Es ist meine Lieblingsveranstaltung, auf die ich mich das ganze Jahr freue: diePKI-Konsortium's Post-Quantum Kryptographie (PQC) Konferenz.
Es ist ein Ort, an dem technische Führungskräfte, von Partnern bis hin zu Konkurrenten, zusammenkommen, um zusammenzuarbeiten und Innovationen für das digitale Vertrauen zu schaffen, und 2025 hat sie nicht enttäuscht.
Zur allgemeinen Aufregung trug bei, dass die diesjährige Veranstaltung, die in Kuala Lumpur stattfand, mit einem Quantensprung in Malaysias Bereitschaft zur Cybersicherheit zusammenfiel:
- Das Ministerium für Digitales und die Nationale Agentur für Cybersicherheit (NACSA) haben die National Post-Quantum Cryptography Readiness Roadmap.
- Dieser Rahmen wird sowohl die nationale als auch die ASEAN-weite Widerstandsfähigkeit gegen Quantenbedrohungen stärken und steht im Einklang mit der Prognose des Forrester-Berichts 2026 Asia Pacific Predictions Report, dass Quantensicherheit wird für mehr als 90 % der Unternehmen in der Region eine strategische Priorität sein.
- Die Teilnehmer erfuhren diese bedeutende Entwicklung aus erster Hand von Tuan Fabian Bigar, Generalsekretär des Ministeriums für Digitales, während seines Grundsatzredewo er betonte, dass PQC eine gemeinsame Chance für uns ist, eine quantensichere Welt zu gestalten.
Und er könnte nicht mehr Recht haben: Wir müssen zusammenarbeiten, um das digitale Vertrauen zu stärken und Organisationen auf eine Post-Quantum-Zukunft vorzubereiten. jetzt bevor es zu spät ist.
Aus diesem Grund habe ich die wichtigsten Erkenntnisse und persönlichen Überlegungen von der Veranstaltung zusammengestellt, so dass Sie, unabhängig davon, ob Sie teilnehmen konnten oder nicht, die entscheidenden Informationen haben, die Sie brauchen, um weiterzukommen.
PQC: Das Gespräch hat sich verlagert
Vor einem Jahr waren die PQC-Diskussionen sehr technisch:
- Welche Algorithmen wird das NIST endgültig festlegen? Was werden sie für mein Unternehmen bedeuten?
- Wann werden die FIPS-Zertifizierungen nachziehen?
- Wie werden hybride und zusammengesetzte Ansätze tatsächlich funktionieren?
Dieses Jahr war es ganz anders.
Der Schwerpunkt hatsich von der Theorie zu Umsetzung.
Jetzt klingen die Fragen eher wie:
- Wie kann ich anfangen , ohne alles auf einmal zu überholen?
- Was ist der erste Schritt auf dem Weg zur Quantenreife?
- Wie kann ich Fortschritte messen und aufrechterhalten?
Ein denkwürdiges Zitat von der Konferenz fasst den Gesinnungswandel treffend zusammen:
"Die Einführung von PQC ist kein Projekt, sondern ein Programm. Es hat kein Start- und Enddatum. Es wird über einen langen Zeitraum fortgeführt."
Ich hätte es selbst nicht besser sagen können.
Reifegrade: Wie man "Quantum-Ready" definiert
Nach dieser Verlagerung von Algorithmen zu Aktionen hat die PQC-Arbeitsgruppe des PKI-Konsortiums etwas eingeführt, das einen echten Unterschied machen wird: dasPost-Quantum Kryptographie Reifegradmodell.
Dieses Modell baut auf derPQC-Fähigkeitsmatrix auf, konzentriert sich aber weniger auf Produkte als vielmehr auf die organisatorische Reife. Es hilft bei der Beantwortung von Fragen wie:
- Was bedeutet eigentlich "quantum-ready"?
- Wie können wir den Fortschritt zwischen Teams oder Geschäftsbereichen vergleichen?
- Was sollten Anbieter und Kunden voneinander erwarten?
Dieser Rahmen gibt uns eine gemeinsame Sprache für den Fortschritt.
Sie ist offen für Rückmeldungen aus der Gemeinschaft, und ich empfehle Ihnen dringend, uns Ihre Erkenntnisse mitzuteilen (falls Sie welche haben), denn, wie bereits erwähnt, braucht es ein Dorf, um eine quantensichere Zukunft.
👉Teilen Sie hier Ihre Gedanken zum PQC-Reifegradmodell mit.
Die wichtigsten Punkte, die Sie wissen müssen
Hier sind die wichtigsten Punkte, die sowohl bei den offiziellen Sitzungen als auch bei den informellen Gesprächen dazwischen hervorstachen.
> Krypto-Agilität ist die einzig wahre Strategie
Wenn Sie die Krypto-Agilität richtig aufbauen, können Sie sich anpassen, egal welcher Algorithmus oder Anbieter sich durchsetzt.
