Anastasiia - stock.adobe.com
Kryptografische Modernisierung als Überlebensfrage
Quantencomputer und die neue Haftungsrealität zwingen Unternehmen zu einem Umbau ihrer Sicherheitsarchitektur. Wer auf regulatorische Entspannung hofft, spielt mit dem Feuer.
Die Diskussion um IT-Sicherheit drehte sich im letzten Jahrzehnt primär um Perimeter, Firewalls und die Abwehr akuter Angriffe. Dabei geriet das Fundament, auf dem unser gesamtes digitales Vertrauen ruht, fast unbemerkt in eine gefährliche Schieflage. Kryptografie galt lange als eine Form der digitalen Infrastruktur, die – einmal implementiert – einfach funktioniert.
Diese statische Sichtweise erweist sich aktuell als fataler Trugschluss. Wir befinden uns in einer Konvergenz zweier Entwicklungen, die den Status quo der digitalen Absicherung beenden. Zum einen hat der Stand der Entwicklung beim Quantencomputing die vermeintliche Sicherheit unserer heutigen Algorithmen bereits in Bedrängnis gebracht. Zum anderen erleben wir gerade eine regulatorische Zäsur. Während der Bundestag Mitte November 2025 das NIS2-Umsetzungsgesetz verabschiedet hat, stellte die EU-Kommission am 20. November 2025 mit dem Digitalen Omnibus Pläne vor, wie die Bürokratie entschlackt werden soll. Doch Vorsicht: Der versprochene Abbau von Berichtspflichten ändert nichts an der tatsächlichen Bedrohungslage und der eigentlichen Verschärfung von Cybersicherheitsregularien in Bezug auf die Umsetzung und Haftung.
Die Dringlichkeit ergibt sich nicht aus einem einzelnen Ereignis, sondern aus der Einsicht, dass das Zeitfenster für kontrolliertes Handeln fast geschlossen ist. Viele Entscheidungsträger wiegen sich in falscher Sicherheit, weil RSA-2048-Schlüssel heute noch nicht geknackt werden können. Diese Momentaufnahme ignoriert jedoch die asymmetrische Natur der Bedrohung. Geheimdienste und gut finanzierte kriminelle Gruppen operieren längst nach der Maxime Store now, decrypt later. Sie speichern heute den verschlüsselten Datenverkehr von Unternehmen, Behörden und Forschungseinrichtungen, wohl wissend, dass sie diesen in wenigen Jahren entschlüsseln können. Für ein Unternehmen, dessen Geschäftsgeheimnisse, Patente oder langfristige Strategiepapiere eine Geltungsdauer von fünf, zehn oder mehr Jahren haben, ist die Verschlüsselung damit bereits zum jetzigen Zeitpunkt als kompromittiert zu betrachten.
Die Illusion des sicheren Zeitfensters
Häufig begegnet man in Führungsetagen der Annahme, man könne die Migration auf post-quanten-sichere Verfahren (PQC) noch einige Jahre aufschieben. Dieses Kalkül wird jedoch der enormen Komplexität der Aufgabe nicht gerecht. Das National Institute of Standards and Technology (NIST) hat bereits im August 2024 mit der Standardisierung der ersten PQC-Algorithmen (FIPS 203, 204 und 205) die technische Basis geschaffen. Doch die Integration dieser neuen Standards in bestehende, über Jahrzehnte gewachsene IT-Landschaften gleicht einer Operation am offenen Herzen.
Die European Union Agency for Cybersecurity (ENISA) schätzt, dass relevante Quantencomputer innerhalb der nächsten zehn bis fünfzehn Jahre einsatzbereit sein könnten. Addiert man die Zeit, die Großunternehmen für eine vollständige kryptografische Migration benötigen – erfahrungsgemäß fünf Jahre oder länger –, wird deutlich, dass wir uns bereits in der Nachspielzeit befinden. Wer mit der Umstellung wartet, bis die ersten kryptografisch relevanten Quantencomputer offiziell im Einsatz sind, hat das Rennen längst verloren. Die Daten sind dann bereits abgeflossen und warten nur noch auf ihre Entschlüsselung.
