TLS und PKI auf Post-Quanten-Kryptografie migrieren

Die unbequeme Wahrheit über die Post-Quanten-Migration lautet: Für einen Teil Ihrer Daten ist die Frist bereits verstrichen. Ein leistungsfähiger Quantencomputer existiert noch nicht, doch die Bedrohung Harvest now, decrypt later bedeutet, dass ein Angreifer Ihren TLS-Datenverkehr heute aufzeichnen und in dem Moment entschlüsseln kann, in dem ein solcher Rechner verfügbar wird. Für jedes Geheimnis mit einer Vertraulichkeitsdauer von mehreren Jahren — Gesundheitsdaten, geistiges Eigentum, Staatsgeheimnisse, langlebige Zugangsdaten — begann die Uhr an dem Tag, an dem dieser Verkehr über die Leitung ging.

Dies ist ein Praxisplan zur Migration von TLS und PKI auf Post-Quanten-Kryptografie. Er stützt sich auf die Standards, die 2026 tatsächlich existieren, auf Werkzeuge, die tatsächlich ausgeliefert werden, und auf die Migrationsarbeit, die wir in realen Unternehmensbeständen umgesetzt haben — nicht auf einen Marketinghorizont, in dem bis zum nächsten Quartal alles "quantenbereit" ist.

TL;DR / Die wichtigsten Erkenntnisse

• Der Treiber ist Harvest now, decrypt later: Vertraulichkeit, nicht Authentizität, ist das dringende Risiko, deshalb bewegt sich der TLS-Schlüsselaustausch (ML-KEM) zuerst.
• Das NIST hat die Standards im August 2024 finalisiert: FIPS 203 (ML-KEM) für Schlüsselkapselung, FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) für Signaturen.
• Der pragmatische Einsatz 2026 ist der hybride TLS-Handshake — klassisches X25519 plus ML-KEM — der sicher bleibt, solange einer der beiden Algorithmen hält.
• Die Signaturmigration der PKI (ML-DSA / SLH-DSA) ist der lange Ausläufer: Stamm- und Zwischenzertifikate folgen zuletzt, abhängig von der noch reifenden CA- und HSM-Unterstützung.
• Eine realistische Unternehmensmigration läuft über 5 bis 15 Jahre; allein die kryptografische Bestandsaufnahme dauert 12 bis 24 Monate. Das nachhaltige Ziel ist Krypto-Agilität, kein einmaliger Austausch.

Warum TLS und PKI zwei verschiedene Probleme sind

Es ist verlockend, "Post-Quanten-Migration" als ein einzelnes Projekt zu behandeln. In der Praxis versagen TLS und PKI gegenüber Quantencomputern auf unterschiedliche Weise und auf unterschiedlichen Zeitachsen, und beides zu vermischen ist der erste Fehler, den Teams machen.

Beim TLS-Schlüsselaustausch geht es um Vertraulichkeit. Der klassische Diffie-Hellman- oder ECDH-Austausch, der Ihre Sitzungsschlüssel etabliert, ist genau das, was ein Angreifer abfängt und speichert. Dies ist das Harvest-now-Ziel, und es ist der Teil, den Sie zuerst migrieren können und sollten — denn ein heute ausgerollter Schutz sichert auch die heute aufgezeichneten Sitzungen.

Bei PKI-Signaturen geht es um Authentizität und Integrität. Eine gefälschte Zertifikatssignatur hilft nur einem Angreifer, der jetzt einen Quantencomputer besitzt; einen bereits abgeschlossenen Handshake können Sie nicht rückwirkend fälschen. Das Risiko ist real, aber zeitlich nachgelagert, was Ihnen Spielraum für die schwierigere strukturelle Arbeit verschafft: Zertifizierungsstellen, Hardware-Sicherheitsmodule, Stammschlüssel-Zeremonien und die gesamte Ausstellungs- und Sperrmechanik.

