Quantum Readiness – 16 Fragen, die sich CIOs und CISOs heute stellen sollten (deutsch)

Ein Executive Interview über Business-Risiken, Crypto Discovery und den Weg zur Quantum Readiness.

16 Fragen · Executive Guide · Lesezeit ca. 15 Minuten

Quantencomputer entwickeln sich rasant. Während ihr praktischer Einsatz noch einige Jahre entfernt sein kann, entstehen bereits heute neue Risiken für Unternehmen. Gleichzeitig stehen viele Organisationen vor der Herausforderung, die Auswirkungen auf ihre IT-Landschaft realistisch einzuordnen.

Dieses Interview beantwortet die wichtigsten Fragen rund um Quantum Readiness, Post-Quantum Cryptography und Quantum Risk Assessments. Es richtet sich an CIOs, CISOs, Enterprise Architects und Entscheider, die verstehen möchten, welche Risiken heute bereits bestehen und wie sich eine strukturierte Vorbereitung aufbauen lässt.

1. Warum ist Quantum Readiness heute bereits ein geschäftliches Risiko und nicht nur ein Zukunftsthema der IT-Security?

Moderne Unternehmen basieren auf digitalen Vertrauensmechanismen wie Verschlüsselung, Zertifikaten, digitalen Identitäten, Signaturen und sicheren Transaktionen. Werden diese Mechanismen durch zukünftige Quantencomputer angreifbar, betrifft das nicht nur die Vertraulichkeit von Daten, sondern auch Geschäftsprozesse, regulatorische Anforderungen und das Vertrauen in die digitale Kommunikation.

Hinzu kommt, dass Risiken bereits heute entstehen können. Im sogenannten „Harvest Now, Decrypt Later“-Szenario werden verschlüsselte Daten schon heute erfasst und gespeichert, um sie später mit leistungsfähigen Quantencomputern zu entschlüsseln. Besonders betroffen sind Informationen mit langfristigem Schutzbedarf.

Für viele Organisationen ist die eigentliche Herausforderung deshalb nicht der Zeitpunkt eines möglichen Q-Day, sondern die mehrjährige Vorbereitungs- und Migrationszeit. Unternehmen mit sensiblen Daten, langen Systemlebenszyklen, kritischen Infrastrukturen oder regulatorischen Anforderungen müssen daher frühzeitig Transparenz schaffen. Andernfalls drohen ungeplante Migrationen, höhere Kosten, operative Risiken und zunehmender Compliance-Druck. Die entscheidende Managementfrage lautet deshalb: Welche Risiken entstehen, wenn wir zu spät vorbereitet sind?

2. Welche Business-Risiken entstehen durch „Harvest Now, Decrypt Later“?

Das Besondere an „Harvest Now, Decrypt Later“ ist, dass das eigentliche Risiko bereits heute entsteht. Angreifer können verschlüsselte Daten oder Kommunikationsströme schon heute erfassen und speichern, um sie zu einem späteren Zeitpunkt mit leistungsfähigen Quantencomputern zu entschlüsseln. Das Risiko beginnt also nicht erst mit einem möglichen Q-Day.

Besonders betroffen sind Informationen mit langfristigem Schutzbedarf, beispielsweise Kunden- und Finanzdaten, Forschungs- und Entwicklungsinformationen, geistiges Eigentum, Gesundheitsdaten sowie sicherheits- oder infrastrukturrelevante Informationen. Der eigentliche Schaden kann dabei erst Jahre später sichtbar werden, wenn vertrauliche Daten nachträglich offengelegt werden.

Für Unternehmen bedeutet das, dass nicht nur die technische Absicherung betrachtet werden muss. Ebenso wichtig sind Datenklassifikation, Aufbewahrungsfristen, Löschkonzepte, Risikomanagement und die Bewertung regulatorischer Konsequenzen. Gleichzeitig sollten verschlüsselte Datenflüsse, TLS- und VPN-Verbindungen, externe Schnittstellen, Partnerkommunikation und Langzeitarchive identifiziert werden. Entscheidend ist die Bewertung von Datenwert, Schutzdauer und potenziellen Geschäftsrisiken, um Prioritäten für die weitere Transformation festzulegen.

