Sicherheit19.02.2026

Post-Quanten-Kryptografie und die Zukunft der eingebetteten Sicherheit

von Roland Marx
Post-Quanten-Kryptografie und die Zukunft der eingebetteten Sicherheit

Die Quantencomputertechnik entwickelt sich rasant weiter, und damit steigt das Risiko, dass die heutige Kryptografie nicht mehr ausreicht. Für eingebettete Systeme – die oft auf lange Lebenszyklen und begrenzte Aktualisierungsmöglichkeiten ausgelegt sind – stellt dieser Wandel besondere Herausforderungen dar. Was muss sich ändern, und wie können sich Unternehmen darauf vorbereiten, ohne ganze Gerätegenerationen neu zu entwickeln?

Warum ältere eingebettete Geräte besonders gefährdet sind

Viele bestehende eingebettete Geräte wurden nie mit der Rechenleistung oder der architektonischen Flexibilität entwickelt, die für Post-Quantum-Sicherheit erforderlich sind. Oft fehlen ihnen vertrauenswürdige Ausführungsumgebungen, Trusted-Platform-Module oder andere Formen spezialisierter Hardware-Sicherheit. Gleichzeitig erstreckt sich ihr Lebenszyklus häufig über zehn oder sogar zwanzig Jahre – insbesondere in industriellen IoT-Umgebungen.

Diese lange Lebensdauer wird zu einem Problem, wenn kryptografische Mechanismen veralten. Firmware lässt sich möglicherweise nicht aktualisieren, Netzwerkstacks sind oft fest vorgegeben, und Bandbreitenbeschränkungen behindern den Austausch großer postquanten-Schlüssel oder Signaturen. Selbst die Aufrüstung oder der Austausch von PKI-Infrastrukturen ist schwierig, da Altsysteme auf Protokolle angewiesen sind, die sich nicht ohne Weiteres modernisieren lassen. Infolgedessen kann veraltete Kryptografie noch lange nach dem Zeitpunkt, an dem sie als unsicher gilt, aktiv genutzt werden.

Wo die Nachrüstung mit PQC am wichtigsten ist

Eine Nachrüstung ist überall dort unerlässlich, wo Systeme auf öffentliche Schlüssel, Geräteidentitäten oder sichere Kommunikation angewiesen sind. Industriesteuerungen, vernetzte Sensoren, Steuergeräte, Roboter und andere Geräte, die auf PKI basieren, sind hierfür besonders geeignet.

Ein weiterer sensibler Bereich ist der Secure Boot. Wenn die Authentizität und Integrität der Firmware mit klassischen Algorithmen überprüft wird, könnte ein zukünftiger Quantenangriff das grundlegende Vertrauen in das Gerät untergraben. Die Gewährleistung, dass Secure-Boot-Mechanismen auch dann robust bleiben, wenn die klassische asymmetrische Kryptografie geknackt wird, ist eine der dringlichsten Herausforderungen im Bereich der postklassischen Kryptografie (PQC).

Zwei praktische Ansätze: kryptoagile Hardware und geschützte Lieferketten

Eine wichtige Erkenntnis für die Branche ist, dass die Umstellung auf Post-Quantum-Technologie kein einmaliger Schritt sein wird. Algorithmen werden sich weiterentwickeln, Empfehlungen werden sich ändern, und Systeme müssen kryptografisch anpassungsfähig bleiben.

  1. PQC-fähige Secure Elements

Wenn eine Gerätearchitektur bereits ein externes Secure Element nutzt, wird der Übergang erheblich vereinfacht. Ein Secure Element, das als USB-, SD- oder SSD-Formfaktor verfügbar ist, kann durch eine gehärtete Generation ersetzt werden, die die neuesten Algorithmen unterstützt – ohne dass das gesamte Gerät neu entwickelt werden muss. Dies macht das Secure Element zum zentralen Anlaufpunkt für kryptografische Updates.

  1. Schutz der Firmware-Integrität entlang der gesamten Lieferkette

Viele eingebettete Geräte implementieren Secure-Boot-Logik in Mask-ROM – die nach der Produktion unveränderlich ist. Eine Aktualisierung würde eine neue Siliziummaske erfordern, was mit hohen Kosten und langen Entwicklungszyklen verbunden wäre. Ein praktischerer Ansatz besteht darin, ein externes PQC-fähiges Secure Element die Firmware-Signaturen validieren zu lassen, bevor kryptografische Schlüssel an das System freigegeben werden. Dies gewährleistet langfristige Integrität, ohne die interne Architektur des Geräts zu verändern.

Warum Speicherprodukte ihre eigenen Herausforderungen im Bereich der Post-Quantum-Kryptografie mit sich bringen

Flash-basierte Speichergeräte wie SSDs oder e.MMC-Module erschweren die Integration von PQC. Ihre Controller sind in der Regel monolithisch aufgebaut, wobei die kryptografischen Funktionen fest in die Controller-Logik integriert sind. Die Einbindung von PQC-fähiger Hardware-IP in einen SSD-Controller erfordert einen erheblichen Umbau und lange Entwicklungsphasen.

Um dies zu überwinden, zeichnet sich ein moderner Ansatz ab: die Kombination von NAND-Flash, einem Flash-Controller und einem Sicherheitscontroller auf Secure-Element-Niveau in einem einzigen Speichermodul. Dadurch können alle PQC-bezogenen Vorgänge von der dedizierten Sicherheitskomponente und nicht von der MCU des Flash-Controllers abgewickelt werden. Dies ermöglicht zudem eine kontinuierliche Krypto-Agilität, da sich das Secure Element unabhängig vom Speichercontroller weiterentwickeln kann.

