Im Oktober 2021 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik einen 70-seitigen Leitfaden mit dem Titel Quantum-safe cryptography — fundamentals, current developments and recommendations. Er war gründlich. Er behandelte Quantencomputer-Hardware, Post-Quanten-Algorithmenfamilien, Strategien zur Protokollanpassung, Grenzen der Quantenschlüsselverteilung und ein vollständiges Kapitel mit Migrationsempfehlungen. Der BSI-Präsident verfasste das Vorwort. Die Quellenangaben waren tadellos.
Er war, mit anderen Worten, das perfekte Werkstatthandbuch.
Vier Jahre später verschickten BSI und KPMG eine Umfrage an über 150 deutsche Unternehmen mit der Frage, was sie tatsächlich in Sachen Post-Quanten-Migration unternommen hätten. Sie erhielten 28 Antworten. Sowohl die Rücklaufquote als auch die Antworten waren, in den eigenen Worten des BSI, „besorgniserregend“.
Das Handbuch lag im Regal. Der Motor begann zu klopfen. Niemand hörte hin.
Das Werkstatthandbuch-Problem
Der BSI-Leitfaden war nicht falsch. Seine QKD-Skepsis hat sich hervorragend gehalten — das gemeinsame Positionspapier, das das BSI im Januar 2024 zusammen mit der ANSSI, der niederländischen NCSA und den schwedischen Streitkräften veröffentlichte, sagte im Wesentlichen dasselbe, nur mit mehr europäischen Mitunterzeichnern. Die Betonung des Hybridmodus war richtungsweisend korrekt. Das Rahmenwerk zur Einschätzung von Migrationszeitplänen — Moscas Theorem, bei dem man die Haltbarkeitsdauer der eigenen Daten zur benötigten Migrationszeit addiert und mit dem Zeitpunkt vergleicht, an dem Quantencomputer verfügbar werden — bleibt die klarste Darstellung dessen, warum die Mathematik Dringlichkeit verlangt.
Einiges ging schief. SIKE, als tragfähiger Alternativkandidat aufgeführt, wurde 2022 durch einen klassischen Angriff zerstört. Rainbow, als Signatur-Finalist gelistet, fiel ebenfalls. FrodoKEM, eine der beiden Hauptempfehlungen des BSI für Schlüsselvereinbarung, wurde von NIST nie standardisiert — obwohl das BSI es in TR-02102-1 Stand Januar 2025 weiterhin empfiehlt und darauf besteht, dass die Entscheidung eine Frage der Effizienz und nicht der Sicherheit war. Und der BSI-Präsident, der das Vorwort unterzeichnet hatte, wurde 2022 wegen seiner Verbindungen zu einem Cybersicherheitsverband mit mutmaßlichen Kontakten zum russischen Geheimdienst entlassen.
Doch das eigentliche Versäumnis war weder ein bestimmter Algorithmus noch ein Personalskandal. Das eigentliche Versäumnis war eine fehlende Theorie des Wandels.
Das implizite Modell lautete: Verbindliche Empfehlungen veröffentlichen → Organisationen lesen sie → Organisationen handeln danach. Die Umfrageergebnisse beweisen, dass diese Kette bereits bei Schritt eins bricht. Und nicht, weil die Empfehlungen schlecht sind. Sondern weil ein Werkstatthandbuch, egal wie präzise, noch keinen Mechaniker aus Ihnen macht.
Trophäen
SOC 2. ISO 27001. PCI-DSS. Das sind Preisverleihungen. Man trainiert für das Audit, besteht es, rahmt das Zertifikat ein und kehrt zu dem zurück, was man vorher getan hat. Darüber macht sich niemand etwas vor. Die Compliance-Branche existiert, weil Organisationen ihre Sicherheitslage gegenüber Dritten nachweisen müssen, und Nachweise erfordern Artefakte. Das Artefakt wird zum Ziel.
Die PQC-Migration steuert auf dasselbe Regal zu.
Der Käufer will die Trophäe holen und sich zur Ruhe setzen. Das ist kein Charakterfehler — so verteilen Organisationen ihre Aufmerksamkeit auf Hunderte konkurrierende Prioritäten. Man hakt das Kästchen ab, weil Kästchen dazu da sind, abgehakt zu werden. Doch der Checkbox-Ansatz bei der kryptografischen Migration hat einen spezifischen Fehlermodus: Er setzt voraus, dass die kryptografische Aufstellung ein Zustand ist, den man erreichen und dann durch Trägheit bewahren kann. Man migriert. Man ist fertig. Trophäe ins Regal.
