Präsident Donald Trump hat am 22. Juni eine Executive Order erlassen, die Bundesbehörden anweist, hochwerte Vermögenswerte und Systeme mit hoher Auswirkung auf Post-Quanten-Kryptografie umzustellen. Als Fristen gelten der 31. Dezember 2030 für wichtige Etablierungsprotokolle und der 31. Dezember 2031 für digitale Signatursysteme. Die Anordnung reagiert auf Risiken, dass Angreifer derzeit verschlüsselte US-Daten sammeln und diese später entschlüsseln könnten, sobald die Quantencomputing-Technologie voranschreitet. Die Weisung gilt für sensible Bundes-Systeme, für Standards bei der Bundesbeschaffung sowie für Planungen in den Bereichen kritischer Infrastruktur und schafft einen Rahmen, um die sensiblen Daten des Landes, die kritische Infrastruktur und die digitale Wirtschaft gegen künftige kryptografische Angriffe zu schützen.
Bundesbehörden erhalten 30-Tage- und 90-Tage-Vorgaben für die Umsetzung
Die Behördenleitungen müssen innerhalb von 30 Tagen nach der Executive Order einen Migrationsverantwortlichen für Post-Quanten-Kryptografie benennen. Diese Funktionsträger werden an die Chief Information Officers der Behörden berichten und Krypto-Bestände verwalten, Migrationspläne entwickeln und die Umsetzung ressortübergreifend koordinieren.
Innerhalb von 90 Tagen muss das Office of Management and Budget Leitlinien in Abstimmung mit der Cybersecurity and Infrastructure Security Agency (CISA) und dem National Cyber Director herausgeben. Die Behörden müssen ihre hochwertigen Vermögenswerte und Systeme mit hoher Auswirkung überprüfen, National Security Systems ausgenommen, und detaillierte Pläne zur Umstellung auf neue Standards einreichen.
Die Executive Order sagt: „Die Vereinigten Staaten müssen Schritte unternehmen, um die kryptografischen Schutzmaßnahmen für die sensiblen Daten, die kritische Infrastruktur und die digitale Wirtschaft der Nation zu stärken.“
NIST startet Pilot-Migrationsprojekt mit Frist bis 2027
Das National Institute of Standards and Technology (NIST) muss innerhalb von 180 Tagen ein Pilot-Migrationsprojekt auf ausgewählten Systemen starten, die es kontrolliert, wobei die Fertigstellung bis zum 31. Dezember 2027 erforderlich ist. Dieser Pilot wird die breitere Übernahme steuern, bevor die Fristen 2030 und 2031 erreicht werden.
Die Anordnung hebt langfristige Datenrisiken hervor und sagt: „Laufende Cyberaktivitäten gegen unsere Nation bergen ebenfalls das Risiko, dass Gegner jetzt Informationen aus den Vereinigten Staaten sammeln und diese später entschlüsseln, sobald großskalige Quantencomputer in Betrieb sind.“
CISA und NIST haben 270 Tage Zeit, um Leitlinien zu den Mindestelementen für eine kryptografische Bill of Materials zu veröffentlichen. Sector Risk Management Agencies werden mit CISA zusammenarbeiten, um Betreibern kritischer Infrastruktur dabei zu helfen, Migrationspläne vorzubereiten.
Federal Acquisition Regulatory Council veröffentlicht vorgeschlagene Auftragnehmer-Regel innerhalb von 180 Tagen
Der Federal Acquisition Regulatory Council hat 180 Tage Zeit, um eine vorgeschlagene Regel zu veröffentlichen, die festlegt, dass betroffene Auftragnehmer bis zum 31. Dezember 2030 NIST-Standards erfüllen müssen, einschließlich Post-Quanten-Algorithmen.
Der Außenminister wird mit Bundesbehörden und Geheimdienstvertretern koordinieren, um die Übernahme von NIST-Post-Quanten-Standards im Ausland zu fördern. National Security Systems werden einem separaten Kurs folgen; der NSA-Direktor muss dem Präsidenten innerhalb von 180 Tagen und danach jährlich über den Fortschritt berichten.
FAQ
Welche Fristen hat Trumps Executive Order für die post-quantensichere Verschlüsselung des Bundes gesetzt?
Die am 22. Juni erlassene Executive Order setzt eine Frist auf den 31. Dezember 2030 für wichtige Etablierungsprotokolle und auf den 31. Dezember 2031 für digitale Signatursysteme in hochwertigen Vermögenswerten und Systemen mit hoher Auswirkung im Bundesbereich.
Warum hat die Executive Order eine Umstellung auf Post-Quanten-Kryptografie vorgeschrieben?
Die Anordnung adressiert Risiken, dass Angreifer derzeit verschlüsselte US-Daten sammeln und diese später entschlüsseln könnten, sobald die Quantencomputing-Technologie voranschreitet, was die sensiblen Daten, die kritische Infrastruktur und die digitale Wirtschaft der Nation gefährdet.
Welche Rolle spielt NIST beim Übergang zur post-quantensicheren Verschlüsselung im Bund?
NIST muss innerhalb von 180 Tagen ein Pilot-Migrationsprojekt auf ausgewählten Systemen starten, die es kontrolliert, wobei die Fertigstellung bis zum 31. Dezember 2027 erforderlich ist, um die breitere Übernahme im Bundesbereich vor den Fristen 2030 und 2031 zu steuern.
