Die Post-Quanten-Kryptografie (PQC) hat offiziell den Schritt von einem noch weit entfernt erscheinenden Risiko zu einer konkreten Vorgabe vollzogen, die den Wandel vorantreibt. Es gibt keinen besseren Zeitpunkt als jetzt, um mit der Planung Ihrer PQC-Vorbereitung zu beginnen – falls Sie dies noch nicht getan haben.
Die Durchführungsverordnung „Securing the Nation Against Advanced Cryptographic Attacks“ bringt keine neuen Risiken mit sich; sie bestätigt lediglich, was führende Organisationen bereits wissen: dass ein kryptografisch relevanter Quantencomputer (CRQC) in der Lage sein wird, die Algorithmen zu knacken, die wir heute in unseren Unternehmen verwenden.
Das haben wir bereits von anderen Ländern und Unternehmen gehört, darunter auch von führenden Hyperscalern, und wenn diese sich in Bewegung setzen, ist das ein Zeichen dafür, dass sich der Zeitplan verkürzt und der Termin immer greifbarer wird.
Vom Planen zum Handeln
Unternehmen müssen ihre Denkweise ändern – weg von „Das regeln wir später“ hin zu „Wir müssen jetzt handeln“. Warten Sie nicht ab und riskieren Sie damit ein katastrophales Ereignis. Es geht nicht um die Frage „Wann wird der Tag X tatsächlich kommen?“, so wie wir damals auf das Y2K-Problem gewartet haben. Es geht vielmehr darum, die Daten zu schützen, die heute erstellt werden.
Wir haben über das reale Risiko von „Harvest Now, Decrypt Later“-Angriffen gesprochen. Das bedeutet, dass wir davon ausgehen müssen, dass selbst Anwendungen, die heute verschlüsselt sind, später entschlüsselt werden könnten und vertrauliche Daten gestohlen und offengelegt werden könnten.
Verantwortung für PQC übernehmen
Mit dieser Durchführungsverordnung wird PQC von bloßen Leitlinien und Empfehlungen zu einer konkreten Richtlinie mit Rechenschaftspflicht. Sie führt die Anforderung ein, dass für die gesamte Organisation eine klare Führungsrolle und Verantwortlichkeit hinsichtlich der PQC-Bereitschaft gegeben sein muss.
Kryptografie ist eine kritische Infrastruktur und in allen Systemen verankert, die den Geschäftsbetrieb von Unternehmen steuern. Daher wirkt sie sich auf alle Bereiche des Unternehmens aus, und es ist eine funktionsübergreifende Zusammenarbeit erforderlich, um sicherzustellen, dass alle Systeme quantensicher sind.
Diese Schritte sind für den Erfolg jedes Unternehmens im Zeitalter der Quanteninformatik und der KI von entscheidender Bedeutung:
- Legen Sie klare Zuständigkeiten und Verantwortlichkeiten teamübergreifend fest und richten Sie ein klar definiertes Berichts- und Nachverfolgungssystem ein, um den Fortschritt der PQC-Migration zu messen.
- Stellen Sie Finanzmittel bereit und legen Sie ein Budget fest, um Personal einzustellen, die erforderlichen Hilfsmittel oder Dienstleister zu beauftragen und Zeit einzuplanen, um die PQC-Bereitschaft sicherzustellen.
- Die Bemühungen zur kontinuierlichen Aufrechterhaltung der Krypto-Agilität in der gesamten Vertrauensinfrastruktur fortzusetzen, um auf weitere regulatorische Änderungen, technologische Fortschritte und künftige Bedrohungen vorbereitet zu sein.
All diese Empfehlungen ermöglichen es Unternehmen, die PQC-Bereitschaft nicht mehr als Experiment zu betrachten, sondern sie in ein konkretes Unternehmensprogramm zu integrieren.
Lieber früher als später anfangen
Einige der in dieser Durchführungsverordnung genannten Schlüsseltermine tragen dazu bei, die Dringlichkeit zum Handeln zu unterstreichen.
- 2030
Bis zum 31. Dezember 2030 müssen die Bundesbehörden ihre wichtigsten Systeme auf die Verwendung von PQC für die Schlüsselerstellung umstellen. Die Durchführungsverordnung weist zudem den Federal Acquisition Regulatory Council an, Anforderungen vorzuschlagen, die die Einhaltung der vom NIST genehmigten PQC-Standards für betroffene Bundesauftragnehmer bis zu diesem Datum verbindlich vorschreiben.
- 2031
Die Exekutivverordnung weitet die Bemühungen um Quantenbereitschaft über den Bereich der Verschlüsselung hinaus aus. Bis zum 31. Dezember 2031 müssen Bundesbehörden ihre wichtigsten Systeme auf postquantenkryptografische Verfahren für digitale Signaturen umstellen, um so die langfristige Integrität und Authentizität von software, Kommunikation und digitalen Identitäten zu gewährleisten.
Diese Termine liegen gar nicht so weit in der Zukunft. Tatsächlich fallen sie in die Planungszyklen des Unternehmens, die in der Regel drei bis fünf Jahre umfassen. Das heißt: Jetzt ist der richtige Zeitpunkt.
Unternehmen müssen jetzt handeln, um bis 2030 und 2031 bereit zu sein.
Vertrauen unternehmensübergreifend ausbauen
Hier geht es um ein Vertrauensproblem in großem Maßstab, nicht nur um die Herausforderung einer kryptografischen Aktualisierung.
Es geht auch nicht darum, den besten PQC-Algorithmus auszuwählen. Vielmehr geht es darum, alle Voraussetzungen zu schaffen, um Transparenz, Kontrolle und Koordination über alle Unternehmenssysteme hinweg zu gewährleisten.
Kryptografie ist längst kein Thema mehr, das nur im Backoffice behandelt wird; sie ist eine grundlegende Infrastruktur.
Das ist von Bedeutung, weil Kryptografie in Systemen und Anwendungen eingebettet ist, die das Unternehmen für bereits sicher hält (was sie nach heutigen Maßstäben auch sind). Das Risiko besteht jedoch darin, was in Zukunft passieren wird, und darin, dass Unternehmen bereits heute einen Fahrplan erstellen müssen, der mit Transparenz, Risikobewertung und Priorisierung beginnt und letztendlich zu Krypto-Agilität führt.
Dies ist nicht nur ein einmaliges Ereignis, sondern ein fortlaufendes Programm, das eine kontinuierliche Automatisierung und Verbesserung erfordert.
Für Unternehmen stellt sich nicht die Frage, ob sie sich vorbereiten sollten, sondern wie weit sie heute bereits hinterherhinken – und warum sie nicht gleich damit anfangen sollten.
