Als einer der beiden Organisatoren des PQC-Update 2026 beim Fraunhofer AISEC, habe ich den Tag wie eine Reise erlebt: vom internationalen Blick auf Strategien und Standards, über konkrete Implementierungen in Ausweisen, Chips, HSMs und ID-Tokens, bis hin zu ganz konkreten Migrationserwägungen und -Werkzeugen für Unternehmen.
1. Der Rahmen: Strategien, Standards und Migration als Gemeinschaftsaufgabe
Den großen Rahmen spannte Bor de Kock von TNO in den Niederlanden. Er zeigte, wie die Niederlande den Umstieg auf Post-Quanten-Kryptografie als Gemeinschaftsprojekt organisieren. TNO arbeitet dort als Brücke zwischen Forschung, Behörden und Industrie: in einer PQC-Arbeitsgruppe, in Projekten zu quantum-sicherer PKI (Public Key Infrastructure, das Zertifikatssystem unseres Internets) und mit einem PQC-Migrations-Handbuch, das inzwischen in der Version 2.0 vorliegt.
Dieses Handbuch übersetzt abstrakte Empfehlungen von NIST, ENISA oder nationalen Behörden in konkrete Schritte: Kryptobestand erfassen, Risiken bewerten, Prioritäten setzen, Algorithmen auswählen, Migrationspfade planen. De Kocks wichtigste Botschaft: Erfolgreich ist, wer früh anfängt, und PQC als Ökosystem-Projekt versteht, nicht als Aufgabe eines einzelnen Kryptoteams.
Benjamin Zengin vom Fraunhofer AISEC nahm diesen Faden auf. Er verglich die Strategien von EU, Deutschland, Frankreich, Niederlanden, Großbritannien und USA. Der grobe Konsens:
Bis etwa 2035 wollen alle wesentlichen Akteure ihre Kryptografie weitgehend auf PQC umgestellt haben. Hashbasierte Signaturen gelten als besonders sicher und sind überall auch ohne die Kombination mit klassischen Verfahren erlaubt. Bei allen anderen bisher standardisierten PQC-Verfahren liegen die Unterschiede in der Rolle von Hybridverfahren, also Kombinationen aus klassischer Kryptografie und PQC. Während Europa Hybridverfahren meist als Sicherheitsgurt für viele Jahre sieht, betrachten Großbritannien und USA sie eher als notwendige, aber zeitlich begrenzte Übergangslösung.
Wie solcher Konsens in technische Standards überführt wird, erläuterte Peter Thomassen (SSE Secure Systems Engineering GmbH) aus der Internet Engineering Task Force (IETF). Die IETF entwickelt die Protokolle, die das Internet am Laufen halten, etwa TLS (Transport Layer Security, also die Verschlüsselung hinter »https://«) oder IPsec (Sicherung von Netzwerkverbindungen). Entscheidungen fallen bei der IETF nach »rough consensus and running code«: Eine Idee setzt sich nur durch, wenn massive Einwände ausgeräumt sind und es funktionierende Implementierungen gibt.
Zahlreiche Arbeitsgruppen arbeiten bereits daran, PQC in Kernprotokolle zu bringen: darunter hybride und reine PQC-Verfahren für TLS 1.3, PQC-Erweiterungen für IPsec, SSH und OpenPGP, sowie neue Zertifikatsstrukturen mit Merkle-Trees (Baumstrukturen, die viele Werte mit nur einer verwaltbaren »Wurzel« absichern).
Schon heute ist ein wachsender Teil des HTTPS-Verkehrs post-quanten-geschützt, oft ohne, dass Endnutzer es merken.
2. Identitäten, Logins und Ausweise: Wie PQC im Alltag ankommt
Besonders greifbar wurde PQC immer dann, wenn es um Alltagsanwendungen ging, z. B. Ausweise und Logins.
Frank Morgner von der Bundesdruckerei GmbH präsentierte eine »PQC Ready ID Card«: eine Ausweiskarte, die bereits heute PQC in den Protokollen für elektronische Identitätsdokumente (eID) und elektronische Reisedokumente (eMRTD) nutzt. Auf der Karte werden klassische Verfahren (etwa ECDSA, also eine ECC-Signatur) und neue PQC-Verfahren (z.B. ML-DSA und ML-KEM, zwei von NIST ausgewählte Standard-Algorithmen) hybrid eingesetzt.