Dimension	TLS-Schlüsselaustausch	PKI-Signaturen
Gefährdete Eigenschaft	Vertraulichkeit	Authentizität / Integrität
Art der Quantenbedrohung	Harvest now, decrypt later (rückwirkend)	Echtzeit-Fälschung (zeitlich nachgelagert)
Dringlichkeit	Hoch — zuerst bewegen	Mittel — danach einordnen
Standard 2026	FIPS 203 (ML-KEM)	FIPS 204 (ML-DSA), FIPS 205 (SLH-DSA)
Praktischer erster Schritt	Hybrider Handshake	Bestandsaufnahme + Agilität, dann Rollout vom Blatt aus
Hauptblocker	Endpunkt- und Bibliotheksunterstützung	CA-, HSM- und Ökosystem-Reife

Die Tabelle richtig gelesen: Beginnen Sie mit dem Schlüsselaustausch und ordnen Sie die Signaturen dahinter ein. Diese eine Entscheidung adressiert das dringende Risiko, während Sie der PKI die Zeit geben, die sie tatsächlich braucht.

Die Standards, auf die Sie migrieren

Das NIST hat im August 2024 drei Post-Quanten-Standards finalisiert, und gegen diese — nicht gegen Entwurfsalgorithmen — entwerfen Sie:

• FIPS 203 — ML-KEM (aus CRYSTALS-Kyber): ein Schlüsselkapselungsmechanismus. Dieser Algorithmus ersetzt oder ergänzt den klassischen Schlüsselaustausch in TLS. Er ist der Schwerpunkt für das Harvest-now-Problem.
• FIPS 204 — ML-DSA (aus CRYSTALS-Dilithium): ein gitterbasiertes Signaturverfahren. Die Standardwahl für die meisten quantensicheren PKI-Signaturen.
• FIPS 205 — SLH-DSA (SPHINCS+): ein hashbasiertes Signaturverfahren. Langsamer und größer, aber auf konservativen, gut verstandenen Hash-Annahmen aufgebaut — wertvoll für langlebige Stammzertifikate, bei denen Sie maximales Vertrauen in die Sicherheitsgrundlage wünschen.

Daraus folgen zwei technische Realitäten. Erstens: Diese Algorithmen sind größer. ML-KEM-Schlüssel und ML-DSA-Signaturen sind deutlich umfangreicher als ihre Pendants auf elliptischen Kurven, was Handshake-Größen, Zertifikatsketten und Paketzahlen aufbläht. Testen Sie auf MTU-Fragmentierung, Pufferlimits in Middleboxen und Latenz auf eingeschränkten Verbindungen, bevor Sie einen funktionierenden Handshake feiern. Zweitens: Sie sind jung. ML-KEM wurde weit weniger kryptanalytisch geprüft als RSA oder ECC, und genau deshalb lautet der Branchenkonsens — Google, Cloudflare, AWS und Microsoft zielen intern alle auf etwa 2029 — auf hybride Verfahren, nicht auf reines PQC.

Hybrides TLS: die pragmatische Haltung für 2026

Ein hybrider TLS-Handshake führt einen klassischen Schlüsselaustausch (typischerweise X25519) und ein Post-Quanten-KEM (ML-KEM) gemeinsam aus und leitet das Sitzungsgeheimnis aus beiden ab. Die Sitzung ist sicher, solange einer der Bausteine hält. Wird ML-KEM später gebrochen, haben Sie weiterhin X25519; kommt ein Quantencomputer, haben Sie weiterhin ML-KEM. Sie setzen den Bestand nicht auf einen einzigen jungen Algorithmus.

Das ist nicht theoretisch. Hybrider Schlüsselaustausch ist bereits im großen Maßstab über führende Browser und Cloud-Front-Doors ausgerollt und der richtige Standard für jeden internetexponierten TLS-Endpunkt, den Sie heute kontrollieren.

