Post-Quantum-Migration mit Azure Key Vault
Praxisleitfaden zur Post-Quantum-Kryptografie auf Azure — ML-KEM, PQC in Azure Key Vault und Managed HSM, Krypto-Agilität und ein realistischer Migrationsplan.
Die Kryptografie, die Ihr Unternehmen heute schützt, hat ein Verfallsdatum — und Sie bestimmen nicht, wann es eintritt. Ein kryptografisch relevanter Quantencomputer würde die RSA- und Elliptische-Kurven-Verfahren brechen, die nahezu jede TLS-Sitzung, jedes signierte Artefakt und jede verschlüsselte Datenbank in Ihrem Bestand absichern. Die Maschine existiert noch nicht. Die Bedrohung schon — weil Angreifer nach dem Prinzip Harvest now, decrypt later vorgehen können. Dieser Beitrag zeigt, wie wir die Post-Quantum-Migration auf Azure angehen, mit Azure Key Vault und Azure Managed HSM im Zentrum des Plans — gestützt auf reale Liefererfahrung, nicht auf Hochglanzfolien.
TL;DR / Kernaussagen
- Der Zeitdruck ergibt sich aus den Daten, nicht aus der Hardware. Bei Harvest now, decrypt later ist jedes Datum, dessen Vertraulichkeit über das nächste Jahrzehnt hinaus bestehen muss, bereits gefährdet — der Migrationszeitpunkt folgt der Datenlebensdauer, nicht der Quantenverfügbarkeit.
- Das NIST hat die Standards im August 2024 finalisiert: FIPS 203 (ML-KEM, Schlüsselkapselung), FIPS 204 (ML-DSA, Signaturen) und FIPS 205 (SLH-DSA, hashbasierte Signaturen). Das sind die Verfahren, auf die migriert wird.
- Azure befindet sich mitten im Rollout. Microsofts SymCrypt erhielt Ende 2024 ML-KEM und ML-DSA; die Unterstützung für Azure Key Vault PQC und Managed HSM PQC entwickelt sich über 2026 hinweg. Jetzt planen, pilotieren sobald verfügbar.
- Die Bestandsaufnahme dominiert den Zeitplan. Allein das kryptografische Inventar dauert in großen Organisationen zwölf bis vierundzwanzig Monate; die vollständige Migration realistisch fünf bis fünfzehn Jahre.
- Krypto-Agilität ist das eigentliche Ziel. PQC ist kein einmaliger Tausch; bauen Sie die Fähigkeit auf, Algorithmen in Wochen statt Jahren zu wechseln.
Warum dies ein Problem von heute ist, nicht von 2035
Der Reflex der meisten Geschäftsleitungen besteht darin, Post-Quantum-Kryptografie unter „Zukunftsrisiko“ abzulegen und erneut zu betrachten, sobald Quantenhardware unmittelbar bevorzustehen scheint. Dieser Reflex ist falsch, und der Grund ist das Bedrohungsmodell Harvest now, decrypt later. Ein Angreifer benötigt heute keinen funktionierenden Quantencomputer. Er muss heute nur Chiffrate abgreifen und speichern. Trifft eine hinreichend leistungsfähige Maschine ein — ob 2032 oder 2038 — entschlüsselt er alles, was er aufbewahrt hat.
Das verschiebt die Frist vollständig. Die Frage lautet nicht „Wann brechen Quantencomputer RSA?“, sondern „Wie lange müssen meine Daten vertraulich bleiben?“ Wer Gesundheitsdaten, Finanzarchive, langlebiges geistiges Eigentum, staatsnahe Daten oder irgendetwas mit einer jahrzehntelangen Vertraulichkeitsanforderung verwahrt, dessen Expositionsfenster ist bereits offen. Daten, die 2026 nur durch klassischen Schlüsselaustausch geschützt Ihr Netz verlassen, sind für diese Zwecke Daten, von denen Sie annehmen sollten, dass ein Angreifer sie irgendwann lesen kann.
Die Normungsgremien haben entsprechend reagiert. Die NSA CNSA 2.0 fordert quantensichere Algorithmen für neue Systeme der nationalen Sicherheit bis Januar 2027, mit vollständiger Migration über 2030-2035. Die Hyperscaler sind ihren eigenen Kunden voraus: Google, Cloudflare, AWS und Microsoft rollen bereits jetzt hybriden Post-Quantum-Schlüsselaustausch aus und peilen für die breite interne Abdeckung etwa 2029 an. Wenn die Plattformanbieter dies als gegenwärtiges Engineering-Programm behandeln, können darauf aufbauende Unternehmen es nicht als Thema für 2035 abtun.
