07. Mai 2026
 Kryptografische Migration: Von der Theorie zur Praxis

Posted at 12:49h in Blog, Insights by

Wie formale Modelle und digitale Zwillinge die Migration zu Post-Quantum Cryptography planbar machen

Die Migration zu Post-Quantum Cryptography (PQC) ist längst keine abstrakte Zukunftsfrage mehr. Für Unternehmen und Betreiber komplexer IT-Infrastrukturen stellt sie eine konkrete, strategische Herausforderung dar und ein Abhängigkeitsproblem, das sich nur mit den richtigen Modellen und Werkzeugen lösen lässt.

Kryptografische Verfahren sind heute tief in Kommunikationsbeziehungen, Protokollen, Zertifikaten, Anwendungen, eingebetteten Systemen und externen Schnittstellen verankert. Ändern sich kryptografische Standards, reicht es deshalb nicht aus, einzelne Algorithmen auszutauschen. Die Ergebnisse unserer Arbeit präsentieren wir auf dem MAgiCS Workshop in Rom, zusammen mit der Eurocrypt 2026, mit zwei eigenen Papers, die sich dem Thema aus unterschiedlichen, sich ergänzenden Perspektiven nähern.

01 — Einordnung

Kryptografische Migration ist ein Abhängigkeitsproblem

Kryptografische Migration ist kein rein technischer Austausch einzelner Verfahren. Sie ist ein Abhängigkeitsproblem. Kryptografie ist eingebettet in Kommunikationsbeziehungen, Protokollstapel, Anwendungen und Betriebsprozesse. Besonders bei der Migration zu PQC müssen Organisationen verstehen, welche Systeme miteinander verbunden sind, wo kryptografische Mechanismen eingesetzt werden und welche Auswirkungen Änderungen an einer Stelle auf andere Teile der Infrastruktur haben.

Kryptografische Verfahren sind tief in Kommunikationsbeziehungen, Protokollen, Zertifikaten, Anwendungen, eingebetteten Systemen und externen Schnittstellen verankert; ändern sich Standards, reicht es deshalb nicht aus, einzelne Algorithmen auszutauschen. Zwei Beiträge aus unserer Arbeit im vom BMFTR geförderten Projekt AMiQuaSy (gemeinsam mit Kolleg*innen von genua und der OTH Amberg-Weiden) präsentieren wir auf dem MAgiCS-Workshop in Rom, co-located mit der Eurocrypt 2026. Wir unterstützen den Workshop zudem als Sponsor; die EuroCrypt zählt zu den führenden Konferenzen der kryptologischen Grundlagenforschung.

Genau hier setzen unsere beiden Arbeiten an: mit einem theoretischen Fundament auf der einen und einem praktischen Einstiegspunkt auf der anderen Seite.

02 — Paper 1

Ein formales Modell für kryptografische Migration

Im ersten Paper „A Formal Model and Lower-Bound Intuition for Cryptographic Migration“ betrachten wir kryptografische Migration aus einer theoretischen Perspektive. Migrationsprobleme werden in ein formales, graphbasiertes Modell übersetzt, in dem Systeme, Komponenten und Abhängigkeiten als gerichtete Graphen dargestellt sind.

Dieses Modell macht sichtbar, dass Migration keine Abfolge isolierter Aufgaben ist. Änderungen an kryptografischen Verfahren können Auswirkungen auf andere Komponenten, Kommunikationspfade oder Protokollbeziehungen haben. In großen IT-Infrastrukturen entstehen zahlreiche kleine Migrationscluster, die wiederum voneinander abhängen. Mit Methoden aus Graphentheorie, Wahrscheinlichkeitstheorie und kombinatorischer Analyse zeigen wir, dass diese Komplexität mathematisch begründbar ist.

Die zentrale Erkenntnis:

Kryptografische Migration besitzt eine inhärente strukturelle Komplexität. Sie lässt sich nicht allein durch bessere Projektplanung auflösen, sondern muss modelliert, analysiert und in geeigneten Werkzeugen sichtbar gemacht werden.

Diese theoretische Grundlage führt unmittelbar zu einer praktischen Frage: Wie erhält man in realen IT-Landschaften überhaupt einen brauchbaren Migrationsgraphen?

