierend auf dem Module-Lattice-Problem. Ersetzt RSA- und ECDSA-Signaturen. Drei Sicherheitsstufen: ML-DSA-44, ML-DSA-65, ML-DSA-87.

FIPS 205: SLH-DSA (SPHINCS+)

Hash-basierte Signatur als Backup-Option. Langsamer als ML-DSA, aber mathematisch konservativer — basiert ausschließlich auf Hash-Funktionen, deren Sicherheit gut verstanden ist.

BSI-Empfehlung: Hybride Kryptografie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den Hybrid-Ansatz: Klassische und post-quantum Algorithmen werden parallel eingesetzt. Beide müssen gebrochen werden, um die Sicherheit zu kompromittieren.

Warum hybrid? Post-Quantum-Algorithmen sind noch jung. Obwohl sie intensiv analysiert wurden, könnte ein mathematischer Durchbruch sie schwächen. Der Hybrid-Ansatz bietet ein Sicherheitsnetz: Selbst wenn ML-DSA fallen sollte (unwahrscheinlich, aber möglich), bleiben die klassischen Signaturen intakt — und umgekehrt.

Wie KI-Shield Post-Quantum implementiert

Hybrid-Signaturen für den Audit-Trail

Jeder Eintrag in der KI-Shield Audit-Chain wird doppelt signiert:

1. Ed25519: Schnelle, bewährte elliptische-Kurven-Signatur. 64 Bytes, Verifizierung in Mikrosekunden. Heute sicher, durch Quantencomputer potentiell gefährdet.
2. ML-DSA-65: NIST FIPS 204, Dilithium-basiert. 3.309 Bytes Signatur, Verifizierung in Millisekunden. Gegen Quantenangriffe sicher.

Ein Angreifer müsste beide Algorithmen gleichzeitig brechen — klassisch und quantum. Das ist nach aktuellem Wissensstand unmöglich.

Technische Implementierung

• Bibliothek: liboqs 0.15.0 (Open Quantum Safe), die führende Open-Source-Implementierung der NIST-Standards
• Schlüssel: ML-DSA-65 Private Key (4.032 Bytes), Public Key (1.952 Bytes), gespeichert als .bin-Dateien mit chmod 600
• Performance: ML-DSA-65 Signierung: ~1ms, Verifizierung: ~0.5ms. Kein spürbarer Performance-Impact
• Kompatibilität: Parallelbetrieb mit Ed25519, keine Migration nötig — bestehende Signaturen bleiben gültig

Zeitplan: Wann müssen Unternehmen umstellen?

• 2024: NIST-Standards veröffentlicht. Evaluierung und Pilotprojekte starten.
• 2025-2026: BSI empfiehlt Hybrid-Ansatz für neue Systeme. Erste Produkte mit PQ-Unterstützung verfügbar.
• 2027-2028: EU-Regulierung erwartet: Post-Quantum-Anforderungen für kritische Infrastruktur und Finanzsektor.
• 2030: NSA-Deadline: Alle nationalen Sicherheitssysteme müssen PQ-fähig sein.
• 2030-2035: Kryptografisch relevante Quantencomputer erwartet (IBM-Roadmap, Google-Prognose).

Was Unternehmen jetzt tun sollten

1. Kryptografie-Inventar erstellen

Dokumentieren Sie, welche kryptografischen Algorithmen wo in Ihrer Infrastruktur eingesetzt werden: TLS-Konfigurationen, Code-Signing, Datenbankverschlüsselung, VPN, E-Mail, Backups.

2. Daten-Vertraulichkeitsdauer bestimmen

Für jede Datenkategorie: Wie lange muss die Vertraulichkeit gewährleistet sein? Gesundheitsdaten: lebenslang. Geschäftsgeheimnisse: oft 10-20 Jahre. Wenn Vertraulichkeitsdauer > 10 Jahre: Post-Quantum-Schutz priorisieren.

3. Hybrid-Fähigkeit testen

Starten Sie Pilotprojekte mit Post-Quantum-Algorithmen. Testen Sie Performance, Kompatibilität und Schlüsselmanagement in einer kontrollierten Umgebung.

4. Lieferanten befragen

Fragen Sie Ihre Software- und Cloud-Anbieter: Wann werden PQ-Algorithmen unterstützt? Ist Hybrid-Betrieb geplant? Welche NIST-Standards werden implementiert?

Fazit

Post-Quantum-Kryptografie ist kein Science-Fiction-Thema — es ist ein Compliance-Thema. Die Standards existieren, die Implementierungen sind produktionsreif, und die Bedrohung durch „Harvest Now, Decrypt Later" ist dokumentiert. Unternehmen, die heute auf Hybrid-Signaturen setzen, schützen ihre Daten nicht nur gegen heutige, sondern auch gegen zukünftige Angriffe.