Gestern hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) etwas getan, das es zuvor noch nie getan hat: Es hat klassischer asymmetrischer Kryptografie ein Ablaufdatum gegeben.
In der Aktualisierung 2026 der TR-02102—der Technischen Richtlinie, die als De-facto-Kryptografiestandard für deutsche Regierungssysteme und international als Referenz für den Stand der Technik dient—empfiehlt das BSI nun, dass klassische asymmetrische Verschlüsselung (RSA, ECC, Diffie-Hellman) nach Ende 2031 nicht mehr alleinstehend eingesetzt werden sollte. Für besonders schützenswerte Anwendungen verschiebt sich diese Frist auf Ende 2030. Klassische Signaturverfahren erhalten eine Frist bis Ende 2035.
Das Wort „empfiehlt“ trägt hier viel Gewicht. TR-02102 ist formal eine Empfehlung. Aber die Einhaltung ist verpflichtend für alle, die Verschlusssachen verarbeiten, und die Richtlinie bildet die Grundlage für den TLS-Mindeststandard des BSI sowie TR-03116 (kryptografische Anforderungen für Bundesprojekte). Wenn das BSI ein Ablaufdatum setzt, folgt die Beschaffung.
Was sich geändert hat
Frühere Ausgaben der TR-02102 empfahlen Post-Quantum-Algorithmen und drängten auf Migrationsplanung, vermieden es aber, einen Zeitpunkt zu benennen, ab dem der ausschließlich klassische Einsatz nicht mehr tragbar sein würde. Die Ausgabe 2026 überschreitet diese Linie.
Die neuen Fristen:
- Ende 2030: Klassische asymmetrische Verschlüsselung nicht mehr empfohlen für Anwendungen mit höchstem Schutzbedarf (alleinstehender Einsatz)
- Ende 2031: Klassische asymmetrische Verschlüsselung nicht mehr empfohlen für den allgemeinen Einsatz (alleinstehender Einsatz)
- Ende 2035: Klassische digitale Signaturen nicht mehr empfohlen (alleinstehender Einsatz)
Der Schlüsselbegriff ist „alleinstehender Einsatz“. Das BSI verbietet RSA oder ECC nicht—es fordert den hybriden Einsatz, bei dem klassische und Post-Quantum-Algorithmen gemeinsam betrieben werden. Wenn einer der beiden gebrochen wird, schützt der andere weiterhin. Dies ist derselbe Hybrid-first-Ansatz, den das BSI seit 2020 mit FrodoKEM und Classic McEliece vertritt, nun erweitert um verbindliche Fristen.
BSI-Präsidentin Claudia Plattner formulierte es unmissverständlich: Der Übergang zur Post-Quantum-Kryptografie ist „alternativlos“.
Vergleich mit CNSA 2.0
Die CNSA-2.0-Timeline der NSA fordert Post-Quantum-Algorithmen für Software- und Firmware-Signaturen bis 2025, für Webbrowser und Server bis 2025, und für alle übrigen Systeme bis 2033. Die BSI-Timeline ist in einigen Bereichen später (2031 statt 2025 für Web/TLS) und in anderen früher (2030 für höchsten Schutzbedarf vs. die generelle CNSA-2.0-Frist 2033).
Aber der wichtigere Unterschied liegt im Ansatz. CNSA 2.0 schreibt eine vollständige Ablösung vor—ausschließlich quantensichere Algorithmen für nationale Sicherheitssysteme, kein Hybridbetrieb. Das BSI schreibt Hybridbetrieb vor—klassisch plus PQC gemeinsam, wobei beide Verfahren beibehalten werden, bis das Vertrauen in die neuen Algorithmen gereift ist. Das sind keine widersprüchlichen Positionen; sie spiegeln unterschiedliche Bedrohungsmodelle und institutionelle Risikotoleranzen wider. Die Konvergenz auf dasselbe Zeitfenster 2030–2033 ist das Signal, das zählt.
Nimmt man Australiens ASD, Japans CRYPTREC, Südkoreas KISA, die gemeinsame Erklärung von 18 europäischen Behörden und CISAs Produktkategorisierung vom Januar 2026 hinzu, wird das Muster deutlich: Jede bedeutende alliierte Cybersicherheitsbehörde konvergiert nun auf dasselbe Migrationsfenster. Die Debatte darüber, ob eine PQC-Migration notwendig ist, ist beendet. Die verbleibende Frage ist die Umsetzung.
Was das für Ihre Migration bedeutet
Wenn Sie in deutschen regulierten Märkten operieren oder in diese liefern—Finanzdienstleistungen, kritische Infrastrukturen, Lieferketten der öffentlichen Hand—ist die BSI-Timeline jetzt Ihre Timeline. Fünf Jahre klingen komfortabel, bis man inventarisiert, was sich alles ändern muss.
Die eigene Migrationshilfe des BSI beginnt mit demselben ersten Schritt, den auch alle anderen empfehlen: kryptografische Bestandsaufnahme. Man kann keine Migration planen, die man nicht messen kann. Und man kann keinem Vorstand und keiner Aufsichtsbehörde Fortschritte berichten ohne eine Baseline.
Genau dieses Problem löst pqprobe. Kein einmaliges Audit, sondern kontinuierliche Messung. Wird Ihre PQC-Migration besser oder schlechter? Welche Endpunkte sind bereits auf Hybridbetrieb umgestellt? Welche handeln noch ausschließlich klassische Cipher Suites aus? Und entscheidend—verbessert sich der Trend oder verschlechtert er sich?
Das BSI hat Ihnen nun eine Frist gesetzt. Die Frage ist, ob sich Ihre Infrastruktur darauf zu- oder davon wegbewegt.
Weiterführende Links: