BLOG

Apps, Netzwerke und Altsysteme im Visier der Quantenwelt: Perspektive eines CISO

Chuck Herrin Miniaturbild
Chuck Herrin
Veröffentlicht am 6. August 2025

Quantencomputing steht bevor und wird die kryptografischen Systeme verändern, die Ihre Daten, Kommunikation und Infrastruktur schützen. Jetzt ist der richtige Zeitpunkt, um sich vorzubereiten. In dieser sechsteiligen Blogserie zur Postquantenkryptografie (PQC) erläutern Kryptografieexperten von F5, welche Gefahren bestehen, welche Chancen Sie erwarten und welche Maßnahmen Sie heute ergreifen können, um in einer Postquantenwelt sicher zu bleiben. Die Zukunft ist näher als Sie glauben. Lassen Sie uns gemeinsam bereit sein.

Wie wir in den ersten Blogbeiträgen dieser Reihe beschrieben haben, ist es nur noch eine Frage der Zeit, bis Quantencomputer die heutige Standardverschlüsselung knacken können – der sogenannte „Q-Day“. Der genaue Zeitrahmen ist unklar, doch die Folgen sind jetzt schon spürbar, besonders wegen der Risiken durch „Jetzt speichern, später entschlüsseln“: Angreifer können heute verschlüsselte Daten sammeln und sie entschlüsseln, sobald Quantencomputing einsatzfähig ist.

Viele Organisationen müssen vertrauliche Daten weit über herkömmliche Risikoplanungszeiträume hinaus schützen. Obwohl neue post-quantenkryptografische Standards bereits verabschiedet wurden und einige Application Delivery Controller (ADCs) sowie Content Delivery Networks (CDNs) nun hybriden Schutz bieten, bleibt die Herausforderung unmittelbar: Technische Altlasten aus veralteten Systemen erfordern bald Ihre Aufmerksamkeit, während der Druck von Regulierungsbehörden und Beteiligten stetig zunimmt.

Dieser CISO rät: Beginnen Sie jetzt und vernachlässigen Sie nicht die Aspekte Governance, Risiko und Compliance (GRC). Bereiten Sie sich schon ab 2026 auf Audits, intensivere Prüfungen und ein neues Ökosystem zur Bestätigung der Quantenbereitsschaft vor. Sicherheits- und GRC-Teams stehen bei der Bewertung von Anbietern vor großer Komplexität – besonders bei veralteten oder nicht aufrüstbaren Geräten. Eine klare Kommunikation, ein transparenter Status und präzise Berichte werden Ihrer Organisation in den kommenden Jahren erheblich nützen.

Die Zukunft beginnt jetzt

Auch wenn viele Quantenrisiken als Herausforderung von morgen ansehen, eröffnet die offizielle Ratifizierung der PQC-Standards eine neue Ära. Gartner geht davon aus, dass etablierte asymmetrische kryptografische Verfahren ab 2029 angreifbar werden und bis 2034 vollständig gebrochen sein könnten.*

Wir sind näher an 2029 als an 2020 – das bedeutet wenig Zeit für ein mehrjähriges Projekt, das noch nicht definiert, priorisiert, budgetiert oder verbindlich beschlossen wurde. Wie Sie sehen werden, betrifft der Umfang veralteter Technologien und nicht aktualisierbarer Geräte mehr als viele annehmen.

Für CISOs, CTOs und CIOs wird es immer mehr zum entscheidenden Risiko für die Geschäftskontinuität, wenn sie sich nicht rechtzeitig auf PQC vorbereiten – zumal wir diese Entwicklung seit über einem Jahrzehnt vorausgesehen haben. Wer zu lange zögert, setzt sein Unternehmen vermeidbaren Sicherheitsverletzungen, Verstößen gegen Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und Schäden am Ruf aus. 

Jetzt ist nicht die Zeit für Panik, aber es ist wichtig, entschlossen und mit abgestimmter Planung über Organisationen und Lieferketten hinweg zu handeln. Wenn Sie Ihre Planung für 2026 angehen, sind strategische Investitionen und klare Aktionspläne für PQC unverzichtbar, um verantwortungsvoll im KI- und Quantenzeitalter zu führen. 

