Post-Quanten-Kryptografie im Zahlungsverkehr

Zahlungsverkehr zukunftssicher machen: Warum Post-Quanten-Kryptografie heute wichtig ist

Alexander Burba
Januar 12, 2026

In der Welt von Fintech und digitalem Zahlungsverkehr ist Sicherheit kein statisches Ziel – sie ist eine kontinuierliche Entwicklung. Seit Jahren verlässt sich unsere Branche auf Verschlüsselungsstandards wie RSA und Elliptic Curve Cryptography (ECC), um alles abzusichern, von Online-Transaktionen und API-Kommunikation bis hin zu digitalen Signaturen. Diese Technologien sind das unsichtbare Fundament des Vertrauens in der globalen Wirtschaft.

Doch es zeichnet sich eine neue Ära des Computings ab, die diese Grundlagen herausfordert: Quantencomputing. Während die volle Ausschöpfung der Quantenleistung noch in der Zukunft liegt, ist es für die Zahlungsverkehrsbranche jetzt an der Zeit, sich vorzubereiten. Dieser Übergang ist als Post-Quanten-Kryptografie (PQC) bekannt.

Der bevorstehende Quantenumstieg: Warum jetzt?

Es mag verfrüht erscheinen, über Technologien zu sprechen, die noch nicht in der breiten Produktion sind, aber Quantencomputing ist kein rein theoretisches Forschungsthema mehr. Experten gehen davon aus, dass Quantencomputer, die stark genug sind, um heutige Verschlüsselungen zu knacken – oft als „Q-Day“ bezeichnet – innerhalb des nächsten Jahrzehnts Realität werden könnten, wobei einige Prognosen diesen Meilenstein bereits für die Jahre 2027–2030 ansetzen.

Die Bedrohung „Harvest Now, Decrypt Later“

Der dringendste Grund für die Zahlungsindustrie, heute zu handeln, ist eine Strategie namens „Harvest Now, Decrypt Later“ (HNDL) – also „jetzt ernten, später entschlüsseln“. Böswillige Akteure erfassen und speichern bereits heute verschlüsselte sensible Daten mit der Absicht, sie Jahre später zu entschlüsseln, wenn die Quantentechnologie ausgereift ist.

Dies stellt ein erhebliches langfristiges Risiko für die Finanz- und Zahlungsbranche dar, in der Transaktionsdaten, Identitätsnachweise und langfristige Verträge über viele Jahre hinweg vertraulich und vertrauenswürdig bleiben müssen. Wie in Mastercards Forschung zu quantensicherer Technologie angemerkt wird, bedeutet die Langlebigkeit von Finanzdaten: Wenn Ihre Verschlüsselung heute nicht quantenresistent ist, könnten Ihre Daten morgen offengelegt werden. Aufgrund dieser langen Datenlebensdauer können wir nicht warten, bis die Bedrohung eintritt, bevor wir die Verteidigung aufbauen.

Regulatorischer Druck und der Compliance-Horizont

Es ist nicht nur ein technologischer Wettlauf, sondern auch ein regulatorischer. Der Digital Operational Resilience Act (DORA), der im Januar 2025 in Kraft getreten ist, hat Resilienz für Finanzunternehmen in Europa bereits zu einem regulatorischen „Muss“ gemacht. Laut den Zahlungstrends 2026 von Worldline setzt DORA die klare Erwartung, dass Finanzinstitute künftige Störungen, einschließlich Quantenbedrohungen, antizipieren und ihnen standhalten müssen. Darüber hinaus hat das National Institute of Standards and Technology (NIST) offiziell den ersten Satz von PQC-Standards finalisiert und damit der Branche signalisiert, dass die Zeit des Abwartens vorbei ist.

Was ist Post-Quanten-Kryptografie (PQC)?

PQC stellt eine neue Generation von Verschlüsselungsmethoden dar, die so konzipiert sind, dass sie selbst gegen die immense Rechenleistung künftiger Quantencomputer sicher bleiben. Im Gegensatz zur aktuellen Verschlüsselung, die auf mathematischen Problemen wie der Ganzzahl-Faktorisierung basiert (die Quantencomputer hervorragend lösen können), verwendet PQC „quantenresistente“ Mathematik, wie beispielsweise die gitterbasierte Kryptografie.

