Walter Hölblinger – CIO-Perspektive Quantencomputing und Cybersecurity: „Q-Day” ist kein Termin, sondern ein Auftrag
Walter Hölblinger, VP Global IT bei Rosenberger Hochfrequenztechnik spricht am Confare CIOSUMMIT Salzburg darüber, was man als CIO heute über Quantencomputing wissen sollte, um sich für die Anforderungen der Zukunft vorzubereiten. Im Vorfeld hat er ein paar wichtige Gedanken in einem Blogentry zusammengefasst. Wer ihn persönlich auf der Confare Bühne erleben will, kann sich hier anmelden.
„Die einzige Konstante ist die Veränderung.” Heraklits Satz ist 2.500 Jahre alt und nie aktueller gewesen. Noch bevor ich CISO wurde, war ich überzeugt, als kleiner „No Name” könne man unmöglich eine Lücke in Apples iOS finden – und fand dann doch eine (CVE-2014-1281), obwohl Apple einige der weltbesten Security-Experten beschäftigt. Die Lektion: Sicherheit ist kein Zustand, sondern eine Momentaufnahme. Künstliche Intelligenz hat das Tempo noch einmal beschleunigt – heute sicher, morgen unsicher. Mit genau dieser Brille gehört das Quantencomputing betrachtet. Die Frage ist nicht, ob Quantenrechner unsere Verschlüsselung knacken – sondern ob unsere Daten von heute den Tag überleben, an dem sie es können.
Dröseln wir das Thema gemeinsam weiter auf beim Confare CIOSUMMIT Salzburg. HIER anmelden und kostenlos Plätze für den Austausch sichern.
Aktuelle Entwicklungen – und ihr Einfluss auf die Sicherheit.
2026 kippt Quantencomputing vom Versprechen zur Roadmap-Realität: Die Branche spricht vom Übergang in die fehlertolerante Ära, die Reifezeitpunkte wurden um fünf bis zehn Jahre nach vorne korrigiert. Google zeigte mit „Willow” exponentielle Fehlerunterdrückung, IBM zielt auf den ersten verifizierten Quantum Advantage Ende 2026. Sicherheitsrelevant ist die Konsequenz: Ein hinreichend starker Quantenrechner bricht mit Shors Algorithmus RSA und ECC – das Fundament von TLS, VPNs, Signaturen und PKI. Diesen Rechner gibt es heute noch nicht. Vorbereiten müssen wir uns trotzdem jetzt.
Wie wir Daten speichern, verarbeiten und schützen.
Die asymmetrischen Verfahren müssen raus und durch Post-Quanten-Kryptografie ersetzt werden – NIST hat die Standards 2024 finalisiert (ML-KEM, ML-DSA, SLH-DSA). Die symmetrische Welt bleibt robust: AES-256 hält, lediglich AES-128 wird grenzwertig. Beim Speichern müssen wir das Verfallsdatum von Daten neu denken – alles, was in zehn oder fünfzehn Jahren noch vertraulich sein muss, ist schon heute gefährdet. Der Übergang läuft über hybride Kryptografie, das Prinzip dahinter heißt Krypto-Agilität: Verschlüsselung muss austauschbar werden, ohne die halbe Infrastruktur neu zu bauen.
Wie sich Monitoring und Analyse verändern.
Security-Monitoring wird inventar-getrieben: Wer nicht weiß, wo welche Algorithmen und Zertifikate mit welcher Lebensdauer laufen, kann nicht agil reagieren – das kryptografische Inventar (CBOM) wird zur Pflicht. Zugleich ändert sich die Erkennungslogik: „Harvest now, decrypt later”-Angriffe sind im Moment des Diebstahls unsichtbar; abgefangener verschlüsselter Verkehr muss schon heute als Risiko gelten, nicht erst seine spätere Entschlüsselung. Und „Quantum-powered Detection”? Spannendes Forschungsfeld, aber noch kein Produktivbetrieb – meist Marketing.
Bleiben Sie immer auf dem neuesten Stand der Themen, die die DACH-weite CIO-Community gerade bewegt. HIER zum kostenlosen conText Abo anmelden.
Wie Quantencomputer angreifen – und wie wir uns wappnen.
Der Hauptvektor ist Shor: gebrochene RSA-/ECC-Schlüssel, gefälschte Signaturen, ausgehebelte PKI. Grover beschleunigt Brute-Force auf symmetrische Verfahren – Antwort: Schlüssellängen verdoppeln. Der relevante Angriff läuft aber längst: „Harvest now, decrypt later” gilt laut Thales Data Threat Report 2026 als Quanten-Risiko Nummer eins. Ein Datenleck 2032 kann aus abgefangenem Verkehr von 2026 stammen – der Angreifer muss nichts in Echtzeit brechen, nur warten. Schutz: Inventar erstellen, nach Datenlebensdauer priorisieren, die kritischsten Korridore jetzt auf hybride PQC umstellen. Nachträgliches Aufrüsten hilft gegen diesen Angriff nicht.
Wie sich die Sicherheitsindustrie wandelt.
Die PQC-Migration wird zum Branchentreiber, Krypto-Agilität vom Add-on zum Plattform-Feature. Besonders gefragt: automatisiertes Zertifikatsmanagement – die maximale Zertifikatslaufzeit sinkt bis 2029 von 398 auf 47 Tage, manuelles Handling ist damit tot. Neu am Horizont: Quantum Key Distribution, Quanten-Zufallszahlengeneratoren, quantensichere HSMs, KI-gestützte Krypto-Audits. Mein Rat: Substanz von Quantenstaub trennen. QKD ist faszinierend, aber nischig und teuer – der skalierbare Mainstream-Weg ist und bleibt PQC.
Wie sich CIOs am besten vorbereiten.
Die Ausgangslage ist ernüchternd: 62 % der Security-Profis fürchten den Quantenbruch (ISACA), aber 95 % haben keine Roadmap. Genau in dieser Lücke liegt der Vorsprung.
Mein Fahrplan:
- Quanten-Risiko als Geschäftsrisiko ins Risk-Register – nicht in die Schublade „später”.
- Kryptografisches Inventar (CBOM) aufbauen. Ohne Sichtbarkeit keine Agilität.
- Nach Datenlebensdauer und Sensibilität priorisieren.
- Krypto-Agilität architektonisch verankern.
- Hybride PQC pilotieren – die NIST-Standards sind final, es gibt keinen Grund mehr zu warten.
- Deadlines kennen: FIPS 140-2 läuft im September 2026 aus, NIST empfiehlt die vollständige Umstellung bis 2035.
Quantum-Readiness ist eine mehrjährige Transformation, kein Last-Minute-Patch. Wer heute beginnt, gestaltet sie in Ruhe. Wer wartet, sortiert später unter Zeitdruck die Folgen einer Entscheidung, die er heute hätte treffen können. „Q-Day” ist deshalb kein Termin im Kalender – er ist ein Auftrag für die Gegenwart. Denn die einzige Konstante bleibt die Veränderung.
Quellen: NIST Post-Quantum-Standards FIPS 203/204/205 (finalisiert August 2024; empfohlene Umstellung bis 2035); Thales Data Threat Report 2026; ISACA Quantum Computing Pulse Poll 2025; CA/Browser-Forum-Vorgaben zu Zertifikatslaufzeiten; Quanten-Roadmaps von IBM und Google (2025/2026).