NIST-Standards und bundesweite Vorgaben

Die USA Das National Institute of Standards and Technology (NIST) hat klare Vorgaben gemacht und PQC-Algorithmen wie ML-KEM (FIPS 203) für den Schlüsselaustausch, ML-DSA (FIPS 204) für digitale Signaturen sowie SLH-DSA (FIPS 205) für Fallback-Signaturen finalisiert. Diese geprüften Standards schaffen eine verlässliche technische Basis und führen PQC vom Konzept in die Umsetzung. Die Empfehlung des NIST ist eindeutig: Mit der Ratifizierung der Standards ist jetzt der Zeitpunkt für die Implementierung der ersten Anwendungen gekommen.

Da die Computer, gegen die Sie sich schützen, unseres Wissens noch nicht existieren, führen wir hier die ERSTE Migration zu neuer Verschlüsselung durch. Das Ziel ist kein einmaliges Software-Upgrade, sondern wir verankern „Krypto-Agilität“ als zentrale Fähigkeit in Ihrem IT-Team und Ihrer Lieferkette, weil wir auf neue Quantenbedrohungen immer wieder reagieren müssen. Immer wieder. Immer wieder.

Ein grundlegender Architekturwechsel – und denken Sie dabei stets an GRC

Bei der ersten Umsetzung der PQC-Standards handeln Sie hauptsächlich mit einem Software-Upgrade. Krypto-Agilität zu erreichen – also die schnelle Anpassung der Kryptografie bei sich wandelnden Standards – erfordert jedoch weitreichende Veränderungen im Anwendungsmanagement, in der Governance und im IT-Betrieb. GRC-Teams bereiten sich auf umfangreiche Aufgaben vor, darunter Inventarisierung, Versionsverwaltung, Kompatibilitätstests und Risikoregister.

Wir erhöhen das Risiko von Ausfällen, Betriebsstörungen und Compliance-Verstößen bei schlecht gesteuerten Übergängen – besonders in hybriden, Multi-Cloud- und Legacy-Umgebungen. 

Der Quantensprung kann als Impuls wirken, der die lange verzögerte digitale Transformation und die Abkehr vom Mainframe vorantreibt – vorausgesetzt, Sie finden die passenden Talente und die nötige Legacy-Dokumentation.

Wenn Sie kritische IT-Aufgaben ausgelagert haben, besonders für Altsysteme, sollten Sie jetzt damit beginnen, deren Funktionsweise sorgfältig zu dokumentieren und zu verstehen. Viele Projekte überschreiten Kosten- und Zeitpläne erheblich, weil der Aufwand unterschätzt wurde.

Das Eisen-Dreieck des Projektmanagements spielt hier eine Rolle, denn gerade in komplexen, durch Akquisition gewachsenen Unternehmen werden Sie wahrscheinlich auf verschiedene Geschäftsfälle und Lösungsansätze stoßen. 

Anwendungen unter dem Quantenblick

PQC beeinflusst Anwendungen direkt, nicht nur die Infrastruktur. Die Einführung quantensicherer Kryptografie bedeutet mehr als nur eine Bibliothek auszutauschen – sie erfordert oft umfassende Codeänderungen in tief integrierten kryptografischen Komponenten. Da der Aufwand mehrere Jahre beträgt, sollten CISOs und GRC-Verantwortliche mit Widerstand, Klagen über fehlende Ressourcen, hohen Beratungsgebühren für spezialisierte Fachkenntnisse, internem Gegenwind und wechselnden Geschäftsszenarien rechnen – häufig erschwert durch eine lückenhafte Dokumentation bei Altsystemen. 

Frühes Handeln verringert künftige Krisen und ermöglicht bewusste, weniger störende Veränderungen. Viele Unternehmen wissen noch nicht, worauf sie achten müssen, und die Abstimmung mit den Beteiligten ist entscheidend für Ihren Erfolg und die Umsetzung. 

