IT & Tech 27.03.2026

Post-Quanten-Krypto: Warum 2026 der Startschuss ist

4 Min. Lesezeit

Das BSI hat am 11. Februar 2026 das Ende klassischer Verschlüsselungsverfahren eingeleitet. RSA und elliptische Kurven sollen bis Ende 2030 für besonders schützenswerte Daten und bis Ende 2031 generell durch Post-Quanten-Kryptografie ersetzt werden. Die Migration dauert laut Branchenanalysen fünf bis zehn Jahre. Wer 2026 nicht beginnt, wird die BSI-Fristen nicht einhalten. Der Grund: Quantencomputer müssen nicht erst existieren, um eine Bedrohung zu sein. Angreifer sammeln heute verschlüsselte Daten, um sie morgen zu entschlüsseln.

Das Wichtigste in Kürze

BSI-Deadline 2031: RSA und elliptische Kurven müssen bis Ende 2030 (hochschutzbedürftige Daten) bzw. Ende 2031 (generell) durch Post-Quanten-Kryptografie ersetzt werden (BSI, 11.02.2026).
Harvest Now, Decrypt Later: Angreifer speichern heute verschlüsselte Daten, um sie mit zukünftigen Quantencomputern zu entschlüsseln. Betroffen: Patente, M&A-Daten, Gesundheitsdaten.
Migration dauert 5 bis 10 Jahre: Wer 2026 nicht beginnt, kann die BSI-Fristen nicht einhalten. Jede TLS-Verbindung, jedes VPN, jedes Zertifikat muss angefasst werden.
Drei NIST-Standards seit 2024: ML-KEM (Schlüsselaustausch), ML-DSA (Signaturen) und SLH-DSA (hash-basierte Signaturen) sind die neuen Referenzverfahren.
Erster Schritt: Krypto-Inventar: Systematisch erfassen, wo im Unternehmen klassische Verschlüsselung im Einsatz ist. Ohne Inventar kein Migrationsplan.

Was das BSI am 11. Februar 2026 angekündigt hat

Die Pressemitteilung des BSI war unmissverständlich: Die Zeit klassischer Verschlüsselungsverfahren läuft ab. RSA, Diffie-Hellman und Verfahren auf Basis elliptischer Kurven (ECC) müssen durch quantensichere Algorithmen ersetzt werden. Für besonders schützenswerte Daten gilt 2030 als Zieldatum, für alle anderen 2031.

Das BSI begründet die Dringlichkeit mit zwei Argumenten. Erstens: Die technische Entwicklung von Quantencomputern beschleunigt sich. Auch wenn leistungsfähige kryptografisch relevante Quantencomputer noch nicht existieren, ist der Zeitpunkt ihres Erscheinens nicht vorhersagbar. Sicherheitsplanung muss vom Worst Case ausgehen, nicht vom wahrscheinlichsten Szenario. Zweitens: Die Migration bestehender Systeme dauert Jahre. Wer erst reagiert, wenn Quantencomputer verfügbar sind, ist zu spät.

Für den Mittelstand ist besonders relevant: Die BSI-Empfehlung richtet sich nicht nur an Behörden und Betreiber kritischer Infrastrukturen. Sie gilt für alle Organisationen, die schützenswerte Daten verarbeiten, also faktisch für jedes Unternehmen.

Die Tragweite der Ankündigung wird klar, wenn man die Zahlen betrachtet: Laut einer Umfrage der Cloud Security Alliance gehen 40 Prozent der befragten Sicherheitsverantwortlichen davon aus, dass kryptografisch relevante Quantencomputer vor 2030 verfügbar sein werden. Weitere 34 Prozent rechnen mit dem Zeitraum 2030 bis 2035. Das BSI plant also nicht für ein theoretisches Risiko, sondern für eine erwartbare Entwicklung innerhalb des Planungshorizonts heutiger IT-Investitionen.

Für den Mittelstand hat das konkrete Konsequenzen: Jede IT-Beschaffung, die heute getätigt wird, muss die PQC-Kompatibilität berücksichtigen. Ein neues ERP-System, ein VPN-Refresh, ein Zertifikats-Rollout: Alles, was eine Lebensdauer von fünf oder mehr Jahren hat, sollte auf PQC-Fähigkeit geprüft werden, bevor der Auftrag unterschrieben wird.

„Klassische asymmetrische Kryptografie muss durch quantensichere Verfahren ersetzt werden. Die Migration sollte jetzt beginnen.“
– Sinngemäß nach BSI-Pressemitteilung, 11. Februar 2026

Harvest Now, Decrypt Later: Die unsichtbare Bedrohung

Das gefährlichste Szenario heißt ‚Harvest Now, Decrypt Later‘ (HNDL). Nachrichtendienste und staatlich unterstützte Hackergruppen fangen heute verschlüsselten Datenverkehr ab und speichern ihn. Sobald leistungsfähige Quantencomputer verfügbar sind, entschlüsseln sie die gesammelten Daten rückwirkend.

