Das Szenario „Harvest Now, Decrypt Later“ ist real: Angreifer speichern verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln. Doch bevor Unternehmen ihre Kryptografie härten können, müssen sie wissen, wo sie überhaupt im Einsatz ist. Discovery Tools durchleuchten IT-Umgebungen automatisiert und schaffen die Transparenz, die für Krypto-Agilität unverzichtbar ist.
Bevor Unternehmen quantensichere Kryptografie einsetzen können, müssen sie wissen, wo entsprechende Zertifikate und Schlüssel überhaupt im Einsatz sind.
Die Bedrohung durch Quantencomputer wird in Fachkreisen oft mit einer Mischung aus Faszination und Fatalismus diskutiert. Während die physikalische Funktionsweise der Qubits für viele noch abstrakt wirkt, ist die sicherheitstechnische Realität für IT-Entscheider bereits heute greifbar und drängend. Das Szenario, das Sicherheitsverantwortlichen den Schlaf rauben sollte, ist unter dem Begriff „Harvest Now, Decrypt Later“ bekannt. Cyberkriminelle und staatliche Akteure haben längst begonnen, verschlüsselte Datenverkehrsströme aufzuzeichnen und zu speichern, um sie später mit leistungsfähigen Quantencomputern zu entschlüsseln. Für Unternehmen ergibt sich daraus eine unbequeme Wahrheit, denn die Vorbereitung auf die Post-Quantum Cryptography (PQC) ist kein Projekt für das nächste Jahrzehnt, sondern eine unmittelbare Notwendigkeit, da sensible Daten wie Kundendatensätze oder geistiges Eigentum auch in Zukunft geschützt bleiben müssen.
Empfehlung der Redaktion
Die Welt der Quantenmechanik ist oft unbegreiflich. Aber genau dorthin müssen wir uns begeben, wenn wir verstehen wollen, wie Quantencomputer funktionieren und warum sie zum Risiko werden können. In Folge 99 des Security-Insider Podcast sprechen wir mit Professor Christoph Becher von der Universität des Saarlandes darüber, wie Quantencomputer funktionieren, welche sinnvollen Anwendungsmöglichkeiten es für die Super-Computer gibt, aber auch welche Gefahren dadurch lauern. Außerdem erklärt Professor Becher, welche Lösungsansätze es schon heute gibt. Wir wünschen viel Spaß, beim Zuhören!
Vom unsichtbaren Risiko zur strategischen Klarheit
Wer sich auf diese technologische Zäsur vorbereiten will, steht jedoch oft vor einem trivial anmutenden und in der Praxis hochkomplexen Problem. Bevor man Kryptografie austauschen oder härten kann, muss man zwingend wissen, wo sie im eigenen Unternehmen überhaupt im Einsatz ist. In den organisch gewachsenen IT-Landschaften vieler Konzerne und Mittelständler gleicht dies oft der Suche nach der Nadel im Heuhaufen. Zertifikate und kryptografische Schlüssel verbergen sich nicht mehr nur auf den prominenten Webservern in der Peripherie des Netzwerks. Sie sind tief in die Infrastruktur diffundiert und finden sich in Load Balancern, auf IoT-Geräten, in kurzlebigen Cloud-Containern und in den Pipelines der DevOps-Teams.
Diese Intransparenz wird oft unterschätzt, stellt aber das eigentliche Sicherheitsrisiko dar. Viele Organisationen verlassen sich noch immer auf manuelle Prozesse oder statische Tabellenkalkulationen, die jedoch schnell veralten und fehleranfällig sind. Ein einziger übersehener, veralteter Schlüssel kann zur Achillesferse der gesamten Sicherheitsarchitektur werden. Ohne eine vollständige Sichtbarkeit der gesamten kryptografischen Landschaft ist es unmöglich, Schwachstellen zu identifizieren oder sicherzustellen, dass keine Hintertüren für Angreifer offenstehen. Daher ist der erste logische Schritt in jedem Reifegradmodell für Post-Quanten-Kryptografie immer die umfassende Bestandsaufnahme und das Verständnis der eigenen Verschlüsselungspraxis.
Genau an diesem Punkt erweisen sich moderne Discovery Tools als unverzichtbares strategisches Instrument für die IT-Sicherheit. Diese spezialisierten Werkzeuge lösen die fehleranfällige manuelle Pflege ab und arbeiten mit einem technischen Ansatz, der auf tiefgreifende Automatisierung setzt. Durch den Einsatz von netzwerkbasierten Scannern und intelligenten Sensoren durchleuchten sie systematisch die gesamte IT-Umgebung. Dabei geht die Analyse weit über das bloße Auffinden von SSL/TLS-Zertifikaten hinaus. Leistungsfähige Lösungen inventarisieren ebenso SSH-Schlüssel und untersuchen Dateisysteme sowie Systemregistries bis hin zu Binärdateien oder Java-Archiven, um kryptografische Assets aufzuspüren.
