← Alle Beiträge

Post-Quantum-Kryptografie: Der Countdown läuft

Quantencomputer bedrohen verschlüsselte Daten schon heute. Warum bis 2030 migriert wird – und was bei KAEMI mit Cloudflare schon quantensicher ist.

Post-Quantum-Kryptografie: Der Countdown läuft – Quantenprozessor mit quantensicheren Verbindungen von KAEMI und Cloudflare

Quantencomputer galten lange als Thema für die Grundlagenforschung – für die IT-Sicherheit sind sie längst Gegenwart. 2026 hat das Thema endgültig die Chefetagen erreicht: Das Weiße Haus hat per Executive Order eine verbindliche Migrationsfrist bis Ende 2030 gesetzt, Google und Cloudflare haben ihre eigenen Zeitpläne auf 2029 vorgezogen. Der Grund ist nicht Panik, sondern nüchterne Mathematik: Ein hinreichend großer Quantencomputer bricht die Public-Key-Verfahren, auf denen praktisch jede verschlüsselte Verbindung im Internet heute beruht. Zeit, das Thema einzuordnen – und zu zeigen, was heute schon geschützt ist.

Harvest now, decrypt later: Das Risiko beginnt nicht erst am Q-Day

Der häufigste Denkfehler beim Thema Quantensicherheit: „Das betrifft uns erst, wenn es den Quantencomputer wirklich gibt." Tatsächlich läuft der relevante Angriff bereits heute. Bei „Harvest now, decrypt later" zeichnen Angreifer verschlüsselten Datenverkehr jetzt auf – und entschlüsseln ihn in einigen Jahren, sobald die Rechenleistung dafür existiert. Für Daten mit kurzer Lebensdauer ist das verschmerzbar. Für alles, was in fünf oder zehn Jahren noch vertraulich sein muss – Konstruktionsdaten, Gesundheitsdaten, Verträge, strategische Planung, Behördenkommunikation – ist es das nicht.

Entscheidend ist also nicht der Tag, an dem der erste kryptografisch relevante Quantencomputer in Betrieb geht. Entscheidend ist der Tag, an dem Ihre Daten abgegriffen werden. Und der kann jeder Tag sein, an dem sie nur klassisch verschlüsselt unterwegs sind.

Der Zeitplan wird konkret: 2029 und 2030

Wie ernst die Lage genommen wird, zeigt das Jahr 2026. Im Juni hat das Weiße Haus eine Executive Order zur Post-Quantum-Kryptografie erlassen: US-Bundesbehörden müssen ihre sensibelsten Systeme bis zum 31. Dezember 2030 auf quantensichere Verschlüsselung umstellen, quantensichere Authentifizierung folgt bis Ende 2031 – und auch Zulieferer der Behörden werden über entsprechende FIPS-Vorgaben bis Ende 2030 in die Pflicht genommen. Bereits im April hatte Cloudflare sein eigenes Ziel für vollständige Post-Quantum-Sicherheit auf 2029 vorgezogen, nachdem Forschungsfortschritte die Aufwandsschätzungen für Quantenangriffe deutlich gesenkt hatten; Google plant ebenfalls mit 2029. Und auch in Europa zeigen die Fahrpläne von BSI und EU-Kommission für schützenswerte Anwendungen in dieselbe Richtung: um 2030.

Diese Daten sind näher, als sie klingen. Kryptografie-Migrationen ziehen sich erfahrungsgemäß über Jahre – Inventur, Herstellerabstimmung, Tests, Rollout, Altsysteme. Wer 2030 fertig sein will, beginnt nicht 2029.

Was Post-Quantum-Kryptografie konkret bedeutet

Die gute Nachricht: Die Mathematik ist fertig. Das US-Standardisierungsinstitut NIST hat die neuen Verfahren finalisiert – allen voran ML-KEM für den Schlüsselaustausch, entwickelt maßgeblich von europäischen Kryptografen. In der Praxis werden die neuen Verfahren hybrid eingesetzt: klassische und Post-Quantum-Kryptografie kombiniert, sodass die Verbindung selbst dann sicher bleibt, wenn sich eines der beiden Verfahren als schwach erweisen sollte.