Das toxische Erbe in der Infrastruktur
Parallel zu dieser externen Bedrohungslage kämpfen deutsche Unternehmen mit einem internen, oft unsichtbaren Gegner. Über Jahre hinweg wurde Kryptografie in vielen Organisationen stiefmütterlich behandelt. Man implementierte Zertifikate, Schlüssel und Protokolle nach dem Prinzip Ship and forget. Das Resultat sind heute Netzwerke, die durchsetzt sind von veralteten TLS-Versionen, aufwendigen Prozessen, diese zu erneuern und längst abgelaufenen Zertifikaten in vergessenen Subsystemen.
Besonders kritisch ist die Situation im Bereich der operativen Technologie (OT) und des Internets der Dinge (IoT). Hier finden sich häufig hartcodierte Zertifikate in Geräten, die nie für ein Update vorgesehen waren. Diese technischen Schulden bleiben so lange abstrakt, bis sie zu einem konkreten Ausfall führen. Ein mahnendes Beispiel lieferte das Auslaufen des Let’s Encrypt Root-Zertifikats im Jahr 2021. Zahlreiche Dienste und Geräte weltweit stellten über Nacht ihren Dienst ein, weil sie sich auf eine Vertrauenskette verließen, die es nicht mehr gab. Solche Vorfälle offenbaren eine mangelnde Transparenz, die aufhorchen lassen sollte. Viele CIOs und CISOs müssen auf Nachfrage eingestehen, dass sie keine vollständige Inventurliste ihrer kryptografischen Assets besitzen. In einer modernen, hybriden Multi-Cloud-Umgebung kann eine solche Nachlässigkeit zum existenziellen Risiko auswachsen.
Von Best Practice zur persönlichen Haftung
Hier greift die aktuelle Gesetzgebung. Zwar hat die EU-Kommission Ende des Jahres 2025 mit dem Digitalen Omnibus angekündigt, die DSGVO- und NIS2-Berichtspflichten zu harmonisieren und KMU zu entlasten. Doch dies darf nicht missverstanden werden: Der Omnibus reduziert den Papierkram, nicht die Sicherheitsanforderungen.
Das im November verabschiedete NIS2-Umsetzungsgesetz und der Cyber Resilience Act (CRA) fordern weiterhin strikt den Stand der Technik. Veraltete Verschlüsselungsprotokolle zu nutzen oder keinen Überblick über die eigenen Zertifikate zu haben, stellt nun einen direkten Verstoß gegen gesetzliche Pflichten dar. Der Gesetzgeber signalisiert im Grunde: Wir vereinfachen die Meldewege, aber bei technischer Fahrlässigkeit haftet die Geschäftsführung persönlich.
Noch weitreichender sind die Implikationen für Hersteller von Produkten mit digitalen Elementen. Der Cyber Resilience Act verpflichtet sie, die Sicherheit ihrer Software und somit der Devices über den gesamten Lebenszyklus zu gewährleisten. Der Strategie des Ship and forget wird damit ein regulatorischer Riegel vorgeschoben. Für die Geschäftsführung bedeutet dies, dass Cybersicherheit und insbesondere das Management kryptografischer Identitäten aus dem Maschinenraum der IT auf die Brücke des Vorstands rücken müssen. Die neuen Gesetze sehen nämlich empfindliche Bußgelder vor. Kryptografie-Management ist damit zu einer Compliance-Frage ersten Ranges avanciert.