Ein entscheidender Faktor für die Wirksamkeit solcher Tools ist ihre Herstellerunabhängigkeit. Es spielt für die Risikoanalyse keine Rolle, ob ein digitales Zertifikat von einer öffentlichen Zertifizierungsstelle, einer internen PKI oder sogar als selbstsigniertes Provisorium eines Entwicklers erstellt wurde. Das Discovery Tool fördert all diese Artefakte zutage und führt sie in einem zentralen Inventar zusammen. Erst auf Basis dieses lückenlosen Inventars wird eine fundierte Risikobewertung möglich. Das Tool liefert den IT-Verantwortlichen detaillierte Metadaten zu jedem gefundenen Asset, wie etwa Informationen über die Schlüssellängen, die verwendeten Signaturalgorithmen und die Gültigkeitsdauer. Im Kontext der Post-Quanten-Vorbereitung ist diese Detailtiefe von unschätzbarem Wert, da Sicherheitsteams so identifizieren können, an welchen Stellen im Netzwerk noch schwache Verfahren eingesetzt werden, die einem Quantencomputer keinen Widerstand entgegensetzen würden.
Die Implementierung eines solchen Tools dient jedoch nicht nur der reinen Bestandsaufnahme, sondern bereitet den Weg für das Konzept der Krypto-Agilität. In der Vergangenheit waren kryptografische Algorithmen oft fest in Applikationen und Hardware verdrahtet, was jeden Austausch zu einem riskanten Großprojekt machte. Krypto-Agilität beschreibt hingegen die Fähigkeit eines Unternehmens, Verschlüsselungsstandards flexibel und ohne Betriebsunterbrechungen auszutauschen, sobald neue Bedrohungen oder neue Standards auftauchen. Dies beinhaltet auch die Vorbereitung auf hybride Zertifikate, bei denen klassische Algorithmen wie RSA oder ECC mit neuen Post-Quanten-Algorithmen kombiniert werden, um Rückwärtskompatibilität bei gleichzeitiger Zukunftssicherheit zu gewährleisten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Da sich moderne Unternehmensnetzwerke durch Cloud-Computing und mobile Endgeräte ständig verändern, reicht eine einmalige Inventur nicht aus. Ein wirksames Discovery Tool führt daher eine kontinuierliche Überwachung durch und registriert automatisch neue Assets, sobald diese ans Netz gehen. Diese permanente Aktualisierung verhindert das erneute Entstehen blinder Flecken und reduziert das Risiko von Ausfällen durch abgelaufene Zertifikate drastisch. Der Weg zur Quantensicherheit ist weniger ein technischer Sprint als vielmehr ein organisatorischer Marathon. Wer heute in leistungsfähige Discovery-Mechanismen investiert, schafft damit das Fundament für die Sicherheitsarchitektur der kommenden Jahre und gewinnt die notwendige Kontrolle über seine Daten zurück. Nur mit vollständiger Klarheit über den kryptografischen Bestand lässt sich die IT-Infrastruktur effektiv gegen die Rechenpower der nächsten Computergeneration wappnen.