Für Daten mit kurzer Lebensdauer, etwa eine Bestellbestätigung, ist das irrelevant. Für Daten mit langer Vertraulichkeitsdauer ist es existenzbedrohend: Geschäftsgeheimnisse, Patentanträge, M&A-Verhandlungen, strategische Planungen, Forschungsdaten. Wenn ein Quantencomputer in zehn Jahren diese Daten entschlüsselt, haben sie immer noch Wert für Wettbewerber oder fremde Regierungen.

Die Konsequenz: Der Zeitpunkt, ab dem Post-Quanten-Kryptografie relevant wird, ist nicht der Tag, an dem der erste kryptografisch relevante Quantencomputer gebaut wird. Es ist der Tag, an dem die Daten erstmals verschlüsselt übertragen werden. Und dieser Tag war gestern.

Das Bundesamt für Verfassungsschutz bestätigt, dass staatliche Akteure bereits heute verschlüsselten Datenverkehr im großen Stil abfangen und speichern. China hat öffentlich angekündigt, bis 2030 einen kryptografisch relevanten Quantencomputer zu entwickeln. Die USA investieren über das National Quantum Initiative Act mehrere Milliarden Dollar in die Quantenforschung. In diesem geopolitischen Wettlauf sind deutsche Unternehmensdaten kein Kollateralschaden, sondern ein strategisches Ziel.

2031

BSI-Deadline für den Ersatz klassischer Verschlüsselung durch PQC

Quelle: BSI-Pressemitteilung, 11. Februar 2026

Die neuen Standards: ML-KEM, ML-DSA und SLH-DSA

Das US-amerikanische National Institute of Standards and Technology (NIST) hat 2024 die ersten drei Post-Quanten-Kryptografie-Standards veröffentlicht. Sie bilden die Grundlage für die Migration. ML-KEM (ehemals CRYSTALS-Kyber) für die Schlüsselvereinbarung, ML-DSA (ehemals CRYSTALS-Dilithium) für digitale Signaturen und SLH-DSA (ehemals SPHINCS+) als hashbasierte Signaturalternative.

Das BSI empfiehlt die NIST-Standards als Referenz und arbeitet parallel an eigenen Empfehlungen im Rahmen der europäischen Standardisierung. Für den Mittelstand bedeutet das: Die Standards sind definiert, die Algorithmen sind spezifiziert, und erste Implementierungen in Open-Source-Bibliotheken wie liboqs und OpenSSL sind verfügbar. Die technische Grundlage für die Migration existiert.

Was noch fehlt: Viele kommerzielle Produkte, VPN-Lösungen, E-Mail-Gateways und ERP-Systeme haben die neuen Algorithmen noch nicht integriert. Die Hersteller arbeiten daran, aber flächendeckende PQC-Unterstützung in Unternehmenssoft ist erst für 2027 bis 2028 zu erwarten. Das ist einer der Gründe, warum die Migration fünf bis zehn Jahre dauert.

Krypto-Inventar: Wo klassische Verschlüsselung im Mittelstand steckt

Der erste und wichtigste Schritt ist das Krypto-Inventar: eine systematische Bestandsaufnahme aller Stellen im Unternehmen, an denen klassische asymmetrische Kryptografie eingesetzt wird. In der Praxis sind das mehr Stellen als die meisten IT-Leiter vermuten.

VPN-Verbindungen: Standortvernetzung und Remote Access nutzen fast immer RSA oder ECC für den Schlüsselaustausch. E-Mail-Verschlüsselung: S/MIME und PGP basieren auf RSA. TLS-Zertifikate: Jede HTTPS-Verbindung, jede API-Schnittstelle und jedes interne Portal nutzt klassische Kryptografie. ERP-Systeme: SAP und andere ERP-Systeme verschlüsseln Datenbankverbindungen und API-Kommunikation mit RSA/ECC. Code Signing: Software-Updates und Firmware-Signaturen verwenden RSA-Schlüssel.

Ein Krypto-Inventar muss nicht von Grund auf neu erstellt werden. Tools wie Venafi, Keyfactor oder das Open-Source-Projekt cryptosense scannen automatisch nach kryptografischen Artefakten in der IT-Infrastruktur. Das Ergebnis ist eine priorisierte Liste: Welche Systeme verwenden schwache Schlüssellängen, welche haben langlebige Zertifikate, und welche verarbeiten Daten mit hoher Vertraulichkeitsanforderung.

Die Ergebnisse sind oft überraschend: Ein typisches mittelständisches Unternehmen mit 200 Mitarbeitern hat 50 bis 200 TLS-Zertifikate, 5 bis 15 VPN-Tunnel, 3 bis 8 Anwendungen mit eigener Kryptografie und Dutzende eingebettete SSH-Schlüssel. Die meisten davon nutzen RSA-2048 oder ECDSA, beide anfällig für Quantenangriffe. Ohne Inventar ist keine gezielte Migration möglich, und ohne Migration gibt es keine Compliance mit der BSI-Empfehlung.