In Tests zeigte sich: Die PQC-Variante ist zwar etwas langsamer, aber im Alltag der Grenzkontrolle kaum spürbar. Entscheidend für die Dauer sind weiterhin Dinge wie NFC-Übertragung der Gesichtsbilder und Fingerabdrücke, nicht die Kryptografie. Morgner schlägt daher einen zweistufigen Migrationsweg vor: zuerst die passive Authentisierung (Signaturen über die Ausweisdaten) auf PQC umstellen, später in einem zweiten Schritt die aktiven Protokolle wie Chip-Authentisierung und PACE.
Samuel Schedler und Thomas Lachmann (Giesecke+Devrient) vertieften diese Perspektive mit einem vollständigen Demonstrator für den deutschen Personalausweis. Auf einem realen Smartcard-Chip mit sehr begrenztem Speicher implementierten sie die relevanten Protokolle (EACv2) sowohl mit klassischen als auch mit PQC-Algorithmen und in hybriden Varianten.
Die klare Erkenntnis: Selbst auf diesen engen Plattformen ist PQC praktisch machbar, wenn man Speicher und Rechenaufwand sorgfältig optimiert und bei Bedarf Hardwareunterstützung für zentrale Bausteine ergänzt.
Noch näher am Alltag vieler Nutzerinnen und Nutzer war der Vortrag von Johann-Philipp Thiers (Swissbit AG), der zeigte, wie FIDO2 und Passkeys in die PQC-Welt mitgenommen werden können. FIDO2 und WebAuthn sind Standards, die Passwörter durch kryptografische Schlüsselpaare ersetzen. Sie gelten als besonders phishing-resistent, weil jedes Login-Credential an eine konkrete Domain gebunden ist.
Thiers demonstrierte Security-Keys, die bereits PQC-basierte Passkeys auf Basis von ML-DSA erzeugen können. Die Nachrichten werden deutlich größer, die Protokolle komplizierter, aber das Prinzip bleibt: Der private Schlüssel bleibt sicher im Authenticator (z.B. dem Security-Key oder Smartphone), der Dienst kennt nur den öffentlichen Schlüssel. Für die Zukunft wird entscheidend sein, dass alle Komponenten, also Hardware, Betriebssysteme, Browser und Dienste, krypto-agil werden und somit mehrere Algorithmenfamilien flexibel unterstützen können.
3. Hardware im Quantenzeitalter: Vom offenen Root of Trust bis zum HSM
Damit PQC nicht nur in Software, sondern auch tief in Geräten verankert wird, braucht es neue Hardware‑Bausteine.
Tobias Stelzer (Fraunhofer AISEC) stellte mit OpenTitan eine offene Hardware-Plattform vor, die als Silicon Root of Trust dient, also als Sicherheitsanker in Geräten wie Chromebooks oder Security-Keys. Herzstück ist der Koprozessor OTBN, der ursprünglich für klassische Public-Key-Verfahren entwickelt wurde und nun gezielt für PQC erweitert wird: mit speziellen Befehlen für gitterbasierte Verfahren, Vektoroperationen und größerem Speicher.
Damit gelingen PQC-Signaturprüfungen im Millisekunden-Bereich, innerhalb strenger Secure-Boot-Vorgaben (der Start eines Geräts muss in unter 120 Millisekunden abgeschlossen sein). Stelzers Fazit: Mit überschaubaren Hardware-Anpassungen lässt sich eine offene, auditierbare Plattform schaffen, die PQC ab Werk spricht.
Volker Krummel von Utimaco nahm anschließend große Hardware-Security-Module (HSMs) in den Blick, also Geräte, die etwa die Schlüssel von Banken oder Zertifizierungsstellen schützen. Er zeigte, dass hashbasierte Signaturen wie LMS oder XMSS zwar kryptografisch sehr attraktiv sind (kleine Schlüssel, gute Performance), aber ein heikles Detail haben: Sie erlauben nur eine begrenzte Zahl von Signaturen pro Schlüssel und erfordern striktes Zustandsmanagement. Ein falsches Backup oder eine unsaubere Synchronisation mehrerer HSMs kann die Sicherheit komplett untergraben.
