PQC Transition: Technischer Leitfaden für Crypto Asset Management
Management Summary
Der Übergang zur Post-Quantum-Kryptografie (PQC-Transition) erfordert eine frühzeitige Bewertung der kryptografischen Infrastruktur. Klassische Algorithmen wie RSA-2048 und ECC-256 gelten als Kandidaten für eine Ablösung bis 2030 (deprecated by 2030). Eine strukturierte Vorbereitung schafft die Grundlage für eine kontrollierte Migration. Crypto Asset Management liefert Transparenz über Zertifikate, Schlüssel, kryptografische Algorithmen und Kommunikationsabhängigkeiten.
Die technische Vorbereitung basiert auf Krypto-Agilität, Multi-Algorithmus-Unterstützung und automatisiertem Zertifikatsmanagement. Hybride Architekturen (hybrid architectures) ermöglichen die schrittweise Einführung quantum-resistenter Verfahren, ohne bestehende Systeme zu unterbrechen. Priorisiert werden typischerweise langlebige Daten, externe Kommunikationspfade und kritische Infrastrukturen.
Die Integration über PKI, Anwendungen, Netzwerkprotokolle (network security protocols) und Cloud-Umgebungen erfordert abgestimmte Governance und Budgetplanung. Eine Kombination aus Krypto-Inventar, Priorisierung, Automatisierung und flexibler PKI-Architektur ermöglicht den kontrollierten Übergang zu Post-Quantum-Kryptografie-Standards (post quantum cryptography standards).
PQC Transition als Infrastrukturprojekt
Die Umstellung auf Post-Quantum-Kryptografie beginnt lange vor dem produktiven Einsatz von Quantencomputern. Aktuelle kryptografische Systeme schützen Informationen, die über viele Jahre vertraulich bleiben müssen. Dadurch entsteht ein Risiko durch sogenannte „Harvest now, decrypt later“-Attacken. Angreifer sammeln verschlüsselte Daten heute und entschlüsseln sie zu einem späteren Zeitpunkt mithilfe von Quantencomputern. Unternehmen mit langfristig schutzbedürftigen Daten – etwa im Gesundheitswesen, in der Finanzbranche, in der öffentlichen Verwaltung oder in der industriellen Forschung – berücksichtigen diese Bedrohung bereits heute.
Post-Quantum-Kryptografie basiert auf kryptografischen Algorithmen (cryptographic algorithms), die gegen Quantenangriffe widerstandsfähig sind. Standardisierungsaktivitäten des National Institute of Standards and Technology (NIST) definieren neue Verfahren für digitale Signaturen (digital signature) und Schlüsselaustauschmechanismen. Mit zunehmender Verfügbarkeit dieser Verfahren erfolgt die Migration schrittweise.
Leitlinien und NIST-IR-Dokumente beschreiben erste Zeitrahmen. Klassische Verfahren wie RSA-2048 und ECC-256 gelten als Kandidaten für eine Ablösung bis 2030 (deprecated by 2030), mit weitergehenden Einschränkungen bis etwa 2035 (disallowed after 2035). Da viele Systeme über diesen Zeitraum hinaus betrieben werden, gewinnt Krypto-Agilität an Bedeutung.
Die Umstellung betrifft nicht nur Zertifikate. Netzwerkprotokolle, Identitätssysteme und Anwendungen nutzen asymmetrische Kryptografie. Dadurch entwickelt sich die PQC-Transition zu einem Infrastrukturprojekt, das PKI, Zertifikatsmanagement, Hardware-Sicherheitsmodule und Anwendungen umfasst. Die Analyse beginnt typischerweise mit der Identifikation klassischer Algorithmen und ihrer Abhängigkeiten.
Mit zunehmender Reife entstehen hybride Implementierungen (hybrid certificates). Diese kombinieren klassische und quantum-sichere Verfahren. Leistung, Schlüssellängen und Auswirkungen auf die Infrastruktur lassen sich so evaluieren. Der Übergang wird zu einem mehrjährigen Transformationsprozess.
Crypto Asset Management als Grundlage
Die Vorbereitung auf Post-Quantum-Kryptografie erfordert einen klaren Überblick über die kryptografische Landschaft. Zertifikate, Schlüssel und Algorithmen sind häufig über Anwendungen, Infrastrukturkomponenten und Dienste verteilt. Ohne strukturiertes Inventar lässt sich nicht bestimmen, welche Systeme angepasst werden müssen.
Crypto Asset Management schafft Transparenz über Zertifikate, Schlüssel, Zertifizierungsstellen, Hardware-Sicherheitsmodule und kryptografische Bibliotheken. Ein vollständiges Krypto-Inventar dokumentiert verwendete Algorithmen für digitale Signaturen, Schlüsselaustausch (key establishment schemes) und Verschlüsselung. Diese Informationen bilden die Grundlage für PQC-Readiness.