Worauf Sie migrieren
Im August 2024 hat das NIST die ersten Post-Quantum-Standards finalisiert; diese Algorithmen sind für die Unternehmensplanung maßgeblich.
| Standard | Algorithmus | Typ | Hauptzweck |
|---|---|---|---|
| FIPS 203 | ML-KEM | Gitterbasierte Schlüsselkapselung | Etablierung gemeinsamer Schlüssel (ersetzt RSA-/ECDH-Schlüsselaustausch) |
| FIPS 204 | ML-DSA | Gitterbasierte digitale Signatur | Allzweck-Signierung (ersetzt RSA-/ECDSA-Signaturen) |
| FIPS 205 | SLH-DSA | Hashbasierte digitale Signatur | Konservative Rückfalloption für hochsicheres Signieren |
Für die meisten Azure-Bestände sind ML-KEM und ML-DSA die Arbeitspferde — sie decken die Schlüsselaustausch- und Signaturoperationen ab, die reale Systeme dominieren. SLH-DSA ist dort relevant, wo man bewusst eine andere mathematische Grundlage (hashbasiert statt gitterbasiert) für höchste Sicherheit wünscht, etwa bei Firmware oder Vertrauensanker-Szenarien, und dafür größere Signaturen in Kauf nimmt. Eine tiefere Betrachtung der Abwägungen finden Sie in unserer Notiz zu ML-KEM und ML-DSA für Architekten.
Erst hybrid, dann reines Post-Quantum
Ein pragmatischer Punkt, der oft untergeht: Man springt nicht direkt auf reines Post-Quantum. Die meisten ausgereiften Migrationen beginnen mit hybriden Verfahren, bei denen ein hybrider Schlüsselaustausch einen klassischen Algorithmus (etwa ECDH) mit einem Post-Quantum-KEM (etwa ML-KEM) kombiniert. Die Sitzung ist sicher, solange eine der beiden Komponenten hält. Das ist bewusst konservativ — die Post-Quantum-Verfahren sind jung, und eine hybride Konstruktion schützt vor einem noch unentdeckten Fehler in der neuen Gittermathematik und liefert zugleich schon heute Quantenresistenz. Genau dieses Muster haben die Hyperscaler gewählt, und es ist auch für Unternehmen die richtige Voreinstellung.
Wo Azure Key Vault und Managed HSM hineinpassen
Post-Quantum-Migration ist zu einem großen Teil ein Schlüsselmanagement-Problem. Jeder Algorithmus, den Sie ersetzen, berührt Schlüssel, und wo diese Schlüssel liegen, entscheidet darüber, wie schmerzhaft der Tausch wird. Deshalb stehen Azure Key Vault und Azure Managed HSM im Zentrum eines tragfähigen Azure-PQC-Plans.
Microsofts Fortschritt ist konkret, aber im Fluss. Die zugrunde liegende Kryptografie-Bibliothek SymCrypt erhielt Ende 2024 ML-KEM und ML-DSA — das Fundament, auf dem alles Weitere aufbaut. Die Unterstützung für Azure Key Vault PQC und Managed HSM PQC entwickelt sich über 2026 hinweg. Die ehrliche Einschätzung für Anfang 2026: Die Primitive kommen an, aber ein flächendeckend verfügbarer, schlüsselfertiger PQC-Produktionsschlüsseltyp, den man einfach aus einer Auswahl wählt, ist über alle Regionen und Tarife hinweg noch nicht da. Die richtige Haltung lautet, jetzt zu planen und zu architektieren und zu pilotieren, sobald die Funktionen verfügbar sind — nicht auf eine fertige Funktion zu warten, bevor man die eigentliche Arbeit beginnt, die in Bestandsaufnahme und Agilität liegt, nicht im Schlüsseltyp selbst.
Der strategische Wert, Schlüsseloperationen über Key Vault und Managed HSM zu führen, ist Krypto-Agilität. Wenn Ihre Anwendungen niemals rohe Schlüssel sehen und keine Algorithmuswahl fest verdrahten — wenn sie einen zentralen Schlüsseldienst aufrufen, der den Algorithmus abstrahiert — dann wird die Einführung von ML-KEM und des darauffolgenden Algorithmus zu einer Konfigurations- und Richtlinienänderung statt einer Code-Neuschreibung über Hunderte von Diensten. Managed HSM bietet zusätzlich FIPS-validierten, mandantenreinen Schlüsselschutz, wo regulatorische oder Souveränitätsanforderungen dies verlangen — was bei europäischen regulierten Einrichtungen häufig der Fall ist.
| Eigenschaft | Azure Key Vault (Premium) | Azure Managed HSM |
|---|---|---|
| Mandantenmodell | Mehrmandantenfähiger Dienst | Mandantenrein, dedizierter HSM-Pool |
| Isolationsstufe | Hoch | Höchste (dedizierte Hardwaregrenze) |
| Typische Eignung | Die meisten Anwendungsschlüssel und Geheimnisse | Hochsichere, souveränitäts- und regulierungspflichtige Lasten |
| PQC-Entwicklung | Über 2026 hinweg | Über 2026 hinweg |
Eine realistische Migrationssequenz
Wir haben Bestandsaufnahme- und Roadmap-Arbeit für Azure-zentrierte Umgebungen durchgeführt, und die wiederkehrende Lehre ist, dass der Algorithmustausch der einfache Teil ist. Das Programm steht und fällt mit Inventar und Agilität. Dies ist die Sequenz, die wir verwenden.
