Apps, Netzwerke und Altsysteme im Visier der Quantenwelt: Perspektive eines CISO

Wie wir in den ersten Blogbeiträgen dieser Reihe beschrieben haben, ist es nur noch eine Frage der Zeit, bis Quantencomputer die heutige Standardverschlüsselung knacken können – der sogenannte „Q-Day“. Der genaue Zeitrahmen ist unklar, doch die Folgen sind jetzt schon spürbar, besonders wegen der Risiken durch „Jetzt speichern, später entschlüsseln“: Angreifer können heute verschlüsselte Daten sammeln und sie entschlüsseln, sobald Quantencomputing einsatzfähig ist.

Viele Organisationen müssen vertrauliche Daten weit über herkömmliche Risikoplanungszeiträume hinaus schützen. Obwohl neue post-quantenkryptografische Standards bereits verabschiedet wurden und einige Application Delivery Controller (ADCs) sowie Content Delivery Networks (CDNs) nun hybriden Schutz bieten, bleibt die Herausforderung unmittelbar: Technische Altlasten aus veralteten Systemen erfordern bald Ihre Aufmerksamkeit, während der Druck von Regulierungsbehörden und Beteiligten stetig zunimmt.

Dieser CISO rät: Beginnen Sie jetzt und vernachlässigen Sie nicht die Aspekte Governance, Risiko und Compliance (GRC). Bereiten Sie sich schon ab 2026 auf Audits, intensivere Prüfungen und ein neues Ökosystem zur Bestätigung der Quantenbereitsschaft vor. Sicherheits- und GRC-Teams stehen bei der Bewertung von Anbietern vor großer Komplexität – besonders bei veralteten oder nicht aufrüstbaren Geräten. Eine klare Kommunikation, ein transparenter Status und präzise Berichte werden Ihrer Organisation in den kommenden Jahren erheblich nützen.

Auch wenn viele Quantenrisiken als Herausforderung von morgen ansehen, eröffnet die offizielle Ratifizierung der PQC-Standards eine neue Ära. Gartner geht davon aus, dass etablierte asymmetrische kryptografische Verfahren ab 2029 angreifbar werden und bis 2034 vollständig gebrochen sein könnten.*

Wir sind näher an 2029 als an 2020 – das bedeutet wenig Zeit für ein mehrjähriges Projekt, das noch nicht definiert, priorisiert, budgetiert oder verbindlich beschlossen wurde. Wie Sie sehen werden, betrifft der Umfang veralteter Technologien und nicht aktualisierbarer Geräte mehr als viele annehmen.

Für CISOs, CTOs und CIOs wird es immer mehr zum entscheidenden Risiko für die Geschäftskontinuität, wenn sie sich nicht rechtzeitig auf PQC vorbereiten – zumal wir diese Entwicklung seit über einem Jahrzehnt vorausgesehen haben. Wer zu lange zögert, setzt sein Unternehmen vermeidbaren Sicherheitsverletzungen, Verstößen gegen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und Schäden am Ruf aus. 

Jetzt ist nicht die Zeit für Panik, aber es ist wichtig, entschlossen und mit abgestimmter Planung über Organisationen und Lieferketten hinweg zu handeln. Wenn Sie Ihre Planung für 2026 angehen, sind strategische Investitionen und klare Aktionspläne für PQC unverzichtbar, um verantwortungsvoll im KI- und Quantenzeitalter zu führen. 

Die USA Das National Institute of Standards and Technology (NIST) hat klare Vorgaben gemacht und PQC-Algorithmen wie ML-KEM (FIPS 203) für den Schlüsselaustausch, ML-DSA (FIPS 204) für digitale Signaturen sowie SLH-DSA (FIPS 205) für Fallback-Signaturen finalisiert. Diese geprüften Standards schaffen eine verlässliche technische Basis und führen PQC vom Konzept in die Umsetzung. Die Empfehlung des NIST ist eindeutig: Mit der Ratifizierung der Standards ist jetzt der Zeitpunkt für die Implementierung der ersten Anwendungen gekommen.

Da die Computer, gegen die Sie sich schützen, unseres Wissens noch nicht existieren, führen wir hier die ERSTE Migration zu neuer Verschlüsselung durch. Das Ziel ist kein einmaliges Software-Upgrade, sondern wir verankern „Krypto-Agilität“ als zentrale Fähigkeit in Ihrem IT-Team und Ihrer Lieferkette, weil wir auf neue Quantenbedrohungen immer wieder reagieren müssen. Immer wieder. Immer wieder.