Praktische Hinweise aus unseren Umsetzungen:

1. Am Rand beginnen. Load Balancer, API-Gateways und Reverse-Proxys terminieren das meiste internetexponierte TLS, und dort ist die Hybrid-Unterstützung zuerst angekommen. Eine Aktivierung dort schützt das größte Volumen an Harvest-now-Verkehr mit den wenigsten Änderungen.
2. Den Handshake messen. Größere Schlüsselanteile verändern Paketgrößen. Validieren Sie gegen Ihren realen Netzwerkpfad — VPN-Konzentratoren, Firewalls und IoT-Verbindungen sind die Stellen, an denen überdimensionierte Handshakes zuerst brechen.
3. Verhandeln statt erzwingen — noch. Bieten Sie hybride Gruppen an und lassen Sie Clients verhandeln. Ein hartes Scheitern bei rein klassischen Clients, bevor das Ökosystem bereit ist, verwandelt ein Sicherheits-Upgrade in einen Ausfall.
4. Protokollieren, was ausgehandelt wird. Sie können nicht steuern, was Sie nicht sehen. Die ausgehandelte Schlüsselaustausch-Gruppe je Verbindung zu erfassen ist der Weg, reale Abdeckung zu messen statt sie anzunehmen.

Speziell zu Azure: Microsoft hat ML-KEM und ML-DSA Ende 2024 in SymCrypt aufgenommen, und die Primitive arbeiten sich über 2026 hinweg den Stack hinauf. Die Schlüsselverwaltungsdimension behandeln wir ausführlich in unserer Notiz zu Azure Key Vault und Post-Quanten-Migration, einschließlich des aktuellen Stands der Unterstützung in Key Vault und Managed HSM.

Die PKI migrieren: der lange Ausläufer

Die PKI ist schwieriger, weil Vertrauen hierarchisch und träge ist. Sie stellen eine Stamm-CA nicht an einem Dienstag auf ML-DSA um. Die Migration verläuft von den Blättern nach außen:

1. Blattzertifikate zuerst. Endteilnehmer-Zertifikate haben kurze Laufzeiten und hohen Durchsatz und sind daher der natürliche Ort, um PQC- oder Hybrid-Zertifikate einzuführen, sobald Ihre ausstellende CA und die Clients sie unterstützen.
2. Zwischenzertifikate als Nächstes. Diese rotieren seltener, und validierende Clients müssen dem neuen Signaturalgorithmus vertrauen, bevor Sie umschalten.
3. Stammzertifikate zuletzt. Stammschlüssel liegen ein Jahrzehnt oder länger in HSMs und sind in Vertrauensspeicher eingebettet, die Sie nicht kontrollieren. Sie bewegen sich erst, wenn das Ökosystem — Betriebssysteme, Browser, Geräte-Vertrauensspeicher — den neuen Algorithmus validieren kann.

Rechnen Sie über Jahre mit parallelen Vertrauensketten: klassische und Post-Quanten-Zertifikate werden nebeneinander ausgestellt, und Clients wählen, was sie validieren können. Das ist normal, und es ist der Grund, warum diese Arbeit in Jahren und nicht in Sprints gemessen wird. Die beiden Voraussetzungen sind 2026 noch nicht vollständig erfüllt — öffentliche CAs stellen produktive PQC-Zertifikate nicht im großen Maßstab aus, und die HSM-Firmware-Unterstützung kommt erst nach und nach — und genau deshalb ist die richtige Investition 2026 die strukturelle Bereitschaft und keine verfrühte Stammmigration.

Erst die Bestandsaufnahme, sonst raten Sie

Sie können keine Kryptografie migrieren, die Sie nicht sehen, und Kryptografie versteckt sich überall: fest verdrahtet in Anwendungsbibliotheken, eingebacken in Appliance-Firmware, gepinnt in mobilen Apps, eingebettet in Produkte Dritter und verstreut über Zertifikatsspeicher und HSM-Partitionen. Deshalb dauert allein die kryptografische Bestandsaufnahme 12 bis 24 Monate für eine große Organisation, und deshalb ist sie die am stärksten unterbudgetierte Phase.

Eine brauchbare Inventarisierung erfasst für jede kryptografische Nutzung: Algorithmus und Schlüssellänge, die Zertifikatslaufzeit, die Vertraulichkeitsdauer der Daten und die externe Exposition. Genau diese letzte Paarung — Vertraulichkeitsdauer gegen Exposition — erlaubt eine ehrliche Priorisierung. Ein nach außen exponierter Endpunkt, der zehnjährige Geheimnisse schützt, ist ein anderes Problem als ein interner Dienst, der flüchtige Sitzungsdaten schützt. Wir behandeln dies als Fundament jedes Projekts und haben es gesondert in unserem Leitfaden zur kryptografischen Bestandsaufnahme aufgeschrieben.

Krypto-Agilität ist die eigentliche Lieferung

Hier ist der strategische Punkt, der zwischen den Algorithmusnamen verloren geht: ML-KEM ist nicht das Ziel. Die Standards werden sich weiterentwickeln, Empfehlungen werden sich verschieben, und etwas aus der heutigen PQC-Auswahl könnte noch geschwächt werden. Wenn Ihre Antwort darauf ein weiteres mehrjähriges Projekt ist, haben Sie das Problem nicht gelöst — Sie haben es verschoben.

Das nachhaltige Ziel ist Krypto-Agilität: ein Bestand, in dem der kryptografische Algorithmus Konfiguration ist und keine fest verdrahtete Annahme. Konkret heißt das, Kryptografie hinter Schnittstellen zu abstrahieren statt Primitive direkt aufzurufen, Zertifikats- und Schlüsselverwaltung zu zentralisieren, sodass Rotation automatisiert ist, Zertifikatslaufzeiten zu verkürzen, sodass das System auf Veränderung ausgelegt ist, und die Bestandsaufnahme aktuell zu halten, sodass die nächste Migration aus Wissen statt aus Archäologie startet. Wir bauen das in unserem Krypto-Agilitäts-Fahrplan für das Unternehmen zu einem vollständigen Programm aus, und es fügt sich natürlich in eine umfassendere Zero-Trust-Haltung ein, in der kein Algorithmus, kein Schlüssel und kein Zertifikat dauerhaft implizit vertraut wird.

Zum Kontext des äußeren Drucks: Die CNSA 2.0 der NSA verlangt quantensichere Algorithmen für neue Systeme der nationalen Sicherheit bis Januar 2027, mit vollständiger Migration über 2030 bis 2035. Die meisten kommerziellen Unternehmen sind nicht an CNSA 2.0 gebunden, doch es ist das klarste verfügbare Signal dafür, wie ernst die sicherheitsbewusstesten Abnehmer den Zeitplan nehmen — und Lieferketten folgen tendenziell.

Eine pragmatische Reihenfolge

Die folgenden Phasen laufen der Reihe nach, doch die letzte speist die erste zurück: die Algorithmuswahl als lebende Konfiguration zu betreiben macht die nächste Migration zu einer Routineaktualisierung statt zu einem neuen Projekt.

Loading diagram...

1. Kryptografische Bestandsaufnahme über TLS, Zertifikate, HSMs, Bibliotheken und Produkte Dritter durchführen.
2. Nach Harvest-now-Exposition priorisieren — Vertraulichkeitsdauer gegen externe Reichweite.
3. Hybriden TLS-Schlüsselaustausch an Rand-Endpunkten aktivieren und Interoperabilität sowie Handshake-Größe validieren.
4. PKI für Agilität neu konzipieren: kürzere Zertifikatslaufzeiten, automatisierte Rotation, Algorithmus vom Code entkoppelt.
5. Signaturen vom Blatt aus auf ML-DSA / SLH-DSA migrieren, sobald CAs und HSMs dies unterstützen, mit parallelen Vertrauensketten.
6. Betrieb etablieren: ausgehandelte Algorithmen überwachen, Kryptografie als verwaltete Konfiguration behandeln, Bestandsaufnahme aktuell halten.

Beginnen Sie die Bestandsaufnahme jetzt. Die Migration selbst kann ein Jahrzehnt dauern, doch der Harvest-now-Verkehr, den Sie in diesem Jahr nicht schützen, wird nach dem Zeitplan des Angreifers entschlüsselt, nicht nach Ihrem.

