Harvest Now, Decrypt Later: Das Quanten-Risikomodell
Ein praxisnahes Risikomodell für die Harvest-Now-Decrypt-Later-Bedrohung — Quanten-Datenrisiko bewerten nach Schutzdauer, Sensitivität und Exposition.
Die meisten Gespräche über Quantensicherheit beginnen an der falschen Stelle: beim Quantencomputer. Wann kommt er? Wie viele logische Qubits? Wird es 2030 oder 2040? Interessante Fragen — aber die falschen für eine CISO, die den nächsten Budgetzyklus plant.
Die entscheidende Frage ist nicht, wann ein kryptografisch relevanter Quantencomputer eintrifft. Sie lautet: Welche Ihrer Daten müssen dann noch vertraulich sein — und werden diese Daten heute bereits aus Ihrem Netz kopiert? Das ist das Harvest-Now-Decrypt-Later-Problem (HNDL), und anders als das Eintreffdatum des Quantencomputers lässt es sich heute quantifizieren.
TL;DR / Die wichtigsten Erkenntnisse
- Die HNDL-Bedrohung ist bereits aktiv. Angreifer fangen heute verschlüsselte Daten ab, um sie zu entschlüsseln, sobald ein Quantencomputer existiert. Ihre Migrationsfrist bestimmt die Lebensdauer Ihrer Daten, nicht die der Maschine.
- Das Quanten-Datenrisiko ist eine Funktion dreier Variablen: Schutzdauer, Sensitivität und aktuelle Exposition. Das Volumen ist nahezu irrelevant.
- Moscas Ungleichung belegt die Dringlichkeit; ein Risikomodell sequenziert die Arbeit. Sie können nicht alles gleichzeitig neu verschlüsseln — also müssen Sie priorisieren.
- Das NIST hat die Standards im August 2024 finalisiert (FIPS 203 ML-KEM, FIPS 204 ML-DSA, FIPS 205 SLH-DSA). Der Engpass ist nicht mehr der Algorithmus, sondern die Bestandsaufnahme und die Krypto-Agilität.
- Eine realistische Unternehmensmigration dauert 5 bis 15 Jahre, die Bestandsaufnahme allein 12 bis 24 Monate. Hat eine Datenklasse eine Schutzdauer von zehn Jahren, sind Sie wahrscheinlich bereits zu spät dran.
Warum dieses Bedrohungsmodell die übliche Sicherheitslogik umkehrt
In der Sicherheitsarbeit arbeitet die Zeit meist für die verteidigende Seite. Eine Schwachstelle, die vor ihrer Ausnutzung behoben wird, ist ein Nicht-Ereignis. HNDL durchbricht diese Annahme. Der Angreifer muss heute nichts mit Ihren Daten tun; er muss sie nur aufbewahren. Der kryptografische Bruch kann ein Jahrzehnt später erfolgen — und der Angriff gelingt trotzdem.
Das bedeutet: Eine TLS-Sitzung, die Sie 2026 für vollkommen sicher halten, kann 2034 zur Belastung werden, wenn die Nutzlast etwas mit langer Schutzdauer enthielt — ein Term Sheet einer Transaktion, ein Patientengenom, einen Signaturschlüssel, ein Staatsgeheimnis. Die Verschlüsselung war zum Zeitpunkt der Nutzung solide. Die Daten haben den Algorithmus überlebt.
Die praktische Konsequenz: Sie müssen sich gegen eine Fähigkeit schützen, die noch nicht existiert — und zwar für Daten, die Sie genau jetzt übertragen. Deshalb ist "der Quantencomputer ist noch nicht da" kein Grund zu warten. Es ist der genaue Grund anzufangen.
Die drei Variablen des Quanten-Datenrisikos
Wir bewerten das Quanten-Datenrisiko entlang dreier Achsen. Keine davon lautet "wie viele Daten". Ein Petabyte ablaufender Session-Logs ist geringes Risiko; ein einzelnes PDF mit langfristigen IP-Bedingungen ist hohes Risiko.
