Bildquelle: Pexels / schwarz-weißes Vorhängeschloss als Symbol für Verschlüsselung, Schutzbedarf und kommende Umstellung / https://www.pexels.com/photo/black-and-white-padlock-on-white-surface-4164418/
Verschlüsselung wirkt im Alltag oft unsichtbar. Genau deshalb wird der Umstieg auf quantensichere Verfahren schnell zum Betriebsthema, nicht nur zur Aufgabe für Kryptografie-Spezialisten.
Post-Quanten-Kryptografie bezeichnet neue Verschlüsselungs- und Signaturverfahren, die auch gegen künftige leistungsfähige Quantencomputer widerstandsfähig sein sollen. Für Nicht-Spezialisten ist vor allem wichtig: Es geht nicht um ein einzelnes Update, sondern um viele Stellen, an denen Systeme heute Schlüssel, Zertifikate, Signaturen oder gesicherte Verbindungen nutzen. Wenn diese Stellen unbekannt sind, wird jede spätere Umstellung riskant.
Das Thema klingt nach ferner Zukunft, aber der operative Teil beginnt früher. NIST hat 2024 die ersten drei finalisierten Standards für post-quantenfeste Kryptografie veröffentlicht. CISA ordnet Quantenrisiken als Thema ein, das Organisationen über Inventare, Priorisierung und Migrationsplanung vorbereiten müssen. Für ITSM-Generalisten entsteht daraus eine klare Frage: Weiß der Betrieb überhaupt, wo Verschlüsselung im eigenen Servicebestand kritisch ist?
Das Problem steckt selten nur in der Technik
Verschlüsselung liegt nicht nur in zentralen Sicherheitsprodukten. Sie steckt in Webdiensten, Schnittstellen, VPN-Zugängen, Datenbanken, Backups, Gerätezertifikaten, Softwareupdates, E-Mail-Schutz, Identitätsdiensten und Lieferantenverbindungen. Ein Teil davon ist sichtbar dokumentiert. Ein anderer Teil ist über Jahre mit Produkten, Skripten, Appliances oder Cloud-Diensten mitgewachsen.
Genau hier beginnt das Betriebsrisiko. Wenn ein Verfahren ersetzt werden muss, reicht es nicht, einen neuen Standard zu kennen. Der Betrieb muss wissen, welche Services betroffen sind, welche Abhängigkeiten dahinterliegen, welche Hersteller liefern müssen und welche Änderung zuerst getestet werden kann. Ohne diese Sicht entsteht ein Projekt, das fachlich richtig klingt, aber im Alltag an Besitzfragen, Wartungsfenstern und fehlenden Nachweisen hängen bleibt.
Post-Quanten-Kryptografie ist deshalb kein reines Zukunftslabor. Sie ist ein Test dafür, ob IT-Organisationen ihre technischen Vertrauensketten kennen. Wer heute nicht weiß, welche Zertifikate, Schlüssel und Protokolle geschäftskritische Services tragen, wird den Wechsel später unter Druck nachholen müssen.
Inventar schlägt Aktionismus
Der erste sinnvolle Schritt ist kein hektischer Austausch. Der erste Schritt ist ein belastbares Inventar. Dazu gehören Systeme, die Daten verschlüsseln, Systeme, die Verbindungen absichern, Systeme, die Software oder Konfigurationen signieren, und Systeme, die langfristig schützenswerte Daten speichern. Besonders wichtig sind Daten, die heute abgegriffen und später entschlüsselt werden könnten. CISA beschreibt dieses Risiko häufig als eine Sorge bei langfristig sensiblen Informationen.
Ein gutes Inventar muss für den Betrieb lesbar sein. Es reicht nicht, kryptografische Verfahren als technische Kürzel zu sammeln. Entscheidend sind Service, Besitzer, Datenart, betroffene Nutzer, Lieferant, Änderbarkeit und Testmöglichkeit. Erst diese Einordnung zeigt, ob ein System kurzfristig migrierbar ist oder ob Vertragslaufzeiten, Gerätegenerationen, Zertifikatsketten oder Integrationen im Weg stehen.
Für den Service Desk ist diese Transparenz ebenfalls relevant. Bei Zertifikatswechseln, Clientproblemen oder Verbindungsausfällen landen Störungen oft zuerst im Support. Wenn dort niemand weiß, welche Services gerade umgestellt werden, entstehen unnötige Eskalationen. Ein Kryptografie-Inventar ist deshalb nicht nur Sicherheitsdokumentation. Es ist Betriebswissen.
