Post-Quantum-Kryptografie: Warum Versicherer jetzt handeln müssen
Leistungsfähige Quantencomputer rücken näher und mit ihnen wächst der Druck auf Versicherer, ihre Verschlüsselungstechnologien grundlegend zu erneuern. Warum Post-Quantum-Kryptografie längst zur strategischen Aufgabe geworden ist und weshalb Transparenz über die eigene Kryptografie-Infrastruktur jetzt entscheidend ist, erklärt Denise Demirel von Accenture.

Leistungsfähige Quantencomputer rücken näher – und mit ihnen eine grundlegende Herausforderung für die digitale Sicherheit. Für Versicherer ist Post-Quantum-Kryptografie deshalb kein Zukunftsthema mehr, sondern eine strategische Aufgabe, die heute beginnt.
Anzeige
Kryptografie ist ein wesentliches Fundament digitaler Sicherheit. Sie gewährleistet die Vertraulichkeit und Integrität von Daten und macht digitale Identitäten überprüfbar. Insbesondere Informationen, die außerhalb gesicherter Infrastrukturen übertragen oder gespeichert werden – etwa im Internet oder in der Cloud –, lassen sich bislang nur durch kryptografische Verfahren wirksam schützen. Darüber hinaus bildet Kryptografie die Grundlage für die Authentifizierung von Personen und Systemen sowie für digitale Signaturen, etwa bei Verträgen und Anträgen. Für Versicherungsunternehmen ist dies besonders relevant, da sie täglich sensible personenbezogene Daten, Gesundheitsinformationen, Schadensfälle und Zahlungsdaten verarbeiten, die zuverlässig geschützt werden müssen.
Die neue Bedrohung durch Quantencomputer
Diese Grundlage gerät jedoch unter Druck. Sobald Quantencomputer einen ausreichenden Reifegrad erreichen, könnten sie viele der heute breit eingesetzten kryptografischen Verfahren brechen – insbesondere solche, die für sichere Kommunikation, Authentifizierung und digitale Signaturen genutzt werden. Die Konsequenzen wären gravierend: Verschlüsselte Verbindungen ließen sich mitlesen und manipulieren, zertifikatsbasierte Authentifizierung könnte versagen, digitale Signaturen wären potenziell fälschbar. Mitarbeitende könnten unter Umständen nicht mehr sicher aus dem Homeoffice auf Unternehmenssysteme zugreifen, Anwendungen sich nicht mehr zuverlässig gegenseitig authentifizieren und zentrale Geschäftsprozesse ins Stocken geraten. Besonders besorgniserregend ist, dass Angriffe im Sinne von „Harvest now, decrypt later“ bereits heute möglich sind: Verschlüsselte Daten werden schon heute abgefangen und gespeichert – in Erwartung des Tages, an dem die verwendeten Verfahren gebrochen werden können. Für Daten, die über viele Jahre vertraulich bleiben müssen, entsteht damit bereits heute ein Risiko, auch wenn der dafür notwendige Quantencomputer noch nicht verfügbar ist.
Regulatorische Erwartungen nehmen Form an
Auch auf europäischer Ebene ist die Dringlichkeit erkannt. Die Europäische Kommission hat im Juni 2025 eine Roadmap für den Übergang zu Post-Quantum-Kryptografie veröffentlicht. Organisationen sollen demnach noch in diesem Jahr erste vorbereitende Schritte einleiten, insbesondere Kryptoinventare erstellen, Risiken bewerten und Migrationsstrategien entwickeln.
Bis Ende 2030 stehen vorerst insbesondere Hochrisiko-Anwendungsfälle im Fokus. Dazu zählen Bereiche, in denen ein erfolgreicher Angriff besonders gravierende Schäden verursachen könnte und deren Migration mehr als acht Jahre in Anspruch nimmt oder in denen Daten mindestens zehn Jahre vertraulich bleiben müssen. Für Versicherer betrifft dies etwa Prozesse mit besonders schutzbedürftigen personenbezogenen Daten, beispielsweise Gesundheitsdaten in Policierung und Schadenbearbeitung. Ebenfalls relevant sind komplexe Infrastrukturkomponenten beispielsweise zur Generierung und Verwaltung von Schlüsseln und Zertifikaten. Hinzu kommt, dass Lebensversicherungen über Jahrzehnte laufen und Nachweise über Angaben bei Vertragsabschluss langfristig integer bleiben müssen. Ist die Migration nicht abgeschlossen, bevor Quantencomputer den Manipulationsschutz aushebeln können, ist eine zweifelsfreie Beweisführung im Leistungsfall gefährdet.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat seine Vorgaben entsprechend weiterentwickelt. In der aktualisierten Technischen Richtlinie zu Kryptographische Verfahren wird seit Januar 2026 der alleinige Einsatz klassischer Schlüsseleinigungsverfahren nur noch bis Ende 2031 empfohlen; für Anwendungen mit sehr hohem Schutzbedarf wird bereits bis Ende 2030 eine Umstellung auf quantensichere Verfahren erwartet. Auch Aufsichtsbehörden messen diesen Vorgaben zunehmend Bedeutung bei.