Auch Netzwerkprotokolle, Single-Sign-On-Infrastrukturen sowie Service-zu-Service-Kommunikation nutzen eingebettete kryptografische Funktionen. Diese Abhängigkeiten sind nicht immer dokumentiert. Eine frühe Identifikation reduziert das Risiko, kritische Kommunikationspfade zu übersehen.
Zur Festlegung von Migrationsprioritäten wird zudem das Verhältnis zwischen asymmetrischer und symmetrischer Kryptografie (symmetric cryptography) analysiert. Symmetrische Verfahren gelten bei angepassten Schlüssellängen als robuster gegenüber Quantenangriffen. Asymmetrische Schlüsselaustauschmechanismen bleiben jedoch verwundbar. Systeme mit intensiver Nutzung asymmetrischer Verfahren werden daher früh priorisiert.
In der Praxis werden automatische Discovery-Funktionen mit strukturierter Klassifikation kombiniert. Discovery identifiziert unbekannte Zertifikate und Schlüssel, während Klassifikation Assets nach Nutzung und Schutzbedarf gruppiert. Dadurch werden gestaffelte Migrationen und hybride Szenarien unterstützt.
Frühe Transparenz reduziert operative Risiken während der PQC-Transition. Abhängigkeiten lassen sich identifizieren, Algorithmusunterstützung bewerten und Zertifikatsprozesse anpassen. Crypto Asset Management bildet damit die operative Grundlage für den Übergang zur Post-Quantum-Kryptografie.
Ein solcher Überblick wird häufig als Cryptographic Bill of Materials (CBOM) bezeichnet. Analog zu einem Software Bill of Materials dokumentiert ein CBOM kryptografische Algorithmen, Schlüssel und deren Abhängigkeiten innerhalb der Infrastruktur. Damit unterstützt ein gepflegtes CBOM die Identifikation quantenanfälliger Verfahren und dient als Grundlage für eine strukturierte PQC-Transition.
Technische Anforderungen für PQC-Readiness
PQC-Readiness erfordert mehr als den Austausch einzelner Algorithmen. PKI- und Zertifikatsmanagement-Umgebungen müssen klassische und Post-Quantum-Verfahren parallel unterstützen. Infrastrukturen müssen mehrere kryptografische Algorithmen gleichzeitig verarbeiten und sich an neue Standards anpassen können.
Multi-CA-Fähigkeit
Viele Umgebungen betreiben mehrere Zertifizierungsstellen. PQC erhöht die Komplexität, da neue oder angepasste CAs zusätzliche Algorithmen unterstützen müssen. Multi-CA-Fähigkeit ermöglicht parallele Test- und Migrationsszenarien.
Multi-Algorithmus-Unterstützung
Klassische Algorithmen wie RSA-2048 und ECC-256 müssen parallel zu Post-Quantum-Verfahren verwaltet werden. Hybride Zertifikate kombinieren klassische digitale Signaturen mit quantum-sicheren Verfahren. Dadurch wird eine Migration ohne Big-Bang möglich.
Hinzu kommt, dass Post-Quantum-Algorithmen nicht mehr alle Anwendungsfälle gleichzeitig abdecken. Während klassische Verfahren wie RSA sowohl für Verschlüsselung, Signaturen als auch Authentifizierung eingesetzt werden konnten, spezialisieren sich PQC-Algorithmen stärker auf einzelne Funktionen. ML-KEM wird beispielsweise für Verschlüsselung verwendet, während ML-DSA und SLH-DSA primär für Signaturen und Authentifizierung vorgesehen sind.
In der Praxis bedeutet dies, dass künftig mehrere Schlüssel oder Zertifikate für unterschiedliche Anwendungsfälle erforderlich sein können. Systeme müssen daher Multi-Algorithmus-Unterstützung und flexible Zertifikatsstrukturen bereitstellen.
Automatisiertes Zertifikatsmanagement
Der Übergang erhöht die Anzahl der Zertifikatsoperationen. Automatisiertes Zertifikatsmanagement stellt konsistente Ausstellung, Erneuerung und Widerruf sicher und unterstützt Richtlinien über mehrere Algorithmen hinweg.
Gleichzeitig werden kürzere Zertifikatslaufzeiten zunehmend als Ansatz zur Verbesserung der Crypto Agility betrachtet. Häufigere Erneuerungen erleichtern den Austausch kryptografischer Algorithmen, erfordern jedoch eine konsequente Automatisierung des Zertifikatslebenszyklus.
Krypto-Inventar und Discovery
Technische Vorbereitung erfordert vollständige Transparenz. Discovery identifiziert unbekannte Zertifikate und Schlüssel. Inventardaten ermöglichen die Bewertung von Schlüsselaustauschmechanismen und Signaturverfahren.
