PQC Quick Win 1: Krypto-Inventur Light – was läuft eigentlich kryptografisch im Haus?

PQC Quick Win 1: Krypto-Inventur Light – was läuft eigentlich kryptografisch im Haus?

Jede PQC-Migration beginnt mit derselben Frage: Wo wird in unserem Unternehmen überhaupt asymmetrische Kryptografie eingesetzt? Die ehrliche Antwort lautet in den meisten KMU: “Vermutlich überall, aber so richtig wissen wir es nicht.” Das vollständige Inventar ist Aufgabe eines späteren Migrationsprojekts. Für unseren Sprint brauchen wir die Inventur Light: einen guten Überblick in einem Arbeitstag.

Wozu eine Light-Variante reicht

Ein vollständiges Krypto-Inventar listet jede Bibliothek, jeden Schlüssel und jede Konfigurationszeile. Das ist Wochen- bis Monatsarbeit. Für die Strecke der nächsten Wochen reicht eine Übersicht über die Stellen, an denen Sie als Unternehmen aktiv etwas drehen können: die Internet-exponierten Dienste, die wichtigsten internen Server, die genutzten Cloud-Plattformen und die kryptografisch relevanten Endgeräte-Klassen. Diese Light-Inventur ist die Grundlage für jeden weiteren Quick Win dieser Strecke – und sie ist später nicht weggeworfene Arbeit, sondern Startpunkt der vollständigen Inventur.

Die vier Spalten Ihrer Tabelle

Legen Sie eine einfache Tabelle an – Excel, Confluence oder ein gut gepflegtes Markdown-Dokument tun es. Vier Spalten reichen:

• Asset: Welcher Dienst, welcher Server, welches Endgerät, welcher Cloud-Tenant?
• Wer ist verantwortlich?: Intern (Person/Team) oder extern (Dienstleister/Hersteller)?
• Welche Krypto ist im Einsatz?: TLS-Version und Cipher Suite, SSH-Algorithmen, Signaturverfahren des Zertifikats, Hash-Funktionen.
• PQC-Stand: Heute noch klassisch / hybrid möglich / hybrid aktiv / unbekannt.

Diese Tabelle ist nichts Schönes – sie ist Arbeitsmaterial für den Rest des Sprints.

Die wichtigsten Quellen für die Light-Inventur

Sie kommen erstaunlich weit, ohne ein einziges kostenpflichtiges Werkzeug:

• SSL Labs Server Test für jede öffentlich erreichbare Website und API: zeigt TLS-Versionen, Cipher Suites, Zertifikatsalgorithmen und Hash-Verfahren auf einen Blick.
• testssl.sh für internes Scannen, wo Sie SSL Labs nicht hinschicken können (Intranet, interne APIs, Mailserver). Open Source, läuft auf Linux/macOS.
• ssh -Q kex und ssh -Q sig auf einem aktuellen OpenSSH zeigen, welche Schlüsselaustausch- und Signaturverfahren der Client kennt – ein erster Indikator für die Versions-Landschaft.
• Asset-Inventar des Endpoint-Managements (Intune, Jamf, Workspace ONE oder Vergleichbares) für die Browser- und OS-Versionen Ihrer Endgeräte.
• Vertragsunterlagen mit Cloud- und SaaS-Anbietern – mehr für die spätere Quick-Win-Etappe zu Lieferanten-Roadmaps, hier nur einsammeln.

Was Sie an einem Tag realistisch erfassen können

In acht Stunden erreichen Sie typischerweise:

• Alle öffentlich erreichbaren Dienste (Website, Webshop, Webmail, Kunden-Portal, Remote-Zugang) mit TLS- und Zertifikatsdaten.
• Die drei bis fünf wichtigsten internen Server (Domain Controller, Fileserver, ERP-Frontend, interne CA, Backup-Server).
• Die genutzten Cloud-Plattformen, jeweils mit Anbietername, Hauptdiensten und Verantwortlichem im Haus.
• Den groben Versionsstand der Standard-Endgeräte (Browser, OS).

Das ist die Light-Variante – und sie reicht für unseren Sprint.

Was Sie diese Woche tun sollten

• Tabelle aufsetzen, vier Spalten anlegen, Verantwortlichen für die Inventur benennen.
• Eine SSL-Labs-Reihe für alle öffentlich erreichbaren Dienste fahren und Ergebnisse in die Tabelle übernehmen.
• testssl.sh auf einem internen Admin-System bereitstellen und gegen die drei bis fünf wichtigsten internen Endpunkte laufen lassen.
• Liste der Cloud- und SaaS-Anbieter zusammenstellen – Vertragsdetails kommen später, für jetzt reicht der Name und der Hauptdienst.
• Erkenntnisse im IT-Team vorstellen: Wo überrascht es? Wo sind weiße Flecken? Diese Stelle ist ein guter Moment, um die Geschäftsführung in fünf Minuten mitzunehmen.

Fazit

Eine Krypto-Inventur Light ist kein Audit und kein Compliance-Nachweis. Sie ist die Landkarte, mit der Sie die nächsten neun Quick Wins gezielt umsetzen können – und der erste konkrete Beleg dafür, dass PQC in Ihrem Haus angekommen ist. Wer keine Karte hat, navigiert blind; wer eine Light-Karte hat, sieht zumindest die wichtigen Straßen.

Quellen

• BSI – Migration zu Post-Quanten-Kryptografie (Handlungsempfehlungen) https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.html
• BSI TR-02102-2 – Verwendung von Transport Layer Security (TLS) https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TR-nach-Thema-sortiert/tr02102/tr02102_node.html
• testssl.sh – Open-Source-Werkzeug für TLS-Analysen https://testssl.sh/
• Qualys SSL Labs – SSL Server Test https://www.ssllabs.com/ssltest/

pqconsult: Ihre Partner bei der PQC-Migration

Wenn Sie die Inventur breiter und tiefer aufsetzen möchten – mit Bibliotheks- und Schlüsselebene, einem belastbaren Krypto-Bestandsregister und Anbindung an Ihr Compliance-Reporting – unterstützen wir Sie gern. Kontaktieren Sie uns für eine maßgeschneiderte Krypto-Inventarisierung.