3. Welche Fragen sollten CIOs und CISOs zu Beginn eines Quantum Risk Assessments stellen?

Am Anfang geht es weniger um einzelne Technologien als um die Frage, welche geschäftliche Bedeutung das Thema für die eigene Organisation hat. Im Mittelpunkt stehen dabei kritische Geschäftsprozesse, langfristig schutzbedürftige Daten sowie die Systeme, Anwendungen, Netzwerke, Cloud-Dienste und gegebenenfalls OT- oder IoT-Umgebungen, die für den Geschäftsbetrieb besonders wichtig sind.

Ebenso entscheidend ist die organisatorische Perspektive. Die Vorbereitung auf Post-Quantum Cryptography betrifft nicht nur die IT-Security, sondern auch Enterprise Architecture, Compliance, Datenschutz, Risikomanagement, Einkauf und die Fachbereiche. Deshalb sollte früh geklärt werden, welche Stakeholder eingebunden werden müssen und ob bereits Bewertungen der Quantenbedrohung oder von „Harvest Now, Decrypt Later“-Risiken vorliegen.

Darüber hinaus sollten Unternehmen ihre strategischen Ziele definieren. Geht es primär um Risikoreduktion, regulatorische Vorbereitung, Modernisierung, Resilienz oder Investitionsplanung? Ebenso wichtig ist die Frage, welche laufenden Initiativen bereits genutzt werden können, beispielsweise Cloud-Transformationen, Zero-Trust-Programme, IAM-, PKI- oder Applikationsmodernisierungen. Diese Transparenz schafft die Grundlage für eine fundierte Risikoanalyse und eine realistische Roadmap für die Migration.

4. Warum ist Crypto Discovery der zentrale Einstieg in die praktische Quantum Readiness?

Weil fundierte Entscheidungen nur auf Basis ausreichender Transparenz getroffen werden können. Ohne ein klares Verständnis darüber, wo und wie Kryptographie eingesetzt wird, lassen sich Risiken weder belastbar bewerten noch Maßnahmen sinnvoll priorisieren.

Bei der Discovery werden kryptographische Abhängigkeiten in Anwendungen, Netzwerken, Cloud-Diensten, Identitätslösungen und Kommunikationsschnittstellen identifiziert. Dabei stehen nicht nur Verfahren wie RSA, ECC, TLS, VPN, SSH oder digitale Signaturen im Fokus, sondern auch Zertifikate, Schlüssel, kryptographische Bibliotheken und Vertrauensketten.

Besonders wichtig ist die Betrachtung versteckter Abhängigkeiten, beispielsweise in Appliances, Firmware, OT-Systemen oder Produkten mit eingebetteter Kryptographie. Gleichzeitig erfordert die Discovery die Zusammenarbeit von Security-, Infrastruktur-, Architektur- und Applikationsteams sowie den Fachbereichen und dem Lieferantenmanagement.

Das Ziel ist nicht zwingend ein vollständiges Inventar jeder einzelnen Komponente, sondern eine belastbare Entscheidungsgrundlage. Gleichzeitig werden Wissenslücken sichtbar, die anschließend gezielt geschlossen oder im Rahmen der Risikobewertung berücksichtigt werden können. Damit bildet Crypto Discovery das Fundament für Priorisierung, Roadmap und spätere Transformationsmaßnahmen.

5. Warum scheitern viele Unternehmen bereits beim ersten Schritt zur Quantum Readiness?

Viele Unternehmen scheitern bereits beim ersten Schritt, weil die notwendige Transparenz über ihre kryptographische Landschaft fehlt. Häufig ist nicht vollständig bekannt, wo Kryptographie eingesetzt wird, welche Systeme davon abhängig sind und welche Vertrauensketten für den sicheren Betrieb geschäftskritischer Prozesse verantwortlich sind.

