Methoden zur Standortbestimmung hinsichtlich Q-Day

Überblick

Der „Q-Day" bezeichnet den Zeitpunkt, an dem Quantencomputer leistungsfähig genug sind, um heutige Verschlüsselungsverfahren wie RSA und ECC zu brechen. Um sich auf dieses Szenario vorzubereiten, existieren verschiedene Frameworks und Methoden, die Organisationen helfen, ihren aktuellen Reifegrad, ihr Risiko und ihren Migrationsfortschritt zu bewerten. Die folgenden Methoden unterscheiden sich in Fokus, Komplexität und Zielgruppe – von einfachen Risikoformeln bis hin zu umfassenden Reifegradmodellen.

CAMM – Crypto-Agility Maturity Model

Das CAMM wurde an der Hochschule Darmstadt im Rahmen des ATHENE-Forschungszentrums entwickelt und bewertet die Krypto-Agilität einzelner Produkte und Systeme – also die Fähigkeit eines konkreten IT-Produkts oder einer Komponente, kryptographische Algorithmen bei Bedarf schnell auszutauschen. Im Gegensatz zu organisationsweiten Frameworks bewertet CAMM den Reifegrad auf Produktebene: Jedes einzelne System, jede Anwendung oder jedes Gerät wird separat hinsichtlich seiner Austauschfähigkeit kryptographischer Verfahren eingestuft.

Vorteile

  • Klare, strukturierte Stufenlogik (angelehnt an etablierte Modelle wie CMM/CMMI)
  • ​Fokus auf die operative Fähigkeit zum Algorithmuswechsel auf Produktebene – zentral für die PQC-Migration
  • Akademisch fundiert mit Expertenbewertung
  • Leicht verständlich und kompakt

Nachteile

  • Bewertet ausschließlich Krypto-Agilität, nicht das gesamte Quantenrisiko oder die Migrationsbereitschaft
  • Noch in früher Entwicklungsphase – begrenzte praktische Erprobung in der Industrie
  • Keine integrierten Tools oder automatisierte Bewertungsinstrumente
  • Berücksichtigt keine Governance-, Daten- oder Supply-Chain-Aspekte
  • Ergibt kein Gesamtbild der Organisation, sondern muss für jedes Produkt einzeln durchgeführt werden

QRAMM – Quantum Readiness Assurance Maturity Model

QRAMM ist ein Open-Source-Framework der CyberSecurity NonProfit (CSNP), das die ganzheitliche Quantenbereitschaft einer Organisation bewertet. Es umfasst vier Dimensionen mit jeweils drei Praxisbereichen und insgesamt 120 Bewertungsfragen.

  • Vorteile
  • Ganzheitlicher Ansatz über vier Dimensionen – von Technik über Governance bis Supply Chain
  • ​Open-Source und kostenlos verfügbar (GitHub + Excel-Toolkit)
  • ​Automatisiertes Scoring mit Spider-Diagrammen und Heatmaps
  • ​Mapping auf 8 etablierte Frameworks (NIST, ISO 27001, FedRAMP etc.)
  • ​Schnelles Baseline-Assessment in 15–20 Minuten möglich

Nachteile

  • Relativ neues Framework (2025 veröffentlicht) – begrenzte Praxiserfahrung
  • ​Excel-basiert, was bei großen Organisationen an Skalierungsgrenzen stoßen kann
  • Stark US-/NIST-orientiert – europäische regulatorische Anforderungen (z. B. NIS2) nicht direkt abgebildet
  • Der umfangreiche Fragenkatalog (120 Fragen) kann für kleine Organisationen überdimensioniert sein

NIST SP 1800-38 – Migration to Post-Quantum Cryptography

NIST veröffentlichte mit SP 1800-38 einen umfassenden Practice Guide in drei Bänden:

  • Volume A: Executive Summary mit Begründung für sofortiges Handeln
  • Volume B: Funktionaler Testplan für Cryptographic-Discovery-Tools
  • Volume C: Interoperabilitätstests für quantensichere Algorithmen in TLS, SSH, X.509

Der Guide wurde in Zusammenarbeit mit AWS, IBM, Microsoft, Samsung SDS und weiteren Industriepartnern entwickelt.

Vorteile

  • Offizieller NIST-Standard – höchste Autorität in Kryptographie-Fragen
  • ​Sehr praxisnah mit konkreten Testplänen und Architekturvorschlägen
  • Betont Krypto-Agilität als langfristige Designphilosophie​
  • Breite Industrieunterstützung durch über zwei Dutzend Partner

Nachteile

  • Sehr umfangreich und technisch – eher für große Organisationen mit IT-Security-Teams geeignet
  • Fokus auf Discovery und Testing, weniger auf strategische Priorisierung oder Governance
  • US-zentriert – europäische Standards und Regulierung (z. B. BSI, NIS2) nicht direkt adressiert
  • Preliminary Draft – noch nicht vollständig finalisiert

BSI Migrationsleitfaden

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat mit dem Leitfaden „Quantum-safe cryptography" und der Technischen Richtlinie TR-02102-1 eigene Empfehlungen für die Post-Quantum-Migration veröffentlicht. Die Arbeitshypothese des BSI lautet: Kryptographisch relevante Quantencomputer könnten Anfang der 2030er Jahre verfügbar sein.

Kernempfehlungen des BSI:​

  • Sofortige Erstellung eines kryptographischen Inventars
  • Einsatz von hybriden Verfahren (klassisch + PQC)​
  • Sicherstellung von Krypto-Agilität in allen neuen Systemen
  • Empfohlene Algorithmen: FrodoKEM, Classic McEliece (KEMs); ML-DSA, SLH-DSA (Signaturen)​

Vorteile

  • Direkt relevant für deutsche und europäische Organisationen
  • Konservative Arbeitshypothese sorgt für frühzeitige Vorbereitung
  • ​Starker Fokus auf Hybrid-Ansätze als Übergangslösung
  • Unterstützt durch 18+ europäische Partnerstaaten im Joint Statement

Nachteile

  • Eher Leitfaden als strukturiertes Assessment-Modell – kein Scoring oder Reifegradstufen
  • Weniger konkret in der Methodik als z.B. QRAMM 
  • Empfehlungen können sich mit fortschreitender Standardisierung schnell ändern, Leitfaden bereits 2021 veröffentlicht
  • Begrenzte Awareness in der deutschen Industrie – nur 28 von 150+ befragten Unternehmen antworteten auf eine BSI-Umfrage


 

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.