Krypto-Agilität: Fahrplan ins Post-Quanten-Zeitalter
Ein Praxis-Fahrplan für Krypto-Agilität und PQC-Migration — Bestandsaufnahme, ML-KEM/ML-DSA, Azure-Zeitleiste und ein belastbarer Plan für CTOs und CISOs.
Der schwierige Teil des Post-Quanten-Übergangs ist nicht die Mathematik — die hat das NIST 2024 geklärt. Der schwierige Teil ist, dass die meisten Unternehmen eine trügerisch einfache Frage nicht beantworten können: Wo genau wird im gesamten Bestand Kryptografie eingesetzt, und wie würden wir sie ändern? Genau diese Frage beantwortet Krypto-Agilität, und sie entscheidet darüber, ob eine Migration kontrollierte Jahre dauert oder zu einem offenen Notfall wird. Dieser Beitrag beschreibt den Post-Quanten-Fahrplan, den wir mit Kunden einsetzen, die einen Plan brauchen, der einer Prüfung und einer Vorlage bei der Geschäftsleitung standhält — nicht nur einer Folie.
TL;DR / Die wichtigsten Erkenntnisse
- Krypto-Agilität ist das eigentliche Ziel, nicht die PQC-Einführung selbst. Angestrebt wird ein Bestand, in dem der Wechsel eines Algorithmus eine Konfigurationsänderung ist, denn Sie werden ihn nach der ersten Migration erneut wechseln müssen.
- Die Uhr stellt die Datenlebensdauer, nicht die Quanten-Hardware. Im Harvest-now-decrypt-later-Modell ist jedes Geheimnis, das über ~2030 hinausreichen muss, heute schon exponiert. CNSA 2.0 verankert 2027–2035; große Clouds peilen ~2029 an.
- Die Bestandsaufnahme ist der lange Hebel. Ein belastbares Kryptografie-Verzeichnis dauert für große Organisationen 12–24 Monate; die vollständige Migration realistisch 5–15 Jahre. Jetzt mit der Aufnahme beginnen.
- Die Standards sind stabil. Das NIST hat FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) im August 2024 finalisiert. Die Plattformunterstützung — auch in Azure — kommt im Lauf von 2026.
- Kompromisslos priorisieren. Nach Vertraulichkeitsdauer und Exposition sequenzieren, nicht nach dem, was am leichtesten zu ändern ist.
Warum Krypto-Agilität und nicht nur „auf PQC umstellen"
Es ist verlockend, das Post-Quanten-Zeitalter als einmaligen Austausch zu begreifen: RSA und elliptische Kurven gegen die neuen gitterbasierten Verfahren tauschen und fertig. Diese Sichtweise ist falsch und führt zu spröden Systemen. Die neuen Standards sind hervorragend, aber sie sind nicht das Ende der kryptografischen Geschichte — Parameter werden nachjustiert, Verfahren abgekündigt, Hybride weichen reinen Post-Quanten-Modi. Eine Organisation, die ML-KEM so fest verdrahtet, wie sie einst RSA verdrahtet hat, terminiert schlicht denselben Schmerz für das nächste Jahrzehnt.
Kryptografische Agilität rahmt das Ziel neu. Statt zu fragen „welchen Algorithmus installieren wir", fragen Sie „wie machen wir die Algorithmenwahl zu einer Eigenschaft, die wir im gesamten Bestand sicher und schnell ändern können". Das bedeutet: Kryptografie lebt hinter Schnittstellen, Zertifikate und Schlüssel werden zentral verwaltet, Algorithmuskennungen werden ausgehandelt statt vorausgesetzt, und keine Geschäftslogik bettet ein bestimmtes Primitiv ein. Gelingt das, ist die Post-Quanten-Migration der erste Nutznießer; jede weitere Migration danach wird günstiger.
Genau hier sind die meisten Bestände am schwächsten. Jahrzehnte pragmatischer Entwicklung haben Kryptografie überallhin verstreut — TLS-Konfigurationen, Signatur-Pipelines, Firmware eingebetteter Geräte, Verschlüsselung auf Datenbankebene, Anwendungsbibliotheken und Produkte von Lieferanten, in die Sie nicht hineinsehen können. Agil machen lässt sich nur, was man sieht — deshalb beginnt der Fahrplan mit der Bestandsaufnahme.
Die Zeitleiste, die Sie wirklich bindet
Es gibt keine einzelne gesetzliche Frist, die ein quantensicheres Unternehmen bis zu einem festen Datum erzwingt, und auf eine zu warten wäre ein Fehler. Die bindende Randbedingung ist die Vertraulichkeitsdauer Ihrer Daten in Verbindung mit der Harvest-now-decrypt-later-Bedrohung. Ein Angreifer braucht heute keinen Quantencomputer, um Ihnen zu schaden — er muss verschlüsselte Daten nur heute abfangen und entschlüsseln, sobald die Hardware existiert. Für Daten, die bis in die 2030er und darüber hinaus geheim bleiben müssen, ist die Exposition bereits real.
