Jetzt CloudGate testen!
CloudGate
Leistungen
Governance
Agentic AI Governance
Regulatory Advisory
Audit und Assurance Support
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
Data Act
Bafin-Mitteilung DORA/KI
Bafin-Mitteilung Cloud
Lösungen
Muster-Verträge
TPRM SaaS: CloudGate
IT-GRC


Leistungen
TPRM-Advisory
Sourcing-Strategie
Cloud-Strategie
Provider Management
Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Cloud Enabling Story
Services
SLA-Rechner
TPRM SaaS: CloudGate
Third Party Management


Leistungen
AI Governance
AI Literacy/KI-Kompetenz
Agentic AI Governance
AI Act Assessment
Themen
AI Act
Bafin Mitteilung DORA/KI
Digital Adoption
Services
AI Compliance SaaS: CloudGate
AI


Leistungen
Sovereignty
Exit Management
Security Implementation
Themen
Marktübersicht EU Public Cloud
Cyber Resilience Act
Post-Quanten-Kryptographie
Services
TPRM SaaS: CloudGate
Resilience





Seminare
Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Themen
DORA
NIS-2
AI Act
Wissenswertes
Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. Resilience
  3. Themen
  4. Post-Quanten-Kryptographie

Post-Quanten-Kryptographie

Quantensichere Kryptographie praxistauglich vorbereiten

Post-Quanten-Kryptographie, ein Zukunftsthema, das schon heute eine große Herausforderung für IT, Security und Governance darstellt. Nur wer seine kryptographischen Abhängigkeiten kennt, kann den Umstieg auf quantensichere Verfahren gezielt angehen.

Schafft mit uns Transparenz über eure kryptographischen Abhängigkeiten, priorisiert Risiken und entwickelt eine umsetzbare Roadmap - auditfähig, regulatorisch anschlussfähig und praxistauglich!

Mehr erfahren   Kostenloses Erstgespräch

TPRM Advisory

Herausforderung auf dem Weg zur Quantum-Readiness: fehlende Transparenz

Die Bedrohung durch Quantencomputing beginnt nicht in der Zukunft, sondern heute. Daten können bereits jetzt abgegriffen und gespeichert werden, um sie zu einem späteren Zeitpunkt zu entschlüsseln ("harvest now, decrypt later").

Deshalb liegt die Herausforderung nicht primär in der Auswahl neuer kryptographischer Verfahren, sondern in der fehlenden Transparenz: In gewachsenen IT-Landschaften ist oft nicht nachvollziehbar, wo und wie Kryptographie eingesetzt wird - über Systeme, Schnittstellen und Drittanbieter hinweg.

Post-Quantum-Readiness-Assessment

Unser Readiness-Assessment setzt dort an: Wir machen kryptographische Abhängigkeiten sichtbar, bewerten deren Risiko und übersetzen technische Komplexität in eine klare, managementtaugliche Priorisierung. Daraus entsteht eine Roadmap, die nicht nur konzeptionell überzeugt, sondern für euch operativ umsetzbar und auditfähig ist.

Kontakt aufnehmen   Mehr erfahren

Wie ihr eure Post-Quantum-Readiness systematisch aufbaut

Was tun, wenn zentrale Verschlüsselungsverfahren perspektivisch nicht mehr ausreichend sicher sind? Unser Post-Quantum Readiness-Assessment zeigt euch, wo ihr steht und welche Schritte wirklich notwendig sind.

Wir analysieren, welche Systeme, Daten, Anwendungen, Cloud-Services, Protokolle, Zertifikate und Drittparteien von der Umstellung auf Post-Quanten-Kryptographie betroffen sind. 

Schlüssel

Quantum-Readiness

Schützt eure Daten von heute schon jetzt gegen die morgen bereits mögliche Entschlüsselung durch Quanten-Computing

Unser Vorgehen - deine Vorteile

Icon Glühbirne/Sovereign Cloud

Werde mit uns Quantum-ready

Lass dich unterstützen beim Vorgehen und erfahre, welche Schritte wirklich wichtig sind. Wir freuen uns auf deine Nachricht.

Kontakt aufnehmen   Mehr erfahren

Warum ihr regulatorisch bereits heute betroffen seid

Aufsichtlich-regulatorische Einordnung

Regulatorische Anforderungen zu Post-Quanten-Kryptographie sind heute noch nicht flächendeckend konkretisiert. Genau daraus entsteht das Risiko: Organisationen müssen handeln, bevor explizite Vorgaben greifen.

Denn bestehende Regelwerke adressieren die zugrunde liegenden Anforderungen bereits heute – insbesondere in den Bereichen Informationssicherheit, operationelle Resilienz, Risikomanagement und Auslagerungssteuerung. Post-Quanten-Kryptographie wird damit nicht zu einer isolierten Technologiefrage, sondern zu einem Bestandteil bestehender Governance- und Compliance-Strukturen.

Für regulierte Unternehmen bedeutet das: Langfristige Vertraulichkeit, Integrität und Verfügbarkeit müssen auch unter veränderten technologischen Rahmenbedingungen sichergestellt werden. Wer erst auf konkrete Vorgaben wartet, läuft Gefahr, regulatorisch und operativ unter Zeitdruck zu geraten.

  • ISO/IEC 27001
  • BSI IT-Grundschutz
  • BSI TR-02102
     

Wir unterstützen dabei, PQC-Anforderungen frühzeitig in bestehende Governance-, Risiko- und Compliance-Strukturen zu integrieren – so dass aus regulatorischer Unsicherheit eine steuerbare Vorbereitung wird.

IT-Ausschreibung/Icon Glühbirne

Kostenloses Erstgespräch sichern!

Im Gespräch klären wir

  • wo ihr heute steht: Gibt es bereits ein Crypto Inventory, eine Kryptographie-Policy oder eine PQC-Roadmap?
  • welche Systeme besonders relevant sind: Welche Daten, Anwendungen, Cloud-Services, Schnittstellen oder Provider haben den höchsten Schutzbedarf?
  • welche Maßnahmen priorisiert werden sollten: Braucht ihr zuerst Transparenz, eine Strategie, Provider-Abfragen, Vertragsbausteine oder technische Pilotierung?
  • wie ihr auditfähig vorgeht: Welche Nachweise, Reports und Governance-Strukturen sind erforderlich, damit PQC nicht nur geplant, sondern auch prüfbar umgesetzt wird?

Kontakt aufnehmen    Mehr erfahren

FAQ: Häufige Fragen zu Post-Quanten-Kryptographie

Was ist Post-Quanten-Kryptographie?

Post-Quanten-Kryptographie bezeichnet kryptographische Verfahren, die auch gegenüber Angriffen durch leistungsfähige Quantencomputer widerstandsfähig sein sollen. Sie läuft auf klassischer IT-Infrastruktur und soll langfristig heutige verwundbare Verfahren ersetzen oder ergänzen.

Warum ist Post-Quanten-Kryptographie schon heute relevant?

Viele Daten müssen über Jahre oder Jahrzehnte vertraulich bleiben. Angreifer können verschlüsselte Daten bereits heute abgreifen und später entschlüsseln, sobald geeignete Quantencomputer oder neue Angriffsmöglichkeiten verfügbar sind. Deshalb sollten Unternehmen frühzeitig prüfen, welche Daten, Systeme und Prozesse besonders betroffen sind.

Welche Verfahren sind besonders betroffen?

Vor allem viele heute verbreitete asymmetrische Verfahren sind relevant, zum Beispiel Verfahren für Schlüsselaustausch, digitale Signaturen, Zertifikate und sichere Kommunikationskanäle. Dazu gehören insbesondere Verfahren, die in TLS, VPNs, PKI, APIs, Identitätsdiensten, Software-Signaturen oder sicheren E-Mail-Prozessen eingesetzt werden.

Müssen Unternehmen sofort alle kryptographischen Verfahren austauschen?

