Post-Quanten-Kryptographie: Was ist zu beachten

Ist das heute schon ein Thema im ISMS, können sich Unternehmen jetzt auf die Zukunft vorbereiten?

Mit dem rasanten Fortschritt in der Quantencomputerforschung rückt die Bedrohung für klassische Verschlüsselungsverfahren immer näher. Unternehmen, die ein Informationssicherheitsmanagement-system (ISMS) nach ISO 27001 betreiben und eine hohe Risikoeinschätzung für Ihr Geschäft haben, müssen sich daher frühzeitig mit dem Thema Post-Quanten-Kryptographie (PQC) auseinandersetzen. Nur wer rechtzeitig handelt, bleibt langfristig compliant und schützt sensible Daten auch über Jahrzehnte hinweg.

Warum ist Post-Quanten-Kryptographie relevant für ISO 27001?

ISO 27001 verlangt im Anhang A (insbesondere 8.24 – Kryptographie), dass Unternehmen angemessene kryptographische Maßnahmen einsetzen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten.

Klassische Algorithmen wie RSA oder Elliptic Curve Cryptography (ECC) gelten derzeit als sicher, könnten aber von leistungsfähigen Quantencomputern in Zukunft gebrochen werden.

Besonders kritisch: Daten, die heute verschlüsselt und archiviert werden, könnten später entschlüsselt werden – mit fatalen Folgen für Datenschutz, Geschäftsgeheimnisse und Compliance.

Risiken und Herausforderungen

Hier sind insbesondere zu nennen:

• Harvest Now, Decrypt Later: Angreifer speichern heute verschlüsselte Daten, um sie in der Quanten-Ära zu entschlüsseln.

• Langfristige Vertraulichkeit: Besonders personenbezogene Daten, Forschungsdaten, Patente oder Finanzdaten müssen oft viele Jahre oder Jahrzehnte geschützt bleiben.

• Compliance-Risiko: Der „Stand der Technik“ entwickelt sich weiter. Unternehmen, die nicht rechtzeitig auf PQC umstellen, riskieren Verstöße gegen ISO 27001 und andere regulatorische Anforderungen.

Was ist zu tun?

Hier finden Sie 10 praktische Gegenmaßnahmen, die Sie heute gegen die Risiken durch Quantencomputer und für die Migration zu Post-Quanten-Kryptographie (PQC) ergreifen können:

1. Bestandsaufnahme der Kryptosysteme

Machen Sie eine kryptographische Inventur, erstellen Sie einen Cryptographic Bill of Materials (CBOM), der alle eingesetzten Verschlüsselungsalgorithmen (z. B. RSA, ECC, AES) in Ihren Systemen, Cloud-Diensten und IoT-Geräten erfasst. Identifizieren Sie kritische Daten mit langfristigem Schutzbedarf (z. B. personenbezogene Daten, Patente). Und dokumentieren Sie den Lebenzyklus der Schlüssel, bei einem Audit wird das ggf. ein Thema sein.

2. Auswahl von PQC-Algorithmen

Nutzen Sie Ressourcen des BSI oder NIST, um passende Algorithmen für Ihre Use Cases auszuwählen. Setzen Sie auf NIST-standardisierte Algorithmen wie CRYSTALS-Kyber (Schlüsselaustausch) oder CRYSTALS-Dilithium (Signaturen).

3. Hybride Verschlüsselung einführen

Kombinieren Sie klassische Verfahren (z. B. RSA) mit PQC-Algorithmen in Hybridlösungen, um während des Übergangszeitraums abgesichert zu sein. Als Beispiel: TLS 1.3 mit hybridem Schlüsselaustausch (Kyber + ECDH).

4. Schulungen und Awareness

Schulen Sie IT-Teams und Entscheider zu PQC-Risiken und Migrationsstrategien. Nutzen Sie Leitfäden des BSI oder Schulungsangebote von Anbietern wie Infineon oder GlobalSign.

5. Lieferkettenmanagement

Fordern Sie von Cloud-Anbietern, Hardware-Herstellern und Softwarepartnern Transparenz über deren PQC-Pläne. Bevorzugen Sie zertifizierte Lösungen (z. B. Common Criteria EAL6 wie bei Infineons TEGRION™-Controller).

6. Monitoring von Standards

Verfolgen Sie Updates zu NIST PQC-Standards und ENISA-Empfehlungen. Nutzen Sie zur Verfügung stehende aktuelle oder zukünftige Tools für Tests und Implementierungen.