Die externen Ankerpunkte helfen, die Dringlichkeit zu kalibrieren:
| Signal | Wozu es verpflichtet | Praktische Lesart |
|---|---|---|
| NIST FIPS 203/204/205 | PQC-Standards finalisiert Aug. 2024 | Die Algorithmen sind stabil; kein Grund, auf Standards zu warten |
| NSA CNSA 2.0 | Quantensicher für neue Sicherheitssysteme bis 2027; Migration 2030–2035 | Behörden-Lieferketten verlangen PQC deutlich vor 2030 |
| Hyperscaler (Google, Cloudflare, AWS, Microsoft) | Interne quantensichere Ziele ~2029 | Schutz auf Plattformebene kommt in diesem Jahrzehnt; die Anwendungsebene ist Ihre Sache |
| Microsoft SymCrypt / Azure Key Vault & Managed HSM | ML-KEM/ML-DSA in SymCrypt seit Ende 2024; KV/HSM-PQC im Lauf von 2026 | Die Plattform ist für die meisten Workloads nicht mehr der Engpass |
Die ehrliche Schlussfolgerung: Selbst die aggressivste realistische Migration dauert für ein großes Unternehmen fünf bis fünfzehn Jahre End-to-End, und allein die Aufnahmephase verschlingt zwölf bis vierundzwanzig Monate. Hat Ihre Datenlage einen langen Geheimhaltungshorizont, sagt die Rechnung: Das Programm sollte bereits finanziert sein.
Schritt 1 — Kryptografische Bestandsaufnahme (der lange Hebel)
Alles Nachgelagerte hängt von einer belastbaren kryptografischen Stückliste ab: einem lebendigen Verzeichnis jedes Algorithmus, jeder Schlüssellänge, jedes Zertifikats, jeder Protokollversion und jeder Bibliothek über Anwendungen, Infrastruktur, Identitätssysteme, Datenspeicher, Netzwerkkomponenten und Produkte Dritter hinweg. In unserer Projektarbeit ist die häufigste Überraschung nicht das Volumen der Kryptografie — es ist der Anteil, der eingebettet ist: in Firmware verbacken, in Altclients fixiert oder in Lieferanten-Binaries vergraben, wo es überhaupt keinen Konfigurationsschalter gibt. Diese Posten bestimmen den kritischen Pfad, weshalb es entscheidend ist, sie früh zu finden.
Die Aufnahme kombiniert mehrere Techniken: statisches und Binär-Scanning, TLS- und Zertifikatsinventar, Netzwerkbeobachtung ausgehandelter Suiten, Konfigurationsmanagement-Daten und strukturierte Lieferantenfragebögen für die undurchsichtigen Teile des Bestands. Das Ergebnis ist keine Tabelle, die Sie ablegen — es ist eine gepflegte Fähigkeit. Methodik und Werkzeuge vertiefen wir in unserem Leitfaden zur kryptografischen Bestandsaufnahme. Kalkulieren Sie realistisch: Für einen komplexen Bestand ist das ein Aufwand von über einem Jahr, und Eile erzeugt ein Verzeichnis, dem Sie nicht trauen können — schlimmer als gar keines.
Schritt 2 — Nach Datenlebensdauer und Exposition priorisieren
Sie können nicht alles auf einmal migrieren, und Sie sollten es nicht versuchen. Priorisierung ist die Disziplin, die aus einem wuchernden Verzeichnis einen sequenzierten Plan macht. Stufen Sie Systeme entlang zweier Achsen ein: wie lange die Daten vertraulich bleiben müssen und wie exponiert die Kryptografie gegenüber Harvest-now-Erfassung oder externen Vertrauensabhängigkeiten ist.
- Langlebige Geheimnisse über öffentliche oder nicht vertrauenswürdige Netze — zuerst. Gesundheits-, Rechts-, Finanz-, IP- und Staatsdaten mit jahrzehntelanger Vertraulichkeit, besonders wenn der Schlüsselaustausch über das Internet erfolgt.
- Extern erreichbarer Schlüsselaustausch und Authentifizierung — hoch. TLS-Terminierung, VPN, mTLS-APIs und Föderationsendpunkte, die Angreifer heute aufzeichnen können.
- Langlebige Signaturen und Vertrauensanker — hoch, aber eigenständig. Code- und Firmware-Signierung sowie CA-Wurzeln, die jahrelang gültig bleiben müssen; hier bieten sich ML-DSA oder, wo Konservatismus zählt, SLH-DSA an.