Die neuen Goldstandards

Am 13. August 2024 veröffentlichte das NIST die ersten drei finalisierten Federal Information Processing Standards (FIPS) für PQC. Diese umfassen:

ML-KEM (FIPS 203): Der primäre Standard für allgemeine Verschlüsselung und Schlüsselaustausch.
ML-DSA (FIPS 204): Der primäre Standard für den Schutz digitaler Signaturen.
SLH-DSA (FIPS 205): Ein Backup-Signaturstandard, der auf einem anderen mathematischen Ansatz basiert, um Redundanz zu gewährleisten.

Im März 2025 wählte das NIST zudem HQC (Hamming Quasi-Cyclic) als fünften Algorithmus aus, der als Backup für die allgemeine Verschlüsselung dienen soll und für „algorithmische Diversität“ im Ökosystem sorgt. Diese Vielfalt ist entscheidend; wie die Analyse der PQC-Gewinner durch Sectigo hervorhebt, stellt die Verwendung unterschiedlicher mathematischer Grundlagen sicher, dass das gesamte Finanzsystem nicht zusammenbricht, falls eine Methode irgendwann als anfällig eingestuft wird.

Der hybride Ansatz

PQC bedeutet nicht, alle aktuellen Systeme über Nacht zu ersetzen. Stattdessen bewegt sich die Branche hin zu einem hybriden Modell. Dabei wird ein Post-Quanten-Algorithmus über einen klassischen Algorithmus gelegt (z. B. ECC + ML-KEM). Dieser „doppelte Schutz“ stellt sicher, dass die Systeme gegen aktuelle Bedrohungen geschützt bleiben und gleichzeitig Schutz gegen künftige Quanten-Bedrohungen erhalten, ohne die Abwärtskompatibilität mit Altsystemen zu beeinträchtigen.

Ein strategischer Fahrplan: Wie Unternehmen den Übergang gestalten

Die Vorbereitung auf PQC ist ein Marathon, kein Sprint. Wir bei Novalnet sind davon überzeugt, dass dieser Übergang einen strukturierten dreiphasigen Ansatz erfordert, der Stabilität gewährleistet und gleichzeitig die Sicherheit erhöht.

1. Sensibilisierung und „Krypto-Inventur“

Der erste Schritt für jeden Händler oder jedes Finanzinstitut ist die Erstellung eines kryptografischen Inventars. Man kann nicht schützen, was man nicht kennt. Unternehmen müssen erfassen, wo Verschlüsselung in ihrem Stack eingesetzt wird – von TLS und APIs bis hin zu Zertifikaten und Schlüsselmanagement. BCG weist darauf hin, dass nur etwa 10 % der Anwendungen (wie Online-Banking und Kundenportale) wirklich kritisch sind und sofortige Upgrades erfordern, was es Teams ermöglicht, ihre Ressourcen effektiv zu priorisieren.

2. Planung für „Krypto-Agilität“

Moderne Zahlungsinfrastrukturen müssen „krypto-agil“ sein. Das bedeutet, Systeme so zu gestalten, dass kryptografische Algorithmen ausgetauscht oder aktualisiert werden können, ohne dass die gesamte Softwarearchitektur überarbeitet werden muss. Wie im Mastercard-Whitepaper 2025 hervorgehoben wird, ist Agilität der Grundstein für die Quantenbereitschaft. Sie ermöglicht es Unternehmen, neue NIST-Standards bei deren Reifung zu übernehmen und schnell zu reagieren, falls ein bestimmter Algorithmus kompromittiert wird.

3. Schrittweise, risikobasierte Einführung

Die letzte Phase ist der kontrollierte Rollout von PQC-Komponenten. Dies geschieht risikobasiert und beginnt oft mit interner Kommunikation oder dem Transfer hochwertiger Daten. Die Banque de France und die MAS haben bereits erfolgreich mit PQC in E-Mail- und Zahlungs-VPN-Tunneln experimentiert und damit bewiesen, dass diese fortschrittlichen Methoden mit minimalem Aufwand und ohne Beeinträchtigung der Systemleistung integriert werden können.