„Forderungen nach Hintertüren für Strafverfolgungsbehörden, wie sie in politischen Debatten immer wieder auftauchen, zeugen von einem gefährlichen Missverständnis der mathematischen Realität. Eine Schwachstelle in der Verschlüsselung unterscheidet nicht zwischen einem Polizisten, einem Industriespion oder einem feindlichen Nachrichtendienst.“
Christian Müller, DigiCert
Kryptografische Agilität als strategische Antwort
Angesichts des Zangengriffs aus technologischer Bedrohung und rechtlichem Druck reicht es nicht aus, punktuell Zertifikate auszutauschen. Die Lösung liegt in einer fundamentalen Änderung der Strategie, hin zur kryptografischen Agilität. Organisationen müssen die Fähigkeit entwickeln, ihre Verschlüsselungsmechanismen dynamisch anzupassen, ohne dass dabei die gesamte Infrastruktur zusammenbricht oder neu gebaut werden muss. Agilität bedeutet in diesem Kontext, dass Algorithmen und Protokolle austauschbare Komponenten werden.
Der Weg dorthin führt zwingend über Automatisierung und Zentralisierung. Manuelle Verwaltungsprozesse mittels Excel-Tabellen sind angesichts der schieren Menge an maschinellen Identitäten – von Containern über Mobile Devices bis hin zu Cloud-Instanzen – zum Scheitern verurteilt. Ein modernes Certificate Lifecycle Management (CLM) beginnt mit der Discovery, also dem automatisierten Aufspüren aller kryptografischen Assets im Netzwerk. Nur was bekannt ist, kann verwaltet, erneuert und im Ernstfall ausgetauscht werden.
Dieser Ansatz ermöglicht auch die notwendige Hybrid-Strategie für den Übergang ins Post-Quantum-Zeitalter. Die NIST-Standards und Expertenempfehlungen raten dazu, klassische Algorithmen wie RSA oder ECC vorerst parallel zu den neuen PQC-Algorithmen zu betreiben. Dieser hybride Modus schafft Sicherheit durch Redundanz. Sollte sich einer der neuen Algorithmen wider Erwarten als schwach erweisen, schützt weiterhin das bewährte Verfahren. Gleichzeitig können Unternehmen Erfahrungen mit den neuen Standards sammeln, ohne die Kompatibilität mit älteren Systemen aufs Spiel zu setzen.
Digitale Souveränität als demokratischer Auftrag
Die Diskussion über Budgets, Algorithmen und Compliance darf jedoch den Blick auf das große Ganze nicht verstellen. Kryptografie erfüllt eine gesellschaftliche Funktion. Sie bildet das Rückgrat unserer digitalen Souveränität und schützt die Vertraulichkeit der Kommunikation in einer offenen Gesellschaft. In Zeiten geopolitischer Spannungen und zunehmender staatlicher Überwachungsbegehrlichkeiten fungiert eine starke Verschlüsselung als Schutzwall für Demokratie und Freiheit.
Forderungen nach Hintertüren für Strafverfolgungsbehörden, wie sie in politischen Debatten immer wieder auftauchen, zeugen von einem gefährlichen Missverständnis der mathematischen Realität. Eine Schwachstelle in der Verschlüsselung unterscheidet nicht zwischen einem Polizisten, einem Industriespion oder einem feindlichen Nachrichtendienst. Sie ist offen für alle. Unternehmen, die heute in robuste, zukunftsfähige Kryptografie investieren, schützen deshalb weit mehr als ihre eigene Bilanz. Sie leisten einen aktiven Beitrag zur Verteidigung eines freien Internets und der digitalen Selbstbestimmung jedes Einzelnen.
Der Zeitpunkt zum Handeln wird dabei nicht mehr von den Unternehmen selbst bestimmt, sondern von den Fakten diktiert. Die technischen Lösungen liegen auf dem Tisch. Die Standards sind definiert. Die Gesetze sind verabschiedet. Was fehlt, ist in vielen Organisationen noch der kulturelle Wandel, Kryptografie nicht als lästige Pflichtübung, sondern als kontinuierlichen Prozess zu begreifen. Die Quantencomputer warten nicht auf das nächste Geschäftsjahr – und sie lassen sich auch nicht durch den Digitalen Omnibus wegregulieren.
Unter anderem weil der notwendige Schritt sofort eine durchgreifende Steigerung der Resilienz der Cybersicherheit bedeuten, muss die kryptografische Wende jetzt beginnen.
Über den Autor:
Christian Müller ist Regional Vice President DACH bei DigiCert.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
