Post-Quantum-Kryptographie: Zeitfenster wird knapp

Die Befragung wurde von der Management- und IT-Beratung MHP unter 1060 IT-Expertinnen und -Experten in Deutschland und den USA durchgeführt. Besonders kritisch ist demnach der „Q-Day“ – der Moment, ab dem Quantencomputer bestehende Verschlüsselung brechen können. Noch heute besteht die Gefahr durch das Szenario „Store now, decrypt later“: Daten werden abgefangen und gespeichert, um sie später zu entschlüsseln. Umso wichtiger ist es, dass Unternehmen und Organisationen sich zeitnah mit der Post Quantum Kryptographie (englisch: PQC) befassen und ihre Produkte sowie Systeme quantensicher gestalten.

USA bei Automatisierung vorn

PQC erhält in Unternehmen deutlich mehr Aufmerksamkeit, als es die öffentliche Debatte vermuten lässt. Rund 86,6 Prozent der Organisationen in Deutschland treiben das Thema Post-Quantum-Kryptografie voran – von der strategischen Planung über Pilotprojekte bis zur aktiven Migration. 14,3 Prozent geben sogar an, ihre kritischen Systeme bereits auf Quantum-resistente Verschlüsselung migriert zu haben.

Ein ähnliches Bild zeigt sich in den USA: Dort beschäftigen sich 87,3 Prozent der Unternehmen mit PQC, 15,4 Prozent davon haben bereits entsprechende Sicherheitsmaßnahmen umgesetzt. Unternehmen ohne jegliche Aktivitäten sind klar in der Minderheit – mit 9,8 Prozent in Deutschland und 8,9 Prozent in den USA.

Deutliche Unterschiede zeigen sich jedoch bei der operativen Umsetzung. Während viele deutsche Unternehmen noch auf manuelle Inventarisierung setzen (41,7 Prozent), dominieren in den USA bereits automatisierte Ansätze (50,8 Prozent). Genau hier entscheidet sich, wie schnell und skalierbar die Umstellung auf neue Kryptostandards tatsächlich gelingt.

Die Zeit läuft gegen die Unternehmen

Unternehmen ist die Dringlichkeit und der Einfluss von Quantencomputern bewusst. In Deutschland erwarten 45,3 Prozent den Q-Day innerhalb der nächsten fünf Jahre bis 2031, in den USA sogar 55,2 Prozent. Weitere 39 Prozent in Deutschland und 33,5 Prozent in den USA in den nächsten zehn Jahren bis 2036.

Gleichzeitig geben fast alle befragten Unternehmen an, dass sie über große Mengen sensibler Daten verfügen, die für zehn oder mehr Jahre gesichert werden müssen. Kommt der Q-Day also wie von den meisten Befragten angenommen im Rahmen der nächsten fünf Jahre, sind Teile dieser Daten schon kompromittiert.

Besonders kritisch ist hierbei der geschätzte Zeitaufwand, um die technische Migration zu PQC abzuschließen. Deutsche Unternehmen rechnen zum Großteil zu 53,4 Prozent mit zwei bis fünf Jahren, 27,5 Prozent sogar mit fünf bis zehn Jahren. Ein nahezu ähnliches Bild ergibt sich in den USA mit 51,8 Prozent in zwei bis fünf Jahren sowie 21,8 Prozent in fünf bis zehn Jahren. Wer noch nichts getan hat oder sich gerade erst in der Planungsphase befindet, könnte zukünftig hinterherhängen.

Komplexe Altsysteme als Hauptfaktor für langsame Umsetzung

Mehrere Faktoren verlangsamen oder verhindern in Unternehmen die Umstellung auf PQC: Ganz vorn stehen dabei komplexe Altsysteme mit 33,8 Prozent in Deutschland und 35 Prozent in den USA. Sie bremsen die Unternehmen an vielerlei Stellen aus und sind schwer überwindbar. Hier gibt es auch in den befragten Branchen kaum einen signifikanten Unterschied. An zweiter Stelle steht in Deutschland fehlendes Budget oder fehlende Ressourcen mit 19,6 Prozent, während in den USA mit 21,5 Prozent vor allem ein Mangel an interner Kryptographie-Expertise vorliegt. Mangelnde Wahrnehmung der Dringlichkeit fällt in Deutschland mit 13,8 Prozent und in den USA mit 11,3 Prozent auf den vorletzten Platz.

„Wer seine Altsysteme unter Kontrolle bringt, schafft auch den zeitnahen Umstieg auf PQC – weitere Zeit verlieren sollte man jedoch nicht“, erklärt Christian Zgardea, Partner bei MHP. „Zu verlieren gibt es nichts. Auch abseits von PQC lohnt es sich, seine eigenen Systeme stetig unter Kontrolle zu haben und Wildwuchs einzugrenzen.“

Rahmendaten der Befragung

Die Befragung wurde vom 5. bis 16. Februar 2026 online durchgeführt. Befragt wurden 1.060 IT Expertinnen und Experten aus Unternehmen mit einer Größe von mindestens 500 Mitarbeitenden in Deutschland und den USA. Die Ergebnisse sind repräsentativ, wurden mittels Quotierung ausgewertet und berücksichtigen einen statistischen Fehler von 4,3 Prozentpunkten.