Oft existiert kein vollständiges Crypto Inventory. Zertifikate, Schlüssel, digitale Signaturen, kryptographische Bibliotheken oder Abhängigkeiten zu Anwendungen, Cloud-Diensten, Lieferanten und externen Partnern sind nur teilweise dokumentiert. Dadurch bleiben wichtige Risikoindikatoren wie RSA- und ECC-Abhängigkeiten, Zertifikatsinfrastrukturen oder zentrale Identitätsdienste häufig unsichtbar.

Hinzu kommen langfristig schutzbedürftige Daten, noch nicht bewertete „Harvest Now, Decrypt Later“-Risiken sowie Systeme mit langen Lebenszyklen oder eingeschränkter Updatefähigkeit, etwa in OT-, IoT- oder Industrieumgebungen. Fehlende Crypto Agility und unklare PQC-Roadmaps der Hersteller erschweren spätere Migrationen zusätzlich.

Außerdem fehlen häufig klare Governance-Strukturen, Verantwortlichkeiten und Priorisierungskriterien. Deshalb beginnt die Vorbereitung auf Post-Quantum Cryptography in der Regel nicht mit neuen Technologien, sondern mit Transparenz über Abhängigkeiten, Risiken und Handlungsfelder.

↑ Zurück nach oben

6. Was unterscheidet ein Crypto Inventory von einem Quantum Risk Assessment?

Beide verfolgen unterschiedliche Ziele. Ein Crypto Inventory schafft zunächst Transparenz über die eingesetzte Kryptographie. Es dokumentiert beispielsweise kryptographische Verfahren, Zertifikate, Schlüssel, Vertrauensketten und technische Abhängigkeiten und beantwortet damit die Frage, wo und in welchem Umfang Kryptographie innerhalb einer Organisation genutzt wird.

Ein Quantum Risk Assessment geht deutlich weiter. Es betrachtet nicht nur die technischen Abhängigkeiten, sondern bewertet auch deren geschäftliche Relevanz. Dabei fließen Faktoren wie Schutzbedarf, Datenhaltedauer, „Harvest Now, Decrypt Later“-Risiken, die Kritikalität von Geschäftsprozessen sowie regulatorische Anforderungen in die Bewertung ein.

Nicht jede kryptographische Abhängigkeit stellt automatisch ein hohes Risiko dar. Entscheidend sind die möglichen Auswirkungen auf das Unternehmen und die Fähigkeit, betroffene Systeme künftig anzupassen oder zu migrieren. Das Quantum Risk Assessment priorisiert deshalb Risiken und identifiziert Handlungsfelder in Bereichen wie Architektur, Governance, Lieferantenmanagement und Migration. Das Ergebnis ist nicht nur ein Inventar, sondern eine risikobasierte Roadmap für die weitere Transformation.

7. Wie bewertet ein Quantum Risk Assessment technische Risiken im geschäftlichen Kontext?

Ein Quantum Risk Assessment bewertet technische Risiken nicht isoliert, sondern immer im Zusammenhang mit ihren möglichen Auswirkungen auf das Geschäft. Technische Abhängigkeiten werden deshalb mit Faktoren wie Schutzbedarf, Geschäftsrelevanz, regulatorischen Anforderungen und der Exponiertheit von Systemen verknüpft.

Im Fokus stehen dabei nicht nur kryptographische Verfahren, sondern auch die betroffenen Systeme, Datenflüsse, Vertrauensketten, Zertifikatsinfrastrukturen, externen Schnittstellen sowie Abhängigkeiten zu Lieferanten oder Cloud-Anbietern. Entscheidend ist letztlich die Frage, welche Auswirkungen ein zukünftiges kryptographisches Risiko tatsächlich auf das Unternehmen hätte.

Die möglichen Folgen reichen von Vertraulichkeitsverlust und Integritätsproblemen über Identitätsmissbrauch bis hin zu Ausfällen geschäftskritischer Prozesse oder regulatorischen Verstößen. Gleichzeitig werden organisatorische Faktoren wie Verantwortlichkeiten, Entscheidungswege, Risikobereitschaft und Investitionsprozesse berücksichtigt.