- Kryptografie inventarisieren. Man kann nicht migrieren, was man nicht sieht. Erfassen Sie jeden Ort, an dem Schlüssel, Zertifikate und Algorithmen verwendet werden — Key-Vault-Objekte, Managed-HSM-Schlüssel, TLS-Endpunkte, Code-Signing-Pipelines, Verschlüsselung ruhender Daten, VPNs sowie eingebettete oder fest verdrahtete Geheimnisse. Erfassen Sie Algorithmus, Schlüssellänge, Verantwortlichen und Datenlebensdauer. Rechnen Sie im Unternehmensmaßstab mit zwölf bis vierundzwanzig Monaten; das ist der größte Einzelposten. Unser Leitfaden zu kryptografischer Bestandsaufnahme und Inventarisierung geht hier methodisch in die Tiefe.
- Nach Datenlebensdauer und Exposition priorisieren. Bewerten Sie Systeme danach, wie lange ihre Daten vertraulich bleiben müssen und wie stark sie der Harvest-now-decrypt-later-Abschöpfung ausgesetzt sind. Langlebige, hochvertrauliche Daten werden zuerst migriert — unabhängig davon, wie alt oder modern das System ist.
- Krypto-Agilität herstellen. Zentralisieren Sie Schlüsseloperationen hinter Key Vault und Managed HSM, entkoppeln Sie die Algorithmuswahl vom Anwendungscode und beseitigen Sie fest verdrahtete Algorithmusannahmen. Das ist die Investition, die jede künftige Migration günstig macht.
- Hybride Verfahren pilotieren. Sobald Azure-PQC-Funktionen verfügbar werden, führen Sie hybriden Schlüsselaustausch auf einer abgegrenzten, hochwertigen Last ein. Validieren Sie Leistung, die größeren Nutzlast- und Schlüsselgrößen der Gitterverfahren sowie die Interoperabilität mit Partnern und Kunden.
- In Wellen ausrollen. Migrieren Sie priorisierte Systeme wellenweise, aktualisieren Sie Schlüsseltypen und Signaturverfahren, achten Sie auf Regressionen und behalten Sie klassische Algorithmen während der Übergangsphase als Rückfalloption.
- Governance und Wiederholungstests. Etablieren Sie laufende kryptografische Governance — periodische Neuinventarisierung, Überprüfung der Algorithmus-Richtlinien und geübte Schlüsselrotation — damit der Bestand agil bleibt, während sich die Standards weiter bewegen.
Die vollständige strategische Einordnung, einschließlich der Zuordnung zu regulatorischen Treibern und zur Berichterstattung an die Geschäftsleitung, finden Sie in unserer Krypto-Agilitäts-Roadmap für das Unternehmen. Richtig verstanden ist Post-Quantum-Migration zudem ein Zero-Trust-Anliegen: Sie härtet die kryptografischen Annahmen, auf denen Identitäts-, Segmentierungs- und Datenschutzkontrollen allesamt ruhen.
Was 2026 zu tun ist
Wenn Sie dieses Jahr eine einzige Maßnahme ergreifen, dann die Bestandsaufnahme. Beginnen Sie das kryptografische Inventar jetzt, denn es bedingt alles Weitere und ist der Teil, der sich nicht durch Warten auf bessere Werkzeuge beschleunigen lässt. Führen Sie parallel neue Schlüsseloperationen mit Algorithmus-Abstraktion über Azure Key Vault und Managed HSM, damit Agilität von vornherein eingebaut und nicht unter Termindruck nachgerüstet wird. Behandeln Sie reine PQC-Einführung als Ziel und Hybrid als Auffahrt. Die Organisationen, die 2029 gelassen migrieren, sind jene, die 2026 mit der Inventarisierung begonnen haben.
Ein Wort zur Unterstützung
CC Conceptualise plant und liefert Post-Quantum- und Krypto-Agilitäts-Programme für europäische Unternehmen auf Azure — fundiert in realer Liefererfahrung im Schlüsselmanagement und Zero Trust, nicht in Folienware. Wenn Sie eine belastbare Roadmap wünschen, die sowohl einen Prüfer als auch eine CISO überzeugt, ist unser Bereich Zero Trust und Cybersicherheit der Ort dieser Arbeit.
