Wenn Sie einen Post-Quanten-Migrationsplan erstellen, sind Sie auf dieselbe Mauer gestoßen wie alle anderen: Niemand kann Ihnen eine klare Antwort geben, welche Anbieter in Ihrem Stack tatsächlich PQC ausliefern, welche darüber reden und welche sich überhaupt nicht geäußert haben.
Die Informationen existieren — verstreut über Blog-Beiträge, Pressemitteilungen, Release Notes und Roadmap-Dokumente. Sie zu etwas Verwertbarem zusammenzufügen dauert Wochen pro Anbieterkategorie. Die meisten Sicherheitsteams haben diese Zeit nicht, also verlassen sie sich auf Herstellerangaben, die sie nicht überprüfen können.
Im November 2024 veröffentlichte die DGAP (Deutsche Gesellschaft für Auswärtige Politik) ein Policy Brief von Weber und Pericàs, das genau diese Zuordnung für Browser, Cloud-Dienste, VPNs, Messaging, Videokonferenzen, E-Mail und Remote-Access-Software versuchte. Es war nützliche Arbeit. Fünfzehn Monate später ist es in wesentlichen Punkten bereits veraltet — Safari ist nicht mehr „Quantum Insecure“ (es liefert ML-KEM seit September 2025 aus), Firefox ist nicht mehr „Experimental“ (ML-KEM ist in der stabilen Version Standard), und Microsofts „Experimental“-Bewertung basierend auf der SymCrypt-Verfügbarkeit verschleiert die Tatsache, dass keines seiner Flaggschiff-Produkte tatsächlich PQC am Endpunkt aushandelt. Wichtiger noch: DGAPs Rahmenwerk — Secure/Experimental/Insecure — ist eine flache Momentaufnahme. Es kann Ihnen nicht sagen, ob ein Anbieter besser oder schlechter wird, und es deckt nicht die Kategorien ab, in denen sich das HNDL-Risiko für Unternehmen tatsächlich konzentriert: Datenbanken, Netzwerk-Hardware, CDNs und Cloud-Speicher.
Wir haben den nächsten Schritt gebaut. Die PQC Vendor Scorecard ordnet über 28 große Technologieanbieter in sieben Produktkategorien dem Post-Quanten-Bereitstellungsrahmenwerk der CISA zu und gleicht ihre Ankündigungen mit dem ab, was tatsächlich in TLS-Handshakes beobachtbar ist. Der vollständige Bericht steht als kostenloser Download zur Verfügung — ohne Formular, ohne E-Mail-Erfassung.
| Kategorie | Bereitschaft | Die „Reality Gap“ |
|---|---|---|
| Browser / CDNs | Hoch | Client-Seite ist gelöst; Zertifikate sind der Engpass. |
| Cloud-Infrastruktur | Mittel | Edge-Dienste sind bereit; Kerndatenplattformen hinken hinterher. |
| Netzwerk | Fragmentiert | Fortinet liefert aus; andere strategisieren oder nutzen QKD. |
| Datenbanken | Keine | Kritisches HNDL-Risiko bei nahezu null nativer PQC-Unterstützung. |
| SaaS / Zusammenarbeit | Keine | Null-Kontroll-Zone; vollständig abhängig von langsamen Anbieterzyklen. |
Drei Ergebnisse stachen hervor.
Der Perimeter ist geschützt. Die Kronjuwelen nicht.
Cloud-APIs, Browser, CDNs und Messaging-Apps haben echte PQC-Bereitstellungen. Cloudflare meldet, dass 52 % seines TLS-Verkehrs Post-Quanten-Schlüsselaustausch nutzen. Chrome, Firefox und Safari handeln alle standardmäßig ML-KEM aus. AWS hat PQC auf KMS, S3 und seinen Load Balancern. Aber Datenbanken — wo Ihre sensibelsten langlebigen Daten tatsächlich liegen — sind einheitlich ungeschützt. SQL Server, RDS, Aurora, MongoDB Atlas, Snowflake: Keines davon handelt PQC am Datenbank-Endpunkt aus. Die Daten, die es heute am meisten wert sind, für spätere Entschlüsselung abzufangen, haben den geringsten Schutz.
Die Bibliothek ist bereit. Das Produkt nicht.
Microsoft hat ML-KEM seit November 2025 in seiner kryptographischen Kernbibliothek. Es steht auf jedem Windows Server und jeder .NET-Anwendung zur Verfügung. Aber SQL Server nutzt es nicht. Azure SQL handelt es nicht aus. Teams auch nicht. Die Lücke zwischen „unsere Krypto-Bibliothek unterstützt es“ und „Ihre Verbindung zu unserem Produkt nutzt es“ kann Jahre betragen. Dieses Muster wiederholt sich bei jedem großen Plattformanbieter. Ankündigungen über grundlegende Krypto-Unterstützung sind real — aber die Produkte, mit denen Sie sich tatsächlich verbinden, haben nicht aufgeholt.
Ihre SaaS-Anbieter bestimmen Ihren Zeitplan.
Für Infrastruktur, die Sie selbst betreiben, können Sie PQC einsetzen, sobald die Technologie bereit ist. Bei SaaS geht das nicht. Ihre Salesforce-Verbindung bekommt PQC, wenn Salesforce es ausliefert. Kein Proxy-Workaround existiert — der Endpunkt wird vom Anbieter kontrolliert. Und unter den Enterprise-SaaS-Anbietern hat kein einziger PQC für Produktions-Endpunkte bereitgestellt. Die meisten haben keinen Zeitplan veröffentlicht. BCGs Analyse vom November 2025 kategorisiert Plattformen wie Salesforce, Workday und Teams explizit als Systeme, die „später adressiert werden können.“ Ob das die richtige Risikobewertung ist, hängt davon ab, wie lange die Daten in diesen Systemen vertraulich bleiben müssen.
Die Scorecard zeigt auch einen klaren Marktführer bei Netzwerk-Hardware (Fortinet, das seit Juli 2025 NIST-konformes ML-KEM ausliefert, während Wettbewerber im Ankündigungsstadium verharren), kartiert die Cloud-Speicher-Lücke (S3 hat PQC; Google Drive, OneDrive, Dropbox und Box nicht) und dokumentiert genau, wo jeder Anbieter bei Schlüsselaustausch versus digitalen Signaturen steht.
Sie enthält detaillierte Anbieterbewertungen, Vergleichstabellen für jede Kategorie, eine Methodennotiz und eine vollständige Quellenaufstellung. Wir werden sie vierteljährlich aktualisieren, wenn sich die Landschaft verändert.
PQC Vendor Scorecard herunterladen: Q1 2026 Edition →
Die Scorecard zeigt Ihnen, wo die Branche steht. pqprobe zeigt Ihnen, wo Ihre Organisation steht — und ob es besser oder schlechter wird. Die Ankündigung eines Anbieters, PQC zu unterstützen, bedeutet nicht, dass Ihre spezifischen Endpunkte es aushandeln. Der einzige Weg, es zu wissen, ist zu scannen, zu verfolgen und über die Zeit zu messen.