Quantencomputing steht bevor und wird die kryptografischen Systeme verändern, die Ihre Daten, Kommunikation und Infrastruktur schützen. Jetzt ist der richtige Zeitpunkt, um sich vorzubereiten. In dieser sechsteiligen Blogserie zur Postquantenkryptografie (PQC) erläutern Kryptografieexperten von F5, welche Gefahren bestehen, welche Chancen Sie erwarten und welche Maßnahmen Sie heute ergreifen können, um in einer Postquantenwelt sicher zu bleiben. Die Zukunft ist näher als Sie glauben. Lassen Sie uns gemeinsam bereit sein.
Im Jahr 2015 stoppte die US-amerikanische National Security Agency (NSA) die Branche beim Umstieg von den weit verbreiteten Rivest–Shamir–Adleman-Kryptosystemen (RSA) auf Elliptische-Kurven-Kryptografie (ECC) mit der Aussage: „Den Partnern und Anbietern, die bislang noch nicht auf Suite-B-Elliptische-Kurven-Algorithmen umgestellt haben, raten wir aktuell von großen Investitionen ab und empfehlen stattdessen, sich auf den bevorstehenden Wechsel zu quantenresistenten Algorithmen vorzubereiten.“
Seitdem gibt es viele Prognosen und, ehrlich gesagt, Spekulationen darüber, wann genau ein Quantencomputer, der RSA und ECC knacken kann, verfügbar sein wird. Experten schätzen, dass eine Chance von eins zu sieben besteht, dass weit verbreitete Kryptografie bis 2026 gebrochen wird und 50 %, dass sie bis 2031 unbrauchbar wird.
Satya Nadella, Microsoft-CEO, erklärte kürzlich, dass ein Prozessor mit einer Million Qubits zum Greifen nah ist. Microsoft sowie Hyperscaler wie IBM, Google und AWS treiben die Quantenforschung an vorderster Front voran und haben auf ihren Cloud-Plattformen Sandboxes eingerichtet. F5 Labs stellt im Artikel „Cybersecurity Predictions 2025“ fest, dass selbst wenn Quantencomputer, die direkt Kryptografie knacken können, nicht unmittelbar bevorstehen, KI 2025 genutzt wird, um traditionelle Verschlüsselungen zu durchbrechen.
Post-quantum-Kryptografie wird alle Branchen und Regionen nachhaltig prägen.
Der „Q-Day“ rückt näher. Den genauen Zeitpunkt kennen wir nicht. Die Sicherheitsbranche trifft nicht zum ersten Mal Prognosen, dennoch ist dies ein bemerkenswerter Fall, wie Vordenker und Aufsichtsbehörden versuchen, vorbeugend zu handeln.
Im Jahr 2000 stellte Salesforce die erste öffentlich verfügbare API vor. 2019 startete das Open Worldwide Application Security Project (OWASP) sein erstes API-Sicherheitsprojekt. Prognosen zum Zeitpunkt, wann Künstliche Allgemeine Intelligenz (AGI) erreicht wird, schwanken (zwischen 2040 und 2070). Doch der rasante Fortschritt generativer KI zusammen mit Entwicklungen im Quantencomputing lässt stark vermuten, dass es deutlich früher passieren wird.
Wie im ersten Blog dieser Serie beschrieben, ist die „Jetzt ernten, später entschlüsseln“-Situation real, und die USA National Institute of Standards and Technology (NIST) veröffentlicht bereits Empfehlungen zu postquantenresistenten Algorithmen.
Der Q-Day wird alle Bereiche der Sicherheit beeinflussen – von Web-Apps über APIs bis hin zu vernetzten KI-Ökosystemen.
Quantencomputing wird es Angreifern ermöglichen, Stromnetze, Finanznetzwerke, Regierungssysteme und Telekommunikationsnetzwerke gezielter anzugreifen. Viele Branchen, darunter Gesundheitswesen und E-Commerce, müssen gemäß Compliance-Vorgaben vertrauliche Kundeninformationen schützen – beispielsweise durch den Einsatz robuster Kryptografie.
Die größten Organisationen in diesen Branchen verfügen über mehr als 30 Millionen Vermögenswerte, die für die Unterstützung der Post-Quanten-Kryptografie (PQC) nachgerüstet werden müssen. Sobald ein Quantencomputer erscheint, der moderne Verschlüsselungen knacken kann, sind alle Unternehmen gefährdet – vor allem solche mit geistigem Eigentum, Gesundheitsakten, Finanztransaktionen oder Informationen zur nationalen Sicherheit.
F5 Labs Untersuchungen zeigen, dass die Mehrheit der Top 1 Million Websites TLS 1.3 bevorzugt, was ihnen die Möglichkeit gibt, PQC zu unterstützen – die Unterstützung sinkt jedoch bei weniger beliebten Sites schnell. Safari unterstützt PQC noch nicht, was die Einschätzung der clientseitigen Bereitschaft deutlich verfälscht. Obwohl die Auswirkungen weit über Web-Traffic hinausgehen, zeigt das einen wichtigen Status zur Branchenbereitschaft.
