Ohne Kryptographie wäre es ein leichtes für Hacker, Daten zu stehlen oder sogar kritische Infrastrukturen zu manipulieren. Aber Verschlüsselungsmethoden können über Nacht veralten. Dann zählt jede Sekunde. Krypto-Agilität ist neben der kryptografischen Robustheit und Universalität eines der drei Trendthemen, welche die Krypto-Community bewegen. Teil zwei dieser Reihe zur Zukunft der Kryptographie erklärt, was Krypto-Agilität ist und wie Entwicklerbibliotheken sowie Cloud-Dienste dabei helfen, diese effektiv in einem System zu verankern.
Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Kryptosysteme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen.
Quantencomputer oder eine bislang unentdeckte Schwachstelle, die eine weitverbreitete Public-Key-Methode wie RSA knacken können, bekräftigen die Wichtigkeit kryptographischer Agilität. Das gilt nicht nur für Kryptographen, sondern für alle Bereiche der Cybersicherheitsbranche, die beim Schutz von Netzwerken, Software, Identitäten und Daten auf Kryptographie angewiesen sind.
Heutzutage werden fast alle wichtigen gesellschaftlichen Prozesse – vom Geldabheben am Geldautomaten bis zur Flugsicherung – durch den Austausch digitaler Daten zwischen Geräten ermöglicht. Dieser Austausch kann über das öffentliche Internet sowie private Netzwerke in Rechenzentren, Cloud- und SaaS-Plattformen erfolgen. Entlang dieser Kette gibt es mehrere Punkte, an denen die Daten eine Art von kryptographischem Prozess durchlaufen können. Oftmals kommen dabei verschiedene Methoden zum Einsatz. Wenn jedoch nur eine der Stufen kompromittiert wird, kann dies aufgrund der starken Vernetzung unserer digitalen Welt zu einer Kompromittierung der gesamten Kette führen.
Krypto-Agilität als grundlegende Designmethodik
Der Kern der Krypto-Agilität ist die Fähigkeit Chiffren, Schlüssel und Prozesse zum Austausch von Schlüsseln zu ändern oder zu aktualisieren. Hierbei muss in einer krypto-agilen Umgebung keinerlei neue Hardware eingesetzt werden. Dabei ist die Bewältigung von Herausforderungen die eine Seite. Die andere Seite ist ein potenzieller Gewinn neuer Vorteile. Beispielsweise könnten bestimmte kryptographische Methoden weniger Rechenleistung erfordern als ältere Verfahren. In diesem Fall würde das die Performance bei Geräten verbessern, die selbst nur über geringe Rechenkapazitäten verfügen. Dies könnte dazu führen, dass Geräte, die zuvor als zu leistungsschwach für den Einsatz von Verschlüsselung galten, nun an sicheren Transaktionen teilnehmen können. Allerdings ist auch das Gegenteil möglich, wenn neuere, stärkere Mechanismen mehr Rechenleistung erfordern. Daher sind sorgfältige Überlegungen und die Konsultation von Experten wichtig, um kostspielige Produktrückrufe oder die Verletzung der Sicherheit von Produkten oder Dienstleistungen zu vermeiden.
Unternehmen müssen kryptografische Agilität als Design- und Prozessmethodik verinnerlichen, weil für Krypto-Agilität kein definierter Standard existiert. Es muss vielmehr von Anfang an mit eingeplant werden, dass sich die Kryptographie im Laufe der Zeit weiterentwickeln wird. Hieraus folgen einige praktische Aufgaben für Organisationen, die sich noch nicht mit ihrer kryptografischen Agilität beschäftigt haben: Diese müssen als erstes eine Bestandsaufnahme von all ihren Krypto-Assets – von Hardware über Software bis zu SaaS-Angeboten – durchführen, um sich einen Überblick über ihre aktuelle Situation zu verschaffen. Im zweiten Schritt müssen sie einen realistischen Prozess definieren, wie sie Algorithmen und Techniken in allen ihren Prozessen bei Bedarf ändern können.
Auf den ersten Blick scheint dies eine unlösbare Aufgabe zu sein. Dennoch gibt es einige Anbieter von Software und Dienstleistungen wie beispielsweise PrimeKey mit der weitverbreiteten Software EJBCA, die Krypto-Agilität direkt in das Design implementieren. Ein weiteres Beispiel sind API-gesteuerten Technologien wie Bouncy Castle. Diese ermöglichen einen diskreten Austausch von Algorithmen-Engines, ohne dass die Anwendungen umfangreich umgeschrieben werden müssen.
Falls die Kryptographie in älteren Systemen fest eincodiert ist, dann lässt sich Agilität schwieriger erreichen. Agile Systeme können erheblich leichter geschaffen werden, wenn Agilität über Cloud-basierte Dienste bereitgestellt wird. Ein weiterer wichtiger Punkt ist, dass sich Agilität nicht nur den Codes betrifft. Menschen und Prozesse sind weitere Bausteine, die berücksichtigt werden müssen, damit die Systeme agil bleiben. Unternehmen müssen deshalb für alle Mitarbeiter eine transparente Übersicht bereitstellen, welche Anforderungen die Sicherung ihrer Systems an sie stellt und wer für welche Elemente die Verantwortung trägt.
