Google treibt Quanten-Sicherheit voran – neue Regeln zwingen zum Handeln

Die globale Cybersicherheit steht an einem Wendepunkt. Führende Technologiekonzerne und Aufsichtsbehörden setzen die Umstellung auf quantenresistente Verschlüsselung jetzt durch. Google hat seine Migrationspläne überraschend beschleunigt, während neue internationale Vorgaben für Zertifikate in Kraft treten. Ab sofort ist die Ablösung veralteter Kryptografie kein Zukunftsthema mehr, sondern eine operative Pflicht.

Google setzt sich 2029 als Frist für Quanten-Kryptografie

Der Tech-Riese prescht vor: Bis Ende 2029 will Google seine gesamte Produktpalette auf Post-Quantum Cryptography (PQC) umgestellt haben. Das gab das Unternehmen am 27. März 2026 bekannt. Diese Deadline liegt damit Jahre vor der bisherigen Zielmarke 2035, die das US-amerikanische National Institute of Standards and Technology (NIST) vorgegeben hatte.

Während technologische Umbrüche die IT-Landschaft fordern, sind viele Betriebe noch unzureichend auf die neuen Gefahren vorbereitet. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen Cyberkriminelle wappnen. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen

Hinter der Eile steckt die akute Bedrohung durch „Harvest Now, Decrypt Later“-Angriffe. Dabei sammeln Angreifer heute verschlüsselte Daten, um sie später mit leistungsfähigen Quantencomputern zu knacken. Google priorisiert drei Säulen: tiefgreifende Krypto-Agilität, die Absicherung kritischer Infrastruktur und den Wandel im gesamten Ökosystem.

Ein erster Schritt ist bereits getan: Das kommende Android 17 wird den PQC-Standard ML-DSA für digitale Signaturen integrieren. Nach der Cloud und dem Browser Chrome erreicht die Quantenvorsorge damit die nächste große Front: die Endgeräte der Nutzer.

Neue Vorgaben: Zertifikate gelten nur noch sechs Monate

Parallel zu den Industrieankündigungen tritt am 30. März 2026 eine entscheidende Regeländerung in Kraft. Das CA/Browser Forum hat die maximale Gültigkeitsdauer für öffentliche SSL/TLS-Zertifikate von 398 Tagen auf nur noch sechs Monate gekürzt.

Experten sehen darin den bislang praktisch wirksamsten Hebel für mehr Krypto-Agilität. Die häufigere Erneuerung der Zertifikate erzwingt die Automatisierung des Kryptografie-Managements. Bis 2029 soll die Gültigkeit sogar auf nur 47 Tage schrumpfen.

Für Unternehmen, die manuell arbeiten, birgt dieser Rhythmus erhebliche Risiken. Abgelaufene Zertifikate führen unweigerlich zu Dienstausfällen. Die neue Politik fungiert als „Forcing Function“ – sie zwingt Firmen, Infrastrukturen aufzubauen, mit denen sie Verschlüsselungsalgorithmen schnell austauschen können.

Industrie reagiert mit Automatisierung und neuen Tools

Der plötzliche Druck aus Regulierung und von Marktführern löst eine Welle der Anpassung aus. Fast die Hälfte der Cybersicherheits-Verantwortlichen weltweit rechnet laut einer aktuellen Studie damit, dass ein Quantencomputer zum Knacken heutiger Verschlüsselung binnen fünf Jahren Realität wird.

Als Reaktion bringen Sicherheitsfirmen eine neue Generation „Quantum-Safe-by-Design“-Tools auf den Markt. So hat SandboxAQ sein AQtive-Guard-System erweitert, um kryptografische Schwachstellen in KI-Systemen und komplexen API-Landschaften automatisch aufzuspüren.

Angesichts immer komplexerer Bedrohungen und neuer gesetzlicher Anforderungen müssen Geschäftsführer jetzt handeln, um ihre IT-Sicherheit zukunftsfähig aufzustellen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv schützen. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Auch Cloud-Anbieter rüsten nach. AWS bietet in seinem Key Management Service nun Unterstützung für den ML-DSA-Standard an, etwa für die Signierung von Firmware. Das ist besonders für Hersteller von IoT-Geräten kritisch, deren Software nach der Auslieferung oft schwer zu aktualisieren ist.

Regulatorischer Druck: Fristen rücken näher

Strikte staatliche Zeitpläne verschärfen den Handlungsdruck zusätzlich. Die US-amerikanische National Security Agency (NSA) hat für alle neuen Beschaffungen von National Security Systems eine Frist gesetzt: Ab dem 1. Januar 2027 müssen sie dem CNSA 2.0-Standard genügen.

Auch in Europa wirken neue Vorgaben. Der Cyber Resilience Act (CRA) verpflichtet Hersteller zur Meldung von Schwachstellen – einschließlich kryptografischer Lücken. Behörden betonen, dass „Produktsicherheit“ heute die Fähigkeit einschließt, auf neue Verschlüsselungsstandards umzustellen, ohne die Hardware austauschen zu müssen.

Rechtsexperten warnen: Unternehmen ohne einen dokumentierten Plan für Krypto-Agilität könnten bald Probleme bekommen, eine Cyber-Versicherung abzuschließen oder sich um öffentliche Aufträge zu bewerben. Die Aufsichtsbehörden betrachten statische Kryptografie zunehmend als grundlegendes Sicherheitsrisiko.

Ausblick: Die wahre Herausforderung liegt im Verborgenen

Nach dem Meilenstein im März 2026 verlagert sich der Fokus auf die tieferen schichten der IT-Landschaft. Während der „Rand“ des Internets – Browser und Websites – schnell umrüstet, bleibt die interne „Verrohrung“ eine große Hürde.

Die nächsten 12 bis 18 Monate werden zur Phase der „Abhängigkeitsanalyse“. Viele Unternehmen stellen fest, dass veraltete Verschlüsselung tief in Datenbanktreibern, Service-Meshes und SaaS-Integrationen steckt. Der Übergang erfordert einen ganzheitlichen Ansatz für das gesamte Ökosystem.

Der Abschied von RSA und ECC ist keine theoretische Projektion mehr, sondern ein geplanter Betriebsvorgang. Mit Googles ambitioniertem Zeitplan und den automatisierten Prozessen, die das CA/Browser Forum erzwingt, wird das Fundament digitalen Vertrauens in Echtzeit neu errichtet. Die Botschaft des März 2026 ist klar: Es geht nicht um die erste Migration, sondern um die dauerhafte Anpassungsfähigkeit an eine sich ständig weiterentwickelnde Bedrohungslage.

boerse | 69028394 |