Wie Behörden sich auf die Post-Quantum-Ära vorbereiten können

Die Schweiz hat in den vergangenen Jahren grosse Fortschritte bei der Digitalisierung von Verwaltungsdienstleistungen erzielt. Mit der Strategie «Digitale Verwaltug Schweiz 2024-2027» verfolgen Bund, Kantone und Gemeinden das Ziel, digitale Dienste weiter auszubauen. Die fortschreitende Digitalisierung erfordert allerdings ein Umdenken in der Sicherheit: Post-Quantum-Kryptographie wird zum entscheidenden Faktor.

Diese neue Generation von Verschlüsselungstechnologien ist notwendig, weil Quantencomputer – die bahnbrechende Fortschritte in Wissenschaft und Medizin versprechen – gleichzeitig die Grundlagen unserer heutigen Datensicherheit infrage stellen. Für die öffent­liche Verwaltung in der Schweiz, die täglich mit sensiblen Bürgerdaten ­um­geht, ist es wichtig, sich mit Post-Quantum-Kryptographie auseinanderzusetzen.

Das Risiko einschätzen

Noch vor wenigen Jahren schienen leistungsfähige Quantencomputer Jahrzehnte entfernt. Die Entwicklung hat sich seitdem deutlich beschleunigt. Neue Systeme zeigen, dass die Technologie schneller voranschreitet als erwartet.

Die gängigen Verschlüsselungsverfahren wie RSA und ECC, die heute den Grossteil unserer digitalen Kommunikation schützen, könnten durch ausreichend leistungsfähige Quantencomputer kompromittiert werden. Ein aktuelles Forschungspapier der Cornell University zeigt, dass die technischen Anforderungen dafür deutlich gesunken sind – um etwa 95 Prozent in den letzten sechs Jahren. Experten gehen davon aus, dass es in etwa fünf Jahren Quantencomputer geben könnte, die in der Lage sind, die Verschlüsselung zu brechen, die heute den Grossteil der Internetkommunikation, Finanztransaktionen und sensibler persönlicher Daten sichert.

Von besonderer Bedeutung ist das Szenario «Harvest Now, Decrypt Later»: Angreifer sammeln bereits heute verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln. Für Schweizer Behörden, die langfristig sensible Bürgerdaten wie Gesundheits- und Steuerdaten oder Sozialversicherungsinformationen verwalten, ist dies eine reale Bedrohung. Das Bundesamt für Cybersicherheit (BACS) hat allein im ersten Halbjahr 2025 über 35.000 Cyber-Vorfälle registriert – die Quantum-Bedrohung würde eine völlig neue Dimension eröffnen.

Neue Standards für die Post-Quantum-Ära

Die Technologiebranche arbeitet bereits seit Jahren an der Lösung. Post-Quantum-Kryptographie (PQC) bezeichnet neue Verschlüsselungsverfahren, die auch gegen Angriffe durch Quantencomputer resistent sind – und dabei auf herkömmlicher Hardware laufen.

Im August 2024 hat das US-amerikanische National Institute of Standards and Technology (NIST) drei neue Standards für Post-Quantum-Kryptographie veröffentlicht. Diese Standards bilden die Grundlage für die sichere Kommunikation der Zukunft. Parallel dazu arbeitet das ­European Telecommunications Standards Institute (ETSI) an der europäischen Standardisierung. ETSI hat eine spezielle ­Arbeitsgruppe für Quantum-Safe Cryptography eingerichtet und bereits mehrere technische Spezifikationen veröffentlicht, darunter den Standard TS 104 015 für «Efficient Quantum-Safe Hybrid Key Exchanges with Hidden Access Policies» (März 2025).

Praktische Schritte für die öffentliche Verwaltung

Die Migration zu Post-Quantum-Kryptographie ist keine einmalige Umstellung, sondern ein mehrjähriger Prozess. Schweizer Verwaltungen sollten bereits heute mit der Vorbereitung beginnen. Drei zentrale Handlungsfelder sind dabei besonders wichtig.

1. Bestandsaufnahme durchführen
Der erste Schritt ist eine umfassende Bestandsaufnahme aller Systeme, die Verschlüsselung verwenden. Wo werden RSA, ECC oder ähnliche Verfahren eingesetzt? Welche Daten werden damit geschützt? Diese Transparenz ist die Grundlage für eine erfolgreiche Migration. In der föderalen Struktur der Schweiz bedeutet dies eine koordinierte Anstrengung zwischen Bund, Kantonen und Gemeinden.

