IT-Security

PQC Timeline: Diese Schritte müssen bis 2030 passieren

18. November 2025 von Franz Adamus
pqc-timeline
©kaliel - Adobe Stock

0
(0)

Quantencomputer bringen enorme Chancen – doch sie sind zugleich ein massives Sicherheitsrisiko für bestehende Verschlüsselungsverfahren wie RSA oder ECC. Die Bedrohung ist nicht hypothetisch, sondern real: Daten, die heute abgefangen werden, könnten morgen durch Quantenangriffe offengelegt werden („store now, decrypt later“).

Die kommenden Jahre bis 2030 entscheiden darüber, ob Unternehmen rechtzeitig auf Post-Quanten-Kryptografie (PQC) umstellen – oder ihre sensiblen Daten der Gefahr aussetzen. Diese PQC Timeline zeigt, welche Schritte bis dahin zwingend notwendig sind – für Behörden, Unternehmen und alle, die digitale Sicherheit ernst nehmen.

Quantencomputer: Zwischen Fortschritt und Bedrohung

Die technologische Entwicklung rund um Quantencomputer ist zweischneidig. Einerseits eröffnen Quantenrechner faszinierende neue Möglichkeiten: komplexe Simulationen in der Chemie, effizientere Lieferketten in der Logistik oder tiefgreifende Fortschritte in der Materialforschung sind nur einige Anwendungsbeispiele.

Andererseits stellen sie eine existentielle Bedrohung für die heute verwendete Public-Key-Kryptografie dar. Die gängigen Verfahren RSA und ECC basieren auf mathematischen Problemen, die klassische Computer nur mit extrem hohem Aufwand lösen können. Quantencomputer hingegen könnten sie innerhalb kürzester Zeit knacken. Dies sorgt für dramatische Folgen für Datensicherheit, digitale Signaturen und verschlüsselte Kommunikation.

Besonders brisant ist dabei das Prinzip „Store now, decrypt later“: Selbst wenn verschlüsselte Daten heute sicher erscheinen, könnten sie von Angreifern gespeichert und später – sobald leistungsfähige Quantencomputer verfügbar sind – entschlüsselt werden. Die Bedrohung ist also nicht nur theoretisch, sondern konkret.

Die PQC Timeline: Was bis 2030 passieren muss

Das Jahr 2024 markiert einen bedeutenden Meilenstein auf dem Weg zur Post-Quanten-Sicherheit: Das US-amerikanische National Institute of Standards and Technology (NIST) hat die ersten Post-Quanten-Algorithmen standardisiert. Dazu gehören FIPS 203 (ML-KEM), ein Verfahren für Schlüsselvereinbarungen auf Basis von Kyber, FIPS 204 (ML-DSA) für digitale Signaturen auf Basis von Dilithium sowie FIPS 205 (SLH-DSA), das auf dem hashbasierten SPHINCS+ beruht. Diese Algorithmen wurden nicht nur sorgfältig geprüft, sondern sind auch bereits in ersten Softwarebibliotheken wie OpenSSL und wolfSSL integriert und finden sich etwa im DigiCert TrustCore SDK.

Doch damit ist die Arbeit keineswegs getan. Die Zeitspanne bis 2030 ist entscheidend: Analysten von Gartner gehen davon aus, dass klassische Verfahren ab spätestens 2029 als unsicher gelten werden. Regierungen und große Organisationen fordern deshalb bereits jetzt einen Fahrplan zur vollständigen Migration auf PQC – spätestens bis Ende 2030. Die Anforderungen werden in vielen Bereichen schrittweise verpflichtend, etwa in Schutzprofilen für sicherheitskritische Systeme oder bei der Integration in TLS-Protokolle und X.509-Zertifikate.

Die gute Nachricht: Wer jetzt mit der Planung beginnt, kann sich mit Weitsicht und Struktur vorbereiten.

Standardisierung & Integration: Was aktuell passiert

Die Standardisierungsarbeit läuft international auf Hochtouren. Das BSI beteiligt sich über die Common Criteria an der Ausarbeitung neuer Schutzprofile, die PQC-Verfahren berücksichtigen sollen. Die IETF wiederum erarbeitet Protokollerweiterungen für hybride Verfahren, bei denen klassische Algorithmen durch PQC ergänzt werden. Diese hybriden Ansätze ermöglichen eine sanfte Transition, ohne bestehende Systeme abrupt umzustellen.

Auch auf europäischer Ebene nimmt das Thema an Fahrt auf: Die ENISA, die EU-Agentur für Cybersicherheit, empfiehlt den Mitgliedstaaten bereits jetzt die Erstellung sogenannter Crypto-Inventare. Unternehmen und Institutionen sollen erfassen, welche kryptografischen Verfahren sie heute einsetzen, und eine Risikoanalyse durchführen. Ziel ist es, potenziell gefährdete Systeme frühzeitig zu identifizieren und geeignete Maßnahmen einzuleiten.

Technische Grundlagen: Die neuen PQC-Algorithmen

Die PQC-Algorithmen, die nun den Standard bilden, beruhen auf mathematischen Problemen, die selbst von Quantenrechnern nicht effizient gelöst werden können. Besonders hervorzuheben sind:

  • ML-KEM (Kyber): Für sichere Schlüsselvereinbarungen.
  • ML-DSA (Dilithium): Für digitale Signaturen mit hoher Performance.
  • SLH-DSA (SPHINCS+): Hashbasierte Signaturen für besonders konservative Anwendungsbereiche.

Weitere Verfahren wie FALCON oder Classic McEliece befinden sich derzeit noch im Prüfprozess und könnten in künftige Standardrunden aufgenommen werden.

In der Praxis findet PQC zunehmend Einzug in Produktivsysteme: Viele Hersteller integrieren die neuen Verfahren bereits in ihre Softwarelösungen, etwa in VPNs, PKI-Plattformen oder Hardware Security Modules (HSMs). Unternehmen sollten diese Entwicklungen im Blick behalten und frühzeitig eigene Testszenarien aufbauen.

Die Zeit läuft – handeln Sie jetzt

Die PQC Timeline bis 2030 ist eng getaktet und doch bleibt Unternehmen und Organisationen noch ein ausreichend großer Handlungsspielraum, um sich zukunftssicher aufzustellen. Voraussetzung dafür ist ein frühzeitiger Start, klare Verantwortlichkeiten und ein strategisches Vorgehen. Wer erst 2028 mit der Migration beginnt, wird unter hohem Druck stehen und möglicherweise Sicherheitsrisiken eingehen müssen. Daher ist es ratsam, sich bereits jetzt mit der PQC Timeline auseinanderzusetzen.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 0 / 5. Vote count: 0

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu