Quantensichere IoT-Geräte: Muss man schon heute an die Kryptographie-Migration denken?

Millionen IoT-Geräte laufen mit Verschlüsselung, die Quantencomputer irgendwann knacken werden können. Die ersten internationalen Standards für quantensichere Kryptographie stehen seit 2024 bereit. Die EU fordert Migration kritischer Systeme bis 2030. Für Entwickler und Entscheider im IoT-Umfeld läuft die Uhr.

Warum die heutige Verschlüsselung ein Ablaufdatum hat

Wer ein IoT-Gerät ins Netz bringt, verlässt sich auf Verschlüsselung. TLS-Verbindungen, Firmware-Updates, Authentifizierung gegenüber Cloud-Plattformen – all das basiert auf sogenannter asymmetrischer Kryptographie, also Verfahren wie RSA oder elliptischen Kurven. Das Grundprinzip: Das Knacken des privaten Schlüssels erfordert so viel Rechenaufwand, dass es auf klassischen Computern praktisch unmöglich ist. Eine RSA-Verschlüsselung mit 2048-Bit-Schlüsseln würde auf heutiger Hardware rund 300 Billionen Jahre brauchen, um gebrochen zu werden.

Quantencomputer arbeiten nach einem anderen physikalischen Prinzip. Statt klassischer Bits, die entweder 0 oder 1 sind, nutzen sie Qubits, die sich dank quantenmechanischer Überlagerung gleichzeitig in beiden Zuständen befinden können. Das erlaubt bestimmten Algorithmen, mathematische Probleme exponentiell schneller zu lösen – darunter genau jene, auf denen RSA und Co. beruhen. Shors Algorithmus, benannt nach dem Mathematiker Peter Shor, könnte RSA-2048 laut einer Fachpublikation aus dem Jahr 2021 in rund acht Stunden mit 20 Millionen verrauschten Qubits brechen. Neuere Forschung aus dem Jahr 2025 reduziert den geschätzten Ressourcenbedarf noch weiter, auf unter eine Million Qubits für dasselbe Ergebnis.

Einen solchen Quantencomputer gibt es heute noch nicht. Die Forschung schreitet aber schnell voran, und Experten schätzen, dass ein sogenannter „Cryptographically Relevant Quantum Computer“ (CRQC) – also ein Quantenrechner, der tatsächlich kryptographisch relevante Berechnungen durchführen kann – laut einer BSI-Studie zum Stand der Quantencomputerentwicklung (2024) in maximal 16 Jahren realistisch ist, möglicherweise deutlich früher, wenn aktuelle Fortschritte bei Fehlerkorrektur und Hardware sich bestätigen. Für Geräte, die heute installiert werden und ein Jahrzehnt oder länger im Einsatz bleiben, ist das keine ferne Zukunft mehr.

„Harvest Now, Decrypt Later“: Die Bedrohung, die schon heute existiert

Noch gravierender als der CRQC-Zeithorizont ist ein Angriffsszenario, das bereits heute aktiv ist: „Harvest Now, Decrypt Later“, kurz HNDL. Das Prinzip ist so einfach wie beunruhigend. Angreifer – in der Regel staatliche Akteure mit entsprechenden Ressourcen – sammeln jetzt verschlüsselte Datenströme, auch wenn sie diese aktuell nicht entschlüsseln können. Sie warten. Sobald ein Quantencomputer verfügbar ist, können die archivierten Daten nachträglich geknackt werden.

Für IoT-Szenarien bedeutet das: Ein Industriesensor, der heute Messdaten über eine verschlüsselte Verbindung überträgt, ein Medizingerät, das Patientendaten in die Cloud sendet, eine Smart-Meter-Infrastruktur, die Verbrauchsdaten aggregiert – all das sind potenzielle Ziele. Die Daten mögen heute wertlos erscheinen. In fünf oder zehn Jahren, wenn der Kontext sich verändert hat oder ein Quantenrechner verfügbar ist, kann die Bewertung eine andere sein. Die EU-Kommission nennt HNDL (sie schreibt „Store Now, Decrypt Later“) in ihrer PQC-Roadmap ausdrücklich als Grund, die Migration nicht bis zum Auftreten eines tatsächlichen CRQC aufzuschieben.

Was NIST 2024 verabschiedet hat

Im August 2024 veröffentlichte das US-amerikanische National Institute of Standards and Technology (NIST) drei finale Post-Quanten-Kryptographie-Standards, die auf Algorithmen basieren, die über Jahre in einem offenen internationalen Wettbewerb evaluiert wurden:

• FIPS 203 / ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism, früher CRYSTALS-Kyber): Der primäre Standard für den Schlüsselaustausch, etwa bei TLS-Verbindungen. Kompakte Schlüsselgrößen, schnelle Ausführung.
• FIPS 204 / ML-DSA (Module-Lattice-Based Digital Signature Algorithm, früher CRYSTALS-Dilithium): Standard für digitale Signaturen, relevant für Firmware-Authentifizierung und Code Signing.
• FIPS 205 / SLH-DSA (Stateless Hash-Based Digital Signature Algorithm, früher SPHINCS+): Ein hash-basiertes Signaturverfahren als Backup, das auf anderen mathematischen Annahmen beruht als ML-DSA.

NIST empfiehlt ausdrücklich, mit der Integration jetzt zu beginnen. Die Frist ist klar: Quantenanfällige Algorithmen sollen bis 2035 vollständig aus den US-Bundesstandards entfernt sein.

Für ressourcenbeschränkte IoT-Hardware ist besonders relevant, dass ML-KEM auf einem ARM Cortex-M0+ – dem Prozessorkern, der in zahllosen günstigen Mikrocontrollern steckt – einen vollständigen Schlüsselaustausch in rund 35,7 Millisekunden bei einem geschätzten Energiebedarf von 2,83 Millijoule abwickelt. Das ist laut einem aktuellen Benchmark-Paper 17-mal schneller als das bisherige ECDH-P256-Verfahren auf gleicher Hardware. PQC und Embedded-Welt schließen sich also nicht grundsätzlich aus – die Umsetzung erfordert aber sorgfältige Planung.

Was die EU-Roadmap bedeutet

Parallel zu NIST hat die EU-Kommission am 11. April 2024 eine Empfehlung zur koordinierten PQC-Migration veröffentlicht. Die NIS-Kooperationsgruppe der Mitgliedstaaten hat daraufhin im Juni 2025 eine gemeinsame Roadmap mit konkreten Meilensteinen entwickelt:

Bis Ende 2026 soll jeder EU-Mitgliedstaat einen nationalen Übergangsplan vorgelegt und erste Schritte eingeleitet haben. Bis Ende 2030 müssen kritische Infrastrukturen – Energie, Telekommunikation, Finanzsektor, Gesundheitswesen – auf quantensichere Kryptographie umgestellt sein. Bis 2035 soll der Übergang für alle weiteren Systeme soweit wie möglich abgeschlossen sein.

Was das für IoT-Produkte bedeutet, macht der EU Cyber Resilience Act (CRA) deutlich: Ab Dezember 2027 greift der CRA verbindlich für alle Produkte mit digitalen Elementen auf dem EU-Markt und verlangt dabei ausdrücklich die Fähigkeit zu kryptographischen Updates. Wer heute einen Industriecontroller, ein Smart-Meter oder ein vernetztes Medizingerät entwickelt und dabei keine Update-Fähigkeit für Verschlüsselungsverfahren einplant, riskiert Compliance-Probleme.

Kein globaler Gleichschritt: Was die Algorithmen-Divergenz für globale Produkte bedeutet

Die gute Nachricht zuerst: Der Zeithorizont 2030/2035 ist kein rein europäisches Phänomen. Japan hat über sein National Cybersecurity Office (NCO) eine verbindliche Deadline für Regierungsbehörden bis 2035 gesetzt und empfiehlt dabei ausdrücklich dieselben Konzepte wie die EU, Crypto Agility und hybride Verfahren. Australien geht sogar aggressiver vor: Das Australian Signals Directorate fordert die Ablösung klassischer Public-Key-Kryptographie bis 2030. USA, UK, Kanada, Japan und Australien folgen im Kern alle den NIST-Algorithmen. Für IoT-Produkte, die in diesen Märkten verkauft werden, gibt es damit einen klaren gemeinsamen Nenner: ML-KEM implementieren, fertig.

Das Bild wird komplizierter, sobald Südkorea oder China ins Spiel kommen. Südkorea hat im Januar 2025 einen eigenen nationalen PQC-Wettbewerb abgeschlossen und dabei vier eigene Algorithmen standardisiert: SMAUG-T und NTRU+ für den Schlüsselaustausch, HAETAE und AIMer für digitale Signaturen. Mathematisch sind diese Verfahren eng mit den NIST-Algorithmen verwandt. SMAUG-T etwa basiert auf denselben mathematischen Grundlagen wie ML-KEM – sogenannten Gitterproblemen, also Berechnungen in hochdimensionalen Punktrastern, die selbst Quantencomputer nicht effizient lösen können. Aber es sind andere Implementierungen, andere Schlüsselgrößen, andere Testpfade. Ein globales Produkt, das Südkorea bedienen will, muss sie separat unterstützen.