Standards lösen nicht automatisch die Migration
NISTs Standards sind ein wichtiger Orientierungspunkt, weil sie konkrete Verfahren benennen und damit Planung erleichtern. Sie ersetzen aber nicht die lokale Entscheidung, wann welches System umgestellt wird. Ein Standard sagt nicht, ob eine alte Fachanwendung den Wechsel verkraftet, ob ein Partner schon bereit ist oder ob ein Gerät überhaupt neue Verfahren unterstützt.
Gerade hybride Übergänge werden für viele Organisationen wichtig. Alte und neue Verfahren müssen zeitweise zusammen funktionieren, damit Verbindungen nicht brechen. Das erzeugt zusätzliche Testpflichten. Zertifikatsketten, Schlüsselgrößen, Performance, Monitoring und Fehlermeldungen können sich verändern. Was in einer Sicherheitsarchitektur sauber aussieht, muss im Betrieb als Change, Testfall und Rückfallplan übersetzt werden.
Daraus folgt eine einfache Lehre: Der Wechsel auf quantensichere Verfahren braucht Change Management, Configuration Management und Lieferantensteuerung. Wer das Thema nur als Security-Upgrade betrachtet, übersieht die Stellen, an denen Services tatsächlich ausfallen können.
Service Owner brauchen klare Fragen
Für Service Owner reichen am Anfang wenige, aber verbindliche Fragen. Welche Daten in diesem Service müssen über viele Jahre vertraulich bleiben? Welche externen Verbindungen nutzt der Service? Welche Zertifikate, Schlüssel oder Signaturen sind kritisch? Welche Komponenten kommen von Lieferanten? Welche Testumgebung zeigt realistisch, ob ein Wechsel funktioniert?
Diese Fragen machen das Thema anschlussfähig. Ein Fachbereich muss nicht verstehen, wie ein mathematisches Verfahren genau arbeitet. Er muss aber sagen können, welche Daten langfristig schützenswert sind und wie viel Ausfall ein Service verträgt. Der Betrieb muss wiederum sagen können, wo Abhängigkeiten dokumentiert sind und wer Änderungen freigibt.
Besonders heikel sind vergessene Systeme. Archivschnittstellen, ältere Geräte, interne APIs oder selten genutzte Partnerverbindungen fallen in klassischen Modernisierungsprojekten leicht durchs Raster. Beim Verschlüsselungswechsel können genau diese Randbereiche später die Migration blockieren.
Eine pragmatische Startliste für den Betrieb
Der Einstieg muss nicht perfekt sein. Sinnvoll ist eine Startliste mit den wichtigsten Services und den erkennbaren Kryptografie-Abhängigkeiten. Dazu kommen die Datenarten, die Schutzdauer, die verantwortlichen Owner, bekannte Lieferantenrisiken und eine erste Priorität. Danach kann der Betrieb die Liste mit Monitoring, Asset-Daten, Zertifikatsverwaltung und Lieferanteninformationen abgleichen.
Für neue Beschaffungen sollte ab sofort eine einfache Zusatzfrage gelten: Wie unterstützt das Produkt die Migration auf post-quantenfeste Verfahren? Diese Frage ist kein Spezialdetail. Sie verhindert, dass heute neue Abhängigkeiten aufgebaut werden, die morgen kaum ersetzbar sind. Auch Vertrags- und Sicherheitsprüfungen sollten diese Migrationsfähigkeit sichtbar machen.
Der nächste Verschlüsselungswechsel wird nicht an einem einzigen Stichtag entschieden. Er wird an vielen kleinen Stellen vorbereitet: im Inventar, im Servicekatalog, in Lieferantenlisten, in Testumgebungen und in Change-Prozessen. Wer diese Vorarbeit beginnt, reduziert späteren Druck. Wer wartet, bis ein konkreter Austausch erzwungen wird, macht aus einem planbaren Sicherheitswechsel ein Betriebsrisiko.
Quellen und Einordnung: NIST zur Veröffentlichung der ersten drei finalisierten Standards für post-quantenfeste Kryptografie, NIST-Projektseite zur Post-Quantum Cryptography, CISA zu Quantenrisiken und Vorbereitung. Stand der Quellenprüfung 23.06.2026. Der Beitrag enthält keine Preise, Gebühren oder Leistungssätze.