Bei der ersten Umsetzung der PQC-Standards handeln Sie hauptsächlich mit einem Software-Upgrade. Krypto-Agilität zu erreichen – also die schnelle Anpassung der Kryptografie bei sich wandelnden Standards – erfordert jedoch weitreichende Veränderungen im Anwendungsmanagement, in der Governance und im IT-Betrieb. GRC-Teams bereiten sich auf umfangreiche Aufgaben vor, darunter Inventarisierung, Versionsverwaltung, Kompatibilitätstests und Risikoregister.

Wir erhöhen das Risiko von Ausfällen, Betriebsstörungen und Compliance-Verstößen bei schlecht gesteuerten Übergängen – besonders in hybriden, Multi-Cloud- und Legacy-Umgebungen. 

PQC beeinflusst Anwendungen direkt, nicht nur die Infrastruktur. Die Einführung quantensicherer Kryptografie bedeutet mehr als nur eine Bibliothek auszutauschen – sie erfordert oft umfassende Codeänderungen in tief integrierten kryptografischen Komponenten. Da der Aufwand mehrere Jahre beträgt, sollten CISOs und GRC-Verantwortliche mit Widerstand, Klagen über fehlende Ressourcen, hohen Beratungsgebühren für spezialisierte Fachkenntnisse, internem Gegenwind und wechselnden Geschäftsszenarien rechnen – häufig erschwert durch eine lückenhafte Dokumentation bei Altsystemen. 

Frühes Handeln verringert künftige Krisen und ermöglicht bewusste, weniger störende Veränderungen. Viele Unternehmen wissen noch nicht, worauf sie achten müssen, und die Abstimmung mit den Beteiligten ist entscheidend für Ihren Erfolg und die Umsetzung. 

PQC-Algorithmen benötigen oft größere Schlüssel und mehr Rechenleistung, was die Latenz und den Durchsatz Ihrer Anwendungen beeinträchtigen kann, insbesondere bei zeitkritischen Arbeitslasten.

Wenn Sie zur Unterstützung von PQC modernisieren, decken Sie oft versteckte technische Schulden auf. Das kann Ihr Budget übersteigen, liefert Ihnen aber langfristig mehr Resilienz und bessere Leistung.

Sie müssen damit rechnen, dass nicht alle Systeme ein Upgrade erhalten können, und es ist kein einmaliges Projekt, das Sie einfach abschließen können. Wir kommunizieren klar mit Ihnen und allen Beteiligten: Ständige Erfassung und Anpassung gehören zum Alltag, und im Verlauf der Umstellung werden wir gemeinsam neue Herausforderungen identifizieren und angehen.

PQC wird Netzwerkgeräte, Server und Cloud-Dienste grundlegend verändern – vor allem jene, die TLS-Terminierung und Verschlüsselung übernehmen. Viele Browser und Server werden sich anpassen, aber viele ältere Systeme müssen wir wegen des höheren Bandbreiten- und Rechenbedarfs aktualisieren oder austauschen.

Eine entscheidende Erkenntnis für Ihre Sicherheitsplanung liegt darin, den Einfluss von PQC auf Schlüsselaustauschmechanismen (KEMs) im Vergleich zu digitalen Signaturen in Protokollen wie TLS klar zu unterscheiden. Priorisieren Sie den Einsatz von PQC-KEMs (z. B. ML-KEM), um Risiken durch „Jetzt angreifen, später entschlüsseln“ zu begegnen – so schützen Sie langfristig gespeicherte Daten, die Angreifer aktuell sammeln.

Wir können die Einführung digitaler Signaturen schrittweise und risikobasiert planen, denn Fälschungen sind nur während aktiver Sitzungen möglich.

HSMs spielen eine zentrale Rolle bei der Verwaltung kryptografischer Schlüssel, stehen jedoch in einer PQC-Welt vor Herausforderungen. Größere Schlüssel und der steigende Verarbeitungsbedarf quantensicherer Algorithmen können die Kapazitäten bestehender, ressourcenlimittierter Hardware übersteigen. Seed-basierte Schlüsselgenerierung erleichtert zwar die Speicherung, erzeugt aber zusätzliche Rechenlast. Wir empfehlen ein Upgrade auf PQC-fähige HSMs, auch wenn es Kosten, Komplexität und Zeitaufwand mit sich bringt, um die kryptografische Sicherheit langfristig zu gewährleisten.