Über den Autor: Christian Müller ist Regional Vice President DACH bei DigiCert.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f6/07/f607736290a30a40b0876cf3e1de5424/0130167213v2.jpeg "Die DarkSword-Exploit-Kette nutzt mehrere Schwachstellen in iOS aus, um vollständige Kernelrechte zu erlangen, Sandbox-Beschränkungen zu umgehen und daraufhin Malware zu installieren, wodurch sensible Daten exfiltriert werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/0e/0d0e94ef36ab18908daf271ce57c5b6e/0130083847v2.jpeg "Ältere Sicherheitslücken sind für Hacker besonders interessant, da sie häufig in vielen Organisationen ungesichert bleiben, was die Wahrscheinlichkeit ihrer Ausnutzung erhöht. DIes führt zu oftmals sehr hohen EPSS-Scores. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/48/33/4833cacbcfce7e25fecc9b8b4e6b494a/0129709900v2.jpeg "Die Phishing-Angriffe von TGR-STA-1030 beginnen laut Palo Alto Networks meist mit E-Mails, die an Regierungsmitarbeiter gesendet werden und den Vorwand einer Ministeriums- oder Behördeumstrukturierung nutzen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/63/92635bb91f1886ceef05e9c41e0532c3/0130004208v2.jpeg "Die Reaktionszeit ist bei Cyberangriffen entscheidend. Je schneller Security-Teams Bedrohungen erkennen und abwehren können, desto geringer der Schaden. (Bild: © Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/fb/79fb569f08e89e72c83e2dd670d2d2df/0130010051v2.jpeg "Cyberversicherung oder Incident Response Retainer: Beide Ansätze haben Vor- und Nachteile. Eine sorgfältige Prüfung der eigenen Anforderungen ist entscheidend. (Bild: © Sarfraz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/74/b8/74b8bcd9ee280c5eec09f62b865876d4/0130035577v2.jpeg "Der Entwickler versäumte es, eine Statusdatei korrekt zu verwenden und die Infrastrukturen von verschiedenen Projekten getrennt zu halten. Claude Code machte daraufhin den Fehler, die aktuelle Statusdatei von einer bestehenden Terraform-Konfiguration durch eine ältere zu ersetzen und löschte mit dem Befehl „terraform destroy“ eine komplette Datenbank und alle Snapshots. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/91/fb/91fbab616893b3905c110fff8e911abe/0130017674v2.jpeg "Bevor Unternehmen quantensichere Kryptografie einsetzen können, müssen sie wissen, wo entsprechende Zertifikate und Schlüssel überhaupt im Einsatz sind. (Bild: © PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/ee/6aee3525b520c2e632f44566cbba513d/0130142789v2.jpeg "Das BSI hat in einer aktuellen Analyse Sicherheitsmängel in Praxisverwaltungssystemen und Pflegedokumentationssystemen festgestellt, die sensible Gesundheitsdaten gefährden können. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/fb/c3fb60ad37eb13084443888d42cd75d6/0130000287v2.jpeg "Eine physische Zutrittskarte ist bei Mobile-Access-Lösungen überflüssig – sie wird digital auf dem Smartphone hinterlegt. (Bild: HID Global)")
:quality(80)/p7i.vogel.de/wcms/70/12/7012a2d773d5b6551d28fc4c51c754f2/0129998227v2.jpeg "Bereits bei Installation, Mandantenanlage oder Systemkopie liegen in SAP feste Konten und bekannte Zustände vor. Ohne gezielte Absicherung öffnen sie gefährliche Angriffspfade. (Bild: © Ronny - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/ef/88ef25eb1b4cedaa7bda212e51aaedab/0129933628v1.jpeg "Die Kernerkenntnis des IBM X-Force Threat Intelligence Index 2026 ist, dass Schwachstellen das Haupttor für Cyberangriffe darstellen, wobei 44 Prozent der Angriffe über öffentlich zugängliche Anwendungen erfolgen und hauptsächlich durch fehlende Authentifizierungskontrollen begünstigt werden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/88/88/8888246a482831015f84702b596ed0b6/0129897907v2.jpeg "Die Zero Day Initiative listet EUVD-2026-9179 / CVE-2026-23600 als Zero-Day-Schwachstelle. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/87/23/8723fbb0a37bbf340eae36e875833232/0129813813v2.jpeg "Cybersicherheit wird immer mehr ein Wettbewerbsfaktor. Daher gilt besonders für kleine und mittelständische Unternehmen, nicht nur zu investieren, sondern eine umfassende Cybersecurity-Strategie zu etablieren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/c4/76c4fb4c615fdfbda2b123cd7700352f/0129488424v1.jpeg "Der Q-Day kommt zwischen 2029 und 2035. Harvest Now Decrypt Later-Angriffe gefährden Daten aber schon heute. Das neue eBook „Die Quanten-Bedrohung“ zeigt die Migration zu quantensicherer Verschlüsselung. (Bild: © Patrick Helmholz - AdobeStock / Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/ca/6a/ca6a8707314928a4b325c1d7107168af/0124941367v1.jpeg "Die experimentelle Quanteninformatik macht kontinuierlich Fortschritte. Nun wächst die Sorge, diese neue Technologie könnte weltweit die Sicherheit von Verschlüsselungssystemen mit öffentlichen Schlüsseln gefährden. (Bild: © Bartek Wróblewski - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/26/f8/26f823c40fe5fe1d6f99ff3b3fc5b0a8/0128117852v1.jpeg "Wer Verschlüsselung frühzeitig auf Post-Quanten-Kryptografie umstellt, senkt das Risiko, dass heute geschützte Daten in einigen Jahren entschlüsselt werden. (Bild: Midjourney / Paula Breukel / KI-generiert)")