Post-Quanten-Kryptografie: Warum die größte Herausforderung nicht die Technologie ist
Die EU fordert die schrittweise Umstellung auf Post-Quanten-Kryptografie.
Viele Unternehmen nehmen diese Ankündigung zur Kenntnis und ordnen sie intern als reines IT-Security-Thema ein. Genau hier beginnt das Problem.
Denn Post-Quanten-Kryptografie ist kein technisches Detail und kein Update, das man „mitlaufen lässt“. Sie ist ein strukturelles Thema. Und sie betrifft weit mehr als Verschlüsselungsalgorithmen.
Regulierung trifft Realität
Post-Quanten-Kryptografie soll Systeme langfristig gegen Angriffe durch Quantencomputer absichern. Die technische Diskussion ist wichtig. In der Praxis stellt sich jedoch eine andere Frage:
Sind Organisationen in der Lage, diese Anforderungen umzusetzen?
Denn die Umstellung bedeutet nicht, einen einzelnen Baustein zu tauschen. Sie bedeutet, bestehende Systeme zu analysieren, Abhängigkeiten zu verstehen und Architekturentscheidungen neu zu bewerten. In vielen Organisationen betrifft das Kernsysteme, Schnittstellen, Legacy-Anwendungen und sicherheitskritische Prozesse.
Das alles passiert nicht isoliert. Es passiert im laufenden Betrieb.
Kein Security-Projekt, sondern ein Transformationsprojekt
Was oft unterschätzt wird:
Post-Quanten-Kryptografie ist kein klassisches Security-Projekt. Es ist ein Transformationsprojekt mit technischer, organisatorischer und regulatorischer Dimension.
Typische Aufgaben sind:
Bestandsaufnahme bestehender Kryptografie und Abhängigkeiten
Bewertung der Migrationsfähigkeit einzelner Systeme
Anpassung von Architekturen und Schnittstellen
Umsetzung und Testing neuer Verfahren
Dokumentation für Audits und Compliance
Abstimmung zwischen IT, Security, Fachbereichen und Einkauf
Das erfordert Zeit. Und vor allem die richtigen Rollen.
Der eigentliche Engpass sind nicht Algorithmen
In vielen Unternehmen ist das Fachwissen zur Post-Quanten-Kryptografie begrenzt. Gleichzeitig sind interne IT-Teams bereits ausgelastet. Projekte laufen parallel. Regulatorische Anforderungen nehmen zu. Zeitpuffer sind selten vorhanden.
Der Engpass entsteht daher nicht bei der Auswahl der Technologie, sondern bei der Umsetzung.
Benötigt werden unter anderem:
Security-Architekten mit Kryptografie-Know-how
System- und Software-Architekten mit Überblick über bestehende Landschaften
Erfahrene Engineers für Migration und Integration
Test- und Qualitätskompetenz für sicherheitskritische Änderungen
Ressourcen, die nicht nur theoretisch verfügbar sind, sondern tatsächlich Zeit haben
Diese Profile sind rar. Und sie lassen sich nicht kurzfristig intern aufbauen.
Was passiert, wenn Unternehmen zu spät starten
Viele regulatorische Themen werden erst dann ernst genommen, wenn Fristen näher rücken. Die Erfahrung zeigt: Wer zu spät startet, zahlt doppelt.
Typische Folgen sind:
Zeitdruck führt zu suboptimalen Architekturentscheidungen
Interne Teams werden überlastet
Abhängigkeiten werden zu spät erkannt
Externe Unterstützung wird ad hoc eingekauft und ist schwer planbar
Projekte verzögern sich oder werden unnötig teuer
Gerade im regulierten Umfeld ist das riskant. Nicht nur finanziell, sondern auch reputativ.
Die entscheidende Frage ist nicht „ob“, sondern „wie“
Die Einführung von Post-Quanten-Kryptografie ist absehbar. Die Frage ist nicht, ob Unternehmen sich damit beschäftigen müssen. Die Frage ist, wie strukturiert und realistisch sie es tun.
Wer frühzeitig versteht, dass es sich um ein Ressourcen- und Kapazitätsthema handelt, verschafft sich Spielraum. Wer es als reines Technikthema behandelt, läuft Gefahr, zu spät zu reagieren.
Post-Quanten-Kryptografie zeigt exemplarisch, wie stark moderne IT-Anforderungen Technik, Organisation und Ressourcenplanung miteinander verknüpfen. Erfolgreich sind nicht die Unternehmen mit den schönsten Konzepten, sondern jene, die Umsetzung realistisch denken.