Nur verschiebt sich die Landschaft unter Ihnen ständig. Bibliotheken aktualisieren sich und führen klassische Standardeinstellungen wieder ein. Zertifikate rotieren mit alten Parametern. Neue Endpunkte werden ohne die sorgfältig festgelegten Konfigurationen bereitgestellt. Die Herstellerunterstützung für PQC ändert sich von Quartal zu Quartal — die kryptografische Bibliothek einer Plattform unterstützt möglicherweise ML-KEM, während das darauf aufbauende Produkt es nicht aushandelt. Microsofts SymCrypt-Bibliothek ist ein reales Beispiel: Sie unterstützt Post-Quanten-Schlüsselkapselung, aber SQL Server nutzt sie nicht.
Die Trophäe verfällt an dem Tag, an dem man sie gewinnt.
Der Romantiker und der Klassiker
Robert Pirsigs Zen und die Kunst ein Motorrad zu warten ist um eine Spaltung herum aufgebaut. Auf der einen Seite: der Romantiker, der will, dass die Maschine einfach fährt. Auf der anderen: der Klassiker, der versteht, warum sie fährt. Pirsigs Argument war, dass Qualität in keinem der beiden Lager lebt. Sie lebt in der fortlaufenden Beziehung zwischen dem Fahrer und der Maschine. In der Sorge darum. In der anhaltenden Aufmerksamkeit.
Der Trophäenkäufer ist der Romantiker. „Ich habe eine Honda gekauft, weil Hondas zuverlässig sind. Damit ist das Thema für mich erledigt.“ Und sie liegen nicht falsch damit, dass Hondas zuverlässig sind. Sie liegen falsch mit der Annahme, dass Zuverlässigkeit ein dauerhafter Zustand ist und kein fortlaufender Prozess.
Die 70 Seiten des BSI sind das Handbuch des Klassikers. Technisch präzise. Notwendig. Und verstauben.
Was fehlt, ist die Praxis, über die Pirsig tatsächlich geschrieben hat — der Mensch, der den Motor an einem kalten Morgen anders klingen hört und denkt: Das ist neu. Was hat sich verändert? Nicht die Trophäe. Nicht das Handbuch. Die Aufmerksamkeit.
Sportler wissen das intuitiv. Niemand läuft eine Meile in 4:02 und hört auf zu trainieren. Die 4:02 ist ein Datenpunkt. Sie sagt Ihnen, wo Sie stehen. Morgen sagt sie Ihnen, ob Sie schneller oder langsamer werden. Die einzigen Sportler, die aufhören zu messen, sind diejenigen, die ihre Karriere beendet haben.
Zwei Zahlen, die Verschiedenes messen
Der BSI-Bericht von 2021 verwendete „Anfang der 2030er Jahre“ als Planungsannahme dafür, wann Quantencomputer Hochsicherheitssysteme bedrohen könnten. Das war keine Vorhersage. Das BSI war unmissverständlich: Es handelte sich um einen Risikomanagement-Richtwert. Die Frage, die er beantwortete, war: Ab wann sollten Sie sich so verhalten, als gäbe es Quantencomputer?
Ende 2025 schätzt die eigene Quantencomputer-Studie des BSI (Version 2.2), dass kryptografisch relevante Quantencomputer etwa 2040 verfügbar sein werden — mit dem Vorbehalt, dass disruptive Entwicklungen diesen Zeitraum auf unter ein Jahrzehnt komprimieren könnten. Diese Zahl beantwortet eine grundlegend andere Frage: Wann werden sie wahrscheinlich existieren?
Die eine ist ein Planungsparameter. Die andere ist eine technische Schätzung. Der Planungsparameter sagt Ihnen, wann Ihre Migration abgeschlossen sein sollte. Die technische Schätzung sagt Ihnen, wann Sie sich definitiv wünschen werden, es getan zu haben. Das sind nicht dieselben Fragen, und die Zahl 2040 als Erlaubnis zum Abwarten zu behandeln, ist genau das Gegenteil dessen, was das BSI beabsichtigt. Die Schätzung 2040 macht Moscas Theorem dringlicher, nicht weniger, denn sie schärft den Nenner, ohne den Zähler zu verändern — die Haltbarkeitsdauer Ihrer Daten und Ihr Migrationszeitplan sind nicht kürzer geworden, nur weil die Bedrohung ein Datum bekommen hat.
Doch hier wird es interessant: Nicht alle veröffentlichen Schätzungen. Manche Behörden setzen Fristen.