Nein. Eine vollständige Sofortmigration ist in der Regel weder realistisch noch sinnvoll. Entscheidend ist eine risikoorientierte Priorisierung: Welche Daten müssen besonders lange vertraulich bleiben? Welche Systeme sind geschäftskritisch? Wo bestehen Provider-Abhängigkeiten? Welche Verfahren lassen sich technisch überhaupt kurzfristig austauschen?

Was ist ein Crypto Inventory?

Ein Crypto Inventory ist eine strukturierte Übersicht darüber, wo und wie Kryptographie im Unternehmen eingesetzt wird. Es umfasst unter anderem Algorithmen, Protokolle, Zertifikate, Schlüssel, Anwendungen, Schnittstellen, Datenklassen, Provider, Verantwortlichkeiten und Risiken.

Was bedeutet Crypto-Agility?

Crypto-Agility beschreibt die Fähigkeit einer Organisation, kryptographische Verfahren kontrolliert, schnell und nachvollziehbar auszutauschen. Dazu gehören technische Voraussetzungen, klare Verantwortlichkeiten, Standards, Freigabeprozesse, Monitoring, Lifecycle-Management und dokumentierte Ausnahmeentscheidungen.

Welche Rolle spielen Cloud-Provider und Drittanbieter?

Viele kryptographische Verfahren liegen heute nicht vollständig im eigenen Einflussbereich. Cloud-Provider, SaaS-Anbieter, Managed-Service-Provider, Softwarehersteller und Outsourcing-Partner müssen daher frühzeitig in die PQC-Planung einbezogen werden. Wichtig sind Roadmaps, Nachweise, Vertragsanforderungen und klare Verantwortlichkeiten.

Wie lange dauert eine PQC-Migration?

Die Dauer hängt stark von der Systemlandschaft, der Kritikalität der Daten, der Anzahl der Provider, den eingesetzten Technologien und der vorhandenen Governance ab. Für viele Organisationen ist PQC eher ein mehrjähriges Transformationsprogramm als ein einzelnes IT-Projekt.

Was ist der erste sinnvolle Schritt?

Der erste sinnvolle Schritt ist ein Post-Quantum Readiness-Assessment. Dabei werden kryptographische Abhängigkeiten sichtbar gemacht, Risiken bewertet, besonders relevante Systeme priorisiert und konkrete nächste Maßnahmen abgeleitet.

Wie wird PQC prüf- und auditfähig?

PQC wird prüffähig, wenn Entscheidungen, Risiken, Maßnahmen und Nachweise strukturiert dokumentiert werden. Dazu gehören ein Crypto Inventory, Risikobewertungen, Roadmaps, Architekturentscheidungen, Provider-Abfragen, Testnachweise, Ausnahmebehandlungen und Management-Reports.

Auch interessant für dich

Data und AI-Seminare

AI-Seminare

Du willst Vorreiter sein, wenn es um Künstliche Intelligenz geht, und KI-Kompetenz aufbauen? Dann buche für dich und dein Team eines unserer Seminare!

Managed Security

Managed Security

So macht ihr eure Security-Services fit für den Betrieb! Hier erfährst du alles über unser Angebot rund um Security-Services.

Praxisleitfaden Transition in eine souveräne Cloud

Leitfaden: Transition in eine souveräne Cloud

Erfahre im Praxisleitfaden, wie du eine Transition in eine souveräne Cloud am besten umsetzt und damit die Resilienz deiner IT-Infrastruktur steigerst. Jetzt downloaden!

Ralf Gillich
Dein Experte für
Post-Quanten-Kryptographie
mf Icon male

Ralf Gillich
Enabler und Senior Consultant

Du hast Fragen zur Post-Quanten-Kryptographie oder einem anderen Security-Thema? Ralf Gillich hat die Antworten und freut sich über deine Kontaktaufnahme.
Tel +49 6172 177 630

Kontakt    Profil ansehen

×

Post-Quanten-Kryptographie

Kryptographische Verfahren müssen so weiterentwickelt oder ersetzt werden, dass sie auch gegenüber künftigen Angriffen durch Quantencomputer widerstandsfähig bleiben. 