1. Schutzdauer
Wie viele Jahre muss diese Datenklasse geheim bleiben? Dies ist die wichtigste Variable, denn sie entscheidet, ob sich das Geheimhaltungsfenster der Daten überhaupt mit der Quantenära überschneidet.
| Datenklasse | Typische Schutzdauer | HNDL-Relevanz |
|---|---|---|
| Session-Token, flüchtiger Cache | Stunden bis Tage | Vernachlässigbar |
| Betriebsprotokolle | Monate bis ~2 Jahre | Gering |
| Kunden-PII (DSGVO-Geltungsbereich) | 5-10 Jahre | Mittel-hoch |
| Finanzverträge, Transaktionsdaten | 10-30 Jahre | Hoch |
| Gesundheits-, Genom-, Biometriedaten | Lebenslang (50+ Jahre) | Kritisch |
| Wurzelschlüssel, Code-Signing-Schlüssel, CA-Roots | De facto unbegrenzt | Kritisch |
| Staatliche / eingestufte Informationen | 25-75+ Jahre | Kritisch |
2. Sensitivität und Schadenshöhe
Was geschieht, wenn diese Daten 2035 offengelegt werden? Bußgeld, Wettbewerbsverlust, physischer Schaden, Verlust des Vertrauens in einen Vertrauensanker? Gesundheits-, Biometrie- und Schlüsselmaterial werden am höchsten bewertet, weil die Offenlegung irreversibel ist und der Wirkungsradius groß — ein kompromittierter CA-Root etwa untergräbt alles, was er je signiert hat.
3. Aktuelle Exposition
Wie stark sind die Daten dem Risiko ausgesetzt, heute abgefangen zu werden? Daten, die öffentliche Netze durchqueren, über nicht vertrauenswürdige Zwischenstationen laufen, bei Dritten gespeichert sind oder durch unsichere Rechtsräume transitieren, landen weit eher in einem Aufzeichnungsarchiv als Daten, die eine abgeschottete Enklave nie verlassen. Hier treffen Zero-Trust-Netzdesign und Schutzmaßnahmen für Daten während der Übertragung auf die Quantenplanung — siehe unsere Zero-Trust-Leistungen dazu, wie wir Expositionsreduktion als kurzfristige Risikomanagementmaßnahme behandeln, während die Migration läuft.
Moscas Ungleichung: belegen, dass Sie bereits zu spät sind
Bevor priorisiert wird, belegen Sie die Dringlichkeit. Michele Moscas Ungleichung ist die klarste verfügbare Formulierung:
Wenn X (Jahre, die die Daten geheim bleiben müssen) + Y (Jahre für die Migration Ihrer Kryptografie) > Z (Jahre bis zu einem kryptografisch relevanten Quantencomputer), dann haben Sie heute ein Problem.
Durchgerechnetes Beispiel für ein deutsches Unternehmen:
| Variable | Wert | Grundlage |
|---|---|---|
| X — Schutzdauer | 10 Jahre | Vertragliche/regulatorische Anforderung |
| Y — Migrationsdauer | 7 Jahre | Bestandsaufnahme (1-2 J.) + Krypto-Agilität + Rollout |
| Z — Quanten-Eintreffen (Planungsannahme) | ~10 Jahre | Konservativer Branchen-Planungshorizont |
| X + Y | 17 Jahre |
Hier übersteigt X + Y (17) Z (10) deutlich. Für diese Datenklasse hätte die Migration vor Jahren beginnen müssen. Beachten Sie: Z ist unsicher, planen Sie konservativ — Anbieter wie Google, Cloudflare, AWS und Microsoft streben die interne Migration um 2029 an, und die CNSA 2.0 der NSA schreibt quantensichere Algorithmen für neue Systeme der nationalen Sicherheit bis Januar 2027 vor, die vollständige Migration 2030-2035. Diese Daten sind Ihre Kalibrierungspunkte; erfinden Sie keine eigenen.
Mosca sagt Ihnen, dass Sie zu spät sind. Es sagt nicht, was zuerst zu tun ist. Das ist die Aufgabe des Risikomodells.
Von Bewertungen zur Migrationssequenz
Kein Unternehmen kann seinen gesamten Bestand gleichzeitig neu verschlüsseln. Das Risikomodell dient dazu, die Arbeit zu sequenzieren. Wir verdichten die drei Achsen zu einer gewichteten Bewertung je Datenklasse:
Priorität = (Gewicht Schutzdauer) × (Gewicht Sensitivität) × (Gewicht Exposition)
Eine einfache Skala von 1 bis 3 je Achse ergibt einen Prioritätsbereich von 1 bis 27, der gegenüber der Geschäftsleitung belastbar ist, ohne Scheingenauigkeit vorzutäuschen.
