PQC BEREITSCHAFT // CHIMERASCOPE
Quantifizierte Bewertung Ihrer kryptografischen Infrastruktur gegenüber Bedrohungen durch Quantencomputing — abgebildet auf CRA, NIS2 und BSI TR-02102-1‑Compliance‑Verpflichtungen.
Neueste Fortschritte in der Quantencomputing‑Forschung haben die geschätzten Ressourcen, die zum Brechen weit verbreiteter Public‑Key‑Kryptografie erforderlich sind, erheblich reduziert. Organisationen, die sensible Daten verarbeiten – Finanzunterlagen, medizinische Informationen, geistiges Eigentum, Geschäftsgeheimnisse – stehen unter einem konkreten Zeitdruck, dem Regulierungsbehörden bereits begegnen.
Die Kernbedrohung ist einfach: Heute abgefangener verschlüsselter Netzwerkverkehr kann gespeichert und entschlüsselt werden, sobald Quantencomputer die erforderliche Leistungsfähigkeit erreicht haben. Diese „Jetzt ernten, später entschlüsseln“-Strategie macht die Post‑Quantum‑Migration zu einer Risikomanagement‑Priorität von heute, nicht zu einer zukünftigen Überlegung. Aktuelle Schätzungen setzen das Zeitfenster zwischen Abfang und Entschlüsselungsfähigkeit auf drei bis zehn Jahre.
NIST hat im August 2024 drei post‑quantum kryptografische Standards finalisiert: ML‑KEM (FIPS 203) für die Schlüsselverkapselung, ML‑DSA (FIPS 204) für digitale Signaturen und SLH‑DSA (FIPS 205) für hash‑basierte Signaturen. Große Infrastruktur‑Anbieter haben bereits mit der Implementierung begonnen – doch die überwiegende Mehrheit der Organisationen hat ihre eigene Bereitschaft noch nicht bewertet.
Unsere Bewertung prüft die kryptografische Quantenbereitschaft über jeden extern beobachtbaren Endpunkt Ihrer Infrastruktur. Es ist kein Zugriff auf interne Systeme erforderlich.
Bewertung der TLS‑Schlüsselaustausch‑Konfigurationen über standardisierte post‑quantum hybride und reine Algorithmen. Ermittelt, ob Ihre Endpunkte einen quantenresistenten Schlüsselaustausch aushandeln oder anfällig für Abfangen bleiben. Bezieht sich auf primäre Domains, Subdomains und zusätzliche Service‑Ports.
Analyse der Zertifikatsalgorithmen einschließlich Bewertung des Signaturschemas und Scoring der Migrationsbereitschaft. Bewertet, ob Ihre Zertifikatsinfrastruktur zu quantensicheren Algorithmen wechseln kann, ohne betriebliche Störungen – abhängig von ausstellender Behörde, Automatisierungsgrad und Pinning‑Einschränkungen.
STARTTLS‑Post‑Quantum‑Fähigkeitsprüfung über Ihre MX‑Infrastruktur. Der E‑Mail‑Transport ist einer der am häufigsten übersehenen quantenanfälligen Kanäle – aktuelle Daten zeigen, dass weniger als ein Prozent der weltweiten Mail‑Server quantensichere Transportverschlüsselung unterstützen.
Erkennung von Protokoll‑Downgrade‑Schwachstellen, die Angreifern ermöglichen, Verbindungen auf ältere, quantenanfällige Protokollversionen zu zwingen, selbst wenn neuere Schutzmaßnahmen verfügbar sind. Enthält die Bewertung der Modernisierung des SSH‑Schlüsselaustauschs über alle exponierten Management‑Schnittstellen.
CDN‑bewusste Analyse, die zwischen Quanten‑Schutz am Netzwerk‑Rand und dem nativen Schutz Ihrer Origin‑Infrastruktur unterscheidet – eine kritische Unterscheidung, die kein öffentliches Scoring‑Tool derzeit bietet. Organisationen, die auf Content‑Delivery‑Netzwerke setzen, gehen häufig von vollständigem Schutz aus, obwohl nur die Edge‑Ebene quanten‑bereit ist.
Unsere Bewertungen von europäischen Industrie-, Finanz- und Technologieorganisationen zeigen ein konsistentes Muster:
Die Bereitschaft für post-quantum Kryptographie ist kein theoretisches Problem – sie ist eine aufkommende Compliance‑Anforderung in mehreren regulatorischen Rahmenwerken, die für europäische Organisationen gelten.
Der CRA verlangt, dass Produkte mit digitalen Elementen kryptografische Schutzmaßnahmen implementieren, die dem Stand der Technik entsprechen. Artikel 10 verpflichtet Hersteller, Vertraulichkeit durch „angemessene Mechanismen und Protokolle“ sicherzustellen – eine Formulierung, die zunehmend die Post‑Quantum‑Bereitschaft einschließt, sobald die NIST‑Standards reifen. Die Meldung von Schwachstellen wird ab September 2026 verpflichtend, die vollständige Konformität ist bis Dezember 2027 zu erreichen.
Artikel 21 verlangt von wesentlichen und wichtigen Einrichtungen die Umsetzung von „state-of-the-art“ Sicherheitsmaßnahmen, die dem Risiko angemessen sind. Sobald post‑quantum kryptografische Standards reif sind, führt das Versäumnis, Bewertung und Migrationsplanung durchzuführen, zu einer nachweisbaren Lücke in den Risikomanagement‑Maßnahmen, die NIS2 fordert. Es wird erwartet, dass sektorspezifische Leitlinien die PQC‑Migrationszeitpläne ausdrücklich erwähnen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht technische Leitlinien zu empfohlenen kryptografischen Algorithmen. TR-02102-1 klassifiziert ML‑KEM und ML‑DSA als empfohlene Algorithmen und bietet konkrete Vorgaben für Organisationen, die im deutschen Markt tätig sind oder diesen bedienen. BSI‑Leitlinien haben insbesondere für Lieferanten des öffentlichen Sektors und regulierte Branchen in der DACH‑Region großes Gewicht.