Utimaco hat dazu ein generisches, formal analysiertes Framework entwickelt, das sicherstellt, dass alle sicherheitskritischen Operationen im HSM bleiben, Zustände sauber synchronisiert werden und Kommunikation zwischen HSMs Ende-zu-Ende geschützt ist. Die Botschaft an Betreiber: PQC in HSM-Infrastrukturen ist machbar, wenn man Zustandsverwaltung als zentrale Sicherheitsaufgabe ernst nimmt.
4. Praxis in großen Organisationen: Von E‑Government bis Deutsche Bahn
Wie sich all das in großen Organisationen niederschlägt, zeigten zwei praxisnahe Beiträge.
Sara-Jane Bittner und Klaus Lüttich (Governikus GmbH) erklärten am Beispiel von OSCI (dem Standard-Transportweg vieler deutscher E-Government-Verfahren), wie komplex PQC-Migration wird, wenn Milliarden Nachrichten vertraulich und authentisch übertragen werden. OSCI kombiniert Signaturen, Verschlüsselung, mehrere Schlüsselpaare und asynchrone Abläufe. Das System läuft durch zahlreiche Fachverfahren, von Melderegister bis Familienleistungen.
Ihre Kernpunkte:
- Eine Big Bang-Umstellung ist illusorisch.
- Es braucht Parallelbetrieb klassischer und PQC‑Verfahren, klare Profile und abgestimmte Zeitpläne.
- Viele Akteure müssen koordiniert werden: BSI, Koordinierungsstelle für IT-Standards (KoSIT), Standardisierungsgremien, PKI‑Provider, Fachverfahrenshersteller und Behörden.
Manfred Rieck (DB Systel GmbH) zeigte, wie eine kritische Infrastruktur wie die Deutsche Bahn das Thema PQC einbettet. Für die DB ist Quantencomputing Chance (bessere Fahrplan- und Dispositionslösungen) und Risiko (Bedrohung der heutigen Kryptografie) zugleich. Deshalb arbeitet die Bahn an einer konzernweiten Roadmap, die folgende wesentlichen Punkte umfasst: Kryptobestände erfassen, Risiken nach Kritikalität bewerten, ein PQC-Testbed aufbauen, hybride Verfahren einführen und klassische Verfahren später kontrolliert abschalten. Wichtig ist dabei die Einbindung in ein Ökosystem aus Forschungsprojekten und der Bundesquantenallianz.
5. Ohne Transparenz keine Migration: Inventare für Kryptografie
Weitere Vorträge machten deutlich: Bevor wir irgendetwas migrieren, müssen wir wissen, was wir überhaupt im Einsatz haben.
Alexander Küchler von Fraunhofer AISEC zeigte, wie sich Open-Source-Software automatisiert analysieren lässt. Mit Hilfe von Code-Graphen werden kryptografische Aufrufe, Algorithmen und Bibliotheken erkannt und in einer Cryptographic Bill of Materials (CBOM) gesammelt, einer Art Stückliste der Kryptografie. Diese CBOM zeigt nicht nur, welche Verfahren wo genutzt werden, sondern bewertet auch, ob sie noch empfohlen sind, und wie exponiert sie innerhalb der Software-Architektur sind.
Christian Näther (Xitaso GmbH) stellte eine »Cryptographic Inventorization Pipeline« vor, die bei jedem Build oder Deployment eine CBOM erzeugt und in ein zentrales Kryptoinventar einspeist. Gerade mit Blick auf die NIS-2-Richtlinie und die Durchführungsverordnung 2024/2690 wird klar: Wer nicht weiß, welche Zertifikate, Cipher Suites und Schlüssel wo laufen, kann weder PQC sauber einführen noch regulatorische Anforderungen glaubhaft erfüllen.
6. Hybridverfahren richtig einsetzen
Jan Klaußner (Bundesdruckerei GmbH) widmete sich detaillierter einer Frage, die sich wie ein roter Faden durch viele Beiträge zog: Wie setzen wir Hybridverfahren richtig ein?