Am Ende geht es darum, technische Dringlichkeit und geschäftliche Priorität zusammenzuführen. So entsteht eine priorisierte Risikosicht, die Management, Enterprise Architecture und Security gemeinsam nutzen können, um fundierte Entscheidungen über Maßnahmen und Investitionen zu treffen.

↑ Zurück nach oben

8. Welche Bedeutung haben Vertrauensketten, Zertifikate und PKI in der Quantenrisikobetrachtung?

Sie bilden das Fundament moderner digitaler Kommunikation. Sie sichern Identitäten, Authentifizierung, digitale Signaturen, Integrität und den Aufbau vertrauenswürdiger Verbindungen. Deshalb betrifft die Quantenbedrohung nicht nur die Vertraulichkeit von Daten, sondern das Vertrauen in digitale Geschäftsprozesse insgesamt.

Besonders relevant sind dabei TLS-Verbindungen, interne und externe Zertifikatsketten, VPNs, S/MIME, Code-Signing-Prozesse, Maschinenidentitäten sowie die Absicherung von APIs und anderen Schnittstellen. Werden die zugrunde liegenden Public-Key-Verfahren künftig angreifbar, kann das weitreichende Auswirkungen auf Anwendungen, Partneranbindungen und betriebliche Abläufe haben.

Deshalb spielt die PKI eine zentrale Rolle in der Transformation. Eine Modernisierung der Zertifikats- und Schlüsselinfrastruktur kann gleichzeitig die Grundlage für mehr Crypto Agility schaffen. Neben den technischen Aspekten müssen aber auch Verantwortlichkeiten, Lifecycle-Prozesse, Inventarisierung und Richtlinien betrachtet werden. Entscheidend für die Priorisierung ist, welche Vertrauensketten geschäftskritisch sind, sich nur schwer migrieren lassen oder von externen Partnern und Lieferanten abhängen.

9. Warum ist Crypto Agility ein zentrales Architekturprinzip für Quantum Readiness?

Crypto Agility ist deshalb ein zentrales Architekturprinzip, weil sie die Fähigkeit beschreibt, kryptographische Verfahren kontrolliert und mit vertretbarem Aufwand auszutauschen oder anzupassen. In einer Zeit technologischer und regulatorischer Veränderungen wird diese Flexibilität zu einem entscheidenden Erfolgsfaktor.

Technisch bedeutet das, dass Algorithmen nicht fest in Anwendungen verankert sind, sondern über konfigurierbare Mechanismen, modulare Kryptobibliotheken und klar definierte Schnittstellen ersetzt werden können. Ebenso wichtig sind anpassungsfähige Zertifikats- und Schlüsselprozesse. Besonders problematisch sind dagegen hart kodierte Algorithmen, proprietäre Kryptographie, Legacy-Systeme und lange Release-Zyklen, weil sie spätere Migrationen erheblich erschweren.

Neben der Technik spielen aber auch organisatorische Faktoren eine Rolle. Architekturvorgaben, Entwicklungsrichtlinien, Beschaffungsanforderungen und Change-Prozesse müssen so gestaltet werden, dass kryptographische Anpassungen planbar umgesetzt werden können.

Am Ende unterstützt Crypto Agility nicht nur die Einführung von Post-Quantum Cryptography, sondern verbessert grundsätzlich die Fähigkeit einer Organisation, auf neue Standards, Schwachstellen oder regulatorische Anforderungen zu reagieren. Für Enterprise Architects ist sie deshalb ein langfristiges Zielbild, das in Modernisierungs-, Cloud-, Zero-Trust-, IAM- und PKI-Initiativen integriert werden sollte.

10. Welche Rolle spielen Lieferanten- und Herstellerabhängigkeiten in der QRA-Bewertung?

Sie spielen eine zentrale Rolle in der Quantum-Risk-Bewertung, weil ein erheblicher Teil der eingesetzten Kryptographie nicht direkt vom Unternehmen kontrolliert wird. Kryptographische Funktionen befinden sich häufig in Anwendungen, Cloud-Diensten, Netzwerkkomponenten, Sicherheitslösungen, Appliances oder anderen Produkten von Drittanbietern.