China ist der eigentliche Sonderfall. Die nationale Standardisierungsbehörde ICCS hat im Februar 2025 einen eigenen PQC-Algorithmen-Wettbewerb ausgeschrieben – explizit unabhängig von NIST, nach Einschätzung von Experten auch aus politischem Misstrauen gegenüber möglichen Hintertüren in US-geführten Standards. Die chinesischen GB/T-Nationalstandards für PQC-Algorithmen sind noch nicht veröffentlicht, was bedeutet: Wer heute IoT-Geräte nach China liefert, bewegt sich in einer Grauzone. Zwingende PQC-Anforderungen gibt es noch nicht, aber sie kommen, und sie werden wahrscheinlich auf anderen Algorithmen basieren als die des Westens.

Für Hersteller globaler IoT-Produkte ergibt sich daraus eine konkrete Architekturanforderung, die über Crypto Agility im klassischen Sinne hinausgeht: Es reicht nicht, Algorithmen updatebar zu halten. Die Verbindungsaushandlung selbst muss mehrere Algorithmen gleichzeitig beherrschen.

Das IETF arbeitet genau daran – hybride Cipher-Suite-Verhandlung für TLS 1.3 erlaubt es, dass Gerät und Gegenstelle aus einem gemeinsamen Pool unterstützter Algorithmen den besten gemeinsamen Nenner aushandeln, ähnlich wie TLS heute zwischen verschiedenen klassischen Verschlüsselungsverfahren wählt. Wer seine IoT-Architektur heute so aufbaut, ist für eine Welt mit mehreren parallelen PQC-Standards gerüstet und vermeidet das Szenario, für jeden Zielmarkt eine eigene Firmware-Variante pflegen zu müssen.

Was Entwickler und Entscheider jetzt tun können

Drei Konzepte prägen den pragmatischen Umgang mit der PQC-Migration im IoT-Umfeld.

Das erste ist Crypto Agility: die Fähigkeit eines Systems, Kryptographie-Algorithmen auszutauschen, ohne die gesamte Hardware oder Firmware ersetzen zu müssen. Wer heute neue Geräte entwickelt, sollte kryptographische Verfahren als austauschbare Schicht konzipieren, nicht fest verdrahtet in den Code.

Das zweite sind hybride Verfahren: NIST und ENISA empfehlen, in der Übergangsphase klassische und quantensichere Algorithmen parallel zu betreiben. Ein hybrides TLS-Handshake nutzt gleichzeitig ECDH und ML-KEM. Sollte einer der Algorithmen Schwachstellen zeigen, greift der andere. Das erhöht kurzfristig die Datenmenge, schützt aber in beide Richtungen.

Das dritte ist ein kryptographisches Inventar: eine strukturierte Übersicht aller Systeme und Verbindungen im eigenen Ökosystem, die kryptographische Verfahren einsetzen. Wer nicht weiß, wo RSA oder ECDSA überall stecken, kann auch keine Migration planen. Für größere Deployments empfiehlt die EU-Roadmap ein sogenanntes Cryptographic Bill of Materials (CBOM).

Eine unbequeme Wahrheit bleibt: Manche Low-Cost-IoT-Geräte, die heute im Feld sind oder geplant werden, werden PQC nicht nachrüstbar sein. Zu wenig RAM, zu wenig Flash, kein Update-Mechanismus. Für diese Geräte wird irgendwann Hardware-Ersatz nötig sein.

Kein Grund zur Panik, aber zum Handeln

Ein kryptographisch relevanter Quantencomputer existiert heute nicht. Die Bedrohung ist real, aber nicht unmittelbar. Was unmittelbar ist: die Lebensdauer der Geräte, die jetzt entwickelt und installiert werden. Ein Sensor mit zehn Jahren Betriebsdauer, der 2025 in Betrieb geht, läuft bis 2035 – dem Jahr, bis zu dem NIST quantenanfällige Algorithmen aus seinen Standards entfernt haben will.

Die gute Nachricht: Die Werkzeuge sind vorhanden. NIST-Standards liegen vor, erste Implementierungen für eingebettete Hardware sind verfügbar, und die regulatorischen Rahmenbedingungen in der EU geben eine klare Richtung vor.

Was fehlt, ist in vielen Unternehmen noch die Priorisierung.