7. Zertifizierte Hardware einsetzen

Integrieren Sie bereits heute Hardware mit PQC-Unterstützung, z. B. quantensichere Sicherheitschips (wie von Infineon zertifiziert), ggf. ist das relevant für eIDs, Smartcards, IoT-Geräte.

8. Proofs of Concept (PoCs) testen

Führen Sie Pilotprojekte mit PQC in nicht-kritischen Systemen durch (z. B. interne Kommunikation). Sichten Sie Fachliteratur, andere Unternehmen testen bereits PoCs – nutzen Sie deren Erfahrungen.

9. Datenspeicherung und Zeitfaktoren beachten und anpassen

Es gib Optionen, die Daten auf andere Medien und Dienstleister ohne Zugriffsmöglichkeit von aussen zu verteilen, um den Zugriff zu vermeiden und somit die Entschlüsselung gar nicht erst zu ermöglichen. Aber es gibt aber auch Risiken bei langfristiger Speicherung mit PQC:

Technologieversagen:

Physische Speichermedien (z. B. SSDs, Tapes) haben eine begrenzte Lebensdauer (z. B. 10–30 Jahre). Selbst PQC-verschlüsselte Daten sind nutzlos, wenn das Medium korrumpiert oder nicht mehr lesbar ist.

Dienstleister-Risiko:

Cloud-Anbieter oder Managed-Service-Provider können insolvent werden oder Technologien einstellen. Daten sind auch unzugänglich, wenn der Anbieter den Vertrag kündigt und keine Migrationspfade existieren. Nutzen Sie eine Multi-Cloud- und Multi-Vendor-Strategie, indem Sie Daten parallel bei mehreren Anbietern speichern. Sichern Sie sich mit Escrow-Vereinbarungen ab, indem Sie vertraglich festlegen, dass Anbieter bei Insolvenz Daten in standardisierten Formaten zurückgeben müssen.

Algorithmen-Obsoleszenz:

Heute als sicher geltende PQC-Algorithmen könnten in 10–20 Jahren gebrochen werden (z. B. durch neue Quantenalgorithmen). Up-to-date zu sein ist daher wichtig, um zu reagieren.

Format-Obsoleszenz:

Formate veralten ebenso, nutzen Sie standardisierte und offene Formate (z. B. PDF/A, TIFF) und dokumentierte Protokolle, um Kompatibilität über Jahrzehnte zu gewährleisten.

10. Roadmap entwickeln

Erstellen Sie einen stufenweisen Migrationsplan mit Meilensteinen bis 2030. Priorisieren Sie Hochrisikobereiche (z. B. VPNs, digitale Signaturen, Backup-Verschlüsselung). Führen Sie Pilotprojekte mit PQC in nicht-kritischen Systemen durch (z. B. interne Kommunikation).

ISMS als Dokumentations- und Steuerungsinstrument

Jährliche Medienchecks und Algorithmen-Updates gemäß NIST-Empfehlungen sind im ISMS zu verankern. Die Unternehmen müssen Medien und Algorithmen regelmäßig migrieren, Langzeitstabile Speicherung von Daten mit PQC-Aspekten erfordert Redundanz, Hybridansätze und Unabhängigkeit von Einzelanbietern. Und die Verträge mit Dienstleistern sind future-proof zu gestalten. Also eine Menge zu tun und im ISMS zu dokumentieren.

Die Dokumentation und Governance für PQC -Themen ist wichtig, auch langfristige Sicherheitsrichtlinien müssen erstellt werden, dann wissen Sie, wie lange Daten geschützt werden müssen (z. B. 30 Jahre für Patente) und planen Sie Migrationszyklen.

Durch die o. g. Maßnahmen, die Teil des ISMS sind, sind Sie besser auf die Post-Quanten-Ära vorbereitet und reduzieren das „Harvest Now, Decrypt Later“-Risiko effektiv. Und auf die heute schon im ISO 27001- bzw. TISAX-Audit gestellte Frage der genutzten Verschlüsselungsmethoden und deren Lebenzyklus hat man dann heute schon eine gute Antwort.

Fazit

Post-Quanten-Kryptographie ist keine Zukunftsmusik mehr, sondern eine zentrale Herausforderung für die Informationssicherheit und ISO 27001-Compliance. Unternehmen, die hier Risiken tragen und jetzt handeln, verschaffen sich einen Vorsprung – nicht nur in Sachen Sicherheit, sondern auch gegenüber Kunden, Partnern und Aufsichtsbehörden.