| Datenklasse | Schutzdauer | Sensitivität | Exposition | Prioritätswert | Stufe |
|---|---|---|---|---|---|
| CA-/Code-Signing-Roots | 3 | 3 | 2 | 18 | Zuerst migrieren |
| Genom-/Gesundheitsdaten | 3 | 3 | 2 | 18 | Zuerst migrieren |
| Transaktions-/Langfristverträge | 3 | 3 | 3 | 27 | Zuerst migrieren |
| Kunden-PII | 2 | 2 | 3 | 12 | Als Nächstes |
| Interne IP-Dokumente | 2 | 2 | 2 | 8 | Planen |
| Betriebsprotokolle | 1 | 1 | 2 | 2 | Zurückstellen |
| Session-Token | 1 | 1 | 1 | 1 | Zurückstellen |
Diese Rangfolge ist das Ergebnis, das die Geschäftsleitung tatsächlich braucht. Sie verwandelt die abstrakte Sorge "Quanten kommen" in ein belastbares, sequenziertes Programm mit klarem erstem Schritt.
In unserer eigenen Projektarbeit bei CC Conceptualise ist die häufigste Überraschung für Kunden nicht der Algorithmus — diese sind inzwischen standardisiert und werden ausgeliefert (Microsofts SymCrypt hat Ende 2024 ML-KEM und ML-DSA ergänzt, und die PQC-Unterstützung in Azure Key Vault und Managed HSM wird über 2026 ausgerollt). Die Überraschung ist, wie viele langlebige, hochsensible, stark exponierte Daten heute über Netze laufen, ohne dass dokumentiert wäre, welche Schlüssel sie schützen. Ohne dieses Inventar ist das Risikomodell wertlos.
Wie sich dies in das größere Programm einfügt
Das HNDL-Risikomodell ist ein Artefakt in einem größeren Programm zur Post-Quanten-Bereitschaft. Es liegt zwischen Bestandsaufnahme und Migration:
- Die kryptografische Bestandsaufnahme erzeugt das Inventar aus Algorithmen, Schlüsseln, Zertifikaten und den nutzenden Systemen. Ohne sie sind Ihre Risikobewertungen Schätzungen. Siehe unseren Leitfaden zur kryptografischen Bestandsaufnahme und Inventarisierung.
- Das HNDL-Risikomodell (dieser Beitrag) priorisiert Datenklassen nach Quanten-Datenrisiko, um die Migrationssequenz festzulegen.
- Krypto-Agilität plattformiert Schlüsselverwaltung und Protokolle neu, sodass Algorithmen ohne Re-Architektur austauschbar sind — das strategische Ziel. Unsere Krypto-Agilitäts-Roadmap für Unternehmen behandelt die Zielarchitektur.
- Die Plattformmigration arbeitet die Prioritätenliste ab, beginnend bei der Schlüsselverwaltung. Für Azure-Bestände beschreibt unsere Post-Quanten-Migration für Azure Key Vault die konkreten Schritte.
Ein häufiger Fehler ist, direkt zu Schritt 4 zu springen — ein "quantensicheres" Produkt zu kaufen, bevor klar ist, welche Daten es zuerst schützen soll. Das erzeugt Bewegung ohne Risikoreduktion.
Was in den nächsten 90 Tagen zu tun ist
Sie brauchen keinen Quantencomputer, um zu beginnen, und Sie müssen nicht das gesamte Estate auf einmal bearbeiten. Ein fokussiertes erstes Quartal sieht so aus:
- Kryptografische Bestandsaufnahme aufsetzen für Ihre drei geschäftskritischsten Systeme. Sie bauen ein Inventar auf, keine perfekte Landkarte.
- Daten nach Schutzdauer klassifizieren. Nutzen Sie Ihre bestehende DSGVO-Datenklassifizierung — die meisten Eingaben existieren bereits.
- Moscas Ungleichung anwenden für Ihre zwei langlebigsten Datenklassen, um die Dringlichkeit der Geschäftsleitung auf einer Folie zu belegen.
- Bewerten und priorisieren Sie diese Klassen mit dem Drei-Achsen-Modell und identifizieren Sie Ihr wichtigstes erstes Migrationsziel.
- Exposition jetzt reduzieren für Daten der obersten Stufe — verschärfen Sie Schutzmaßnahmen für Daten während der Übertragung und für die Weitergabe an Dritte in der Lieferkette, während die längere Migration läuft. Dies ist der einzige schnelle Gewinn vor jeder Algorithmenänderung.