Wie würde eine bewährte Vorgehensweise für die nachträgliche Ausstattung mit PQC aussehen?

Es gibt zwar noch kein einheitliches Rahmenwerk, doch ein Grundsatz gilt für alle erfolgreichen Strategien: Krypto-Agilität. Systeme sollten so konzipiert sein, dass sie im Laufe der Zeit Algorithmen austauschen, zwischen PQC-Standards wechseln und Komponenten, die Schlüsselmaterial enthalten, physisch ersetzen können. Ein wirksamer Ansatz ist der Einsatz modularer oder austauschbarer Sicherheitselemente. Befinden sich diese Elemente auf einer SSD oder einem anderen Wechseldatenträger, führt der Austausch des Speichermediums zu einer effektiven Aufrüstung der gesamten Sicherheitsfunktionen des Systems – ohne dass die zugrunde liegende Hardware verändert werden muss.

Ist die Branche bereit, bestehende Systeme PQC-sicher zu machen?

Eine vollständige Neugestaltung der Hardware allein aus kryptografischen Gründen ist selten attraktiv. Kosten, Ausfallzeiten und Zertifizierungshürden können die Vorteile schnell überwiegen. Deshalb ist die Akzeptanz nach wie vor gering, wenn die Umstellung auf PQC den Neuaufbau ganzer Architekturen erfordert.

Das Bild ändert sich jedoch, wenn Unternehmen Systeme nachrüsten können, indem sie lediglich ein Sicherheitsmodul austauschen, beispielsweise ein Secure Element, eine SD-Karte oder eine PQC-fähige SSD. Dies reduziert Risiken, Kosten und Betriebsunterbrechungen und macht die Post-Quantum-Bereitschaft weitaus realistischer.

Die Rolle der Lagerung für die Lebenszyklus- und Lieferkettensicherheit

Viele Geräte werden mit integriertem Schlüsselmaterial ausgeliefert, beispielsweise Onboarding-Schlüsseln, symmetrischen Fallback-Schlüsseln oder Transport-Lock-Geheimnissen. PQC-fähige Produkte für sicheren Speicher schützen diese Schlüssel von Anfang an und stellen gleichzeitig sicher, dass Updates auch Jahrzehnte später noch sicher authentifiziert werden können.

Warum ist das wichtig? Weil die Fähigkeit, nachzuweisen, dass ein Update an das echte Gerät und nicht an ein geklontes oder manipuliertes System gerichtet ist, zu einem Eckpfeiler der Post-Quantum-Resilienz wird. Speicherprodukte, die Secure Elements integrieren, bieten genau diese Grundlage und unterstützen den gesamten Lebenszyklus des Geräts von der Herstellung bis zum langfristigen Betrieb.

Möchten Sie Ihre Geräte gegen postquantenmechanische Bedrohungen zukunftssicher machen? Wenden Sie sich an Swissbit – unsere Experten stehen bereit, um Sie bei Ihren nächsten Schritten zu unterstützen.

Möchten Sie mehr erfahren?

Unsere Expertinnen und Experten sind gerne für Sie da.

Kontaktieren Sie uns
Roland Marx

Roland Marx ist seit Januar 2024 Senior-Produktmanager für eingebettete IoT-Sicherheitslösungen bei der Swissbit AG. Seit 2018 ist er zudem als Berater für eingebettete Sicherheit, Penetrationstester und Trainer tätig, wobei sein Schwerpunkt auf dem sicheren Betrieb von IoT-Geräten liegt. Dank seiner Erfahrung als Entwickler, Projektleiter und Teamleiter ist Roland Marx bestens vertraut mit den Bereichen Embedded, Automotive, Off-Highway, Luft- und Raumfahrt, Telematik sowie erneuerbare Energien. Er verfügt über umfassende Kenntnisse in der Mikrocontroller-Programmierung, Embedded Linux sowie verschiedenen IT-, Cloud- und Serversystemen. Roland Marx hat einen Abschluss in Physik von der Julius-Maximilians-Universität in Würzburg.

Melden Sie sich für den Swissbit-Newsletter an

Erhalten Sie die neuesten Nachrichten und Ankündigungen zu Speicher-, Sicherheits- und IoT-Lösungen sowie zu aktuellen Veranstaltungen und neuen Produkten - direkt in Ihren Posteingang

Jetzt abonnieren

Downloads mit einem Symbol sind nur nach der Anmeldung verfügbarNur nach der Anmeldung zugänglich

Besuchen Sie uns:

Abonnieren Sie unseren Newsletter

Bleiben Sie mit Swissbit in Kontakt und erhalten Sie die neuesten Informationen. Der Swissbit Newsletter informiert Sie regelmäßig über Neuigkeiten rund um Speicher- und Sicherheitslösungen sowie über aktuelle Veranstaltungen und neue Produkte.

Jetzt abonnieren

Über Swissbit

Swissbit bietet branchenführende Speicher- und Sicherheitslösungen für zuverlässige Datenspeicherung, wirksamen Schutz sensibler Informationen und sicheren Zugriff auf kritische Anwendungen. So unterstützen wir unsere Kunden dabei, die digitale Transformation in verschiedensten Branchen voranzutreiben.

Mehr Swissbit

Made in Germany
Vertriebspartner
Karriere
Kontakt
© 2026 Swissbit AG
Impressum
Datenschutz
Copyright-Hinweis
AGBs
Blog
Rücknahme & Recycling
Cookie Einstellungen