Die größte Herausforderung von PQC ist vielleicht die Integration in Betriebstechnologie (OT), IoT und eingebettete Systeme, die nicht für kryptografische Flexibilität konzipiert sind. Diese Geräte verfügen oft nicht über den nötigen Speicher, die Kapazität oder Rechenleistung, um die größeren PQC-Schlüssel und den höheren Verarbeitungsaufwand zu tragen. Wir müssen bereichsübergreifend zusammenarbeiten – von Cybersicherheit über Infrastruktur bis zum Datenmanagement – und dabei immer kürzere Lieferfristen einhalten. Netzwerksegmentierung kann Ihnen Zeit verschaffen, bis ein Austausch oder Upgrade möglich wird.

F5 verfügt über umfassende Erfahrung in der Anwendungsbereitstellung und Sicherheit und ist damit bestens aufgestellt, Sie bei diesem Wandel zu begleiten. Die F5 Application Delivery and Security Platform (ADSP) ermöglicht bereits heute die nahtlose Integration von PQC-Bereitschaftslösungen und vereinfacht so das Anwendungsmanagement und die Sicherheit für hybride, Multi-Cloud- und Legacy-Umgebungen.

Wie das führende Branchenanalyseunternehmen EMA in seiner Vendor Vision 2025 kürzlich hervorhob: Black Hat Edition: „Die F5 Application Delivery and Security Platform (ADSP) ist weit mehr als ein Werkzeug zum Schutz von Anwendungen; wir bieten eine wegweisende Lösung, die kritische Werte vor neuen Bedrohungen schützt – inklusive der bevorstehenden Herausforderung durch Quantencomputing ... Mit der frühen und entschlossenen Integration der Post-Quanten-Kryptografie (PQC) hebt sich F5 deutlich von Wettbewerbern ab, die sich noch in der experimentellen Phase befinden.“

Mit den einheitlichen Tools von F5 zur Sichtbarkeit, Verwaltung und Bedrohungsbewertung gestalten wir die Koordination eines quantensicheren Übergangs praxisnah und ohne Einschränkung Ihrer Geschäftsagilität. Als Proxy-Unternehmen fungieren wir als „Ihr Mann in der Mitte“ und unterstützen Sie dabei, kryptografische Umstellungen an Netzwerk-Rand und Anwendungseingang zu zentralisieren und zu automatisieren, während wir Telemetrie und KI-basierte Einblicke für ein kontinuierliches Bedrohungsmanagement liefern. Mit diesem Ansatz lösen wir die Herausforderung des „Wechselns eines Triebwerks während des Flugs“, indem wir die PQC-Migration vom Kern der Anwendungsentwicklung entkoppeln und so den operativen Aufwand und die Ausfallrisiken deutlich verringern.

Die PQC-Reise ist ein mehrjähriger Transformationsprozess. Sie als Sicherheitsverantwortlicher müssen die Herausforderung klar benennen, Erwartungen präzisieren und Zeitpläne anpassen, sobald neue Bedrohungen oder Altlasten auftreten. Nutzen Sie proaktive Vorbereitungen, um das Mandat und die Notwendigkeit von PQC in eine strategische Chance zu verwandeln und endlich langjährige technische Schulden anzugehen – wir werden diesen Prozess immer wieder durchlaufen müssen. Ergreifen Sie die Gelegenheit, um durchgängig Transparenz zu schaffen, Ihre Abläufe zu modernisieren und sichtbare Führungsstärke in digitaler Resilienz zu zeigen.

Erfolgreich sind jene Organisationen, die PQC als unternehmensweite, fortlaufende Entwicklung verstehen und kommunizieren – nicht als einmaliges Software-Upgrade. Verfolgen Sie einen ganzheitlichen Ansatz, verteilen Sie die Botschaften konsequent in Ihrem Unternehmen und Ihrer Lieferkette, und legen Sie jetzt den Grundstein. Nutzen Sie die Gelegenheit, Ihre Organisation für eine sicherere, flexiblere und widerstandsfähigere Zukunft zu rüsten. Ihr Führungsanspruch in dieser Zeit bestimmt die Kontinuität, Compliance und den Ruf Ihres Unternehmens in den kommenden Jahren – und F5 begleitet Sie dabei durchgehend. 

Melden Sie sich für unser kommendes Webinar „Cybersicherheit zukunftsfest machen: Den Weg durch PQC meistern.“ 

Schauen Sie sich auch unsere vorherigen Blogbeiträge aus der Reihe an:

Eine fundierte Betrachtung zur aktuellen Diskussion um Post-Quantum-Kryptographie

Grundlegendes Verständnis: Warum ist PQC entscheidend?

PQC-Standards und Zeitpläne verstehen

* Gartner, „Starten Sie jetzt den Übergang zur Post-Quanten-Kryptographie“, von Mark Horvath, 30. September 2024