FAQ
Ist Azure Key Vault heute schon Post-Quantum-fähig? Teilweise. Microsoft hat die Algorithmen ML-KEM und ML-DSA Ende 2024 in seine zugrunde liegende SymCrypt-Bibliothek aufgenommen, und die Post-Quantum-Unterstützung für Azure Key Vault und Azure Managed HSM entwickelt sich über 2026 hinweg weiter. Die ehrliche Einschätzung für Anfang 2026: Die Plattform-Primitive kommen an, aber ein schlüsselfertiger PQC-Schlüsseltyp, den man einfach auswählt, ist noch nicht flächendeckend verfügbar. Jetzt planen, pilotieren sobald die Funktionen verfügbar sind.
Was bedeutet Harvest now, decrypt later und warum ist das vor Quantencomputern relevant? Es ist das Bedrohungsmodell, bei dem ein Angreifer heute verschlüsselten Datenverkehr oder gespeicherte Chiffrate abgreift und aufbewahrt, bis ein kryptografisch relevanter Quantencomputer sie brechen kann. Die Entschlüsselung erfolgt in der Zukunft, der Datendiebstahl aber heute. Alle Daten, deren Vertraulichkeit über das nächste Jahrzehnt hinaus bestehen muss — Gesundheitsdaten, Staatsgeheimnisse, langlebiges geistiges Eigentum, Finanzarchive — sind bereits exponiert. Deshalb richtet sich der Migrationszeitpunkt nach der Datenlebensdauer, nicht nach der Quantenverfügbarkeit.
Was sind FIPS 203, 204 und 205? Es sind die Post-Quantum-Standards, die das NIST im August 2024 finalisiert hat. FIPS 203 ist ML-KEM, ein gitterbasierter Schlüsselkapselungsmechanismus zur Etablierung gemeinsamer Schlüssel. FIPS 204 ist ML-DSA, ein gitterbasiertes Signaturverfahren. FIPS 205 ist SLH-DSA, ein hashbasiertes Signaturverfahren als konservative Rückfalloption. ML-KEM und ML-DSA sind die Arbeitspferde der meisten Unternehmensmigrationen; SLH-DSA ist dort relevant, wo man für hochsicheres Signieren eine andere mathematische Grundlage wünscht.
Wie lange dauert eine realistische PQC-Migration im Unternehmen? Für eine große Organisation sind fünf bis fünfzehn Jahre Ende-zu-Ende einzuplanen. Allein die kryptografische Bestandsaufnahme — ein belastbares Inventar darüber, wo und wie Kryptografie eingesetzt wird — dauert typischerweise zwölf bis vierundzwanzig Monate. Die Migration ist kein einmaliger Umstieg, sondern ein mehrjähriges Programm aus Inventarisierung, Priorisierung, Krypto-Agilitäts-Engineering und schrittweisem Algorithmusaustausch. Bindend sind die NSA CNSA 2.0 (quantensicher für neue Systeme der nationalen Sicherheit bis 2027, vollständige Migration 2030-2035) und Ihre eigenen Aufbewahrungsanforderungen.
Migriert man direkt auf reines Post-Quantum oder zunächst auf hybride Verfahren? Die meisten Unternehmen sollten hybrid beginnen. Ein hybrider Schlüsselaustausch kombiniert einen klassischen Algorithmus wie ECDH mit einem Post-Quantum-KEM wie ML-KEM, sodass die Sitzung sicher bleibt, solange auch nur eines der beiden Verfahren hält. Das sichert gegen frühe Implementierungsfehler der neuen Algorithmen ab und liefert zugleich sofort Quantenresistenz. Hyperscaler wie Google, Cloudflare, AWS und Microsoft rollen zunächst hybride Verfahren aus und peilen für die breite interne Abdeckung etwa 2029 an.
Was ist Krypto-Agilität und warum ist sie das eigentliche Ziel? Krypto-Agilität ist die Fähigkeit, kryptografische Algorithmen, Parameter und Schlüsseltypen im gesamten Bestand schnell, sicher und ohne Neuarchitektur von Anwendungen zu wechseln. Sie ist entscheidend, weil PQC kein einmaliger Tausch ist: Standards entwickeln sich weiter, einzelne Algorithmen können geschwächt werden, und es wird erneut rotiert werden müssen. Wer Schlüsseloperationen hinter Azure Key Vault zentralisiert und die Algorithmuswahl vom Anwendungscode entkoppelt, kann den nächsten Algorithmus in Wochen statt Jahren einführen.
Themen