Er ordnete Hybridkonstruktionen nach drei Achsen ein:
- Wo wird kombiniert, im Protokoll (z.B. zwei Handshakes) oder im Algorithmus selbst (ein Signatur- oder KEM-Schema, das intern mehrere Verfahren kombiniert)?
- Wie stark sind die Teile aneinandergebunden – sind sie separat prüfbar oder bricht die Verifikation, wenn ein Teil fehlt (Stichwort »non-separability«)?
- Welche Migrationsrolle hat das Hybrid, dient es vor allem der Interoperabilität, der Rückwärtskompatibilität oder der maximalen Sicherheit?
Anhand existierender E‑Mail‑Protokolle zeigte er, wie neue Hybridformate im Protokoll schnell mit bestehenden Systemen kollidieren können.
Der praktikabelste Weg sind algorithmische Hybride, die in den Kryptobibliotheken sitzen, mit schwacher Nicht-Trennbarkeit gegen »Stripping«-Angriffe geschützt sind und Interoperabilität fördern. Explizite Composite-Standards, wie sie gerade im IETF-Umfeld entstehen, sind dafür ein pragmatischer erster Schritt. Generischere Ansätze versprechen langfristig mehr Agilität, brauchen aber noch Standardisierung und Erfahrung.
Nach dem 5. PQC-Update entsteht ein klares Bild:
- Die Strategien sind da: internationale Roadmaps, nationale Leitfäden, branchenspezifische Szenarien.
- Die Standards sind in Arbeit und teils schon produktiv im Einsatz.
- Die Technik funktioniert: von PQC‑Ausweisen über offene Sicherheitschips bis zu passwortlosen Logins mit neuen Algorithmen.
- Die Werkzeuge zum Aufräumen unserer Kryptolandschaften stehen bereit.
Die eigentliche Herausforderung ist jetzt weniger die Mathematik, sondern die Organisation: Transparenz schaffen, Zuständigkeiten klären, Ökosysteme aufbauen und Migration als mehrjährigen Prozess planen.
Oder zugespitzt: Die Post-Quanten-Ära hat begonnen. Die Frage ist nicht mehr, ob wir migrieren, sondern wie gut wir vorbereitet sind, wenn wir es tun.
Eindrücke von der Veranstaltung finden Sie hier: PQC-Update 2026
Dankeschön!
Ein besonderer Dank gilt meinem Kollegen Marian Margraf, Leiter der Abteilung Secure Systems Engineering am Fraunhofer AISEC, mit dem ich das PQC-Update gemeinsam organisiert habe und an Georg Sigl, Institutsleiter des Fraunhofer AISEC, der die Veranstaltung mitinitiiert und eröffnet hat.
Glossar:
- PKI (Public Key Infrastructure): Infrastruktur aus Zertifikaten, Schlüsseln und Diensten, die z.B. »https://« und digitale Signaturen ermöglicht.
- FIDO2 / WebAuthn: Offene Standards für passwortlose Anmeldung mit Schlüsselpaaren und Authenticatoren (Security‑Keys, Smartphones, Plattform‑Authentifizierung).
- TLS (Transport Layer Security): Protokoll, das Verbindungen im Internet verschlüsselt (erkennbar an »https://« in der Adresszeile).
- Ein HSM (Hardware Security Module) speichert und verwendet kryptografische Schlüssel in besonders geschützter Hardware.
- CBOM (Cryptographic Bill of Materials): Strukturierte Liste aller kryptografischen Komponenten (Algorithmen, Schlüssel, Zertifikate) in einer Software oder einem System.
- Hybridverfahren: Kryptografische Konstruktionen, die klassische und PQC‑Verfahren kombinieren, um Sicherheit und Kompatibilität zu erhöhen.
Autor
Daniel Loebenberger
Prof. Dr. Daniel Loebenberger leitet seit 2019 die Abteilung Secure Infrastructure des Fraunhofer AISEC am Standort Weiden i.d.OPf. und ist Professor für Cybersicherheit an der Ostbayerischen Technischen Hochschule (OTH) Amberg-Weiden. Seine Forschungsschwerpunkte sind angewandte Kryptografie, sichere Infrastrukturen und Anwendungen von Post-Quanten-Kryptografie in der Praxis.