2. Post-Quantum-Kryptographie implementieren
Behörden können auf drei Ebenen verfügbare PQC-Lösungen einsetzen: auf Betriebssystem-, Browser- und Cloud-Ebene. Wichtig ist dabei, standardisierte Verfahren zu nutzen, um die Interoperabilität zwischen verschiedenen Systemen sicherzustellen. Es empfiehlt sich zudem, von Cloud-Diensten zu profitieren, die Post-Quantum-Kryptographie bereits integriert haben, wie beispielsweise AWS Key Management Service.

3. Quantum-Fachkräfte aufbauen
Die Entwicklung von Quantum-Expertise ist entscheidend für eine erfolgreiche Transition. Dafür braucht es jetzt Investitionen in Aus- und Weiterbildung im Bereich Quantum Computing sowie Anreize für Spezialisierungen in Quantentechnologien – sowohl über universitäre als auch alternative Bildungswege. Dabei gilt es, Expertise aufzubauen, die klassische Kryptographie, Quantenalgorithmen und Infrastruktur miteinander verbindet.

Die gute Nachricht vorweg: Die Schweiz verfügt bereits über eine beeindruckende Forschungsinfrastruktur im Bereich Quantentechnologie. Institutionen wie ETH Zürich, EPFL, Universität Basel und Universität Genf betreiben eigene Quantum-Zentren und haben seit 2020 in Quantum-Forschung investiert. Mit der «Swiss Quantum Initiative» (SQI) hat der Bundesrat 2022 eine nationale Initiative gestartet, die die Schweizer Forschung und Innovation im Bereich der Quantenwissenschaften gezielt fördern soll.

Die Rolle von Cloud-Anbietern

Cloud-Anbieter spielen eine zentrale Rolle bei der Migration zu Post-Quantum-Kryptographie. Sie können die komplexe Implementierung neuer Algorithmen übernehmen und diese als Service bereitstellen. Dies entlastet Behörden, die oft mit begrenzten IT-Ressourcen arbeiten müssen.

AWS hat bereits Post-Quantum-Algorithmen in seine Dienste integriert. Seit Anfang 2025 werden die neuen NIST-Standards bereits in sicherheitskritischen AWS-Services eingesetzt – etwa für die Verschlüsselung von Datenübertragungen, die Verwaltung von Verschlüsselungsschlüsseln und die sichere Speicherung sensibler Informationen.

Kunden können bereits heute AWS-Dienste nutzen, die gegen zukünftige Quantum-Angriffe geschützt sind, ohne selbst die komplexe Implementierung übernehmen zu müssen.

Internationale Entwicklungen und Zeitpläne

Einige Länder haben bereits konkrete Zeitpläne für die Migration zu Post-­Quantum-Kryptographie festgelegt. In den USA verlangt das «Quantum Computing Cybersecurity Preparedness Act», dass Bundesbehörden ihre Systeme auf quantensichere Kryptographie umstellen. Die Commercial National Security Algorithm Suite 2.0 (CNSA 2.0) sieht vor, dass nationale Sicherheitssysteme bis 2030 vollständig migriert sein müssen.

Auch in Europa wächst das Bewusstsein für die Dringlichkeit. Die Europäische Union sieht vor, dass kritische Infrastrukturen bis 2030 auf Post-Quantum-Kryptographie umgestellt werden. Die Schweiz könnte diese Zeitpläne als Orientierung nutzen, auch wenn sie nicht formal daran gebunden ist.

Ein Blick in die Zukunft

Die Migration zu Post-Quantum-Kryptographie ist mehr als eine technische Notwendigkeit. Sie ist eine Investition in die langfristige Sicherheit unserer digitalen Gesellschaft. Schweizer Verwaltungen, die heute handeln, schützen nicht nur die Daten ihrer Bürgerinnen und Bürger, sondern sichern auch das Vertrauen in digitale Verwaltungsdienstleistungen.

Die Technologie ist verfügbar, viele Standards sind bereits definiert, und die Werkzeuge werden kontinuierlich besser. Was jetzt zählt, ist der Wille zur Umsetzung. Die öffentliche Verwaltung sollte die Migration zu Post-Quantum-Kryptographie als strategische Priorität behandeln und die notwendigen Ressourcen bereitstellen.

Die föderale Struktur der Schweiz erfordert dabei eine koordinierte Anstrengung. Bund, Kantone und Gemeinden müssen zusammenarbeiten, um einheit­liche Standards zu schaffen und Best Practices auszutauschen. Die Quantencomputer-Ära mag noch einige Jahre entfernt sein, aber die Zeit zum Handeln ist jetzt. Denn wenn es um den Schutz von Bürgerdaten geht, ist Vorsorge immer besser als Nachsorge.