Stapelverarbeitung und skalierbare Migration
PQC betrifft umfangreiche Zertifikatsmengen. Stapelverarbeitung ermöglicht Massenersatz und Schlüsselrotation. Zunächst werden ausgewählte Systeme migriert, danach erfolgt die Erweiterung auf andere Umgebungen.
Priorisierung kryptografischer Assets und Kommunikationslinien
Nicht alle Systeme müssen gleichzeitig migriert werden. Migrationsphasen orientieren sich an Schutzbedarf und Kritikalität.
Langlebige Daten haben häufig höchste Priorität. Systeme zum Schutz von geistigem Eigentum oder regulierten Daten – etwa Patientenakten, Finanztransaktionen oder industrielle Konstruktionsdaten – werden früh in der Migrationsplanung berücksichtigt.
In vielen PQC-Strategien erfolgt zudem eine zeitbasierte Priorisierung. Verschlüsselungsanwendungen werden zuerst adressiert, da abgefangene Daten später entschlüsselt werden könnten. Signaturverfahren folgen aufgrund langfristiger Validierungsanforderungen. Authentifizierungsmechanismen werden häufig zuletzt migriert, da ihre Sicherheitswirkung primär auf den aktuellen Zeitpunkt beschränkt ist.
Extern erreichbare Dienste werden ebenfalls priorisiert. Diese nutzen Netzwerkprotokolle, die asymmetrische Kryptografie verwenden. Eine Aktualisierung reduziert Angriffsflächen.
Interne Kommunikation erfordert abgestimmte Reihenfolgen. Service-Kommunikation und Maschinenidentitäten umfassen zahlreiche Zertifikate. Abhängigkeiten müssen berücksichtigt werden.
Symmetrische Kryptografie bleibt robuster, hängt jedoch vom asymmetrischen Schlüsselaustausch ab. Systeme mit intensiver Nutzung asymmetrischer Verfahren definieren Migrationswellen.
Crypto Agility und hybride Architekturen
Krypto-Agilität ermöglicht den Austausch kryptografischer Algorithmen, ohne grundlegende Infrastrukturänderungen vornehmen zu müssen. Systeme mit flexibler Algorithmuskonfiguration lassen sich dadurch schrittweise an neue PQC-Standards anpassen.
Auf dieser Grundlage entstehen hybride Architekturen, die klassische Verfahren mit Post-Quantum-Algorithmen kombinieren. Hybride Zertifikate erlauben eine parallele Validierung beider Ansätze und erhalten gleichzeitig die Kompatibilität zu bestehenden Systemen. Dies reduziert Risiken während der Migration.
Mehrere unterstützte Schlüsselaustauschverfahren erleichtern zudem Tests und gestaffelte Einführungen. Legacy-Systeme bleiben weiterhin funktionsfähig, während neue Komponenten bereits Post-Quantum-Mechanismen nutzen.
Parallel aufgebaute Vertrauenskettungen verbessern die Interoperabilität zwischen klassischen und PQC-fähigen Umgebungen. Praktische Tests liefern dabei wichtige Erkenntnisse zu Performance, Schlüssellängen und Auswirkungen auf die Infrastruktur. Diese Erfahrungen gehen direkt in die weitere Migrationsplanung ein.
Integration in bestehende Unternehmensumgebungen
Die PQC-Transition betrifft die gesamte Unternehmensarchitektur. PQC-Funktionen werden in PKI, Identitätssysteme wie Single-Sign-On-Infrastrukturen, Netzwerkkomponenten und Cloud-Dienste integriert.
PKI-Plattformen unterstützen PQC-fähige Zertifikatsausstellung und ermöglichen Testumgebungen mit NIST-Algorithmen.
Netzwerkkomponenten wie Fortinet FortiGate und FortiWeb müssen neue Algorithmen unterstützen. Ohne Anpassung funktionieren hybride Zertifikate nicht konsistent.
Identitäts- und Zugriffsplattformen wie CyberArk sowie Automatisierungsplattformen wie HashiCorp erfordern Anpassungen der Zertifikatsprozesse.
Cloud-Umgebungen wie Amazon Web Services (AWS) bringen zusätzliche Abhängigkeiten. Konsistente Integration reduziert Komplexität.
Bibliotheken wie OpenSSL beeinflussen TLS und API-Kommunikation. SaaS-Plattformen wie Salesforce und Container-Plattformen wie Docker erweitern Vertrauensbeziehungen.
Governance, Budget und organisatorische Abstimmung
Beim Übergang zur Post-Quantum-Kryptografie müssen Security-, Infrastruktur- und Anwendungsteams koordiniert arbeiten. Häufig entstehen bereichsübergreifende Initiativen. In diesem Rahmen bewerten Security-Teams Risiken, Infrastrukturteams prüfen technische Fähigkeiten und Anwendungsteams analysieren die Kompatibilität.