- Kurzlebige, interne, wenig sensible Kryptografie — zuletzt. Wirklich flüchtige Geheimnisse tragen das geringste Harvest-now-Risiko.
Diese Sequenzierung macht ein Fünf-bis-fünfzehn-Jahres-Programm belastbar: Sie schützen nachweislich die wichtigsten Daten zuerst.
Schritt 3 — Agilität konstruieren, dann die Algorithmen einführen
Erst jetzt wird die Algorithmen-Einführung sinnvoll, weil Sie einen Ort dafür haben. Die Konstruktionsarbeit besteht darin, Kryptografie hinter stabilen Schnittstellen und zentralen Diensten zu kapseln — eine Krypto-Provider-Schicht, zentrale Schlüssel- und Zertifikatsverwaltung sowie Protokollstacks, die aushandeln statt fest zu verdrahten. Damit wird die Einführung von ML-KEM für die Schlüsselvereinbarung und ML-DSA für Signaturen zu einer eingegrenzten Änderung statt zu einem Wildwuchs an Code-Eingriffen.
Der umsichtige erste Schritt ist hybrider Schlüsselaustausch: ein klassisches Verfahren mit ML-KEM kombiniert, sodass ein Fehler in einem von beiden Sie weiter geschützt lässt — so verfahren auch die großen TLS-Implementierungen. Zentralisieren Sie Schlüsseloperationen in einem verwalteten Schlüsselspeicher und HSM, damit Algorithmuswechsel an einer kontrollierten Stelle geschehen — relevant, da die Post-Quanten-Fähigkeit von Azure Key Vault im Lauf von 2026 kommt. Für Architekten, die über Parametersätze, Performance und Einsatzgebiete nachdenken müssen, behandeln wir die Primitive in ML-KEM und ML-DSA für Architekten. Das nicht verhandelbare Prinzip: Keine Anwendung sollte wissen, welchen Algorithmus sie verwendet.
Schritt 4 — In Wellen migrieren, verifizieren und lebendig halten
Rollen Sie in Wellen aus, die Ihrer Priorisierung folgen, und behandeln Sie Verifikation als erstrangige Tätigkeit. Post-Quanten-Verfahren ändern Schlüssel- und Signaturgrößen und haben andere Performance-Eigenschaften, daher sind Interoperabilitäts- und Latenztests nicht optional — gerade Handshake-Größen und Zertifikatsketten können Annahmen sprengen, die in älteren Clients und Middleboxen verbacken sind. Jede Welle sollte aktualisierte Runbooks, Monitoring auf noch genutzte abgekündigte Algorithmen und ein aufgefrischtes Verzeichnis hinterlassen.
Die Governance-Hülle zählt ebenso viel wie die Konstruktion. Aktualisieren Sie Beschaffungs- und Lieferantenanforderungen, damit neue Systeme krypto-agil und PQC-bereit per Vertrag ankommen, nicht per Nachbesserung — eine Nachweispflicht gegenüber Beschaffung und Lieferkette. Da diese Arbeit mitten in einer Zero-Trust-Haltung sitzt — bei der Sie das Netz als feindlich annehmen und an jeder Grenze kryptografisch verifizieren — gehört sie in dieselbe strategische Diskussion; siehe unsere Zero-Trust-Leistungen. Die Migration endet nicht, wenn der letzte Algorithmus getauscht ist, sondern wenn Krypto-Agilität eine dauerhafte, verantwortete Fähigkeit ist.
Ein belastbarer Fahrplan auf einer Seite
Die Phasen laufen grob in Folge, doch Bestandsaufnahme und Priorisierung überlappen, und das Verzeichnis endet nie — jede Migrationswelle speist neuen Stand ein und hält das gesamte Programm ehrlich.
| Phase | Horizont | Wesentliches Ergebnis |
|---|---|---|
| Steuern | Jetzt | Verantwortliche Person, Rückhalt der Geschäftsleitung, finanziertes Mehrjahresprogramm |
| Aufnehmen | 12–24 Monate | Belastbare kryptografische Stückliste, gepflegt, nicht einmalig |
| Priorisieren | Überlappt die Aufnahme | Systeme nach Datenlebensdauer und Exposition sequenziert |
| Agilität konstruieren | Laufend | Kryptografie hinter Schnittstellen; zentrale Schlüssel und Zertifikate |
| Migrieren & betreiben | 5–15 Jahre | Hybrid, dann PQC-Ausrollen in Wellen; Agilität als dauerhafte Fähigkeit |
Schwer tun werden sich nicht die Organisationen, die ein Jahr zu spät begonnen haben — sondern die, die dies als Beschaffungs- statt als Architekturaufgabe behandelt haben. Krypto-Agilität ist das Gut, das jeden einzelnen Algorithmus überdauert, und es wird bewusst aufgebaut, beginnend mit dem Wissen, was man hat.
