Man könnte es fast für Science-Fiction halten: Da tüftelt die Forschung an Algorithmen, die Quantencomputern standhalten - und plötzlich stellt sich die Ernüchterung ein, wenn es um den Einsatz im realen Leben geht. Quantencomputer mögen noch ein Stück entfernt sein, aber die Bedrohung, die sie für aktuelle Verschlüsselung bedeuten, ist allgegenwärtig. Sogenannte PQC-Verfahren (Post-Quantum Cryptography) sind bereits auf dem Papier abgesegnet, international zertifiziert sogar. Aber wie sieht es aus, wenn diese Verfahren in wirklich sensiblen, sicherheitsrelevanten Infrastrukturen angewendet werden?
Genau mit der Herausforderung befasst sich das Projekt QUEST unter Führung von BearingPoint im Auftrag der Cyberagentur. Der ungewöhnliche Fokus: Nicht nur die mathematische Eleganz der Algorithmen zählt, sondern ihre tatsächliche Widerstandsfähigkeit gegen Angriffe, die über Tricksen, Täuschen, Ablenken geschehen – etwa durch Seitenkanalangriffe auf Stromverbrauch oder elektromagnetische Lecks.
Reinhard Geigenfeind, der bei BearingPoint den Bereich Public & Health Services verantwortet, bringt es auf eine regelmäßige CISO-Frage herunter: 'Wir brauchen nicht nur einen Zertifikats-Stempel, sondern echte, belastbare Lösungen. Mit QUEST betrachten wir PQC von der Theorie bis zur Integration, quer durch die Systemlandschaft.'
Standard? Schön und gut – aber was taugt er, wenn’s ernst wird?
Die nüchterne Wahrheit: Jede Verschlüsselung ist im Labor „sicher“. Im echten Einsatz kommt das Unvorhergesehene ins Spiel: Ein Algorithmus, so mathematisch verschlossen wie ein Tresor, wird plötzlich zur offenen Scheunentür, wenn Schwachstellen in der Implementierung auftreten – etwa weil ein Angreifer per Seitenkanal die Geheiminformationen herausfischt. Solche Angriffe sind keine theoretischen Gespenster; sie messen Strompulse, lauschen auf Wechselströme oder tasten die Prozesszeit ab.
Für Verantwortliche in Behörden, Energieunternehmen oder im KRITIS-Umfeld wird so aus der Auswahl des richtigen PQC-Algorithmus eine Frage der Systemhygiene: Was zählt, ist nicht allein der Standard – sondern seine unbestechliche Umsetzung im Feld.
QUEST – ein Projekt mit klarem Praxisblick
Der Ansatz von QUEST hebt sich ab, weil er die Vernetzung aus grundlegender Kryptographie und handfester Systemintegration sucht. Im Fokus stehen kleine, eingebettete Systeme genauso wie große, verwickelte IT-Landschaften, die Tag für Tag funktionieren müssen. Das Projektteam – ein ziemlich breites Konsortium mit Experten für Post-Quantum-Kryptographie, Hardware-Security und Angriffsanalysen – hat sich vorgenommen, Tools und Erkenntnisse zu liefern, die direkt von Organisationen genutzt werden können.
Was praktisch dabei herauskommt, reicht von Bedrohungsmodellen für konkrete Systeme über Best-Practice-Strategien bis hin zur aktiven Unterstützung bei der Migration – also dem Übergang auf quantensichere Verschlüsselung. Ziel bleibt: Post-Quantum-Sicherheit, die nicht nur auf dem Papier überzeugt, sondern im Alltag überlebt.
Das Netzwerk dahinter
Getragen wird das Projekt von BearingPoint und einem breit aufgestellten Feld hochkarätiger Fachleute aus unterschiedlichen Disziplinen – von der Algorithmenentwicklung bis zur Evaluation im Feld. Die Zusammenarbeit sorgt dafür, dass die Erkenntnisse nicht im akademischen Elfenbeinturm versauern, sondern bei Energieversorgern, Kommunen und anderen „Krisenfesten“ Bodenhaftung gewinnen.
SCA4PQC und mehr über BearingPoint
QUEST ist Bestandteil des Förderprogramms SCA4PQC der staatlichen Cyberagentur und will seitenkanalresistente PQC-Implementierungen in die breite Praxis bringen. Die Mission: PQC-Lösungen, die auch unter Alltags-Stress und Angriffen funktionieren. BearingPoint, seit Jahren ein unabhängiges Powerhouse für Management und Tech-Beratung, orchestriert das Projekt – und bringt neben Erfahrung auch moderne IT-Kompetenz mit, von KI bis SAP (aber das ist wieder ein Thema für sich).
Rund um den Globus arbeitet das Unternehmen mit über 15.000 Menschen an der Transformation von Organisationen aller Art. Kunden von BearingPoint sind keine Unbekannten – von Digital-Riesen bis Sozialverbänden. Und: Mit Titeln wie B Corporation und TIME World’s Best Companies schmückt sich Kein-Kleinbetrieb.
Neugierige finden mehr auf der Website von BearingPoint oder auf den einschlägigen Unternehmens-Profilen im Netz.
Das QUEST-Projekt von BearingPoint rückt die praktische Realisierbarkeit von quantensicheren Verschlüsselungsverfahren ins Zentrum. Durch die Betrachtung nicht nur der Algorithmussicherheit, sondern insbesondere auch der Angriffsmöglichkeiten durch Seitenkanäle oder Fehlerinjektionen will das Konsortium echte Sicherheit in kritischen Systemen ermöglichen. Aktuelle Entwicklungen auf diesem Gebiet zeigen, dass zunehmend auch die EU und deutsche Behörden auf Post-Quantum-Krypto-Lösungen setzen, um etwa die Cybersicherheit im Gesundheits- oder Energieumfeld zu stärken. Ein Beispiel: Die Bundeswehr kooperiert mit weiteren Akteuren für eine sichere Kommunikationsinfrastruktur, während die Europäische Agentur für Netz- und Informationssicherheit (ENISA) Empfehlungen für die Migration auf PQC-Verfahren publiziert hat. Bei jüngsten internationalen Konferenzen – etwa bei der NIST – stehen Berichte über die ersten erfolgreichen Implementierungen im Unternehmensumfeld und Herausforderungen bei der Integration in bestehende IoT-Geräte im Mittelpunkt. Gleichzeitig warnen Sicherheitsforscher davor, den Aufwand für Hardening, also für die Härtung gegen physische Angriffe, zu unterschätzen: Laborerfolge sind kein alltagstauglicher Schutz. Die Marktreife quantensicherer Verschlüsselung bleibt ein dynamisches Feld – sowohl technologisch als auch regulativ; nicht zuletzt, weil Hardware-Hersteller und Cloud-Provider teils eigene konkurrierende Lösungen entwickeln.