PQC-Sommer-Sprint: Warum sich 10 Quick Wins auch ohne Großprojekt lohnen

PQC-Sommer-Sprint: Warum sich 10 Quick Wins auch ohne Großprojekt lohnen

Post-Quanten-Kryptographie (PQC) wird in der Berichterstattung gern als Mammutprojekt gezeichnet: jahrelange Inventarisierung, große Migrationsbudgets, Krypto-Agilität als Architekturvision. Für kleine und mittelständische Unternehmen klingt das schnell nach “betrifft uns später”. Die Wahrheit ist eine andere – ein spürbarer Teil der Vorbereitung ist heute schon mit wenig Aufwand erreichbar, und genau diesem Teil widmen wir die kommenden zehn Wochen.

Warum jetzt – und warum gerade Quick Wins?

Der Quantencomputer, der heutige asymmetrische Verfahren bricht, ist nicht im Markt. Das Risiko ist aber bereits da: relevante Daten werden heute mitgeschnitten und später entschlüsselt, sobald die Mittel dazu existieren (“harvest now, decrypt later”). Wer Verträge, Konstruktionsdaten, Patientenakten oder strategische Korrespondenz schützt, verliert mit jedem Jahr Bestand. Gleichzeitig sind die Standards da: NIST hat ML-KEM, ML-DSA und SLH-DSA finalisiert, das BSI empfiehlt in der TR-02102 hybride Verfahren für eine Übergangszeit, und Browser, Cloud-Anbieter und Bibliotheken liefern PQC heute schon im Standardumfang aus.

Das Zeitfenster für vorbereitende Schritte ist also offen, und vieles davon ist keine Architekturentscheidung, sondern Hygiene: alte Hashes ablösen, TLS- und SSH-Konfigurationen aktualisieren, Zertifikate inventarisieren, Lieferanten-Roadmaps einholen. Genau diese Schritte sind unsere Quick Wins.

Was bedeutet “Quick Win” im PQC-Kontext?

Ein Quick Win in dieser Strecke erfüllt drei Bedingungen:

• Wenig Aufwand: In einem halben bis ganzen Arbeitstag erledigt – häufig durch eine bestehende Person der IT, ohne externe Beauftragung.
• Sofort wirksam: Die Maßnahme verbessert das Schutzniveau heute, nicht erst nach Abschluss eines mehrjährigen Programms.
• Vorbereitung für die große Migration: Was wir tun, ist niemals verlorene Arbeit. Eine Krypto-Inventur, eine PKI-Übersicht, geprüfte Lieferanten-Roadmaps – all das wird in einem späteren Migrationsprojekt ohnehin gebraucht.

Wer nach zehn Wochen alle Quick Wins umgesetzt hat, hat keine fertige PQC-Migration. Wohl aber: einen geschärften Blick auf die eigene Kryptografie-Landschaft, gestopfte Altlasten, einen ersten Satz hybrider PQC-Verbindungen im Wirkbetrieb, dokumentierte Roadmaps der wichtigsten Lieferanten – und damit eine Grundlage, auf der ein späteres Migrationsprojekt deutlich schneller, billiger und risikoärmer wird.

Awareness ist Teil jedes Quick Wins

Ein häufig unterschätzter Effekt: Quick Wins sind ein Awareness-Vehikel. Wenn die IT in dieser Strecke den Browser-Stand erhebt, die Website auf hybrides TLS umstellt oder die Hashes in Skripten aufräumt, entsteht in den Beteiligten ein Bild davon, was PQC für dieses Unternehmen bedeutet – konkret, nicht abstrakt. Das wirkt mehr als jede Slide-Deck-Schulung.

Wir empfehlen deshalb, jeden Quick Win bewusst zur Wissensvermittlung zu nutzen: das Ergebnis im IT-Team kurz vorstellen, die wichtigsten Begriffe (KEM, Signatur, Hybrid, Krypto-Agilität) en passant einführen und die Geschäftsführung in einem 10-Minuten-Slot mitnehmen. Aus zehn Quick Wins werden so zehn kleine Lerneinheiten, am Ende eine Belegschaft, die weiß, worum es geht.

Aufbau der Strecke

Die Reihenfolge der zehn Quick Wins ist nicht zufällig:

• Sehen: Krypto-Inventur Light und das Ausmisten alter Hash-Funktionen (SHA-1, MD5) verschaffen Überblick und räumen klassische Altlasten ab.
• Stellen: Browser, eigene Website und SSH werden auf hybride PQC-Verbindungen gebracht – die ersten quantenresistenten Verbindungen im Wirkbetrieb.
• Fragen: VPN/Remote-Access und Cloud-Anbieter werden auf ihre PQC-Roadmap angesprochen und die Antworten dokumentiert.
• Härten: Backup-Verschlüsselung und PKI-Bestandsaufnahme schließen die letzten konkreten Lücken.
• Üben: Kürzere Zertifikatslaufzeiten machen den späteren Algorithmuswechsel zu einer geprobten Routine statt zu einem Notfall.

Was Sie diese Woche tun können

• Den Sprint im IT-Team ankündigen und einen festen 60-Minuten-Slot pro Woche dafür reservieren.
• Eine einfache Tabelle aufsetzen, in der die zehn Quick Wins mit Verantwortlichem und Status geführt werden.
• Der Geschäftsführung in zwei Sätzen erklären, was passiert: “Wir härten unsere Kryptografie in zehn kleinen Schritten – ohne Projekt, ohne externes Budget, mit klarem Nutzen.”
• Den nächsten Artikel (Montag, 08.06.) abwarten – er enthält die Krypto-Inventur Light als ersten konkreten Schritt.

Fazit

Eine vollständige PQC-Migration ist ein Projekt. Ein PQC-Sommer-Sprint ist eine Haltung: in zehn Wochen je einen sichtbaren Schritt nach vorn machen. Jeder einzelne Schritt verbessert das Schutzniveau, hebt die Awareness im Haus und ist eine vorgezogene Teilleistung der späteren Migration. Wer mitmacht, hat am 17. August eine spürbar bessere Kryptografie-Landschaft – ganz ohne neues Projekt.

Quellen

• BSI – Post-Quanten-Kryptografie https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/post-quanten-kryptografie_node.html
• BSI – Migration zu Post-Quanten-Kryptografie (Handlungsempfehlungen) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.html
• NIST – Post-Quantum Cryptography Standardization https://csrc.nist.gov/projects/post-quantum-cryptography

pqconsult: Ihre Partner bei der PQC-Migration

Wir begleiten kleine und mittelständische Unternehmen Schritt für Schritt – vom ersten Quick Win bis zum prüffähigen Migrationsfahrplan. Kontaktieren Sie uns, wenn Sie den PQC-Sommer-Sprint mit einem erfahrenen Sparringspartner an Ihrer Seite gehen möchten.