Was die Anordnung tatsächlich vorschreibt
Am 22. Juni 2026 legte eine US-Executive-Order feste Zeitpläne für die Umstellung der Bundeskryptografie auf Post-Quantum-Standards fest. Sensible Bundessysteme, in der Anordnung als High Value Assets und High Impact Systems bezeichnet, müssen bis zum 31. Dezember 2030 auf Post-Quantum-Schlüsselaustausch umstellen, digitale Signaturen als Mechanismus hinter der Authentifizierung folgen bis Ende 2031. Die Anordnung versteht dies als Schutz gegen eine Zukunft, in der leistungsstarke Quantencomputer die heute weit verbreitete Verschlüsselung brechen können.
Der Teil, der über die Regierung hinausreicht, ist die Beschaffung. Die Anordnung weist den zuständigen Rat an, eine vorgeschlagene Regel zu veröffentlichen, die erfasste Bundesauftragnehmer verpflichtet, bis zum 31. Dezember 2030 die einschlägigen NIST-FIPS-Standards einzuhalten, einschließlich derjenigen, die Post-Quantum-Algorithmen enthalten. Diese Auftragnehmerregel befindet sich noch im Vorschlagsstadium, sodass sich ihr genauer Anwendungsbereich vor der endgültigen Fassung verschieben kann. Die Stoßrichtung ist jedoch klar: Post-Quantum-Bereitschaft entwickelt sich von einem Spezialthema zu einer Voraussetzung für Geschäfte mit der US-Bundesregierung.
Warum ein US-Mandat einen deutschen Inhaber trifft
Ein deutsches Unternehmen ist durch eine US-Executive-Order nicht direkt gebunden. Der entscheidende Mechanismus ist die Lieferkette. Wenn eine Anforderung in US-Bundesverträge geschrieben wird, tendiert sie dazu, über Hauptauftragnehmer an deren Unterauftragnehmer und Lieferanten weitergereicht zu werden, wo immer diese sitzen. Ein Mittelstandslieferant, ein Dienstleister oder ein Family-Office-Vehikel, das einen US-Bundesvertrag berührt, kann sich einer Post-Quantum-Klausel gegenübersehen, die von einem Kunden statt von einer Behörde kommt, nach dem Zeitplan des Kunden statt nach einem, den Sie gewählt haben.
Die Harvest-now-decrypt-later-Warnung ist der Grund, warum dies nicht einfach bis 2030 warten kann. Die Anordnung stellt klar, dass Angreifer verschlüsselte Informationen jetzt sammeln und später entschlüsseln könnten, sobald Quantencomputer dazu in der Lage sind. Das rückt heute geschützte Daten in ein neues Licht: Sie sind bereits gefährdet, wenn sie über Jahre vertraulich bleiben müssen. Verträge, Finanzunterlagen, Gesundheits- und Personendaten sowie alles mit langer Geheimhaltungsdauer sind die exponierten Kategorien, weil sie weiterhin standhalten müssen, wenn die Verschlüsselung um sie herum es womöglich nicht mehr tut.
Was sich jetzt lohnt und womit man warten sollte
Die besonnene Reaktion besteht nicht darin, überstürzt neue Kryptografie zu kaufen. Da die Auftragnehmerregel noch ein Vorschlag ist und sich die Standards noch festigen, kann die technische Migration dem Zeitplan folgen, den die Anordnung vorgibt. Was nicht warten sollte, ist die Bestandsaufnahme, auf der jeder spätere Schritt aufbaut. Das bedeutet, zu wissen, welche Ihrer Datenflüsse wirklich sensibel sind, wie lange jeder einzelne vertraulich bleiben muss und welche Kundenbeziehungen eine Post-Quantum-Anforderung zu Ihnen durchreichen könnten. Nichts davon erfordert bereits tiefgreifende technische Entscheidungen.
Dies ist eine Governance-Frage, bevor es ein IT-Projekt wird, und ein Inhaber ist gut aufgestellt, um sie zu rahmen. 2030 als Frist zu behandeln, greift zu kurz, denn die Daten, die Sie heute senden, sind genau das, wofür sich ein Decrypt-later-Angreifer jetzt interessiert. Eine kurze, ehrliche Übersicht über langlebige sensible Daten und exponierte Verträge macht aus einem fernen ausländischen Mandat eine Reihe von Entscheidungen, die Sie bewusst treffen können, in der Reihenfolge, die zu Ihrem Geschäft passt, statt zum Vertragszyklus eines Kunden. Dies ist eine Berichterstattung darüber, was die Anordnung sagt und was sie impliziert, keine Rechtsberatung zu Ihren konkreten Pflichten.
Weiterlesen: Die 24-Stunden-Meldeuhr beginnt · Cybersicherheit ist jetzt Chefsache