Wichtig ist die Unterscheidung zweier Baustellen. Die dringendere ist die Verschlüsselung des Datenverkehrs – sie schützt gegen Harvest now, decrypt later und muss deshalb zuerst kommen. Die zweite ist die Authentifizierung, also quantensichere Zertifikate und Signaturen; sie muss stehen, bevor Quantencomputer real angreifen können. Und ein Detail, das gern übersehen wird: Ein System, das ML-KEM zwar unterstützt, aber weiterhin rein klassische Verbindungen akzeptiert, bleibt für Downgrade-Angriffe anfällig. Quantensicherheit ist erst dann belastbar, wenn sie durchgesetzt wird.

Cloudflare: quantensicher als Standard, nicht als Aufpreis

Kaum ein Anbieter treibt die Migration so lange und so konsequent wie Cloudflare. Seit 2022 ist Post-Quantum-Verschlüsselung für alle Websites und APIs hinter dem Cloudflare-Netzwerk aktiv – inzwischen sind über 65 Prozent des menschlichen Datenverkehrs zu Cloudflare bereits quantensicher verschlüsselt. Seit 2025 gilt das auch für die Zero-Trust-Plattform: Unternehmensverkehr, der durch Cloudflares Tunnel läuft, wird quantensicher transportiert – selbst dann, wenn die dahinterliegenden Anwendungen selbst noch nicht migriert sind. Genau das macht den Ansatz für den Mittelstand interessant: Der schwierigste Teil der Migration wird in die Plattform verlagert.

Bemerkenswert ist auch die Haltung dahinter: Post-Quantum-Sicherheit ist bei Cloudflare Bestandteil des Standards, kein kostenpflichtiges Sicherheits-Add-on. Bis 2029 will Cloudflare vollständig quantensicher sein – einschließlich Authentifizierung. Details dazu im Post-Quantum-Blog von Cloudflare .

Was das für KAEMI-Kunden heute schon bedeutet

Hier wird es praktisch: KAEMI betreibt als Cloudflare-Partner Dienste direkt auf dieser Plattform – vom Zero-Trust-Zugriff über SASE/SSE bis zum Schutz und der Auslieferung von Anwendungen. Diese Verbindungen nutzen den quantensicheren Schlüsselaustausch von Cloudflare bereits heute. Konkret heißt das: Der Datenverkehr, der über diese Dienste durchs öffentliche Internet läuft, ist gegen Harvest-now-decrypt-later-Angriffe schon jetzt abgesichert – ohne Migrationsprojekt, ohne Zusatzkosten, ohne dass jemand dafür einen Handschlag tun musste.

Wer also heute Zugriffe und Anwendungen über KAEMI mit Cloudflare absichert, hat den wichtigsten ersten Schritt der Post-Quantum-Migration – den Verkehr über das öffentliche Internet – bereits hinter sich. Wie das architektonisch aussieht, zeigen unsere Seiten zu SASE/SSE

und zur Application Security .

Was Unternehmen jetzt tun sollten

Der erste Schritt ist eine Krypto-Inventur: Wo wird im Unternehmen verschlüsselt – TLS an Websites und APIs, VPN-Verbindungen, Standortkopplungen, Machine-to-Machine-Verkehr, Zertifikatsinfrastruktur? Welche Daten haben eine lange Vertraulichkeitsdauer? Daraus ergibt sich die Priorisierung fast von selbst: zuerst der Verkehr über das öffentliche Internet, denn der lässt sich am leichtesten mitschneiden – danach interne Systeme und die Authentifizierung. Genauso wichtig ist Krypto-Agilität: Systeme so aufzustellen, dass sich Verfahren künftig austauschen lassen, ohne jedes Mal ein Großprojekt zu starten. Und schließlich gehört die Frage an jeden Lieferanten: Wie sieht euer Post-Quantum-Fahrplan aus?

Wenn Sie wissen möchten, wo Ihr Unternehmen steht: Im gemeinsamen Analyse-Workshop machen wir Datenflüsse und Angriffsflächen sichtbar – inklusive der Frage, welcher Teil Ihres Verkehrs heute schon quantensicher laufen könnte. Sprechen Sie uns an .

Fragen zu diesem Thema?

Sprechen wir über Netzwerk- und Sicherheitsziele – unverbindlich.

Kontakt aufnehmen