FAQ

Muss ich TLS jetzt auf Post-Quanten-Kryptografie umstellen, obwohl Quantencomputer sie noch nicht brechen können? Ja, denn die Bedrohung lautet Harvest now, decrypt later. Angreifer können heute durch TLS geschützten Datenverkehr aufzeichnen und speichern, bis ein kryptografisch relevanter Quantencomputer existiert, und ihn dann rückwirkend entschlüsseln. Jedes Datum mit einer Vertraulichkeitsdauer, die länger ist als Ihr Migrationszeitfenster, ist bereits gefährdet. Deshalb ist die Migration des Schlüsselaustauschs der dringendste erste Schritt.

Was sind FIPS 203, 204 und 205? Es sind die Post-Quanten-Standards, die das NIST im August 2024 finalisiert hat. FIPS 203 ist ML-KEM für Schlüsselkapselung (der TLS-Schlüsselaustausch), FIPS 204 ist ML-DSA, ein gitterbasiertes Signaturverfahren, und FIPS 205 ist SLH-DSA, ein hashbasiertes Signaturverfahren. ML-KEM adressiert das Harvest-now-Risiko in TLS; ML-DSA und SLH-DSA bilden die Grundlage für quantensichere PKI-Signaturen.

Was ist ein hybrider TLS-Handshake und warum sollte man ihn einsetzen? Ein hybrider Handshake kombiniert einen klassischen Schlüsselaustausch wie X25519 mit einem Post-Quanten-KEM wie ML-KEM in einer Verhandlung und leitet das Sitzungsgeheimnis aus beiden ab. Er bleibt sicher, solange auch nur einer der Algorithmen hält. So erhalten Sie Post-Quanten-Schutz, ohne alles auf einen jungen Algorithmus zu setzen. Die meisten frühen Implementierungen, auch bei großen Cloud- und Browser-Anbietern, setzen genau deshalb auf hybride Verfahren.

Wie lange dauert eine Migration von PKI und TLS auf Post-Quanten realistisch? Für ein großes Unternehmen sollten Sie mit 5 bis 15 Jahren von Anfang bis Ende rechnen. Allein die kryptografische Bestandsaufnahme dauert typischerweise 12 bis 24 Monate, weil Kryptografie in Code, Appliances, Zertifikaten, HSMs und Produkten Dritter eingebettet ist. Der TLS-Schlüsselaustausch lässt sich über hybride Verfahren relativ früh umstellen; die Signaturmigration von Zwischen- und Stamm-CAs ist der lange Ausläufer.

Ist Azure für Post-Quanten-TLS und -PKI bereit? Teilweise, und es bewegt sich. Microsoft hat ML-KEM und ML-DSA Ende 2024 in SymCrypt aufgenommen, und die Post-Quanten-Unterstützung von Azure Key Vault und Managed HSM entwickelt sich über 2026 hinweg. Öffentliche Zertifizierungsstellen stellen noch keine produktiven PQC-Zertifikate im großen Maßstab aus. Die pragmatische Haltung für 2026 ist daher hybrides TLS, wo unterstützt, plus ein krypto-agiles Design, das PQC-Zertifikate übernehmen kann, sobald CAs und HSMs bereit sind.

Was ist Krypto-Agilität und warum ist sie das eigentliche Ziel? Krypto-Agilität ist die Fähigkeit, kryptografische Algorithmen, Schlüssellängen und Zertifikatstypen schnell und sicher zu wechseln, ohne Systeme neu zu architektieren. Da sich Post-Quanten-Standards und Empfehlungen weiterentwickeln werden, ist das nachhaltige Ziel nicht ein einmaliger Wechsel zu ML-KEM, sondern ein Bestand, in dem Algorithmen Konfiguration sind und keine fest verdrahteten Annahmen. Agilität erlaubt es, auf den nächsten Bruch in Monaten statt Jahren zu reagieren.

---

Sie planen eine Post-Quanten-Migration und wünschen einen Plan für Bestandsaufnahme und Krypto-Agilität, der den Kontakt mit einem realen Bestand übersteht? Unsere Zero-Trust- und Cybersecurity-Praxis hilft europäischen Unternehmen, ihre Kryptografie zu inventarisieren, hybrides TLS auszurollen und eine quantensichere PKI auf Azure zu entwerfen. Wir sind Praktiker, die diese Arbeit gemacht haben — gern tauschen wir uns aus.