Fazit: Die Zukunft des Zahlungsverkehrs schützen

Als Zahlungsdienstleister sind Vertrauen und langfristiger Datenschutz die Säulen unseres Geschäfts. Für Novalnet und unsere Händler ermöglicht die Vorbereitung auf das Quantenzeitalter:

Regulierungen immer einen Schritt voraus zu sein: Zukünftige Anforderungen wie DORA und PSD3 proaktiv zu erfüllen, bevor sie zu Hindernissen werden.
Langfristige Risiken zu minimieren: Die Bedrohung durch „Harvest Now, Decrypt Later“ effektiv zu neutralisieren.
Wettbewerbsvorteile zu sichern: In einer Zeit, in der Identitätsdiebstahl durch KI immer raffinierter wird, ist die Eigenschaft „quantensicher“ ein starkes Differenzierungsmerkmal für Marken, die auf hohes Vertrauen setzen.

Das Ziel für heute ist ein gemeinsames Verständnis. Indem wir vorausschauend handeln, stellen wir sicher, dass die Sicherheit Ihrer Zahlungen absolut bleibt, auch wenn sich die Welt des Computings verändert.

Haben Sie Fragen zu Ihrer Quantenbereitschaft?

Bewältigen Sie diesen kryptografischen Wandel nicht allein. Unsere Experten für Zahlungsverkehr und Sicherheit stehen Ihnen zur Verfügung, um Ihre spezifischen technischen Anforderungen zu besprechen – von der Erfassung Ihres aktuellen Verschlüsselungsinventars bis hin zur Untersuchung „hybrider“ PQC-Modelle –, damit Ihr Unternehmen auch im Quantenzeitalter sicher und gesetzeskonform bleibt.

Kontaktieren Sie hier unsere Experten, um Ihre Strategie für den Quantenübergang zu besprechen

Alexander Burba
Alexander Burba ist Performance Marketing Specialist bei der Novalnet AG in München, wo er digitale Akquisitions- und Markeninitiativen verantwortet. Mit über sieben Jahren Erfahrung im B2B-SaaS-, FinTech- und IT-Marketing unterstützt Alexander internationale Teams in Deutschland und der Ukraine und betreut Unternehmen in der EU, den USA und weltweit. Er verbindet datengetriebene Strategien mit bereichsübergreifender Zusammenarbeit, um messbares Wachstum für Novalnet und seine Partner zu erzielen.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	1 year	Dieses Cookie wird vom GDPR-Cookie-Consent-Plugin gesetzt und zeichnet die Zustimmung des Nutzers zu den Cookies der Kategorie „Analytics“ auf.
cookielawinfo-checkbox-necessary	1 year	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt und speichert die Zustimmung des Nutzers zu den Cookies der Kategorie „Notwendig“.
CookieLawInfoConsent	1 year	CookieYes setzt dieses Cookie, um den Standard-Schaltflächenstatus der entsprechenden Kategorie und den Status von CCPA zu speichern. Es funktioniert nur in Koordination mit dem primären Cookie.

Cookie	Dauer	Beschreibung
_ga	1 year 1 month 4 days	Google Analytics setzt dieses Cookie, um Besucher-, Sitzungs- und Kampagnendaten zu berechnen und die Nutzung der Website für den Analysebericht der Website zu verfolgen. Das Cookie speichert Informationen anonym und weist eine zufällig generierte Nummer zu, um einzelne Besucher zu erkennen.
_ga_*	1 year 1 month 4 days	Google Analytics setzt dieses Cookie, um Seitenaufrufe zu speichern und zu zählen.
_gat_UA-*	1 minute	Google Analytics setzt dieses Cookie zur Verfolgung des Nutzerverhaltens.n
_gcl_au	3 months	Google Tag Manager setzt das Cookie, um die Werbeeffizienz von Websites zu testen, die seine Dienste nutzen.
_gid	1 day	Google Analytics setzt dieses Cookie, um Informationen darüber zu speichern, wie Besucher eine Website nutzen, und um einen Analysebericht über die Leistung der Website zu erstellen. Zu den gesammelten Daten gehören die Anzahl der Besucher, ihre Quelle und die Seiten, die sie anonym besuchen.