Wer was weiß
Australien hat RSA ab 2030 verboten. Die NSA hat CNSA 2.0 mit festen Stichtagen für nationale Sicherheitssysteme herausgegeben. Die gemeinsame Erklärung vom November 2024, unterzeichnet von 20 EU-Mitgliedstaaten, fordert, die sensibelsten Anwendungsfälle vor Store-now-decrypt-later-Angriffen zu schützen — „so bald wie möglich, spätestens bis Ende 2030“.
Beachten Sie das Muster. Die Behörden mit tatsächlicher Einblicknahme in die Signalaufklärung — Five-Eyes-Mitglieder mit direktem Zugang zur gegnerischen Kommunikation — setzen Fristen. Die Behörden ohne diesen Zugang veröffentlichen Empfehlungen.
Diese Asymmetrie verdient mehr Aufmerksamkeit, als sie bekommt. Öffentliche Bedrohungszeitpläne sind durch das eingeschränkt, was gesagt werden kann, ohne Aufklärungsfähigkeiten offenzulegen. Wenn ein Geheimdienst eine feste Frist setzt, statt ein Risiko-Rahmenwerk zu veröffentlichen, teilt er Ihnen die Antwort auf eine Frage mit, die er öffentlich nicht erörtern kann. Australien hat RSA nicht ab 2030 verboten, weil jemand Moscas Theorem an ein Whiteboard geschrieben hat. Sie haben es verboten, weil jemand in einem geheimen Briefing klargestellt hat, dass Planungsparameter und technische Schätzung schneller konvergieren, als die öffentliche Fachliteratur nahelegt.
Das BSI veröffentlicht, seiner institutionellen Rolle entsprechend, die öffentliche Fachliteratur. Das ist angemessen. Aber Organisationen, die die BSI-Empfehlungen lesen, sollten verstehen, was sie lesen: die nicht eingestufte Schicht einer Bedrohungsbewertung, die eingestufte Schichten hat, die sie nie sehen werden. Der komfortable Abstand zwischen „planen Sie, als wären es die 2030er Jahre“ und „rechnen Sie etwa 2040 damit“ existiert möglicherweise nicht in Räumen, zu denen diese Organisationen keinen Zutritt haben.
Dem Motor zuhören
Der BSI-Bericht von 2021 führte Moscas Theorem als Rahmenwerk für die Dringlichkeit ein. Doch die Berechnung von y — Ihrer Migrationszeit — erfordert das Wissen darüber, welche Kryptografie Sie tatsächlich einsetzen, über jedes Protokoll, jede Bibliothek, jede Zertifikatskette und jeden Endpunkt in Ihrer Organisation hinweg.
Der Bericht nannte „Inventarisierung“ als ersten Schritt. Vier Jahre später haben die meisten Organisationen dies nicht getan. Und selbst diejenigen, die es getan haben, wissen nicht, ob ihr Inventar noch aktuell ist, denn es war eine Momentaufnahme, die in dem Augenblick zu veralten begann, in dem sie erstellt wurde.
Das gesamte BSI-Rahmenwerk, vom Leitfaden 2021 über die gemeinsame Erklärung 2024 bis zur Aktualisierung der technischen Richtlinie im Januar 2025, behandelt Migration als Ereignis. Inventarisieren → planen → umsetzen → fertig. Aber kryptografische Migration ist kein Ereignis. Sie ist ein Zustand. Die Frage lautet nicht Haben Sie migriert?, sondern Sind Sie noch migriert? — und stimmt die Richtung?
Was fehlt, sind nicht bessere Empfehlungen. Die Empfehlungen des BSI sind gut. Was fehlt, ist das fortlaufende Hinhören. Kein einmaliges Audit. Keine vierteljährliche Compliance-Übung. Eine kontinuierliche Praxis des Messens, wo Sie stehen und ob sich der Kurs verbessert oder verschlechtert.
Das Handbuch ist wichtig. Lesen Sie es. Aber dann hören Sie der Maschine zu. Eine Trophäe sagt Ihnen, wo Sie waren. Nur die Praxis des Messens sagt Ihnen, wohin Sie gehen.
Quellen
- BSI: Quantum-safe cryptography — fundamentals, current developments and recommendations (Dezember 2021)
- BSI & KPMG: Market Survey on Cryptography and Quantum Computing (2023)
- ANSSI, BSI, NLNCSA, Schwedische Streitkräfte: Position Paper on Quantum Key Distribution (Januar 2024)
- BSI et al.: Securing Tomorrow, Today: Transitioning to Post-Quantum Cryptography (November 2024)
- BSI: TR-02102-1: Cryptographic Mechanisms — Recommendations and Key Lengths (Version 2025-01)
- BSI: Status of Quantum Computer Development (Version 2.2, Dezember 2025)