PQC-Inventurpflicht: Deutschlands KRITIS-Betreiber kartieren ihre Verschlüsselung

Ab heute müssen Betreiber kritischer Infrastrukturen in Deutschland erstmals systematisch alle ihre Verschlüsselungssysteme erfassen. Die neue PQC-Inventurpflicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) markiert den Startschuss für die Absicherung gegen künftige Quantencomputer-Angriffe.

Was die neue Pflicht konkret bedeutet

Die Verpflichtung ist Teil des NIS-2-Umsetzungsgesetzes, das seit Dezember 2025 in Kraft ist. Energieversorger, Wasserwerke, Telekommunikationsanbieter, Finanzinstitute und Krankenhäuser sind nun gezwungen, ein lückenloses Inventar ihrer kryptografischen Assets zu erstellen. Das betrifft digitale Zertifikate, Schlüsselpaare und Protokolle wie TLS/SSL in IT- und Betriebstechnik-Netzen.

Besonderes Augenmerk liegt auf der Dokumentation von Abhängigkeiten: Welche Geschäftsprozesse und sensiblen Daten sind geschützt? Welche Software von Drittanbietern enthält eingebaute Kryptografie? Ziel ist eine dynamische Landkarte, die Schwachstellen für künftige Quantenangriffe sichtbar macht. Das BSI betont: Diese Inventur ist kein einmaliger Akt, sondern muss als fortlaufender Prozess im Sicherheitsmanagementsystem verankert werden.

Viele KRITIS-Betreiber unterschätzen das Ausmaß versteckter Kryptografie in Alt-Anwendungen – genau deshalb fordert das BSI jetzt eine systematische Inventur. Ein kostenloser Leitfaden für Sicherheitsverantwortliche erklärt praxisnah, wie Sie versteckte Schlüssel und Zertifikate mit Scan-Tools aufspüren, Prioritäten für Migration setzen und erste Compliance-Schritte umsetzen, um das “Store now, decrypt later”-Risiko zu begrenzen. Jetzt kostenlosen Cyber-Security-Leitfaden herunterladen

Das drohende “Q-Day”-Szenario

Die Dringlichkeit der Maßnahme speist sich aus einer paradoxen Bedrohung: Obwohl leistungsfähige Quantencomputer, die heutige Verschlüsselung knacken könnten, noch nicht existieren, laufen Angriffe bereits heute. Nach dem Prinzip “Store Now, Decrypt Later” (Jetzt speichern, später entschlüsseln) sammeln Geheimdienste und Cyberkriminelle verschlüsselte Daten, um sie in Zukunft zu dechiffrieren.

Für KRITIS-Betreiber mit langen Aufbewahrungsfristen – etwa für Patientendaten oder Infrastrukturpläne – gelten aktuelle Standards wie RSA-2048 daher als zunehmend riskant. Die Inventur ist der erste Schritt, um diese Algorithmen durch quantenresistente Alternativen zu ersetzen. Deutschland folgt damit internationalen Entwicklungen, nachdem das US-Institut NIST Ende 2024 erste PQC-Standards wie CRYSTALS-Kyber festgelegt hat.

Rechtlicher Druck und hohe Strafen

Die Inventurpflicht ergibt sich direkt aus dem NIS-2-Umsetzungsgesetz. Juristen weisen darauf hin, dass die Nichteinhaltung als Verstoß gegen die Pflicht zu angemessenen Sicherheitsmaßnahmen gewertet werden könnte. Die Konsequenzen sind drastisch: Für essentielle Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Das BSI nutzt den Start ins Geschäftsjahr 2026, um diesen technischen Standard durchzusetzen. Unternehmen erhalten so eine strukturierte Frist, ihre “Quantentauglichkeit” zu bewerten, bevor voraussichtlich noch in diesem Jahrzehnt verbindliche Migrationsziele festgelegt werden.

Die Herausforderung “Schatten-Kryptografie”

In der Praxis stellt die Umsetzung viele Unternehmen vor enorme Probleme. Cybersecurity-Berater warnen vor dem Phänomen der “Schatten-Kryptografie”: Verschlüsselungsfunktionen, die tief in veralteten Anwendungen oder proprietären Steuerungssystemen verborgen sind und nicht zentral verwaltet werden.

Pilotprojekte aus dem Jahr 2025 zeigten, dass Großunternehmen die Anzahl ihrer kryptografischen Schlüssel oft um den Faktor zehn unterschätzen. Das Auffinden dieser versteckten Elemente erfordert spezielle Scan-Tools und enge Zusammenarbeit mit Softwarelieferanten. Zudem fehlt es an qualifiziertem Personal. Die Nachfrage nach Kryptografie-Experten, die sowohl Alt-Systeme als auch neue PQC-Algorithmen verstehen, hat die Compliance-Kosten in die Höhe getrieben.

Der Weg zur Migration beginnt

Die Inventur ist nur Phase eins. Sobald die Landkarte erstellt ist, müssen KRITIS-Betreiber einen priorisierten Migrationsplan entwickeln. Das BSI signalisierte, dass Systeme mit hohem Vertraulichkeitsbedarf und langer Lebensdauer zuerst umgestellt werden müssen.

Experten erwarten, dass 2026 zum Jahr der “Bestandsaufnahme und Planung” wird. Die aktive Migration von Systemen soll 2027 ernsthaft beginnen. Dieser Zeitplan ist ambitioniert, aber notwendig. Mit dem Start der Inventurpflicht wird klar: Für Deutschlands kritische Infrastrukturen ist das Post-Quanten-Zeitalter keine theoretische Zukunft mehr – es ist unmittelbare operative Realität.

PS: Die neue PQC-Inventurpflicht erhöht den Handlungsdruck und die rechtlichen Risiken für Betreiber. Unser gratis E-Book fasst konkrete Schutzmaßnahmen zusammen – von Inventur-Checklisten über Scan-Tools bis zu Schulungsmaßnahmen für IT-Teams. Besonders relevant für Energieversorger, Krankenhäuser und Finanzinstitute, die jetzt schnell dokumentieren und priorisieren müssen. Gratis Cyber-Security-Guide jetzt anfordern