Information Security

Ihre Verschlüsselung läuft ab

Angreifer kopieren heute verschlüsselte Daten, um sie zu lesen, sobald Quantencomputer verfügbar sind. Die USA und Deutschland haben Fristen gesetzt. Was Vorstände jetzt tun müssen.

Von Leon Soliman · 2026-06-26 · 2 Min. Lesezeit

Der Einbruch, der noch nicht abgeschlossen ist

Angreifer fangen verschlüsselten Datenverkehr und Dateien jetzt ab und speichern sie. Sie können sie noch nicht lesen. Der Plan setzt das auch nicht voraus. Sobald ein kryptografisch relevanter Quantencomputer existiert, wird das heute gesammelte Archiv rückwirkend entschlüsselt, und die Daten müssen nie ein zweites Mal gestohlen werden. Westliche Nachrichtendienste haben einen Namen für dieses Muster: "harvest now, decrypt later".

Für die meisten operativen Daten ist ein Einbruch, der in acht Jahren ans Licht kommt, ein beherrschbares Problem. Für einen Prinzipal oder ein Family Office sieht die Rechnung anders aus. Eigentümerstrukturen, Nachfolgepläne, Transaktionsbedingungen und Rechtspositionen bleiben über Jahrzehnte vertraulich. Die Haltbarkeit des Geheimnisses ist länger als die Lebensdauer der Verschlüsselung, die es schützt, und in dieser Lücke liegt nun das Risiko.

Zwei Regierungen haben gerade die Uhr gestellt

Am 22. Juni 2026 unterzeichneten die Vereinigten Staaten die Executive Order 14409, Securing the Nation Against Advanced Cryptographic Attacks. Sie verpflichtet Bundessysteme und ihre Auftragnehmer, bis Ende 2030 auf Post-Quanten-Verschlüsselung und bis Ende 2031 auf Post-Quanten-Authentifizierung umzustellen. Damit wurde das bisherige Ziel von 2035 um ein halbes Jahrzehnt vorgezogen, was eine ungewöhnlich deutliche Aussage darüber ist, wie kurz die verbleibende Zeit eingeschätzt wird.

Deutschland wartete nicht auf dieses Signal. Im Februar 2026 erklärte das BSI das Ende der klassischen RSA- und Elliptische-Kurven-Verschlüsselung, mit demselben Zeithorizont Ende 2030 für sensible Daten. Es stellte klar, dass die Empfehlung jede Organisation betrifft, die schützenswerte Daten verarbeitet, nicht nur öffentliche Stellen und kritische Infrastruktur. Für ein inhabergeführtes Unternehmen ist das keine künftige Verpflichtung, die es zu beobachten gilt. Es ist eine aktuelle Vorgabe der nationalen Behörde.

Krypto-Agilität ist die einzige echte Antwort

Die Ersatzstandards existieren bereits. NIST hat sie 2024 als FIPS 203, 204 und 205 verabschiedet, und der hybride Ansatz, den das BSI empfiehlt, betreibt sie parallel zur heutigen Verschlüsselung, sodass während der Umstellung nichts ausfällt. Die Mathematik ist gelöst. Das ist nicht der Teil, der einen Vorstand beunruhigen sollte.

Der schwierige Teil ist die Bestandsaufnahme. Die meisten Organisationen können nicht sagen, wo ihre Verschlüsselung liegt, welche Anbieter sie kontrollieren oder wie lange ein Austausch tatsächlich dauern würde. Veröffentlichte Migrationszeitpläne reichen von mehreren Jahren für ein kleines Unternehmen bis zu weit über einem Jahrzehnt für ein großes. Ein Programm, das erst nach dem Eintreffen der Quantenmaschine beginnt, ist bereits gescheitert, denn die Daten, die es schützen sollte, wurden Jahre zuvor gesammelt.

Weiterlesen: Eine vertraute Stimme ist kein Beweis mehr · Ihre KI-Agenten sind in der Überzahl

Häufig gestellte Fragen

Muss ich jetzt handeln, wenn es noch keine Quantencomputer gibt?

Ja. Das Modell "harvest now, decrypt later" bedeutet, dass das Risiko in dem Moment beginnt, in dem Ihre Daten abgefangen werden, und nicht erst, wenn die Quantenmaschine eingeschaltet wird. Alles, was Sie über 2030 hinaus vertraulich halten müssen, ist bereits gefährdet, sobald es unter der heutigen Verschlüsselung übertragen oder gespeichert wird.

Betrifft das nur Banken und Regierungen?

Nein. Das deutsche BSI stellt ausdrücklich klar, dass die Empfehlung für jede Organisation gilt, die schützenswerte Daten verwaltet. Family Offices und inhabergeführte Unternehmen halten oft die langlebigsten Geheimnisse überhaupt, was sie eher zu einem vorrangigen Ziel für das Sammeln von Daten macht als zu einer Ausnahme davon.

Das Quantencomputing hat noch nichts gebrochen. Die Entscheidung, die vor Ihnen liegt, ist, ob Ihre langlebigsten Geheimnisse durch eine Verschlüsselung mit einem bekannten Ablaufdatum geschützt sind, und ob Sie überhaupt wüssten, wo Sie mit dem Austausch beginnen sollen.

Post-Quantum Encryption Cybersecurity Risk Management Data Protection

Mehr aus dem Servola Journal

Information Security

Eine vertraute Stimme ist kein Beweis mehr

2026-06-25 · 2 Min. Lesezeit

Beitrag lesen →

AI Security

Ihre KI-Agenten sind in der Überzahl

2026-06-26 · 2 Min. Lesezeit

Beitrag lesen →

AI Risk and Governance

KI-Undurchsichtigkeit wird jetzt gegen Sie gewertet

2026-06-25 · 3 Min. Lesezeit

Beitrag lesen →

Servola

Servola hilft Eigentümern und Family Offices, zu erfassen, wo ihre Verschlüsselung liegt, und eine quantensichere Migration zu planen, bevor die Frist abläuft, nicht danach.

Vertrauliches Gespräch anfragen Über Servola →

Servola ist technologische Beratung für einige wenige Familien und Family Offices. Wenn eine Entscheidung nicht delegierbar ist, sitzen wir auf Ihrer Seite des Tisches.

Servola Systems GmbH · Ludwigshafen, Germany · [email protected]

← Alle Beiträge