Praktische Auswirkungen auf Anwendungen

PQC-Algorithmen benötigen oft größere Schlüssel und mehr Rechenleistung, was die Latenz und den Durchsatz Ihrer Anwendungen beeinträchtigen kann, insbesondere bei zeitkritischen Arbeitslasten.

Wenn Sie zur Unterstützung von PQC modernisieren, decken Sie oft versteckte technische Schulden auf. Das kann Ihr Budget übersteigen, liefert Ihnen aber langfristig mehr Resilienz und bessere Leistung.

Sie müssen damit rechnen, dass nicht alle Systeme ein Upgrade erhalten können, und es ist kein einmaliges Projekt, das Sie einfach abschließen können. Wir kommunizieren klar mit Ihnen und allen Beteiligten: Ständige Erfassung und Anpassung gehören zum Alltag, und im Verlauf der Umstellung werden wir gemeinsam neue Herausforderungen identifizieren und angehen.

Transformation der Infrastruktur: Netzwerke, Cloud und Edge

PQC wird Netzwerkgeräte, Server und Cloud-Dienste grundlegend verändern – vor allem jene, die TLS-Terminierung und Verschlüsselung übernehmen. Viele Browser und Server werden sich anpassen, aber viele ältere Systeme müssen wir wegen des höheren Bandbreiten- und Rechenbedarfs aktualisieren oder austauschen.

Eine entscheidende Erkenntnis für Ihre Sicherheitsplanung liegt darin, den Einfluss von PQC auf Schlüsselaustauschmechanismen (KEMs) im Vergleich zu digitalen Signaturen in Protokollen wie TLS klar zu unterscheiden. Priorisieren Sie den Einsatz von PQC-KEMs (z. B. ML-KEM), um Risiken durch „Jetzt angreifen, später entschlüsseln“ zu begegnen – so schützen Sie langfristig gespeicherte Daten, die Angreifer aktuell sammeln.

Wir können die Einführung digitaler Signaturen schrittweise und risikobasiert planen, denn Fälschungen sind nur während aktiver Sitzungen möglich.

Hardware-Sicherheitsmodule (HSMs)

HSMs spielen eine zentrale Rolle bei der Verwaltung kryptografischer Schlüssel, stehen jedoch in einer PQC-Welt vor Herausforderungen. Größere Schlüssel und der steigende Verarbeitungsbedarf quantensicherer Algorithmen können die Kapazitäten bestehender, ressourcenlimittierter Hardware übersteigen. Seed-basierte Schlüsselgenerierung erleichtert zwar die Speicherung, erzeugt aber zusätzliche Rechenlast. Wir empfehlen ein Upgrade auf PQC-fähige HSMs, auch wenn es Kosten, Komplexität und Zeitaufwand mit sich bringt, um die kryptografische Sicherheit langfristig zu gewährleisten.

Die größte Herausforderung: Alte und ressourcenbeschränkte Geräte

Die größte Herausforderung von PQC ist vielleicht die Integration in Betriebstechnologie (OT), IoT und eingebettete Systeme, die nicht für kryptografische Flexibilität konzipiert sind. Diese Geräte verfügen oft nicht über den nötigen Speicher, die Kapazität oder Rechenleistung, um die größeren PQC-Schlüssel und den höheren Verarbeitungsaufwand zu tragen. Wir müssen bereichsübergreifend zusammenarbeiten – von Cybersicherheit über Infrastruktur bis zum Datenmanagement – und dabei immer kürzere Lieferfristen einhalten. Netzwerksegmentierung kann Ihnen Zeit verschaffen, bis ein Austausch oder Upgrade möglich wird.

F5: Ihr strategischer Partner

F5 verfügt über umfassende Erfahrung in der Anwendungsbereitstellung und Sicherheit und ist damit bestens aufgestellt, Sie bei diesem Wandel zu begleiten. Die F5 Application Delivery and Security Platform (ADSP) ermöglicht bereits heute die nahtlose Integration von PQC-Bereitschaftslösungen und vereinfacht so das Anwendungsmanagement und die Sicherheit für hybride, Multi-Cloud- und Legacy-Umgebungen.