Die Commercial National Security Algorithm Suite 2.0 legt einen Zeitplan für die Ausmusterung quantenanfälliger Algorithmen in nationalen Sicherheitssystemen fest. Obwohl US‑zentriert, beeinflussen die CNSA 2.0‑Zeitpläne globale Anforderungen an Lieferketten – Organisationen, die dem Verteidigungs‑, Luft‑ und Raumfahrt‑ oder Dual‑Use‑Technologiesektor dienen, sehen sich cascadierten Compliance‑Verpflichtungen unabhängig von der Rechtsordnung gegenüber.
Jede Bewertung erzeugt einen quantifizierten Bereitschafts‑Score, der den tatsächlichen Bereitstellungsstatus über alle extern beobachtbaren kryptografischen Endpunkte widerspiegelt. Der Score berücksichtigt die Konfiguration der Transportschicht, die Zertifikatslage, die E‑Mail‑Sicherheit, die Protokoll‑Resilienz und die Infrastruktur‑Architektur.
Post‑quantum‑Schlüsselaustausch über alle primären Endpunkte bereitgestellt. Die Zertifikatinfrastruktur unterstützt die Algorithmus‑Migration. Der E‑Mail‑Transport beinhaltet quantum‑safe‑Schutzmaßnahmen. Es wurden keine signifikanten Protokoll‑Downgrade‑Pfade festgestellt.
Teilweise Post‑quantum‑Bereitstellung – typischerweise über CDN‑Edge‑Schutz ohne Implementierung auf Origin‑Ebene oder mit Lücken im E‑Mail‑ oder SSH‑Transport. Ein Migrationspfad existiert, erfordert jedoch gezielte Maßnahmen auf spezifischen Infrastrukturschichten.
Begrenzte oder keine Post‑quantum‑Schutzmaßnahmen bereitgestellt. Die Zertifikatinfrastruktur kann die Migration unterstützen, jedoch hat noch kein aktiver Übergang begonnen. Protokoll‑Downgrade‑Pfade sind wahrscheinlich vorhanden. Empfehlung: Beginn der Migrationsplanung im aktuellen Haushaltszyklus.
Keine quantum‑safe‑Schutzmaßnahmen erkannt. Legacy‑Protokollversionen werden akzeptiert. Das Zertifikatsmanagement kann eine schnelle Migration behindern. Empfehlung: Priorisieren Sie das kryptografische Inventar und die Migrations‑Roadmap als sofortige operative Priorität.
Signifikante kryptografische Exposition, einschließlich veralteter Algorithmen, fehlender Forward Secrecy und struktureller Hindernisse für die Migration. Eine sofortige Bewertung und Remediations‑Planung sind erforderlich.
Jetzt. NIST-Standards sind finalisiert, große Infrastruktur‑Anbieter setzen sie ein, und regulatorische Rahmenwerke integrieren post‑quantum‑Anforderungen. Organisationen, die noch heute mit der Bewertung beginnen, haben Migrations‑Roadmaps fertig, bevor die Compliance‑Fristen eintreten.
Teilweise. Große CDN‑Anbieter setzen post‑quantum‑Schlüsselaustausch am Edge ein, aber Ihr Origin‑Server führt die eigentliche Datenverarbeitung durch. Fehlt Ihrem Origin quantensichere Schutzmaßnahmen, bleibt der Datenverkehr zwischen CDN und Origin verwundbar. Unsere Bewertung identifiziert genau diese Lücke.
Nein. Die Bewertung prüft die kryptografische Konfiguration durch passive Beobachtung und Standard‑TLS‑Handshake‑Analyse. Keine Ausnutzung, keine Authentifizierungsversuche, keine Dienstunterbrechungen. Für den Standard‑Bewertungsumfang ist keine Autorisierung erforderlich.
E‑Mail‑Transport wird getrennt von der Web‑Infrastruktur bewertet. Unsere Bewertung prüft, ob Ihre MX‑Server quantensicheres STARTTLS unterstützen — eine Fähigkeit, die derzeit von weniger als einem Prozent der globalen Mail‑Server angeboten wird.
Die PQC‑Readiness‑Bewertung ist entweder als eigenständiges Engagement oder als integrierte Ebene innerhalb einer umfassenden externen Angriffsflächen‑Bewertung verfügbar. Bei Kombination werden PQC‑Ergebnisse in das gesamte Compliance‑Mapping und das Bedrohungs‑Scoring einfließen.
NIST FIPS 203 (ML‑KEM), FIPS 204 (ML‑DSA), FIPS 205 (SLH‑DSA) für die Algorithmus‑Bewertung. CRA Art. 10, NIS2 Art. 21, BSI TR-02102-1 und CNSA 2.0 für das Compliance‑Mapping. Alle Verweise sind im gelieferten Bericht aufgeführt.
Senden Sie die primäre Domain Ihrer Organisation für eine Bewertung der Post‑Quantum‑Kryptografie‑Bereitschaft ein. Die Bewertung wird innerhalb von 48 Stunden als verschlüsselte PDF bereitgestellt.
Geben Sie die primäre Domain Ihrer Organisation an. Die Bewertung umfasst alle extern beobachtbaren kryptografischen Endpunkte.