SucheSupportDokumenteKostenloser Test
Kontakt
Sectigo Blog

Die US-Regierung verschiebt die Frist für die interne PQC-Migration von 2035 auf 2031

Die US-Regierung hat ihre Frist für die Umstellung auf Post-Quanten-Kryptografie (PQC) von 2035 auf 2031 vorverlegt und schreibt damit eine frühere Einführung für Systeme mit hohem Wert und großer Tragweite vor. Die Durchführungsverordnung steht im Einklang mit den NIST-Standards und räumt der Schlüsselerstellung Vorrang vor digitalen Signaturen ein, um unmittelbare Risiken nach dem Prinzip „Harvest now, decrypt later“ (jetzt sammeln, später entschlüsseln) zu begegnen. Organisationen müssen bereits jetzt mit der Planung beginnen, indem sie ihre kryptografischen Ressourcen inventarisieren, sensible Systeme priorisieren und Krypto-Agilität aufbauen, um den neuen Zeitplan einzuhalten.

Jason Soroko
Von Jason Soroko, Gefährte26. Juni 20264 Min. Lesezeit

Am 22. Juni 2026 erließ das Weiße Haus die Verordnung Nr. 14409 mit dem Titel „Securing the Nation Against Advanced Cryptographic Attacks“(Schutz der Nation vor fortgeschrittenen kryptografischen Angriffen), mit der die Frist für die Umstellung auf Post-Quanten-Kryptografie (PQC) von 2035 auf 2031 vorverlegt wurde. Die Verordnung geht über frühere Vorgaben der Bundesregierung hinaus, indem sie kurzfristige, durchsetzbare Fristen festlegt und diese direkt mit dem öffentlichen Beschaffungswesen verknüpft. Sie setzt die PQC-Standards des NIST für 2024 effektiv in die Praxis um und bindet sie in einen festgelegten Zeitplan ein.

Was sieht die Verordnung konkret vor?

Behörden müssen:

  1. bis zum 31. Dezember 2030 alle hochwertigen Vermögenswerte und Systeme mit hoher Auswirkung auf die Nutzung von PQC zur Schlüsselerstellung umstellen
  2. bis zum 31. Dezember 2031 PQC für digitale Signaturen einsetzen

Zwei Klarstellungen sind wichtig:

Erstens gelten diese Fristen nur für hochwertige Vermögenswerte und Systeme mit großer Tragweite, nicht jedoch für alle Bundes-Systeme. Nationale Sicherheitssysteme unterliegen weiterhin einer gesonderten Regelung unter der NSA mit eigenständigen Berichtspflichten.

Zweitens führt die Verordnung keine neue Kryptografie ein. Sie kodifiziert bestehende NIST-Standards:

  • ML-KEM für die Schlüsselerstellung
  • ML-DSA und SLH-DSA für digitale Signaturen

Was als Nächstes geschieht: Sofortmaßnahmen

Die Anordnung legt einen Zeitplan für die rasche Umsetzung fest:

  • Innerhalb von 30 Tagen: Die Behörden müssen einen PQC-Migrationsleiter ernennen, der dem CIO unterstellt ist
  • Innerhalb von 90 Tagen: Das OMB muss Bestandsaufnahmen kritischer Systeme und formelle Migrationspläne verlangen

Bis Ende 2027: Das NIST wird eine Pilotmigration abschließen, die als Blaupause dienen soll.

Warum die Reihenfolge wichtiger ist als die Termine

Die beiden Fristen liegen ein Jahr auseinander, und die Verordnung tut recht daran, sie voneinander zu trennen. Die Schlüsselerstellung hat im Jahr 2030 Vorrang, da die Bedrohung der Vertraulichkeit bereits im Gange ist.

„Harvest now, decrypt later“ (HNDL) macht die Schlüsselerstellung zu einer dringenden Angelegenheit. Ein heute durch klassische Kryptografie geschützter Sitzungsschlüssel schützt Daten, die möglicherweise zehn, zwanzig oder dreißig Jahre lang geheim bleiben müssen. Wenn dieser Datenverkehr bereits jetzt abgefangen und gespeichert wird, ist die Migration bereits zu spät.

Digitale Signaturen sind anders. Eine gefälschte Signatur ist ein Echtzeitangriff. Man kann ein Software-Update, das 2026 ausgeliefert wurde, nicht nachträglich fälschen. Genau deshalb können Signaturen an zweiter Stelle behandelt werden. Die Authentifizierung ist ein Signaturvorgang und zugleich ein Echtzeitvorgang. Bei der Reihenfolge geht es darum, die Arbeiten so zu ordnen, dass das nachträglich ausnutzbare Problem zuerst gelöst wird. Diese Unterscheidung ist wichtig, denn die Dringlichkeit ist hier real, ohne dass man das, was man tatsächlich über Quantentimelines weiß, überbewerten muss.

Warum wurde die PQC-Frist von 2035 auf 2031 vorverlegt?

Lassen Sie uns eines klarstellen: Die Verschiebung ist kein Zeichen für plötzliche Quantendurchbrüche. Vielmehr spiegelt sie drei Tatsachen wider:

  • Die PQC-Standards sind nun endgültig festgelegt
  • Die Migrationszeiträume sind lang und komplex
  • Sensible Daten überschreiten bereits die sicheren kryptografischen Lebensdauern

Mit anderen Worten: Die Politik hat das Tempo nicht beschleunigt, sondern ist der Mathematik nachgeholt.

So starten Sie noch heute mit Ihrer PQC-Migration

  1. Erstellen Sie ein Kryptografie-Inventar – was Sie nicht sehen, können Sie nicht schützen
  2. Identifizieren Sie die Systeme mit langlebigen sensiblen Daten und priorisieren Sie diese
  3. Drängen Sie Ihre Anbieter jetzt auf kryptografische Agilität und fordern Sie von ihnen das Äquivalent einer kryptografischen Stückliste (CBOM) an
  4. Beginnen Sie mit der Schlüsselerstellung, wo sich das HNDL-Risiko am stärksten konzentriert
  5. Betrachten Sie das Jahr 2031 als unmittelbaren Planungshorizont

Beginnen Sie Ihre PQC-Reise noch heute mit einer kostenlosen Beratung: https://www.sectigo.com/de/quantum-labs

Weiterführende Ressourcen

Alle Ressourcen anzeigen