Budgetplanung unterstützt Anpassungen an PKI-Umgebungen, Hardware-Komponenten und Anwendungen. Pilotumgebungen erfordern zusätzliche Ressourcen. Klare Verantwortlichkeiten verbessern Transparenz und Abstimmung.
Frühe Kommunikation stellt sicher, dass quantum-sichere Anforderungen in Architekturentscheidungen und Beschaffungsprozessen berücksichtigt werden. Strukturierte Governance unterstützt die Entwicklung einer Roadmap mit Krypto-Inventar, Pilotphasen, hybrider Integration und schrittweisem Rollout.
PQC Transition Roadmap
Phase 1: Readiness bewerten
Kernaktivitäten
Krypto-Inventar erstellen
Algorithmusnutzung bewerten
Kritische Kommunikationspfade identifizieren
Priorisierungskriterien definieren
Ziel
Transparenz über kryptografische Assets
Quantum-Risiko bewerten
Migrationsprioritäten festlegen
Strukturierte Migration
Technischer Fokus
Discovery, Klassifikation, Asset-Ownership
Digitale Signatur, Schlüsselaustausch
Netzwerkprotokolle, Abhängigkeiten
Risikobasierte Migrationsphasen
essendi-Support
essendi cd,
essendi xc
essendi xc
essendi xc
essendi Beratung
Phase 2: Architektur vorbereiten
Kernaktivitäten
Multi-CA-Fähigkeit etablieren
Multi-Algorithmus-Unterstützung implementieren
Zertifikatslebenszyklus automatisieren
Discovery und Monitoring einführen
Ziel
Schrittweise Migration ermöglichen
Hybride Migration
Operatives Risiko reduzieren
Blind Spots vermeiden
Technischer Fokus
PKI-Architektur, Vertrauenskette
Hybride Zertifikate, Crypto Agility
Certificate Lifecycle Management (CLM)
Kontinuierliches Krypto-Inventar
essendi-Support
essendi xc,
essendi pki
essendi xc,
essendi pki
essendi xc
essendi cd
Phase 3: Transition planen
Kernaktivitäten
Stapelverarbeitung vorbereiten
PQC-Pilotumgebungen aufbauen
Hybride Architekturen validieren
Migrations-Roadmap definieren
Ziel
Skalierbare Migration
Betriebserfahrung sammeln
Interoperabilität sicherstellen
Kontrollierter Rollout
Technischer Fokus
Bulk-Operationen, Schlüsselrotation
Pilot-PKI, hybride Zertifikate
Hybrid-Signaturen, Algorithmus-Negotiation
Crypto Agility Strategie
essendi-Support
essendi xc
essendi pki,
essendi xc,
PQC Beratung
essendi pki,
essendi xc,
PQC Beratung
essendi Beratung
Phase 4: PQC operativ umsetzen
Kernaktivitäten
PQC in Infrastruktur integrieren
Governance-Modell etablieren
Budget und Ressourcen planen
Ziel
Kompatibilität erhalten
Koordinierte Transition
Langfristige Umsetzung
Technischer Fokus
TLS, Identitätssysteme, Kryptobibliotheken
Organisations-übergreifende Abstimmung
Infrastruktur-Updates, Automatisierung
essendi-Support
essendi pki,
essendi xc
essendi Beratung
essendi Beratung
Diese Checkliste sollte als lebendes Dokument verstanden werden. Mit der Weiterentwicklung von Standards und der zunehmenden Reife von Implementierungen können zusätzliche Schritte ergänzt werden, insbesondere für hybride Implementierungen und Algorithmus-Updates.
Wie essendi die PQC-Transition unterstützt
Die Vorbereitung auf Post-Quantum-Kryptografie erfordert Transparenz, Automatisierung und flexible PKI-Architekturen. Die essendi crypto solutions-Familie kombiniert Discovery, Lifecycle Management und PKI-Betrieb mit Beratung.
essendi xc automatisiert Ausstellung, Erneuerung und Rotation von Zertifikaten über mehrere Zertifizierungsstellen hinweg. Dies unterstützt Migration auf hybride Zertifikate und Post-Quantum-Algorithmen sowie kontrollierte Massenmigrationen.
essendi cd identifiziert Zertifikate und Schlüssel über Netzwerkgrenzen hinweg und erkennt unbekannte Abhängigkeiten. Dadurch entsteht ein vollständiges Krypto-Inventar als Grundlage für Priorisierung.
Die essendi pki unterstützt parallelen Betrieb mehrerer Zertifizierungsstellen und Integration neuer Algorithmen. Pilotumgebungen ermöglichen Validierung ohne Einfluss auf Produktionssysteme.
Ergänzend unterstützt essendi mit PQC-Beratung bei Inventar, Priorisierung, Roadmap und Pilotplanung.