Der Zeitdruck wächst
Bis Anfang dieses Jahres galt das Jahr 2030 als grobe Orientierung für das Aufkommen kryptografisch relevanter Quantencomputer. Inzwischen mehren sich jedoch die Hinweise, dass Organisationen ihre Migrationsplanung beschleunigen müssen. Google kündigte im März 2026 in einem Blogbeitrag an, die eigene Migration auf Post-Quantum-Kryptografie bis 2029 abschließen zu wollen. Auch Cloudflare veröffentlichte kurz darauf eine beschleunigte Roadmap mit ähnlicher Zielrichtung.
Diese Signale aus der Industrie sind keine regulatorischen Fristen, verdeutlichen aber die Dynamik: Unternehmen, die große digitale Infrastrukturen betreiben, behandeln Post-Quantum-Kryptografie nicht länger als theoretisches Zukunftsproblem. Sie beginnen, Migrationen konkret zu planen und umzusetzen. Eine Reaktion der Regulatorik auf diesen Trend ist nicht auszuschließen.
Die erste große Hürde: fehlende Transparenz
Die eigentliche Herausforderung liegt weniger in der Frage, ob quantensichere Verfahren verfügbar sein werden. Sie liegt vielmehr darin, überhaupt zu wissen, wo Kryptografie im Unternehmen eingesetzt wird. Viele Organisationen haben keine vollständige Übersicht über verwendete Algorithmen, Schlüssellängen und Abhängigkeiten von Herstellern oder Dienstleistern. Zudem nutzen sie teils noch veraltete Verfahren, oft ohne sich dessen bewusst zu sein.
Ohne ein belastbares Kryptoinventar lassen sich Risiken kaum bewerten. Es bleibt unklar, welche Verfahren bereits veraltet sind, welche Systeme besonders kritisch sind und welche Migrationen aufgrund technischer Komplexität lange Vorlaufzeiten benötigen. Gerade in gewachsenen IT-Landschaften von Versicherern ist diese Transparenz entscheidend, um Prioritäten zu setzen und regulatorische Erwartungen nachvollziehbar zu erfüllen.
Mehr als ein reines Sicherheits-Update
Trotz aller Dringlichkeit sollte die Migration auf Post-Quantum-Kryptografie nicht nur als Pflichtprogramm verstanden werden. Sie bietet Versicherern die Chance, den Einsatz von Kryptografie grundsätzlich besser zu steuern. Darüber hinaus ebnet sie den Weg zu mehr Kryptoagilität – also der Fähigkeit, kryptografische Verfahren und Parameter künftig schneller, kontrollierter und mit geringerem Aufwand auszutauschen. Das ist nicht nur für die Abwehr künftiger Quantenangriffe relevant, sondern auch für den Umgang mit veränderten Bedrohungslagen, neuen regulatorischen Anforderungen und modernen Kryptoverfahren. Denn unabhängig von Post-Quantum-Kryptografie entstehen neue Verfahren, die ein höheres Sicherheitsniveau, mehr Effizienz oder zusätzliche Funktionalitäten ermöglichen.
Fazit: Jetzt ist der richtige Zeitpunkt zu handeln
Post-Quantum-Kryptografie ist für Versicherer also kein isoliertes Technologieprojekt. Sie betrifft Geschäftsprozesse, Datenbestände, Identitäten, Anbieterbeziehungen und Governance-Strukturen. Wer zu lange wartet, riskiert nicht nur technische Umsetzungsprobleme, sondern auch regulatorischen Druck und schwer kalkulierbare Risiken für langfristig schutzbedürftige Daten.
Schlagzeilen
Cyberversicherung: Warum Prävention das neue Geschäftsmodell ist
Generali legt Deutschland-Strategie offen: Mehr KI, mehr Gewinn und mehr Fondspolicen
Post-Quantum-Kryptografie: Warum Versicherer jetzt handeln müssen
Rente: Mehrheit der Deutschen will Aktien
Unfallversicherer: Diese Anbieter werden häufig weiterempfohlen
Der erste Schritt ist deshalb Transparenz: Unternehmen müssen wissen, wo Kryptografie eingesetzt wird, welche Risiken bestehen und welche Systeme zuerst migriert werden müssen. Die Umstellung auf Post-Quantum-Verfahren ist damit nicht nur eine Reaktion auf eine kommende Bedrohung. Sie bietet zugleich die Chance, in robuste, steuerbare und zukunftsfähige IT-Sicherheit zu investieren.
Anzeige