Dadurch sind Unternehmen oft auf die PQC-Roadmaps, Updatezyklen und technischen Möglichkeiten ihrer Hersteller angewiesen. Besonders relevant sind dabei Softwareanbieter, Cloud-Provider, Outsourcing-Partner, OT-Hersteller, Netzwerkausrüster und Anbieter von Sicherheitsplattformen. Können diese keine zeitnahe Unterstützung für Post-Quantum Cryptography bereitstellen, kann das die gesamte Transformationsplanung beeinflussen.

Deshalb werden im Quantum Risk Assessment unter anderem die Updatefähigkeit von Produkten, Supportzeiträume, Zertifikats- und Schlüsselmechanismen, Hersteller-Roadmaps sowie vertragliche Verpflichtungen bewertet. Diese Faktoren wirken sich direkt auf Priorisierung, Zeitplanung, Migrationspfade und verbleibende Restrisiken aus.

Am Ende ist die Vorbereitung auf Post-Quantum Cryptography deshalb nicht nur eine technische oder organisatorische Herausforderung, sondern auch ein Thema des Third-Party Risk Managements. Beschaffung und Vertragsmanagement sollten frühzeitig Anforderungen an Crypto Agility, Sicherheitsupdates, Verschlüsselung und Transparenz berücksichtigen.

11. Wie sollten Governance und Verantwortlichkeiten für Quantum Readiness aufgesetzt werden?

Quantum Readiness sollte als unternehmensweite Transformationsaufgabe verstanden werden und nicht als isolierte Initiative einzelner Technikteams. Deshalb braucht es klare fachliche und geschäftliche Verantwortlichkeiten sowie eine Governance-Struktur, die technische, organisatorische und regulatorische Anforderungen miteinander verbindet.

Typischerweise sollten CIO, CISO, Enterprise Architecture, Security Management, Risk Management, Compliance, Einkauf und die relevanten Fachbereiche abgestimmt eingebunden werden. Kryptographische Risiken sollten dabei nicht separat behandelt, sondern in bestehende Informationssicherheits-, Risikomanagement- und Architekturprozesse integriert werden.

Entscheidend sind klare Kriterien für Priorisierung, Investitionsentscheidungen, Risikobehandlung, die Akzeptanz von Restrisiken sowie die Messung von Fortschritten. Gleichzeitig müssen die Erkenntnisse aus Discovery und Risikobewertung in konkrete Roadmaps, Programme, Standards und Richtlinien überführt werden.

Eine wirksame Governance berücksichtigt außerdem Lieferantenabhängigkeiten, Beschaffungsprozesse und regulatorische Entwicklungen. Fehlt diese übergreifende Steuerung, besteht die Gefahr, dass einzelne technische Maßnahmen zwar umgesetzt werden, aber ohne strategische Priorisierung, klare Verantwortlichkeiten oder eine nachhaltige Verankerung im Unternehmen.

12. Welche Rolle spielen Post-Quantum Cryptography und Quantum Key Distribution in der Zielarchitektur?

Beide verfolgen in einer zukünftigen Zielarchitektur unterschiedliche, aber komplementäre Ziele. PQC adressiert vor allem Schlüsselaustausch, Authentifizierung und digitale Signaturen. Es ergänzt zunächst bestehende Verfahren und ersetzt langfristig gefährdete Public-Key-Verfahren wie RSA und ECC. Symmetrische Verfahren wie AES bleiben grundsätzlich erhalten und spielen weiterhin eine zentrale Rolle beim Schutz der eigentlichen Daten.

Auch etablierte Sicherheitsarchitekturen und Protokolle wie TLS bleiben relevant. Sie müssen künftig jedoch quantensichere Schlüssel- und Vertrauensmechanismen unterstützen. Für die meisten Organisationen stehen daher zunächst PQC-Fähigkeit, Crypto Agility und eine strukturierte Migrationsplanung im Vordergrund.

