Zusammenfassung
Ihre Kundendaten müssen bis weit in die 2030er vertraulich bleiben – lange nachdem RSA und ECC gebrochen werden
können. Dieses Playbook verdichtet die jüngsten BSI-Vorgaben in drei leicht verdauliche Phasen, ergänzt
NIS2-Compliance-Trigger und zeigt, wo Bundesförderungen die Projektkosten senken.
Wichtigste Punkte auf einen Blick
- BSI-Stichtag 2030: Sensible Workloads in allen Sektoren müssen hybrid oder ausschließlich PQ sein.
- Algorithmen jetzt „bevorzugt“: ML-KEM-768/1024 für den Schlüsselaustausch, ML-DSA-65/87 für Signaturen.
- NIS2-Bußgelder: bis zu 2 % des weltweiten Umsatzes, wenn „Stand-der-Technik“-Krypto fehlt.
- Einfacher Pilotweg: AWS KMS stellt ML-DSA-Schlüssel & hybrides TLS in eu-central-1 bereit.
- Förderung: Der ERP-Kredit bietet zinsgünstige Darlehen und bis zu 5 % Zuschuss für IT- und Digitalisierungsprojekte, gedeckelt auf 200 000 €.
Phase 1 · Sofortmaßnahmen (2025–2026)
- Inventarisieren jede RSA/ECC-Nutzung (TLS, VPN, Firmware, S/MIME) und kennzeichnen Daten, die ≥ 2035 geheim bleiben müssen.
- Einstufen gemäß den neuen BSI-Schlüsseltabellen: RSA ≥ 3000 Bit, ECC ≥ 250 Bit oder ersetzen.
- Lieferanten-RfI: „Wann liefern Sie ML-KEM-Hybride über CatKDF aus?“
- Beschaffungsklausel: PQ-fähige Bibliotheken/HSMs ab GJ 2026 verpflichtend.
- Schulung: ½-tägiger Workshop zu liboqs / OpenSSL-3-PQC-API für Dev- & Ops-Teams.
Phase 2 · Kurzfristige Planung (2026–2028)
- Migration mit Hardware-Refresh abstimmen, um Forklift-Austausch zu vermeiden.
- Hybrides TLS (X25519 + ML-KEM-768) auf einer öffentlichen Test-Subdomain pilotieren und Latenz messen.
- HSMs auswählen, die per Konfiguration – nicht Firmware – von ECDSA-only auf hybrides ECDSA + ML-DSA umschalten.
- go-digital- oder Digital-Jetzt-Zuschuss buchen, um externe PQC-Beratung mitzufinanzieren.
- NIS2-Nachweispaket entwerfen: Kryptoinventar, Plan, Budget und Protokoll des Vorstandsbeschlusses.
Phase 3 · Umsetzung (2028–2032)
- Priorisieren Kunden-PII, Zahlungsflüsse und IP-Repositories.
- Hybride aktivieren in TLS, IPsec und WireGuard; Legacy-Clients über downgrade-sichere Suiten halten.
- Code-Signing: CI-Pipelines auf ML-DSA-65, verkettet mit ECDSA, umstellen.
- Audit-Trail: CatKDF-Transkripthashes speichern, um ein 120-Bit-Sicherheitsniveau nachzuweisen.
- Ausmusterung veralteter RSA/ECC: Bis Ende 2030 die vom BSI vorgeschriebene Migration abschließen; bis 2032 nur als operativen Puffer zulassen, bevor Browser nicht-hybride Kryptosuiten vollständig blockieren.
Schnellleitfaden zu deutscher Förderung & Regulierung
ERP-Digitalisierungs- & Innovationskredit: zinsgünstiges Darlehen mit Bonuszuschuss von bis zu 5 % für hochwirksame IT-Sicherheits- und Digitalisierungsprojekte – gedeckelt auf 200 000 €.
NIS2-UmsuCG (Entwurf): gilt für jede Einheit in einem Anhang I/II-Sektor, die den EU-KMU-Test erfüllt (≥ 50 Beschäftigte oder ≥ 10 Mio. € Umsatz und ≥ 10 Mio. € Bilanzsumme); die Registrierung beim BSI muss innerhalb von drei Monaten nach Inkrafttreten des Gesetzes (erwartet 2025) abgeschlossen sein.
IHK-Sensibilisierung: Ihre örtliche Kammer veranstaltet kostenlose PQC-Awareness-Seminare – reservieren Sie frühzeitig.
Quick-Win-Checkliste
- 🔍 Kryptoinventar mit BSI-Tabellen abgeglichen? Ja / Nein
- 📅 Vom Vorstand genehmigter Migrationsplan & Budget? Ja / Nein
- 🛠 Pilot-ML-KEM-TLS-Endpunkt live? Ping OK?
- 🔑 ML-DSA-Schlüssel in AWS KMS? Erstellt?
- 💶 Förderantrag eingereicht? Status?