Post-Quantum-Kryptografie: 

Im Gespräch mit Ismet Koyun

Quantencomputer könnten in naher Zukunft Verschlüsselungen knacken, die heute noch als sicher gelten. Unternehmen müssen ihre IT-Strategien anpassen, um sensible Daten langfristig zu schützen. Denn während klassische Cyberangriffe bereits eine Bedrohung darstellen, eröffnet die Quantenrevolution ein völlig neues Risiko für digitale Sicherheit. Wir sprechen mit Ismet Koyun über die Chancen und Herausforderungen der Post-Quantum-Kryptografie.

Herr Koyun, Quantencomputer sind für viele sehr abstrakt. Warum beschäftigt sich die IT-Sicherheitsbranche schon jetzt intensiv damit?

Ismet Koyun: „Es stimmt, für viele wirken Quantencomputer noch sehr futuristisch. In der IT-Sicherheitsbranche ist die Realität jedoch anders. Wir wissen, dass diese Computer in absehbarer Zeit Verschlüsselungen möglicherweise knacken könnten, die heute als noch sicher gelten. Jedes Unternehmen muss langfristig sensible Daten schützen. Damit geht einher, bereits heute damit anzufangen, seine Systeme zukunftssicher zu machen. Eine klassische Verschlüsselung, die seit zehn oder mehr Jahren im Einsatz ist, reicht vielleicht morgen gar nicht mehr aus. Deshalb reden wir über Quantum-Readiness. Also die Fähigkeit, IT-Strukturen auf die Ära leistungsstarker Quantencomputer vorzubereiten.“

Was bedeutet das für Unternehmen?

Ismet Koyun: „Es geht um ein sehr spezifisches Risiko: Angriffe vom Typ „Harvest-now, decrypt-later“. Dabei werden Daten heute abgefangen, um sie später zu entschlüsseln, sobald die Rechenleistung von Quantencomputern ausreicht. Besonders betroffen sind digitale Identitäten, kryptografische Schlüssel oder sensible Unternehmensinformationen. Branchen, die lange Schutzfristen haben oder stark reguliert sind, stehen unter besonderem Druck. Dazu zählen beispielsweise Finanzwesen, Versicherungen, Gesundheitswesen, Industrie 4.0 und der öffentliche Sektor.“

Wie können Organisationen sich darauf vorbereiten, ohne gleich ihre gesamte Infrastruktur umzukrempeln?

Ismet Koyun: „Ein bewährter Ansatz ist die hybride Kryptografie, wie Prof. Dr. Johannes Buchmann, einer der Begründer des Forschungsgebietes der Post-Quanten-Kryptographie, bestätigt.“

Können Sie darauf näher eingehen?

Ismet Koyun: „Selbstverständlich. Nach Prof. Dr. Buchmann gilt die Hybrid-Kryptografie derzeit als der pragmatischste Weg zur Quantum-Readiness. Dabei werden klassische und quantensichere Verfahren gleichzeitig genutzt. Beispielsweise durch die Kombination eines Elliptische-Kurven-basierten Schlüsselaustauschs mit einem Post-Quantum-Mechanismus. Die resultierenden Schlüssel werden zusammengeführt, und der finale Sitzungsschlüssel ist sicher, solange nicht beide Verfahren kompromittiert sind. Der Vorteil besteht darin, dass dieses Verfahren schrittweise in bestehende Systeme integriert wird. Solange nur eines der Verfahren noch sicher ist, sind die Daten geschützt. Das ermöglicht einen sanften Übergang und schafft die Basis, später neue Algorithmen oder Standards einzuführen.“

Welche Schritte gehören zu einer solchen Vorbereitung?

Ismet Koyun: „Ich würde vier zentrale Phasen nennen. Zunächst sollten Unternehmen analysieren, welche Verfahren sie nutzen und welche Daten besonders langfristig geschützt werden müssen. Dann kommt die Priorisierung nach Risiko: Welche Systeme sind besonders kritisch? Welche hybriden Verfahren eignen sich dafür? Anschließend erfolgt die Umsetzung in Testumgebungen, inklusive Performance- und Kompatibilitätsprüfungen. Abschließend geht es um kontinuierliches Monitoring und Updates, um auf neue Entwicklungen reagieren zu können.“

Das klingt nach einer großen organisatorischen Aufgabe.

Ismet Koyun: „Das stimmt, es ist eine strategische Herausforderung. Aber Unternehmen, die früh anfangen, sparen später enormen Aufwand. Quantum-Readiness wird künftig ein Kernkriterium für IT-Sicherheit sein. Wer heute die Grundlagen legt, schützt morgen seine sensiblen Daten zuverlässig. So kann er gleichzeitig flexibel auf neue Standards reagieren. Zusätzlich erlaubt eine frühzeitige Implementierung die Analyse von Wechselwirkungen zwischen klassischen und Post-Quantum-Verfahren, was spätere Sicherheitslücken minimiert. Unternehmen gewinnen dadurch auch ein tieferes Verständnis ihrer gesamten Kryptografie-Architektur, das für Compliance und Audits wertvoll ist.“

Welche Rolle spielt die Architektur der IT-Systeme dabei?

Ismet Koyun: „Eine modulare Architektur ist entscheidend. Systeme sollten so aufgebaut sein, dass neue Verschlüsselungsverfahren problemlos integriert werden können. Es geht nicht darum, alles neu zu entwickeln, sondern vorhandene Strukturen anzupassen. Wichtig ist, zuerst interne Verbindungen abzusichern. Wenn externe Systeme betroffen sind, können Post-Quantum-Zertifikate schrittweise eingeführt werden, sobald die Standards etabliert sind. Zudem erleichtert eine modulare Architektur die Automatisierung von Updates für einzelne Verschlüsselungsbibliotheken, ohne den Betrieb zu unterbrechen. Dies reduziert Betriebsrisiken und sorgt für eine kontinuierliche Sicherheitskontrolle auf allen Systemebenen.“

Gibt es ein konkretes Beispiel, wie das in der Praxis funktioniert?

Ismet Koyun: „Stellen Sie sich ein Unternehmen vor, das digitale Schlüssel für sensible Anwendungen nutzt. Statt nur die bestehenden klassischen Algorithmen zu verwenden, ergänzt es parallel Post-Quantum-Verfahren. Neue Kommunikationswege und besonders schützenswerte Daten werden zuerst damit gesichert. Die bestehenden Systeme laufen weiter, die Mitarbeiter merken davon praktisch nichts. Erst wenn die Standards und Verfahren ausgereift sind, werden weitere Anwendungen umgestellt. So entsteht ein stufenweiser, risikoarmer Übergang. Parallel können Unternehmen protokollbasierte Prüfpfade einführen, die nachvollziehbar dokumentieren, welche Daten bereits Post-Quantum-gesichert sind. Dies unterstützt nicht nur interne Sicherheitsrichtlinien, sondern auch regulatorische Anforderungen in stark regulierten Branchen.“

Wie schnell kommen diese Entwicklungen auf uns zu?

Ismet Koyun: „Die Bedrohung durch Quantencomputer entsteht nicht von heute auf morgen. Ab 2026 wird aber entscheidend sein, wie gut Unternehmen vorbereitet sind. Wer jetzt anfängt, kann Schritt für Schritt Anpassungen vornehmen, ohne in Panik zu geraten. Die Roadmap für Unternehmen sieht zusammengefasst so aus: analysieren, Risiken priorisieren, testen und kontinuierlich nachjustieren. Alles gut planbare Schritte.“

Welche Vorteile haben Unternehmen, die frühzeitig auf Quantum-Readiness setzen?

Ismet Koyun: „Sie gewinnen gleich mehrfach: Erstens schützen sie kritische Daten zuverlässig. Zweitens schaffen sie flexible Architekturen, die auch zukünftige Entwicklungen problemlos aufnehmen. Drittens sparen sie Kosten und Zeit im Vergleich zu späteren Notfallmaßnahmen. Und nicht zuletzt zeigen sie Stakeholdern, dass sie Verantwortung übernehmen und strategisch denken – ein wichtiger Faktor, gerade in regulierten Branchen.“

Was raten Sie Unternehmen?

Ismet Koyun: „Beginnen Sie mit einer Bestandsaufnahme. Wissen ist Macht: Welche Daten, welche Systeme, welche Risiken bestehen? Dann priorisieren Sie nach dem potenziellen Schaden, nicht nach der Bequemlichkeit. Fangen Sie mit Pilotprojekten an, testen Sie die Integration hybrider Verfahren, und beobachten Sie kontinuierlich neue Standards. Das klingt nach viel, ist aber im Grunde ein strukturierter Prozess, den man Schritt für Schritt umsetzen kann. Warten ist keine Lösung – das Risiko, dass heute abgefangene Daten morgen entschlüsselt werden, steigt mit jeder Woche.“

Wann wird Post-Quantum-Readiness für Unternehmen relevant werden?

Ismet Koyun: „Die Zeit drängt und für Unternehmen bestehe Handlungsbedarf, auch wenn Quantencomputer noch nicht alltäglich sind. Unternehmen sollten heute bereits beginnen, weil die Vorbereitung komplex ist und Standards sich erst noch entwickeln. Wer früh startet, kann Risiken systematisch minimieren und ist ready, sobald erste leistungsfähige Quantenlösungen Realität werden.“

Haben Sie zum Abschluss ein Famous last Word?

Ismet Koyun: „Ja, es ist wichtig zu verstehen: Quantencomputer sind keine Zukunftsmusik oder Science Fiction. Unternehmen, die sensible Daten langfristig schützen wollen, müssen jetzt die Grundlagen legen, um Quantum-ready zu werden. Das spart nicht nur Aufwand und Kosten, sondern schützt vor allem unser aller digitale Zukunft.“