PQC-Readiness: Fünf Schritte für den IT-Leiter

1. Krypto-Inventar erstellen. Alle kryptografischen Verfahren und Schlüssel im Unternehmen erfassen. Priorisierung nach Vertraulichkeitsdauer der geschützten Daten.

2. Lieferanten befragen. Bei jedem Software- und Hardware-Anbieter nachfragen: Wann wird PQC unterstützt? Gibt es eine Roadmap? Welche Standards werden implementiert?

3. Hybride Kryptografie einführen. Als Übergangslösung empfiehlt das BSI hybride Verfahren, die klassische und quantensichere Algorithmen parallel einsetzen. So bleibt die Kompatibilität erhalten, während der Schutz gegen Quantenangriffe aufgebaut wird.

4. Testumgebung aufbauen. Erste PQC-Implementierungen in einer isolierten Testumgebung evaluieren. Performance-Auswirkungen messen, denn PQC-Algorithmen haben zum Teil größere Schlüssel und längere Rechenzeiten als RSA.

5. Migrationsplan erstellen. Basierend auf dem Inventar und der Lieferanten-Roadmap einen Zeitplan für die schrittweise Migration entwickeln. Systeme mit den sensibelsten Daten und längster Vertraulichkeitsdauer zuerst.

6. Budget einplanen. PQC-Migration ist kein einmaliges Projekt, sondern ein mehrjähriger Prozess. Für ein Unternehmen mit 200 bis 500 Mitarbeitern rechnen Experten mit Gesamtkosten von 50.000 bis 300.000 Euro über den Migrationszeitraum. Der größte Posten ist nicht Software, sondern interne Arbeitszeit und externe Beratung. Ein realistisches Jahresbudget von 30.000 bis 50.000 Euro reicht für die ersten Schritte.

Fazit

Post-Quanten-Kryptografie ist kein Zukunftsthema mehr. Das BSI hat mit der Pressemitteilung vom 11. Februar 2026 eine klare Erwartung formuliert: Bis 2031 muss die Migration abgeschlossen sein. Bei einer erwarteten Dauer von fünf bis zehn Jahren ist 2026 der spätestmögliche Startpunkt.

Der Einstieg ist weniger komplex als viele befürchten. Ein Krypto-Inventar lässt sich in Wochen erstellen, Lieferantengespräche können sofort beginnen, und hybride Kryptografie ermöglicht einen graduellen Übergang ohne Big-Bang-Migration. Die größte Gefahr ist nicht technische Komplexität, sondern Aufschieben.

Die Kosten des Nichtstuns sind kalkulierbar: Wenn ein Quantencomputer in zehn Jahren Geschäftsgeheimnisse entschlüsselt, die heute abgefangen werden, ist der Schaden irreversibel. Die Kosten der Vorsorge sind dagegen überschaubar und planbar. Post-Quanten-Kryptografie ist eine der wenigen IT-Investitionen, bei denen der ROI negativ messbar ist: Man sieht den Schaden, der nicht eingetreten ist.

Häufige Fragen

Gibt es schon Quantencomputer, die Verschlüsselung brechen können?

Nein. Kryptografisch relevante Quantencomputer existieren noch nicht. Aber die ‚Harvest Now, Decrypt Later‘-Bedrohung macht das irrelevant: Verschlüsselte Daten, die heute abgefangen werden, können in zehn Jahren entschlüsselt werden.

Was ist hybride Kryptografie?

Ein Verfahren, das klassische und quantensichere Algorithmen parallel einsetzt. Solange kein Quantencomputer existiert, schützt der klassische Algorithmus. Wenn einer verfügbar wird, schützt der PQC-Algorithmus. Das BSI empfiehlt diesen Ansatz als Übergangslösung.

Betrifft das auch kleine Unternehmen?

Ja, sobald sie sensible Daten verarbeiten, die länger als zehn Jahre vertraulich bleiben müssen. Das gilt für Geschäftsgeheimnisse, Patente, Verträge und personenbezogene Daten. Die BSI-Empfehlung richtet sich ausdrücklich an alle Organisationen.

Welche Software unterstützt PQC schon?

OpenSSL 3.x (experimentell), Signal (bereits standardmäßig), Chrome und Firefox (experimentelle Unterstützung für ML-KEM in TLS 1.3). Für Enterprise-Software wie SAP, VPN-Gateways und E-Mail-Server ist PQC-Unterstützung ab 2027 bis 2028 zu erwarten.

Was kostet die PQC-Migration?

Abhängig von Größe und Komplexität der IT-Infrastruktur. Für ein mittelständisches Unternehmen mit 200 bis 500 Mitarbeitern rechnen Experten mit 50.000 bis 300.000 Euro Gesamtkosten über den Migrationszeitraum, hauptsächlich für Beratung, Testing und Systemanpassungen.

Muss ich die Migration selbst durchführen?

Nein. Spezialisierte Beratungsunternehmen und die großen IT-Dienstleister bieten PQC-Readiness-Assessments und Migrationsbegleitung an. Auch die IHK und das BSI bieten kostenlose Erstberatung.