Quantenmigration 2035: Die Branche verschläft den Countdown
Die Drähte summen. Aber diesmal geht es nicht um Morsetasten oder Radarschirme. Es geht um die Verschlüsselung, die jeder Datenverkehr auf diesem Planeten trägt — und um eine Frist, die wie ein Damoklesschwert über der Industrie hängt. Bis 2035 sollen quantenverwundbare Algorithmen ausgemustert werden. So will es die NSA. So will es die EU. So hat es das NIST in seinen Standards festgeschrieben. Und die wenigsten Unternehmen haben auch nur angefangen, sich darauf vorzubereiten.
Das ist keine Science-Fiction. Das ist Ermittlungsarbeit.
Die Faktenlage ist eindeutig: Das National Institute of Standards and Technology hat Post-Quantum-Standards verabschiedet. Wer heute noch RSA, ECDSA oder Diffie-Hellman verwendet — also praktisch jeder — arbeitet mit Verschlüsselung, die ein hinreichend leistungsfähiger Quantencomputer knacken kann wie eine Konservenbüchse. Wer den Namen Shor-Algorithmus noch nie gehört hat, sollte ihn sich merken. Er erklärt, warum die Uhr tickt.
Hier wird es unangenehm. Geheimdienste sammeln bereits heute verschlüsselte Daten — in der Annahme, sie später entschlüsseln zu können. „Harvest now, decrypt later" nennt sich das im Gewerbe. Alles, was heute durch Leitungen fließt, kann morgen lesbar werden. Staatsgeheimnisse, Patente, Krankenakten, Konstruktionspläne. Wer glaubt, seine verschlüsselten Archive seien sicher, weil sie heute niemand lesen kann, irrt. Die Rechnung kommt später. Und sie kommt sicher.
Die Anforderungen betreffen nicht nur öffentliche Einrichtungen. Auch Auftragnehmer und Branchen, die sensible Daten verarbeiten, stehen in der Pflicht. Konkrete Fristen sind gesetzt — für nationale Sicherheitssysteme und kritische Infrastrukturen besonders rigide. Die EU hat ihre eigenen Zeitpläne, die NSA ihre Roadmap. Zwei Bürokratien, eine Deadline, tausende betroffene Systeme. Wer hier noch keinen Migrationsplan in der Schublade hat, hat seinen Job nicht verstanden.
Und wer plant die Migration? Hier kommt QSE ins Spiel — ein Unternehmen, das eine Plattform entwickelt hat, die Firmen durch diesen Prozess führen soll. Das klingt plausibel. Aber es wirft Fragen auf. Wer berät die Berater? Wer auditiert die Auditoren? Wenn der Übergang zu Post-Quanten-Verschlüsselung so komplex ist, wie alle Beteiligten sagen — mehrjährige Planung, Systemaudits, Koordination quer durch die IT-Landschaft — dann entsteht hier ein Markt, der nicht von Experten allein gefüllt werden kann. Dann entsteht Beratungsgeld. Dann entsteht Abhängigkeit. Und wer behauptet, er könne das Problem in zwei Quartalen lösen, hat noch nie eine Bestandsaufnahme gemacht.
Das ist die Struktur, die Ermittler interessiert: Wer verdient an der Migration? Wer bezahlt den Preis? Wer schweigt über die Lücke zwischen Anspruch und Wirklichkeit?
Die Wirklichkeit: Wenige Unternehmen haben den Prozess überhaupt begonnen. Das ist keine Vermutung — das ist die Leerstelle im Datenraum. Die NSA drängt, die EU drängt, das NIST liefert die Standards — und die Industrie schläft. Oder tut zumindest so. Denn wer zugeben muss, dass er die Frist verpasst, gibt auch zu, dass er seine Kronjuwelen jahrelang ungeschützt ließ.
Für große Organisationen ist die Migration kein Software-Update. Das ist eine Operation am offenen Herzen. Kryptografische Bibliotheken müssen ersetzt werden, Protokolle aktualisiert, Schlüsselverwaltung umgebaut, Zertifikate neu ausgestellt — und das alles, ohne den laufenden Betrieb zu unterbrechen. Wer das nicht frühzeitig plant, wird im Chaos landen. Wer kein Budget dafür reserviert hat, wird im Chaos landen. Wer glaubt, mit einem Quick-Fix durchzukommen, hat nicht verstanden, worüber wir hier reden.
Unklar bleibt, welche Branchen am weitesten zurückliegen. Unklar bleibt, ob Aufsichtsbehörden tatsächlich Sanktionen verhängen werden — oder ob die Frist 2035 zur Empfehlung wird, sobald die ersten großen Namen zu fallen drohen. Unklar bleibt auch, wie viel der QSE-Plattform und vergleichbaren Werkzeugen wirklich zuzutrauen ist — oder ob hier nur das nächste Beratungsprodukt verkauft wird, das mehr verspricht als es hält. Die Struktur kennt man aus anderen Migrationswellen: Erst die Panik, dann die Berater, dann die Rechnungen.
Eines ist sicher: Die Quantenbedrohung ist kein Risiko in ferner Zukunft. Sie ist ein bereits eingepreistes Risiko für jeden, dessen verschlüsselte Daten heute durch Leitungen gehen. Die Frage ist nicht, ob die Migration kommt. Die Frage ist, wer sie bezahlt — und wer bis 2035 auf der Strecke bleibt.
Ada Voss hört die Frequenzen, die anderen zu hoch sind. Auch diese.