Branchen haben bei PQC Fortschritte erzielt, sind aber noch nicht auf dem neuesten Stand.
Tatsächlich haben die schnellsten Akteure aus allen Branchen bei der Unterstützung von PQC bislang nur oberflächlich angefangen, wodurch die gesamte Online-Welt in einer extrem gefährdeten Lage bleibt. Vor allem Finanzinstitute, Gesundheitsorganisationen, Telekommunikationsanbieter und Behörden – sie bilden einen großen Teil der kritischen Infrastruktur und vertreten Branchen, die mit den vertraulichsten und sensibelsten Daten umgehen – verzeichnen bisher nur geringe Anteile an PQC-unterstützten Websites.
Im Bankensektor fällt auf, dass nur wenige Unternehmen PQC praktizieren: Von 145 untersuchten Banken unterstützen lediglich vier (2,9 %) Post-Quantencode. Etwa 8,5 % der Websites im Gesundheitswesen und 7,1 % aus dem Regierungsbereich unter den Top 1 Million, die wir analysiert haben, integrieren PQC.
Der Technologiesektor befindet sich in einer etwas besseren Lage: Fast 12 % der Websites unterstützen PQC. Kleinere Organisationen wählen eher eine Webhosting- oder SaaS-Plattform, die ihnen sämtliche Sicherheitskontrollen dieser Plattform bietet, einschließlich der Unterstützung von PQC.
Die Verbreitung von APIs und der Aufstieg generativer KI dominieren die Sicherheitsberichterstattung, doch wir müssen PQC-Bereitschaft in die Vorstandsetage bringen. Risikomanagement isoliert in einem sich wandelnden geopolitischen Umfeld zu betreiben, führt unweigerlich zum Scheitern. Führung muss präzise agieren, denn PQC ist keine rein sicherheitsgetriebene Aufgabe. Sie sollten sicherstellen, dass Anwendungs-, Infrastruktur- sowie Sicherheits- und Risiko-Teams in PQC-Konzepten und Migrationsstrategien geschult werden. Wichtige Beteiligte und Forscher müssen PQC-Standards, Angriffe und Leistungsverbesserungen kontinuierlich verfolgen und bewährte Methoden sowie Testlabore nutzen.
Die Industrie spielt eine Schlüsselrolle und sollte eng mit Universitäten und Anbietern zusammenarbeiten. Dienstanbieter mit zentraler Infrastruktur, internen Zertifizierungsstellen und engen Beziehungen zu Anbietern sind ideal aufgestellt, um den Aufwand größerer PQC-Schlüssel und Signaturen effektiv zu managen. Solche Netzwerke reagieren zügig auf neue PQC-Algorithmen und fungieren als Prüfstein für späte Umsteiger.
Zum Inventar zählen wir manuelle und automatisierte Methoden, um Risiken zu bewerten und zu priorisieren. Wir konzentrieren uns auf Technologieelemente, die Finanz-, Reputations- und Kundendaten betreffen.
PQC erfordert eine fortlaufende Wartung, damit Sie Governance sicherstellen, neue Algorithmen bewerten, Anbieter prüfen, regulatorische Vorgaben erfüllen und Sicherheitsprogramme einsatzbereit halten können.
Die F5 Application Delivery and Security Platform (ADSP) unterstützt PQC.
Hybride Chiffriersammlungen, die klassische Algorithmen mit postquantenkryptografischen Verfahren verbinden, schützen Sie vor Angriffen durch klassische wie auch Quanten-Gegner. Wenn Sie Anwendungen über eine CDN-, SaaS- oder Application Delivery Controller (ADC)-Plattform bereitstellen und sichern und dabei stets aktuelle Chiffren und Standards nutzen, sind Sie für den Q-Day bestens vorbereitet. Andere müssen ihre Sicherheitsrisiken schnell erfassen und ihre Vorbereitungen gezielt anpassen.
Die Einführung von PQC erfolgt nicht durch eine einfache Ja-oder-Nein-Entscheidung, sondern als schrittweiser Prozess, der sich an Technologie, Leistung, Interoperabilität und den spezifischen Anforderungen der jeweiligen Branche und ihrer Anwendungsfälle orientiert.
Konvergente Plattformen liefern Apps, APIs und KI-Workloads sicher in jeder Umgebung. Mit umfassender PQC-Unterstützung und leistungsstarken XOps-Funktionen reduzieren wir Ihren operativen Aufwand durch KI, Automatisierung, Analyse und Programmierbarkeit.
Erfahren Sie mehr unter F5s PQC-Readiness-Lösungen.
Bleiben Sie dran für den nächsten Beitrag unserer Serie, in dem wir die PQC-Standards und deren Zeitpläne erläutern.