Nicht alle Daten tragen im Szenario “Harvest now, decrypt later” dasselbe Risiko, weshalb sie auch nicht denselben Schutz benötigen. Der Kommentar empfiehlt Unternehmen daher, zunächst zu bestimmen, wie sensibel ihre Daten sind und wie lange sie geschützt bleiben müssen. Den Ausgangspunkt bildet eine umfassende Bestandsaufnahme aller Vermögenswerte, Hardware, Software und Lieferanteninformationen – inklusive einer Katalogisierung von Schlüssellängen, Nutzungsmustern und Zuständigkeiten einzelner Abteilungen. Erst auf dieser Grundlage lassen sich Schwachstellen erkennen und gezielt absichern.
Besonders schützenswert sind demnach Informationen, die über Jahrzehnte ihren Wert behalten: medizinische Unterlagen, staatliche Verteidigungsgeheimnisse, diplomatische Kommunikation und personenbezogene Daten. Auf Unternehmensseite zählen dazu geistiges Eigentum, Pläne für Fusionen und Übernahmen sowie geschützte Forschungsergebnisse. Auch künftige Projekte wie Konstruktionsentwürfe für Produkte des kommenden Jahrzehnts können angreifbar werden.
Die korrekte Einführung von Post-Quantum-Kryptografie ist laut dem Kommentar eine eigene Herausforderung. Statt flächendeckender Änderungen empfiehlt sich ein Start mit kontrollierten Pilotprojekten an unkritischen Systemen. Als Orientierung dienen die vom National Institute of Standards and Technology (NIST) freigegebenen post-quantum-kryptografischen Algorithmen. Da quantenresistente Verfahren oft andere Anforderungen stellen – mehr Rechenleistung, größere Schlüssel oder ein verändertes Zertifikatsmanagement – können Sicherheitsteams in solchen Pilotprogrammen die Auswirkungen auf die Leistung prüfen und Kompatibilitätsprobleme erkennen, bevor geschäftskritische Systeme umgestellt werden.
Zeigen sich die Pilotsysteme stabil, rät der Kommentar zu hybriden Verschlüsselungsmodellen, die klassische und post-quantum-kryptografische Verfahren kombinieren. Dieser zweischichtige Ansatz schützt gleichzeitig vor herkömmlichen Angriffen und künftigen Quantenbedrohungen und dient als Sicherheitsnetz, solange die neuen Schutzmechanismen noch verfeinert werden. In der letzten Pilotphase wird das gesamte Technologie-Ökosystem einbezogen: Quantenresistente Protokolle müssen über die interne Infrastruktur, Cloud-Umgebungen und Anbindungen von Drittanbietern hinweg getestet werden. Die Ergebnisse liefern den Fahrplan für die vollständige Migration samt Zeitplänen, Ressourcenbedarf und Strategien zur Risikominderung.
Mit der Umsetzung ist es jedoch nicht getan. Auch nach dem Ausrollen leistungsfähiger Post-Quantum-Kryptografie müssen Organisationen ihre Quantenbereitschaft fortlaufend überwachen, neue Schwachstellen analysieren und kryptografische Abhängigkeiten im Blick behalten. Der Kommentar nennt diese kontinuierliche Anpassungsfähigkeit “Krypto-Agilität”.
Die Vorbereitung bleibt bislang dürftig: Laut dem Kommentar haben nur die Hälfte der Organisationen die nötigen Schutzmaßnahmen ergriffen, und lediglich 14 Prozent geben an, dass ihre aktuelle IT-Infrastruktur Post-Quantum-Kryptografie unterstützen kann. Wer jetzt beginnt, kryptografische Abhängigkeiten zu kartieren, quantenresistente Protokolle zu erproben und hybride Verschlüsselung einzuführen, ist nach Einschätzung des Kommentars am besten geschützt. Wer wartet, steht später vor der Wahl, jahrelang gestohlene Daten als kompromittiert hinzunehmen oder eine Migration unter Krisendruck zu stemmen.