Aus Sicht des BSI steht nicht mehr die Frage im Vordergrund, ob oder wann Quantencomputer kommen, sondern dass die Migration zu Post-Quanten-Kryptographie jetzt vorbereitet werden sollte. Hintergrund ist vor allem, dass klassische asymmetrische Verfahren wie RSA langfristig angreifbar werden können und dass Daten schon heute abgegriffen und später entschlüsselt werden könnten.

Das BSI empfiehlt daher eine frühzeitige Migration und verweist darauf, dass Post-Quanten-Kryptographie künftig Standard werden wird. Zudem wird laut BSI die alleinige Nutzung klassischer asymmetrischer Verfahren zeitlich auslaufen.

×

Klassische Kryptographie

Klassische Kryptographie schützt mit mathematischen Verfahren auf heutiger IT-Infrastruktur. Post-Quanten-Kryptographie nutzt neue Algorithmen, die auch gegen Quantenangriffe widerstandsfähig sein sollen. Quantenkryptographie dagegen basiert auf quantenphysikalischen Verfahren und benötigt spezielle Infrastruktur.

×

Scanner

Scanner analysieren technische Konfigurationen wie TLS, Zertifikate, Protokolle, Cipher Suites und Signaturalgorithmen. So werden kryptographische Verfahren sichtbar und können bewertet werden.

×

1. Crypto Inventory & Kryptographie-Transparenz

Schaffe Transparenz darüber, wo Kryptographie in euren Systemen, Anwendungen, Schnittstellen und Provider-Services eingesetzt wird.

Kryptographie steckt häufig tief in Anwendungen, Infrastruktur und Provider-Services. Sie findet sich in TLS-Verbindungen, VPNs, IPSec, Zertifikaten, Signaturen, APIs, Datenbanken, Backups, HSMs, Identitätsdiensten und Software-Updates.

Erstellt mit uns ein praxistaugliches Crypto Inventory, das technische Verfahren, Geschäftsprozesse, Datenklassen, Provider, Verantwortlichkeiten und Risiken zusammenführt.

Crypto Inventory
×

2. PQC-Risikoanalyse & Schutzbedarfspriorisierung

Bewerte, welche Daten, Systeme und Geschäftsprozesse durch quantenverwundbare Verfahren besonders betroffen sind.

Nicht jedes System muss sofort migriert werden. Entscheidend ist, welche Daten besonders lange vertraulich bleiben müssen, welche Services geschäftskritisch sind und wo Drittparteien oder Alttechnologien die Umstellung erschweren.

Auf Basis des Kryptographie-Inventars bewerten wir eure Use-Cases anhand klarer Kriterien:

  • Kritikalität des Geschäftsprozesses,
  • Schutzbedarf und Vertraulichkeitsdauer der Daten,
  • eingesetzte kryptographische Verfahren,
  • technische Austauschbarkeit,
  • Provider-Abhängigkeiten,
  • regulatorische Relevanz,
  • Betriebsrisiken und Migrationsaufwand.


Die Ergebnisse bereiten wir managementtauglich auf, beispielsweise als Risiko-Heat-Map. Für besonders kritische oder komplexe Use Cases kann ergänzend eine Detailrisikoanalyse durchgeführt werden. So entsteht eine risikoorientierte Priorisierung statt einer unübersichtlichen Großbaustelle.

Risiko-Heatmap
×

3. PQC-Migrationsstrategie & Roadmap

Entwickle eine realistische Roadmap, mit der ihr die Umstellung auf quantensichere Kryptographie strukturiert, priorisiert und steuerbar vorbereitet.

Eine Post-Quantum-Migration ist kein reines Technologieprojekt. Sie betrifft Architektur, Betrieb, Einkauf, Verträge, Security, Compliance und Third-Party-Management.

Wir entwickeln mit euch eine realistische Migrationsstrategie, die zu eurer Organisation passt. Dabei berücksichtigen wir hybride Migrationsansätze, Crypto-Agility*, Lifecycle-Management, technische Abhängigkeiten und bestehende Governance-Strukturen.

