Thought Leadership
Lange galt die Vorstellung, dass Quantencomputer unsere heutigen Verschlüsselungen knacken könnten, als Science-Fiction – ein Problem für kommende Generationen. Doch diese Zukunft ist dabei, zur Gegenwart zu werden.
Die Bedrohung durch Quantencomputing ist längst nicht mehr hypothetisch. Sie ist real und macht rasante Fortschritte. Große Tech-Konzerne, Regierungen und Forschungseinrichtungen investieren massiv in die Entwicklung. Durchbrüche in Fehlerkorrektur, Qubit-Stabilität und Algorithmen geschehen in immer kürzeren Abständen. Noch existiert kein Quantencomputer, der heutige Verschlüsselungen brechen kann – doch der Countdown läuft. Die Frage ist längst nicht mehr, ob – sondern wann.
Warum klassische Verschlüsselung bald nicht mehr ausreicht
Die Sicherheit im Internet basiert aktuell auf Verfahren wie TLS (Transport Layer Security), VPNs (Virtual Private Networks), digitalen Signaturen oder verschlüsselten E-Mails – und damit auf klassischen kryptografischen Algorithmen wie RSA (Rivest-Shamir-Adleman), ECC (Elliptic Curve Cryptography) und dem Diffie-Hellman-Schlüsselaustausch. Diese Verfahren beruhen auf mathematischen Problemen, deren Lösung für klassische Computer unvorstellbar lange dauern würde. Doch Quantencomputer könnten mit Algorithmen wie denen von Shor oder Grover diese Probleme in wenigen Stunden oder Minuten lösen. Das bedeutet: Sobald Quantencomputer eine hinreichende Verfügbarkeit erreichen, könnten diese Fundamente heutiger Sicherheitssysteme obsolet werden.
Noch immer Zukunftsmusik? Tatsächlich beginnt die Gefahr bereits heute schon: Angreifende können jetzt verschlüsselte Daten abfangen und speichern, um sie später – wenn die Technologie so weit ist – zu entschlüsseln. Diese Taktik ist als „Harvest now, decrypt later“ bekannt und besonders brisant bei sensiblen Daten mit langfristigem Wert: geistiges Eigentum, staatliche Informationen oder persönliche Gesundheitsdaten. Die Folgen eines solchen Angriffs mögen sich erst in Jahren zeigen, aber sie wären potenziell verheerend.
Organisationen sollten nicht warten, bis ein Quantencomputer in der Lage ist, heutige Verschlüsselungen zu brechen – dann ist es zu spät. Vorausschauende Unternehmen müssen jetzt handeln – indem sie ihre kryptografischen Assets inventarisieren, quantensichere Algorithmen einführen und eine Post‑Quantum‑Migration planen. Die Weichen, die heute gestellt werden, entscheiden darüber, wer morgen geschützt ist – und wer nicht.
TLS: Die erste Verteidigungslinie, die bedroht ist
Im Zentrum moderner Internetsicherheit steht TLS – das Protokoll, das Daten auf dem Transportweg verschlüsselt, ob bei Websites, APIs, E-Mails oder Finanztransaktionen. TLS stützt sich für den Schlüsselaustausch und die Identitätsprüfung auf asymmetrische Kryptoalgorithmen wie RSA, ECC und Diffie‑Hellman. Diese gelten heute als sicher, weil sie auf mathematischen Problemen beruhen, die für klassische Computer zeitlich fast unmöglich zu lösen sind.
Die Basis klassischer Algorithmen:
- RSA beruht auf der Schwierigkeit, große Zahlen in ihre Primfaktoren zu zerlegen.
- ECC und ECDSA stützen sich auf das Problem des diskreten Logarithmus auf elliptischen Kurven.
- Diffie-Hellman nutzt ebenfalls die Schwierigkeit, diskrete Logarithmen zu berechnen.
Ein klassischer Computer würde für das Knacken eines 2048-Bit-RSA-Schlüssels theoretisch tausende Jahre benötigen. Doch seit Peter Shor 1994 einen Algorithmus entwickelte, der genau diese Probleme effizient mit einem Quantencomputer lösen kann, ist klar: Mit ausreichender Rechenleistung könnte ein Quantencomputer die heutigen Verschlüsselungen in Minuten brechen. Wird eine TLS-Verbindung auf Basis von RSA abgefangen, ließe sich damit der Sitzungsschlüssel rekonstruieren – die gesamte Kommunikation wäre kompromittiert. Die Grundprinzipien von TLS – Authentizität, Vertraulichkeit und Integrität – wären damit hinfällig.
Selbst die längsten RSA- oder ECC-Schlüssel bieten keinen Schutz: Quantenangriffe skalieren nicht linear. Sie machen Verschlüsselung nicht „etwas schwächer“, sondern brechen sie vollständig – sobald die Technik so weit ist. Ein 4096-Bit-RSA-Schlüssel wirkt heute stark, ist aber morgen wertlos gegen einen quantenfähigen Angreifer.
Die Auswirkungen sind weitreichend: Denn TLS in seiner heutigen Form ist nicht darauf ausgelegt, den Herausforderungen durch Quantencomputer standzuhalten. Unternehmen, die TLS zum Schutz sensibler Kundendaten, geschäftskritischer Systeme oder zur Einhaltung regulatorischer Vorgaben nutzen, sollten jetzt den Schritt über klassische Verschlüsselung hinausgehen – und auf quantensichere Lösungen setzen.
ML-KEM: Die Zukunft der TLS-Sicherheit
Die Kryptografie-Community arbeitet bereits an neuen Algorithmen, die selbst Quantenangriffen standhalten. Besonders vielversprechend ist ML-KEM (Module Lattice–based Key Encapsulation Mechanism), früher bekannt als Kyber.
ML-KEM ist ein Public-Key-Verschlüsselungsalgorithmus, der auf Gitterkryptografie basiert. Im Gegensatz zu RSA oder ECC, die durch Shors Algorithmus angreifbar sind, wurde ML-KEM auf Grundlage mathematischer Probleme entwickelt, die selbst für Quantencomputer schwer lösbar bleiben – insbesondere dem sogenannten „Module Learning with Errors“ (MLWE)-Problem. Bereits 2022 wählte das US-amerikanische Standardisierungsinstitut NIST den Algorithmus Kyber als bevorzugte Lösung für den Post-Quanten-Schlüsselaustausch aus und finalisierte ihn 2024 unter dem Namen ML-KEM. Damit zählt ML-KEM zu den ersten standardisierten, praxisnahen Werkzeugen in der Post-Quantum-Kryptografie.
ML-KEM ist nicht nur resistent gegenüber Quantenangriffen, sondern auch effizient: hohe Performance, kompakte Schlüssellängen und geringer Speicherbedarf machen den Algorithmus ideal für anspruchsvolle Anwendungen wie TLS. Als ein vom NIST empfohlener Standard bietet ML-KEM zudem Planungssicherheit und Interoperabilität über verschiedene Plattformen hinweg. Besonders überzeugend ist die nahtlose Integration in TLS 1.3 – die aktuelle Protokollversion, die den Großteil des heutigen Internetverkehrs absichert.
Durch Initiativen wie den hybriden Schlüsselaustausch kann TLS 1.3 Sitzungen aushandeln, die sowohl einen klassischen Algorithmus (z. B. X25519) als auch einen Post-Quantum-Algorithmus (z. B. ML-KEM) verwenden. Dieser doppelte Ansatz gewährleistet Kompatibilität mit bestehenden Systemen und bietet gleichzeitig zukunftssichere Verschlüsselung gegen Quantenangriffe.
So lässt sich ML-KEM schrittweise einführen, ohne bestehende Workflows zu beeinträchtigen: Systeme, die ML-KEM bereits unterstützen, nutzen es automatisch, während andere unverändert weiterarbeiten. Oft bremsen interne Richtlinien oder Abhängigkeiten von Drittanbietern die Einführung neuer kryptografischer Standards – der hybride Ansatz schafft hier einen praktikablen Übergang.
Jetzt starten: Hybrid-TLS einführen
Auch wenn sich die Technologie noch in der Frühphase der Einführung befindet, haben viele Bibliotheken und Plattformen – darunter OpenSSL, Fastly, Cloudflare, Google Chrome und Mozilla Firefox – bereits begonnen, ML-KEM-Unterstützung in TLS zu testen und auszurollen. Unternehmen sollten jetzt prüfen, wo sie gegenüber dem „Harvest Now, Decrypt Later“-Szenario anfällig sind: welche kryptografischen Anwendungen – etwa TLS, VPNs, Messaging-Dienste – werden genutzt? Danach sollten interne Tests mit hybriden Stacks durchgeführt werden, um Kompatibilität sicherzustellen.
Zusätzlich sollten Unternehmen die Post-Quantum-Readiness ihrer Anbieter abklären. Um ML-KEM auf Ihrer Website oder Ihren Online-Diensten zu unterstützen, sollten sie TLS 1.3 einsetzen und sicherstellen, dass ihre verwendeten TLS-Bibliotheken (z. B. OpenSSL, BoringSSL) den hybriden Schlüsselaustausch (X25519 + ML-KEM) unterstützen. Wenn Client und Server beide diese Kombination anbieten, greift der Schutz automatisch – zusätzliche Anpassungen der Endnutzer sind nicht erforderlich.
Handeln, bevor der Bruch kommt
Auch wenn Quantencomputer noch nicht im Alltag angekommen sind – die Bedrohung ist real und rückt näher. Mit ML-KEM steht erstmals ein standardisiertes, geprüftes und effizientes Werkzeug zur Verfügung, das sich direkt in bestehende kryptografische Systeme integrieren lässt. Mit TLS 1.3 und hybrider Schlüsselverteilung müssen sich Unternehmen nicht zwischen Sicherheit und Kompatibilität entscheiden – beides ist möglich.
Jetzt ist der richtige Zeitpunkt zu handeln. Angreifer sammeln jetzt bereits verschlüsselte Daten mit dem Ziel, diese zu einem späteren Zeitpunkt zu entschlüsseln. Sobald ein kryptografisch relevanter Quantencomputer existiert, wären die Folgen rückwirkend und unumkehrbar. Wer ML-KEM frühzeitig einführt, beginnend mit TLS, macht seine Infrastruktur zukunftssicher, schützt sensible Kommunikation und bleibt regulatorischen Anforderungen sowie technologischen Entwicklungen in der Branche einen Schritt voraus. Die Bedrohung durch Quantencomputer mag noch in der Zukunft liegen – die Lösungen dafür stehen jedoch bereits heute zur Verfügung. Unternehmen sollten nicht auf den Bruch warten, sondern ihre Infrastruktur stärken, bevor Angreifer aktiv werden. Die EU hat klare Empfehlungen für die zeitliche Umsetzung wirksamer Schutzmaßnahmen definiert.
