de:int:pqcrypt:business:risiko

Die Bedrohung: Harvest Now, Decrypt Later

Szenario:

Angreifer fängt heute verschlüsselte Kommunikation ab
Speichert die Daten jahrelang
Entschlüsselt sie mit zukünftigem Quantencomputer

Betroffene Daten:

TLS-verschlüsselte Verbindungen
Signierte Dokumente und Verträge
Authentifizierungszertifikate
Archivierte Geschäftsdaten

Zeitrahmen

timeline title Quantum-Migration Timeline section Jetzt (2024-2025) NIST FIPS 203/204 final : ML-DSA & ML-KEM standardisiert OpenSSL 3.6 : PQ-Algorithmen verfügbar WvdS Library : Hybride Kryptographie produktionsreif section Übergang (2026-2028) EU NIS2 : Kritische Infrastruktur muss handeln BSI Empfehlung : PQ-Migration für Behörden Enterprise : Große Unternehmen migrieren section Kritisch (2029-2032) CRQC möglich : Kryptografisch relevanter Quantencomputer Legacy unsicher : RSA/ECDSA gebrochen Deadline : Alle Systeme müssen PQ-fähig sein

Quelle	Schätzung (kryptographisch relevanter QC)
BSI¹⁾	10-20 Jahre
NIST²⁾	„Unbekannt, könnte schneller kommen“
Global Risk Institute³⁾	~14 Jahre bis CRQC (Median-Schätzung)

Kritischer Punkt: Daten mit Schutzbedarf >10 Jahre sind jetzt gefährdet⁴⁾.

Datentyp	Schutzbedarf	Risiko ohne PQ
Staatsgeheimnisse	50+ Jahre⁵⁾	Kritisch
Gesundheitsdaten	30+ Jahre⁶⁾	Kritisch
Finanzverträge	10-30 Jahre⁷⁾	Hoch
Geschäftsgeheimnisse	5-10 Jahre	Mittel
Tagesgeschäft	<5 Jahre	Gering

Datentyp

Schutzbedarf

Risiko ohne PQ

Staatsgeheimnisse

50+ Jahre⁵⁾

Kritisch

Gesundheitsdaten

30+ Jahre⁶⁾

Kritisch

Finanzverträge

10-30 Jahre⁷⁾

Hoch

Geschäftsgeheimnisse

5-10 Jahre

Mittel

Tagesgeschäft

<5 Jahre

Gering

Risikominderung

Hybride Kryptographie bietet:

Aspekt	Nutzen
Zukunftssicherheit	PQ-Signatur schützt gegen Quantenangriffe
Rückwärtskompatibilität	Legacy-Systeme funktionieren weiterhin
Kein Risiko	Sicher wenn einer der Algorithmen sicher ist
Sofort einsatzbereit	2 Zeilen Code für Aktivierung

Kosten-Nutzen

Kosten der Implementierung:

Bibliotheksintegration: Minimal (NuGet-Paket)
OpenSSL 3.6: Frei verfügbar
Entwicklungsaufwand: 2 Zeilen Code + Tests

Kosten bei Untätigkeit:

Datenkompromittierung nach Quantencomputer-Verfügbarkeit
Regulatorische Strafen (wenn Standards verpflichtend werden)
Reputationsschaden

Fazit: Geringe Investition, hoher Schutzwert.

Weiterführend

Strategie & Technologie – Umsetzungsplan
Sicherheit – Technische Details
Migration – Technische Schritte

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

risiko, hndl, quantum-threat

¹⁾

BSI: „Quantum-Safe Cryptography - Fundamentals, Current Developments and Recommendations“, 2021, Section 4.1: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/Brochure/quantum-safe-cryptography.pdf

²⁾

NIST: „Post-Quantum Cryptography FAQ“, 2024: https://csrc.nist.gov/projects/post-quantum-cryptography/faqs

³⁾

Global Risk Institute: „Quantum Threat Timeline Report“, Dezember 2023, S. 4-5: https://globalriskinstitute.org/publication/quantum-threat-timeline-report-2023/

⁴⁾

BSI: „Kryptografie quantensicher gestalten – Handlungsempfehlungen des BSI“, September 2024, Abschnitt 2.3: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie_Handlungsempfehlungen.pdf

⁵⁾

BSI VS-Anweisung (VSA): Aufbewahrungsfristen für VS-Sachen

⁶⁾

MBO-Ä § 10 Abs. 3: Aufbewahrungspflicht ärztlicher Dokumentation

⁷⁾

HGB § 257: Aufbewahrungsfristen für Handels- und Geschäftsbriefe

Inhaltsverzeichnis

2.2 Risiko

Die Bedrohung: Harvest Now, Decrypt Later

Zeitrahmen

Risikomatrix

Risikominderung

Kosten-Nutzen

Handlungsempfehlung

Weiterführend