Kern der Executive Order 14409 ist ein verbindlicher Migrationsplan für US-Bundesbehörden. Diese müssen ihre hochwertigen Vermögenswerte und Systeme mit hoher Auswirkung erfassen und für den Schlüsselaustausch bis zum 31. Dezember 2030 auf Post-Quanten-Kryptografie umstellen. Für digitale Signaturen setzt die Anordnung den 31. Dezember 2031 als Frist.

Zugleich weist die Verfügung die Behörden an, jeweils eine verantwortliche Leitung für die PQC-Migration zu benennen. Das Handelsministerium soll außerdem bis Ende 2027 ein Pilotprojekt betreiben. In einem begleitenden Faktenblatt des Weißen Hauses heißt es dazu: „Das Pilotprogramm wird bis 2027 eine erfolgreiche Migration demonstrieren und damit ein klares Beispiel für Behörden setzen, wie sie ihre Cyberabwehr stärken können, während die Quantentechnologie voranschreitet.“

Für die technische Ausgestaltung sind mehrere Stellen gemeinsam zuständig. OMB, NIST, NSA, DHS und CISA sollen laut Anordnung zusammenarbeiten, um umfassende technische Leitlinien zu entwickeln und deren Umsetzung zu beaufsichtigen. Ziel ist es, Bundesbehörden bei der Einführung von Post-Quanten-Kryptografie zu unterstützen.

Auch über die unmittelbare Bundesverwaltung hinaus zieht die Anordnung Kreise. Das Außenministerium soll Betreiber kritischer Infrastrukturen und ausländische Regierungen bei ihrem Übergang zu PQC ermutigen und unterstützen. Das Pentagon, die NASA und die General Services Administration wurden angewiesen, Möglichkeiten zur Kostensenkung zu identifizieren.

Zusätzlich werden auch Bundesauftragnehmer in die Pflicht genommen. Sie müssen bis Ende 2030 die NIST-Standards zur Nutzung von PQC-konformen Algorithmen einhalten.

Garfield Jones, Executive Vice President Strategy and Research bei QuSecure, wertete die Verfügung als deutliches Signal an Organisationen mit Bundesaufträgen. „Diese Executive Order sendet jeder Organisation, die Geschäfte mit der Bundesregierung macht, ein unmissverständliches Signal: Die Uhr tickt und für manche läuft sie vielleicht bereits ab“, sagte Jones.

Er verwies insbesondere auf die zeitliche Lücke zwischen Vorgaben und aktuellem Stand vieler Organisationen. „Die Frist 2030 für den Schlüsselaustausch ist eine greifbare Compliance-Frist, und die Lücke zwischen dem heutigen Stand der meisten Organisationen und dem, wo sie sein müssen, ist erheblich“, erklärte Jones. „Behörden und Auftragnehmer, die noch nicht mit einer Bestandsaufnahme ihrer Kryptografie begonnen haben, sind bereits im Rückstand. Die Organisationen, die jetzt handeln, werden Optionen haben. Diejenigen, die warten, werden feststellen, dass sie eine Krise bewältigen müssen.“

Die Anordnung folgt kurz auf eine weitere Executive Order von Trump, die einen freiwilligen Rahmen für die staatliche Prüfung fortgeschrittener KI-Modelle vor ihrer öffentlichen Freigabe geschaffen hat.