QKD verfolgt einen anderen Ansatz. Durch die Nutzung physikalischer Eigenschaften der Quantenmechanik können Abhörversuche bei der Schlüsselverteilung erkannt werden. QKD ersetzt jedoch weder AES noch TLS, sondern kann in ausgewählten Hochsicherheits- oder Spezialumgebungen eine zusätzliche Sicherheitsschicht bilden.

Am Ende sollte die Rolle von PQC, hybriden Verfahren oder QKD immer risikobasiert bewertet werden. Maßgeblich sind dabei Schutzbedarf, bestehende Architektur, Kosten, Betriebsmodell, Verfügbarkeit und regulatorische Anforderungen.

↑ Zurück nach oben

13. Wie lassen sich Migration und Umsetzung realistisch planen, ohne die Organisation zu überfordern?

Eine erfolgreiche PQC-Migration sollte nicht als einmalige Komplettumstellung verstanden werden, sondern als schrittweiser und risikobasierter Transformationsprozess. Der Schlüssel liegt darin, Maßnahmen nach Schutzbedarf, Kritikalität, Exposition, technischer Machbarkeit, Lebenszyklus und bestehenden Abhängigkeiten zu priorisieren.

In der Praxis empfiehlt es sich, bestehende Transformationsprogramme zu nutzen, beispielsweise PKI-Erneuerungen, IAM-Initiativen, Zero-Trust-Programme, Cloud-Transformationen oder Applikationsmodernisierungen. So kann Post-Quantum Cryptography in laufende Vorhaben integriert werden, anstatt zusätzliche Parallelprojekte aufzubauen.

Proofs of Concept helfen dabei, ausgewählte Szenarien unter realistischen Bedingungen zu validieren und Erkenntnisse zu Performance, Kompatibilität, Betriebsaufwand und Integrationsrisiken zu gewinnen. Gleichzeitig muss die technische Umsetzung mit Change Management, Betriebsprozessen, Architekturvorgaben und Risikomanagement abgestimmt werden.

Am Ende sollte eine belastbare Roadmap zwischen kurzfristigen Transparenzmaßnahmen, mittelfristigen Pilotierungen und langfristigen Architekturveränderungen unterscheiden. Wichtig ist außerdem eine messbare Fortschrittskontrolle, beispielsweise über die Abdeckung des Crypto Inventory, die Reduzierung priorisierter Risiken, den Status von Lieferantenbewertungen und den Umsetzungsfortschritt geplanter Maßnahmen.

14. Wie entsteht aus dem Quantum Risk Assessment eine belastbare Roadmap?

Sie entsteht, wenn die Ergebnisse des Quantum Risk Assessments systematisch in konkrete Handlungsfelder übersetzt werden. Eine Roadmap konsolidiert Erkenntnisse aus Awareness, Crypto Discovery, Risikoanalyse, Business-Impact-Bewertung sowie der Analyse von Lieferanten- und Herstellerabhängigkeiten.

Die Maßnahmen werden dabei nach kurz-, mittel- und langfristigen Prioritäten strukturiert. Kurzfristig stehen die Definition des Scopes, die Einbindung relevanter Stakeholder, die Bewertung von Schutzbedarfen sowie die Identifikation kritischer kryptographischer Abhängigkeiten und Lieferanten im Vordergrund. Mittelfristig folgen die Weiterentwicklung des Crypto Inventory, die Analyse von PKI- und Zertifikatsprozessen, Pilotierungen von PQC- oder Hybridverfahren sowie der Aufbau geeigneter Governance-Strukturen. Langfristig geht es darum, Crypto Agility als Architekturprinzip zu etablieren, Migrationen umzusetzen, Lieferanten-Roadmaps zu synchronisieren und regulatorische Anforderungen nachhaltig zu integrieren.

Eine wirksame Roadmap verbindet technische Machbarkeit mit Business-Prioritäten, Budgetzyklen und operativen Abhängigkeiten. Entscheidend ist, dass sie nicht als einmaliger Bericht verstanden wird, sondern als Steuerungsinstrument für die schrittweise Transformation hin zu einer nachhaltigen und langfristigen Absicherung.