Zusammenarbeit mit uns
Wir helfen europäischen Unternehmen, die Post-Quanten-Frage von Beunruhigung in einen sequenzierten, nachweisgestützten Plan zu verwandeln — Bestandsaufnahme, Priorisierung und die darunterliegende Krypto-Agilitäts-Konstruktion. Wenn Sie einen PQC-Migrationsplan abstecken oder eine Zweitmeinung zu einem bereits laufenden möchten, ist unsere Zero-Trust- und Sicherheitsberatung ein guter Ausgangspunkt für das Gespräch. Kein Druck, kein Body-Shop-Pitch — nur Architekten, die diese Arbeit gemacht haben.
FAQ
Was ist Krypto-Agilität und warum ist sie für die Post-Quanten-Migration entscheidend?
Krypto-Agilität ist die Fähigkeit, kryptografische Algorithmen, Schlüssellängen und Protokolle im gesamten Bestand schnell und risikoarm zu wechseln, idealerweise ohne Anwendungen neu zu konstruieren. Sie ist entscheidend, weil der Post-Quanten-Übergang kein einmaliger Austausch ist — Algorithmen entwickeln sich weiter, und Sie werden sie erneut ersetzen müssen. Wer Agilität jetzt aufbaut, macht die nächste Migration zu einer Konfigurationsänderung statt zu einem Mehrjahresprogramm.
Bis wann müssen wir tatsächlich quantensicher sein?
Es gibt keine einzelne Frist, aber belastbare Ankerpunkte. Die CNSA 2.0 der NSA verlangt quantensichere Verfahren für neue nationale Sicherheitssysteme bis 2027, mit breiterer Migration bis 2030 bis 2035, und große Cloud-Anbieter peilen intern etwa 2029 an. Die härtere Randbedingung sind Daten mit langer Vertraulichkeitsdauer: Alles, was über etwa 2030 hinaus geheim bleiben muss, ist heute schon dem Harvest-now-decrypt-later-Modell ausgesetzt und sollte eher früher als später geschützt werden.
Was sind FIPS 203, 204 und 205?
Es sind die Post-Quanten-Standards, die das NIST im August 2024 finalisiert hat. FIPS 203 ist ML-KEM, ein Schlüsselkapselungsverfahren zur Vereinbarung gemeinsamer Geheimnisse. FIPS 204 ist ML-DSA, ein gitterbasiertes Signaturverfahren. FIPS 205 ist SLH-DSA, ein hashbasiertes Signaturverfahren für Fälle, in denen eine konservative, gut verstandene Sicherheitsbasis bevorzugt wird. ML-KEM und ML-DSA sind die beiden Verfahren, die die meisten Organisationen zuerst einführen werden.
Wie lange dauert eine PQC-Migration im Unternehmen realistisch?
Für eine große Organisation läuft die realistische End-to-End-Migration über fünf bis fünfzehn Jahre, und allein die kryptografische Bestandsaufnahme — der Aufbau eines belastbaren Verzeichnisses, wo und wie Kryptografie eingesetzt wird — dauert typischerweise zwölf bis vierundzwanzig Monate. Die große Spanne ergibt sich aus der Komplexität des Bestands, dem Anteil fest verdrahteter und eingebetteter Kryptografie und der Abhängigkeit von Lieferanten und Hardware, die Sie nicht kontrollieren.
Was bedeutet 'Harvest now, decrypt later' und betrifft es uns heute?
Es ist das Bedrohungsmodell, bei dem ein Angreifer verschlüsselten Verkehr abfängt oder verschlüsselte Daten heute exfiltriert und speichert, bis ein kryptografisch relevanter Quantencomputer sie entschlüsseln kann. Es betrifft Sie heute, wenn Sie Daten halten, deren Vertraulichkeit das Eintreffen solcher Maschinen überdauern muss — Gesundheitsdaten, Staatsgeheimnisse, geistiges Eigentum, langlebige Finanzdaten. Für diese Daten läuft die Migrationsuhr bereits, obwohl Quantencomputer die Schlüssel noch nicht brechen können.
Unterstützt Azure bereits Post-Quanten-Kryptografie?
Die Unterstützung kommt stufenweise. Die SymCrypt-Bibliothek von Microsoft hat ML-KEM und ML-DSA Ende 2024 ergänzt, und die Post-Quanten-Fähigkeit in Azure Key Vault und Managed HSM verläuft im Lauf von 2026. Praktisch heißt das: Die Plattformunterstützung ist für die meisten Workloads nicht mehr der Engpass — die Arbeit verlagert sich auf Bestandsaufnahme, Priorisierung und das Einbauen von Krypto-Agilität in Ihre eigenen Anwendungen und Protokolle.
Themen