Die erste Executive Order mit dem Titel „Den nächsten Abschnitt der Quanteninnovation einleiten“ soll die nationale Quantenstrategie aktualisieren und ein inländisches Ökosystem stärken, das einen Quantencomputer jenseits der heutigen Möglichkeiten hervorbringen soll. Dazu gehören laut Vorlage auch Investitionen in Fachkräfte sowie Partnerschaften mit internationalen Verbündeten, Herstellern und privaten Investoren.

Die zweite Anordnung, „Die Nation gegen fortgeschrittene kryptografische Angriffe absichern“, richtet den Blick auf die Abwehr von Angreifern, die Quantencomputing gegen Organisationen einsetzen könnten. Sie soll die Umstellung der US-Regierung auf Post-Quanten-Kryptografie beschleunigen und sensible Regierungsdaten besser schützen. Zudem weist sie NIST an, ein Pilotprogramm für den Übergang zu starten und Standards dafür auszuarbeiten. Weitere Behörden sollen Leitlinien für eine Stückliste kryptografischer Komponenten erstellen und kritische Infrastrukturen auf dem Weg zur Quantenfestigkeit unterstützen.

Nach Einschätzung des Artikels beschleunigen die Vorgaben den Zeitplan vieler Organisationen drastisch. Zuvor sei in weiten Teilen der Sicherheitsbranche die Annahme verbreitet gewesen, dass kryptografisch relevante Quantencomputer wahrscheinlich nicht vor 2035 verfügbar seien. Entsprechend sei die Migration zu PQC eher als Vorbereitung denn als Compliance-Aufgabe behandelt worden.

Jonathan Nguyen-Duy, Technologiechef des auf Quantensicherheit spezialisierten Anbieters Arqit, sagte Dark Reading, viele Organisationen unterschätzten die Größenordnung dieser Aufgabe und sähen die Migration fälschlich als reines Technologie-Upgrade. „Kryptografie steckt überall – von Anwendungen, Netzwerken, Cloud-Umgebungen und Softwarebibliotheken bis hin zu vernetzten Geräten und Systemen von Drittanbietern“, sagte er. Deshalb gehe es bei der Post-Quanten-Migration nicht darum, einfach einen Algorithmus durch einen anderen zu ersetzen. Jede Änderung müsse getestet und umgesetzt werden, ohne den Geschäftsbetrieb zu stören. Dafür brauche es langfristige Finanzierung, funktionsübergreifende Verantwortung und Ausdauer.

Garfield Jones, Senior Vice President für Forschung und Strategie beim PQC-Anbieter QuSecure, sagte, viele Behörden befänden sich noch in der Inventarisierungsphase, manche hätten bereits PQC-Verantwortliche benannt. Es bleibe jedoch erhebliche Arbeit bei Implementierung und Tests der von NIST standardisierten Algorithmen in den jeweiligen Umgebungen. Kleinere Behörden könnten die beschleunigten Fristen eher schaffen, größere und föderierte Behörden hätten es schwerer, weil bei manuellen Bestandsaufnahmen immer weitere IT- und OT-Ressourcen auftauchten.

Wie teuer das wird, lässt sich laut Artikel nicht pauschal beziffern. Das Office of the National Cyber Director bezifferte 2024 die „gesamten regierungsweiten Kosten“, um priorisierte Informationssysteme zwischen 2025 und 2035 auf PQC umzustellen, auf rund 7,1 Milliarden US-Dollar zu Preisen von 2024. Jones betonte zugleich, dieses Budget sei für eine Frist bis 2035 kalkuliert worden; der beschleunigte Zeitplan werde die Kosten voraussichtlich deutlich erhöhen, weil die Nachfrage nach Migrationsdiensten, crypto-agilen Werkzeugen, hybriden Architekturen und rückwärtskompatiblen Lösungen steige.

Der Anbieter QNSQY nannte in einem Blog mehrere Kostentreiber, darunter Werkzeuge zur Kryptografie-Inventarisierung, Personalaufwand für PQC-Architekten, Kryptoingenieure und Integratoren, Firmware-Upgrades, Kosten für Zertifizierungsstellen, Qualitätssicherung, Migrationen bei Anbietern und Schulungen. Genannte Schätzungen reichen von 100.000 bis 500.000 US-Dollar für kleine Organisationen mit weniger als 100 Beschäftigten über 1 bis 20 Millionen US-Dollar für mittelgroße Unternehmen mit 1.000 bis 10.000 Beschäftigten bis zu 10 bis 100 Millionen US-Dollar für große Unternehmen mit mehr als 10.000 Beschäftigten. Der Artikel weist aber darauf hin, dass viele Schätzungen wegen des nun verdichteten Zeitplans womöglich nicht mehr zutreffen.

Celia Merzbacher, Geschäftsführerin des Quantum Economic Development Consortium, verwies auf die Ressourcen von NIST zur PQC-Migration. Sie betonte gegenüber Dark Reading: „Wenn Organisationen nicht bereits mit der Bewertung und Planung ihrer PQC-Migration begonnen haben, sollten sie dies sofort tun.“ Jones empfiehlt als ersten Schritt eine Bestandsaufnahme sensibler Daten über deren gesamten Lebenszyklus hinweg in IT- und OT-Umgebungen. Mike Fleck von DigiCert rät zudem dazu, bestehende externe TLS-Verbindungen auf TLS 1.3 und ML-KEM umzustellen, den von NIST standardisierten Post-Quanten-Mechanismus für den Schlüsselaustausch.