15. Welche konkreten nächsten Schritte sollten Entscheider nach der ersten QRA-Einordnung einleiten?

Unternehmen sollten jetzt den Übergang von der Analyse zur strukturierten Umsetzung einleiten. Der erste Schritt besteht darin, ein gemeinsames Lagebild für Management und Security zu schaffen. Dabei werden die geschäftliche Relevanz der Quantenbedrohung, mögliche „Harvest Now, Decrypt Later“-Risiken sowie die strategischen Ziele der Organisation bewertet.

Anschließend sollte der Scope klar definiert werden. Dazu gehören kritische Geschäftsprozesse, schützenswerte Datenbestände, relevante Systeme, Cloud-Dienste, Standorte, OT- oder IoT-Umgebungen sowie externe Schnittstellen. Parallel dazu müssen die verantwortlichen Stakeholder aus IT, Security, Architektur, Compliance, Risikomanagement, Einkauf und den Fachbereichen eingebunden werden.

Auf technischer Ebene sollten Crypto Discovery und Crypto Inventory gestartet oder bestehende Inventare auf ihre Eignung für Quantum Readiness überprüft werden. Ebenso wichtig sind die Bewertung von Schutzbedarf, Datenhaltedauer, Business Impact und regulatorischen Anforderungen sowie strukturierte Gespräche mit Herstellern und Lieferanten über PQC-Roadmaps, Crypto Agility und Updatefähigkeit.

Am Ende steht eine priorisierte Roadmap, die Governance, Pilotierungen, Budgetierung und die Integration in bestehende IT- und Security-Programme miteinander verbindet.

↑ Zurück nach oben

16. Was erleben Sie derzeit typischerweise bei Kunden?

Viele Unternehmen befinden sich derzeit noch in einer frühen Phase der Quantum Readiness. Das Thema ist auf Management- oder Security-Ebene zwar angekommen, wird aber häufig noch als Zukunftsthema betrachtet, dessen konkrete Auswirkungen auf die eigene Organisation noch nicht vollständig verstanden werden.

In der Praxis zeigt sich oft, dass kein vollständiges Crypto Inventory vorhanden ist. Unternehmen wissen häufig nicht genau, wo kryptographische Verfahren eingesetzt werden, welche Systeme betroffen sind oder welche Abhängigkeiten zu Zertifikaten, Schlüsseln und Vertrauensketten bestehen. Gleichzeitig herrscht große Unsicherheit bei der Priorisierung. Viele Organisationen fragen sich, welche Systeme zuerst betrachtet werden sollten und wo tatsächlich die größten Risiken liegen.

Ein weiteres zentrales Thema sind Lieferanten und Cloud-Anbieter. Kunden fragen zunehmend nach PQC-Roadmaps, Supportzeiträumen, Crypto Agility und zukünftigen Migrationspfaden. Die Antworten sind jedoch nicht immer eindeutig, was die Planungsunsicherheit zusätzlich erhöht.

Insgesamt erleben wir derzeit eine Phase wachsender Awareness. Unternehmen möchten vor allem Transparenz schaffen, Risiken besser verstehen und eine belastbare Grundlage für fundierte Entscheidungen schaffen.

↑ Zurück nach oben

Fazit

Quantum Readiness beginnt nicht mit einer sofortigen Migration. Sie beginnt mit Transparenz über kryptographische Abhängigkeiten, langfristig schutzbedürftige Daten und digitale Vertrauensketten.

Erst wenn Unternehmen verstehen, welche Systeme, Prozesse und Lieferanten betroffen sind, lassen sich Risiken sinnvoll priorisieren und in eine belastbare Roadmap überführen.

Der entscheidende Punkt ist daher nicht, heute alle Systeme auf neue kryptographische Verfahren umzustellen. Entscheidend ist, rechtzeitig ein strukturiertes Lagebild aufzubauen und Quantum Readiness als langfristige Transformationsaufgabe zu behandeln.