03 — Paper 2

Ein graphbasierter digitaler Zwilling der IT-Infrastruktur

Genau an dieser Stelle setzt das zweite Paper an. Es beschreibt einen graphbasierten digitalen Zwilling einer IT-Infrastruktur, der automatisiert aus beobachteten Kommunikationsdaten aufgebaut wird. Anstatt sich ausschließlich auf Inventarlisten, CMDBs oder manuell gepflegte Dokumentationen zu verlassen, werden Daten aus dem laufenden Netzwerkverkehr genutzt.

  • Eine erweiterbare Pipeline extrahiert Informationen auf Netzwerk, Protokoll und Kryptografieebene und überführt sie in eine einheitliche Graphrepräsentation. Der digitale Zwilling modelliert nicht nur technische Assets, sondern vor allem Kommunikationsbeziehungen, verwendete Protokolle und kryptografische Eigenschaften.
  • Das Ergebnis ist eine analysierbare Sicht auf die Infrastruktur: welche Systeme miteinander kommunizieren, welche kryptografischen Mechanismen zum Einsatz kommen und wo migrationsrelevante Abhängigkeiten entstehen.

Damit beantwortet das zweite Paper die zentrale praktische Frage aus dem ersten: Wie sich der abstrakte Migrationsgraph in realen Infrastrukturen erzeugen lässt.

04 — Synthese

Zwei Paper, ein gemeinsames Ziel

Die beiden Arbeiten ergänzen sich bewusst. Das erste Paper liefert das theoretische Fundament und erklärt, warum kryptografische Migration strukturell schwierig ist und warum Graphmodelle ein geeigneter Ansatz zur Analyse dieser Komplexität sind. Das zweite Paper zeigt den praktischen Einstiegspunkt und macht diese Komplexität durch einen digitalen Zwilling beobachtbar und analysierbar.

Gerade für die Migration zu Post-Quantum Cryptography ist diese Verbindung entscheidend. PQC betrifft nicht nur einzelne Algorithmen oder Zertifikate, sondern ganze Kommunikationsketten, Protokollstapel, Legacy-Systeme und externe Schnittstellen. Ein reines Inventar reicht nicht aus. Entscheidend ist das Verständnis der realen Abhängigkeiten.

Aus beiden Arbeiten ergibt sich ein durchgängiger Ansatz:

1Beobachten

Die Infrastruktur wird durch Sensoren und eine Datenpipeline beobachtet.

2Abbilden

Kommunikations, Protokoll und Kryptografieinformationen werden in einem Graphen abgebildet.

3Modellieren

Dieser Graph fungiert als digitaler Zwilling der realen IT-Landschaft.

4Analysieren

Auf dieser Basis lassen sich Migrationsabhängigkeiten analysieren.

5Einordnen

Das formale Modell hilft, Komplexität, Cluster, Reihenfolgen und Risiken einzuordnen.

Damit verschiebt sich der Fokus von der Frage „Was haben wir?“ hin zu „Wie hängt es zusammen und was bedeutet das für die Migration?“

Das formale Modell zeigt, wonach gesucht werden muss. Der digitale Zwilling macht sichtbar, wo es sich in der Realität befindet.

05 — Von der Analyse zur Umsetzung

Kryptografische Migration von der Theorie bis in den produktiven Betrieb

Kryptografische Migration wird dann beherrschbar, wenn Abhängigkeiten sichtbar werden und Entscheidungen auf belastbaren Daten beruhen. Genau hier setzt XITASO an: Auf Basis aktueller Forschungsergebnisse, unter anderem aus dem Projekt AMiQuaSy, unterstützen wir Organisationen dabei, ihre bestehende Kryptografie transparent zu erfassen, Abhängigkeiten zu analysieren und schrittweise migrationsfähige, kryptoagile Architekturen aufzubauen.

  • Erste Standortbestimmung
  • Aufbau eines Kryptoinventars
  • Planung einer Post Quantum Roadmap

Jetzt handeln

Wir begleiten kryptografische Migration von der Theorie bis in den produktiven Betrieb, ob erste Standortbestimmung, Aufbau eines Kryptoinventars oder die Planung einer Post Quantum Roadmap.

Autor

Dr. Jan-Philipp Steghöfer

Print page