Das Ziel: eine Roadmap, die umsetzbar ist, Risiken reduziert und klar zeigt, wann welche Maßnahmen erforderlich sind.

*Crypto-Agility beschreibt die Fähigkeit einer Organisation, kryptographische Verfahren kontrolliert, schnell und nachvollziehbar auszutauschen. Dazu gehören technische Voraussetzungen, klare Verantwortlichkeiten, Standards, Freigabeprozesse, Monitoring, Lifecycle-Management und dokumentierte Ausnahmeentscheidungen.

×

4. Crypto-Agility & Governance

Verankere klare Regeln, Verantwortlichkeiten und Entscheidungswege für den kontrollierten Austausch kryptographischer Verfahren.

Zu Kontrollen kryptographischer Verfahren sind neue Standards zu erarbeiten und klare Strukturen zu definieren, wie mit Legacy umgegangen wird, die nicht unmittelbar aktualisiert werden kann. Für die Wirksamkeit der Kontrollen ist Automatisierung ein wichtiger Hebel.

Wir unterstützen euch dabei,

  • kryptographische Standards und Zielarchitekturen zu definieren,
  • Verantwortlichkeiten für Krypto-Entscheidungen festzulegen,
  • Freigabe- und Ausnahmeprozesse zu etablieren,
  • Krypto-Anforderungen in Architektur- und Sicherheitsprozesse einzubetten und
  • Review-Zyklen für Zertifikate, Protokolle, Algorithmen und Provider festzulegen.
     

Damit wird Kryptographie steuerbar und bleibt nicht im Maschinenraum einzelner Systeme verborgen.

×

5. Provider-, Cloud- & Third-Party-Readiness

Binde Cloud-Provider, SaaS-Anbieter und IT-Drittparteien frühzeitig in eure Post-Quantum-Planung ein.

Ein großer Teil eurer Kryptographie liegt nicht vollständig in eurer Hand. Cloud-Service-Provider, SaaS-Anbieter, Managed-Service-Provider, Softwarehersteller und Outsourcing-Partner müssen in die PQC-Planung einbezogen werden.

Wir unterstützen euch dabei, PQC-Anforderungen in Third-Party-Risk-Management, Provider Monitoring, Ausschreibungen und Vertragsstandards zu integrieren.

Dazu gehören unter anderem:

  • PQC-Anforderungen für Beschaffung und Vertragsgestaltung,
  • Anforderungen an Roadmaps und Nachweise,
  • Vertragsklauseln zu Crypto-Agility und Updatefähigkeit,
  • Anforderungen an Zertifikate, Schnittstellen und Verschlüsselungsverfahren,
  • Exit- und Übergangsszenarien bei nicht migrierfähigen Services und
  • Monitoring-Kriterien für kritische Provider.


So wird PQC Teil eurer Krypto- und Provider-Governance und bleibt nicht nur ein internes Security-Thema.

×

6. Tests, Nachweise & Audit-Readiness

Stelle sicher, dass eure PQC-Maßnahmen getestet, dokumentiert und für Management, Revision oder Aufsicht nachvollziehbar sind.

Eine PQC-Strategie muss nicht nur technisch sinnvoll, sondern auch testbar und nachvollziehbar dokumentiert sein.

Wir unterstützen euch bei Tests, Pilotierungen und Tabletop-Simulationen. Dabei prüfen wir, welche Verfahren, Protokolle, Anwendungen oder Provider bereits PQC-fähig sind und wo technische, organisatorische oder vertragliche Hürden bestehen. Je nach Kritikalität können Tests und Nachweise unterschiedlich ausgestaltet werden:

  • Architektur- und Design-Reviews,
  • Audit-Readiness Reports,
  • Auswertung Testnachweise, Risikoentscheidungen und Ausnahmebehandlungen sowie
  • Management-Reports für Revision, Aufsicht und interne Steuerung.


So seid ihr nicht nur vorbereitet, sondern könnt eure Vorbereitung auch belegen.

Crypto Inventory