Bei der Krypto-Agilität geht es nicht darum, den richtigen Standard zu erraten. Es geht darumVorbereitung auf den ständigen Wandelob es sich um PQC, KI-gesteuerte Bedrohungen, kürzere TLS oder neue Compliance-Regeln wie DORA, PCI DSS oder OCC-Richtlinien handelt.
> Hybride PKI verwirrt die Menschen immer noch
Bei hybriden Ansätzen (Kombination von klassischen und PQC-Algorithmen) besteht noch viel Unsicherheit.
Und das bremst die Menschen aus. Hier ist die schnelle und einfache Lösung:
- Verwenden Sie eine hybride PKI, wo dies sinnvoll ist, insbesondere dort, wo die Zertifizierung oder die hardware nicht ausreicht.
- Aber lassen Sie das nicht zu einer Ausrede werden, um den Fortschritt zu verzögern.
- "Reine PQC-Implementierungen sind heute für viele Backend- und interne Systeme realisierbar.
> Die Entdeckung ist der Startpunkt
Fast jeder Teilnehmer, mit dem ich sprach, hatte - unabhängig von seiner Branche - die gleiche erste Frage:
"Wo fangen wir an?" Mit Entdeckung und Bestandsaufnahme.
Ich habe es schon einmal gesagt und ich werde es wieder sagen: Man kann nicht schützen, was man nicht sehen kann.
Zu wissen, wo sich kryptografische Werte befinden - Zertifikate, Schlüssel, Algorithmen - ist der erste Schritt zu einer sinnvollen Veränderung.
> Compliance und Widerstandsfähigkeit sind jetzt an der Hüfte vereint
Konformität ist nicht länger ein Kästchen, das man ankreuzen muss. Es geht darum, Widerstandsfähigkeit aufzubauen, damit Sie sich schnell und effizient anpassen können, wenn sich Vorschriften oder Normen ändern.
Compliance bedeutet, die Messlatte zu erfüllen. Resilienz bedeutet, bereit zu sein, wenn sich die Messlatte bewegt.
> Automatisierung ist der stille Held
Die gleichen Automatisierungsverfahren, die die Lebenszyklen vonTLS verkürzt haben, werden nun auch für PQC-Migrationen eingesetzt.
Durch die Wiederverwendung von Automatisierungspipelines können Unternehmen Zeit und Geld sparen und gleichzeitig zwei wichtige Initiativen in einem Modernisierungsprojekt zusammenfassen. Das ist wirklich eine Win-Win-Situation.
Die 5 Schritte, die Sie jetzt unternehmen sollten
Wenn sich das Gespräch von der Theorie auf die Praxis verlagert hat, was sollten Organisationen danntatsächlich tun? Ich würde es folgendermaßen formulieren:
1.Mit der Entdeckung beginnen
Sichtbarkeit ist entscheidend. Inventarisieren Sie alle Schlüssel, Zertifikate und kryptografischen Abhängigkeiten in Ihrer Infrastruktur.
2.Bewerten und Prioritäten setzen
Ermitteln Sie, welche Systeme für Ihr Unternehmen am wichtigsten sind. Beginnen Sie dort, wo die Auswirkungen oder das Risiko am größten sind.
3.Automatisieren, wo möglich
DieAutomatisierung verringert menschliche Fehler und beschleunigt den Wandel. Wenn Sie bereits eine Automatisierung für die Verwaltung des Lebenszyklus von Zertifikaten eingeführt haben, sind Sie der Zeit voraus.
4.Krypto-Agilität in jede Entscheidung einbauen
Krypto-Agilität schafft Flexibilität in Ihrem gesamten Sicherheits-Ökosystem. Wenn Sie ein neues Tool oder einen neuen Dienst evaluieren, fragen Sie:Kann es sich anpassen, wenn sich Richtlinien, Vorschriften oder Technologien ändern?
Wenn die Antwort nein lautet, verpflichten Sie sich schon heute, die technischen Schulden von morgen zu begleichen.
5.Sich engagieren und zusammenarbeiten
Dies ist keine einsame Reise. Engagieren Sie sich in Gemeinschaften wie dem PKI-Konsortium, tauschen Sie Erfahrungen aus und helfen Sie mit, die Standards zu gestalten, die das nächste Jahrzehnt des digitalen Vertrauens bestimmen werden.
Blick in die Zukunft: Von Kuala Lumpur nach Deutschland
Als ich Kuala Lumpur verließ (mit ein paar zusätzlichen Stunden Jetlag und einer Menge Notizen), blieb ein Gedanke bei mir hängen:
Wir fragen nicht mehrobQuantencomputing das digitale Vertrauen erschüttern wird, sondern wie bereit wir sein werden, wenn es soweit ist.
Ich fordere also jeden Sicherheitsverantwortlichen auf, dies zu lesen:
Wie viel näher werden Sie bis zur nächsten PQC-Konferenz in Deutschland der Krypto-Agilität sein?
Fangen Sie klein an. Beginnen Sie jetzt. Beginnen Sie mit der Entdeckung.
Erfahren Sie, wie Keyfactor Ihnen helfen kann Krypto-Assets zu entdecken und zu verwalten - die Grundlage für Ihre verbesserte Krypto-Agilität.
