Der Autor erinnert an den Stromausfall von 2003, bei dem 55 Millionen Menschen in den USA und Kanada wegen eines Softwarefehlers und mangelnder Kommunikation ohne Strom blieben – ganz ohne Angriff. Mehr als zwei Jahrzehnte später steht dieselbe Infrastruktur sorgfältig planenden Gegnern gegenüber.

Als Beispiel nennt der Text Volt Typhoon, einen staatlich unterstützten Bedrohungsakteur aus China, der sich mit legitimen Zugangsdaten und bordeigenen Werkzeugen langfristig in Netzen US-amerikanischer kritischer Infrastruktur einnistete. In mindestens einem dokumentierten Fall hielt der Zugang fast ein Jahr an. Es gehe dabei nicht um Diebstahl, sondern um das Vorbereiten einer Störung. Weil das Energienetz zwischen Kanada und den USA eng verflochten ist, macht die Bedrohung an der Grenze nicht halt – die Sicherheits-Frameworks dagegen weitgehend schon.

Die Migration auf Post-Quanten-Kryptografie ist schon in der IT ein komplexer, mehrjähriger Kraftakt. In OT-Umgebungen ist die Aufgabe noch größer: Kryptografie steckt oft fest in Firmware, ist in Geräte einprogrammiert, die sich nur mit physischem Zugriff aktualisieren lassen, oder hängt an Hersteller-Supportzyklen, die in Jahrzehnten gemessen werden. Manche Geräte arbeiten mit nur 32 KB RAM und besitzen nicht die Rechenleistung für moderne kryptografische Operationen – Post-Quanten-Algorithmen wurden für solche Einschränkungen nie entworfen. Einzelne Anlagen wurden installiert, bevor es kryptografische Standards überhaupt gab.

Der Autor benennt zwei konkrete Risiken. Beim ersten – „Harvest now, decrypt later" – sammeln Angreifer schon heute verschlüsselten Datenverkehr aus OT-Umgebungen, um ihn zu entschlüsseln, sobald Quantencomputer dies ermöglichen. Das Quantenrechnen bedrohe damit nicht nur künftige Kommunikation, sondern auch die Annahme, dass früher abgefangene Daten sicher seien. Das zweite Risiko nennt er „Trust now, forge later": Wer die Firmware-Signaturschlüssel eines Herstellers erbeutet hat, könnte Jahre später ein bösartiges Update an jedes Gerät im Netz ausspielen, das die Signatur als legitim akzeptiert.

Das Kernproblem: Die meisten Betreiber können nicht beantworten, wo in ihrer Umgebung Kryptografie überhaupt steckt – nicht aus Nachlässigkeit, sondern weil diese Systeme nie für solche Audits gebaut wurden. Die kryptografischen Verfahren liegen in längst vergessenen Bibliotheken, eingebettet in jahrzehntealte Geräte und unsichtbar für die üblichen Sicherheitswerkzeuge. Die Daten existieren nicht, und der Prozess, sie zu erheben, wurde nie geschaffen.

Eine unterschriebene Bestätigung ändere daran nichts, sondern erzeuge nur den Anschein von Sicherheit. In schlecht ausgestatteten OT-Umgebungen mit alternder Infrastruktur und dünn besetzten Sicherheitsteams sei der Weg des geringsten Widerstands das Abhaken des Formulars. Das Ergebnis sei eine trügerische Sicherheit, die gefährlicher sein könne als eingestandene Ungewissheit.

Die Dringlichkeit hinter den Anforderungen sei real: NIST habe seine Post-Quanten-Kryptografie-Standards nicht ohne Grund veröffentlicht, und auch staatliche Fristen hätten ihre Berechtigung. Doch herauszufinden, wo Kryptografie in einer OT-Umgebung lebt, dauere Jahre – für viele Organisationen reiche womöglich nicht einmal ein Jahrzehnt. Bevor Betreiber etwas bestätigen sollen, so der Autor, müssten Regulierer dafür sorgen, dass die Frameworks, Leitlinien und Werkzeuge existieren, die eine solche Bestätigung erst aussagekräftig machen.