Wie das führende Branchenanalyseunternehmen EMA in seiner Vendor Vision 2025 kürzlich hervorhob: Black Hat Edition: „Die F5 Application Delivery and Security Platform (ADSP) ist weit mehr als ein Werkzeug zum Schutz von Anwendungen; wir bieten eine wegweisende Lösung, die kritische Werte vor neuen Bedrohungen schützt – inklusive der bevorstehenden Herausforderung durch Quantencomputing ... Mit der frühen und entschlossenen Integration der Post-Quanten-Kryptografie (PQC) hebt sich F5 deutlich von Wettbewerbern ab, die sich noch in der experimentellen Phase befinden.“

Mit den einheitlichen Tools von F5 zur Sichtbarkeit, Verwaltung und Bedrohungsbewertung gestalten wir die Koordination eines quantensicheren Übergangs praxisnah und ohne Einschränkung Ihrer Geschäftsagilität. Als Proxy-Unternehmen fungieren wir als „Ihr Mann in der Mitte“ und unterstützen Sie dabei, kryptografische Umstellungen an Netzwerk-Rand und Anwendungseingang zu zentralisieren und zu automatisieren, während wir Telemetrie und KI-basierte Einblicke für ein kontinuierliches Bedrohungsmanagement liefern. Mit diesem Ansatz lösen wir die Herausforderung des „Wechselns eines Triebwerks während des Flugs“, indem wir die PQC-Migration vom Kern der Anwendungsentwicklung entkoppeln und so den operativen Aufwand und die Ausfallrisiken deutlich verringern.

Handeln Sie jetzt: Quantenresilienz-Strategien für CISOs

Die PQC-Reise ist ein mehrjähriger Transformationsprozess. Sie als Sicherheitsverantwortlicher müssen die Herausforderung klar benennen, Erwartungen präzisieren und Zeitpläne anpassen, sobald neue Bedrohungen oder Altlasten auftreten. Nutzen Sie proaktive Vorbereitungen, um das Mandat und die Notwendigkeit von PQC in eine strategische Chance zu verwandeln und endlich langjährige technische Schulden anzugehen – wir werden diesen Prozess immer wieder durchlaufen müssen. Ergreifen Sie die Gelegenheit, um durchgängig Transparenz zu schaffen, Ihre Abläufe zu modernisieren und sichtbare Führungsstärke in digitaler Resilienz zu zeigen.

Erfolgreich sind jene Organisationen, die PQC als unternehmensweite, fortlaufende Entwicklung verstehen und kommunizieren – nicht als einmaliges Software-Upgrade. Verfolgen Sie einen ganzheitlichen Ansatz, verteilen Sie die Botschaften konsequent in Ihrem Unternehmen und Ihrer Lieferkette, und legen Sie jetzt den Grundstein. Nutzen Sie die Gelegenheit, Ihre Organisation für eine sicherere, flexiblere und widerstandsfähigere Zukunft zu rüsten. Ihr Führungsanspruch in dieser Zeit bestimmt die Kontinuität, Compliance und den Ruf Ihres Unternehmens in den kommenden Jahren – und F5 begleitet Sie dabei durchgehend. 

Melden Sie sich für unser kommendes Webinar „Cybersicherheit zukunftsfest machen: Den Weg durch PQC meistern.“ 

Schauen Sie sich auch unsere vorherigen Blogbeiträge aus der Reihe an:

Eine fundierte Betrachtung zur aktuellen Diskussion um Post-Quantum-Kryptographie

Grundlegendes Verständnis: Warum ist PQC entscheidend?

PQC-Standards und Zeitpläne verstehen

* Gartner, „Starten Sie jetzt den Übergang zur Post-Quanten-Kryptographie“, von Mark Horvath, 30. September 2024