Tests gegen das Worst-Case-Szenario
Um das Worst-Case-Szenario zu verhindern, müssen Unternehmen die Agilität unbedingt testen. So wird beispielsweise der Triple Data Encryption Algorithm (TDEA oder 3DES) offiziell aus dem Verkehr gezogen. Das NIST erklärt, dass seine Verwendung nach 2023 nicht mehr zulässig ist. In der Folge dürfen alle Branchenvorschriften wie beispielsweise für Finanzdienstleistungen, die sich an den Vorgaben des NIST orientieren, nach diesem Zeitpunkt ebenfalls nicht mehr auf TDEA zurückgreifen. TDEA kann auch im TLS-Protokoll eingebunden werden, dessen Version 1.1 mittlerweile ebenfalls veraltet ist. Dies sind nur einige Beispiele, die als Katalysator dienen sollten, die kryptographische Agilität des eigenen Unternehmens zu evaluieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Zuletzt wurde in Public-Key-Infrastruktur-(PKI)-Umgebungen die Agilität durch die Aktualisierung von SHA-1 im großen Umfang auf die Probe gestellt. Obwohl einige Schwachstellen des Algorithmus über ein Jahrzehnt bestanden, wurden einige Unternehmen erst im Jahr 2017 wachgerüttelt. Alle großen Internetbrowser beendeten damals die Unterstützung für mit SHA-1 gesicherte digitale Zertifikate. Dies kam einem Weckruf gleich, da viele Organisationen erst dadurch merkten, dass noch großer Nachholbedarf bestand.
Fazit
Viele Unternehmen müssen Schritte einleiten, um die Agilität ihrer Systeme zu testen und in jeglicher Hinsicht auf den aktuellen Stand zu bringen. Die Firmen, die robuste Systeme etablieren und diese mit Krypto-Agilität auf Vordermann gebracht haben, werden einen Vorsprung im Wettrennen zwischen Kryptographie und Quantencomputern haben. Aus diesem Grunde arbeiten Ingenieure auf der ganzen Welt an Lösungen, bei denen die zugrunde liegenden Algorithmen leicht verändert und somit nach einem Vorfall die Vertrauenshierarchien rasch wiederhergestellt werden können. Krypto-Agilität ist für viele Anbieter und ihre Kunden auf dem Weg an die Spitze der Design-Philosophie. Zuletzt dürfen sie jedoch nicht vergessen, Kryptographie auf alle notwendigen Bereiche anzuwenden. Damit beschäftigt sich die Krypto-Universalität im letzten Teil dieser Reihe.
Über den Autor: Admir Abdurahmanovic hat über 35 Jahre Erfahrung in der IT und Kryptographie. Er studierte an der Universität von Sarajevo, Bosnien und Herzegowina, Mathematik mit Schwerpunkt Kryptographie. Danach arbeitete er in verschiedenen Softwareunternehmen. Schließlich gründete er vor 19 Jahren zusammen mit Tomas Gustavsson PrimeKey, ein heute führendes Unternehmen im Bereich der PKI- und Digitale-Signatur-Lösungen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/a6/24a67fd7a4c87e255ded6d800202bb4c/0129438997v2.jpeg "Wie eine Wetterapp soll Cyros die aktuelle Risikolage abbilden. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/de/1a/de1ae4cb156aee02c7e54345c6c91ec4/0129540842v2.jpeg "96 Prozent der Ransomware-Opfer verlieren ihre Backups, weil Angreifer Wiederherstellungssysteme gezielt angreifen. Immutability macht Backups technisch unveränderlich und schützt vor Manipulation. (Bild: © zephyr_p - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/53/f3/53f37867628318b5374100ff9bdfdba9/0129583189v2.jpeg "Cyberkriminelle können mithilfe präparierter Client-Anfragen Remote Code im Betriebssystem von Beyondtrust Remote Support und Privileged Remote Access ausführen. (Bild: Sohail - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/9f/b19f3051a921c1675f978918eb036c8f/0128401345v1.jpeg "Tanja Göbel, Commercial Director bei RETN in der DACH-Region, erlebt täglich, wie Betreiber in Europa ihre Routen, Strategien und Partnerschaften neu denken, um in einer veränderten geopolitischen Landschaft verbunden zu bleiben. (Bild: Retn)")
:quality(80)/p7i.vogel.de/wcms/ef/b1/efb1dc214240ce7ebf411b8d8a059a75/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/22/0c/220ca1ec90f6a8f06ad0560babed5404/0101613612.jpeg "Das Thema Robustheit in der Kryptographie wird immer dringlicher, denn das Quanten-Zeitalter steht vor der Tür. Damit kommen weitere Herausforderungen auf Unternehmen und Nationalstaaten zu, die ihre Systeme schützen müssen. (©SIAMRAT.CH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/63/8163869a3c32c74e82768b841aa3a09c/0127166815v1.jpeg "Das Quantencomputing ist noch ganz jung, aber das Potenzial ist riesig, die Gefahren auch. Der Autor möchte die Anpassung an die EU-Regularien für Finanzhäuser DORA mit einer Post-Quantum-Resistenz verbinden. (Bild: © Best_Seller - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/ac/57ac3aa12e8005c6f1d9b0c19bea21ca/0127259989v1.jpeg "Cyberkriminelle sehnen den Q-Day herbei, um mit Quantenschlüsseln gestohlene Daten auslesen zu können. (Bild: Midjourney / KI-generiert)")