- Krypto-Agilität verbindlich machen in allen neuen Systemdesigns, damit der Migrations-Backlog nicht weiter wächst.
Die Organisationen, die 2032 in Schwierigkeiten geraten, sind nicht jene, deren Daten schwer zu schützen waren. Es sind jene, die nie wussten, welche Daten Schutz brauchten — oder wie lange.
FAQ
Was bedeutet Harvest Now, Decrypt Later? Harvest Now, Decrypt Later (HNDL) ist eine Angriffsstrategie, bei der ein Angreifer verschlüsselten Datenverkehr oder Daten heute abfängt und speichert, in der Erwartung, sie später mit einem kryptografisch relevanten Quantencomputer zu entschlüsseln. Die Daten müssen heute nicht entschlüsselbar sein — nur irgendwann innerhalb ihrer erforderlichen Schutzdauer. Damit rücken langlebige Geheimnisse in den Mittelpunkt.
Ist die Quantenbedrohung heute real oder nur Hype? Kein öffentlich bekannter Quantencomputer kann heute RSA-2048 oder ECC brechen, und glaubwürdige Schätzungen verorten diese Fähigkeit Jahre in der Zukunft. Die HNDL-Bedrohung ist jedoch bereits jetzt real, weil heute abgefangene Daten auch dann noch vertraulich bleiben müssen, wenn eine solche Maschine verfügbar ist. Das NIST hat die Post-Quanten-Standards FIPS 203, 204 und 205 im August 2024 genau deshalb finalisiert, weil die Migration vor Eintritt der Bedrohung beginnen muss.
Welche Daten sind durch HNDL tatsächlich gefährdet? Daten, deren erforderliche Schutzdauer sich mit dem erwarteten Eintreffen eines kryptografisch relevanten Quantencomputers überschneidet. Staatsgeheimnisse, geistiges Eigentum, genetische und Gesundheitsdaten, langfristige Finanzverträge und Wurzel-Schlüsselmaterial benötigen oft jahrzehntelangen Schutz. Kurzlebige Session-Token oder flüchtige Daten sind geringes Risiko. Entscheidend ist die Datenlebensdauer, nicht das Datenvolumen.
Wie quantifiziere ich das Quanten-Datenrisiko? Bewerten Sie jede Datenklasse entlang dreier Achsen: Schutzdauer in Jahren, Sensitivität beziehungsweise Schadenshöhe bei Offenlegung und aktuelle Exposition gegenüber Abfangen oder Speicherung durch Dritte. Daten mit langer Schutzdauer, hoher Sensitivität und hoher Exposition haben Migrationspriorität. Wir nutzen eine einfache gewichtete Matrix, um Datenklassen zu priorisieren, bevor wir an der Kryptografie ansetzen.
Worin unterscheidet sich Moscas Ungleichung von einem Risikomodell? Moscas Ungleichung ist ein Zeit-Test: Übersteigt die Summe aus geforderter Geheimhaltungsdauer und Migrationsdauer die Zeit bis zum Eintreffen eines Quantencomputers, sind Sie bereits zu spät dran. Ein Risikomodell erweitert dies, indem es priorisiert, welche Daten und Systeme zuerst migriert werden, da keine Organisation alles gleichzeitig neu verschlüsseln kann. Nutzen Sie Mosca, um die Dringlichkeit zu belegen, und das Risikomodell, um die Arbeit zu sequenzieren.
Was sollte ein Unternehmen zuerst gegen HNDL tun? Beginnen Sie mit der kryptografischen Bestandsaufnahme, um ein Inventar darüber aufzubauen, wo und wie Kryptografie eingesetzt wird, und klassifizieren Sie anschließend Ihre Daten nach Schutzdauer. Diese beiden Eingaben speisen das Risikomodell, das festlegt, was zuerst migriert wird. Krypto-Agilität — die Fähigkeit, Algorithmen ohne Re-Architektur auszutauschen — ist das strategische Ziel, kein einzelner Produktkauf.
Das Quanten-Datenrisiko zu quantifizieren ist der Unterschied zwischen einem Panikprojekt und einem Programm. Wenn Sie Unterstützung beim Aufbau des Inventars, des Risikomodells und der Migrationssequenz für Ihren Bestand wünschen: Unsere Zero-Trust- und Cybersecurity-Praxis hat genau dies für europäische Unternehmen geliefert. Wir beginnen gern mit einem fokussierten Discovery-Sprint statt mit einem Vertriebstermin.
Themen