Zusammenfassung für die Geschäftsleitung. Die Migration der Bankenkryptografie zu Post-Quantum-Primitiven ist keine Folie auf einer Roadmap mehr, sondern eine datierte Verpflichtung. Zwei Instrumente haben das bewirkt. Executive Order 14409, unterzeichnet am 22. Juni 2026, setzt harte Daten für die Migration von US-Bundesbehörden und Auftragnehmern. Die ANSSI schließt das europäische Zertifizierungsfenster ab 2027. Keines lässt einem Vorstand die Option, PQC als Forschungsposten zu behandeln. Dieser Beitrag überführt diesen Druck in einen messbaren Index — fünf Ebenen, jede mit 0–5 bewertet, gewichtet zu einem einzigen Gesamtwert, den ein Vorstand vierteljährlich verfolgen und vor einer Aufsichtsbehörde verteidigen kann.
Vor einem Jahr konnte eine Bank FIPS 203 in einer Sicherheitsprüfung nennen und das als Quantenstrategie verkaufen. EO 14409 und die ANSSI haben die Frage von welcher Algorithmus zu welche Kanäle, bis zu welchem Datum, unterzeichnet von wem verschoben. Der folgende Index ist das Instrument, das sie beantwortet — gebaut, um technische Primitive, treuhänderische Haftung und Bilanzrisiko auf eine Seite zu bringen.
01. Die Quantenbedrohung für die Integrität globaler Hauptbücher
Quantencomputer bedrohen das mathematische Fundament moderner digitaler Sicherheit. RSA und ECC — die Algorithmen, die Banktransaktionen schützen — beruhen auf Problemen, die Shors Algorithmus in Sekunden zusammenbrechen lässt, sobald ausreichende Quantenskalierung eintritt. Die Exponierung des Finanzsystems ist nicht gleichmäßig; sie konzentriert sich dort, wo die Vertraulichkeitsanforderungen am längsten reichen und signierte Anweisungen am längsten gelten.
- SWIFT und Interbanken-Clearing. Session-Abfangen und das Versagen der Nichtabstreitbarkeit sind die akuten Risiken. Eine gefälschte oder wiederholbare Abwicklungsanweisung ist ein Bilanzereignis, kein Protokollierungsvorfall.
- Verwahrregister. Kompromittierte Signaturmechanismen könnten unbefugte Einträge ins Hauptbuch zulassen — das Integritätsversagen, das jeder nachgelagerten Abstimmung zugrunde liegt.
- Store Now, Decrypt Later (SNDL). Finanz-Telemetrie wird heute für die spätere Entschlüsselung abgeschöpft. Deshalb migriert die Verschlüsselung der Transportschicht zuerst: Die Daten, die bereits unterwegs sind, sind die Daten, die bereits gefährdet sind.
Der Fünfjahres-Planungshorizont für einen CRQC ist die Arbeitsannahme in Tier-1-Banken. SNDL bedeutet, dass Angreifer diese Maschine heute nicht brauchen — sie brauchen billigen Speicher und Geduld. Für eine 25-jährige Aufbewahrungspflicht in der Verwahrung oder Handelsfinanzierung hat sich das Expositionsfenster bereits geöffnet.
02. Der Post-Quantum Banking Resilience Index 2026
Der Index gliedert den Übergang in fünf messbare, prüfbare Ebenen. Jede wird mit 0–5 bewertet; die gewichtete Summe ist der Composite Post-Quantum Resilience Score, der vierteljährlich verfolgt und dem Vorstand berichtet wird.
Tabelle 1: Architektur des Resilienzindex
| Indexebene | Reifegrad-Kennzahl | Fehlermodus | Gewicht |
|---|---|---|---|
| Inventar & Erkennung | % der Apps mit automatisiertem SBOM/CBOM | Unentdeckte Altschlüssel | 30% |
| KEM / Transport | % der Kanäle mit hybridem ML-KEM | Rückwirkende Entschlüsselung (SNDL) | 25% |
| Digitale Signaturen | % der Pipelines mit ML-DSA-Unterstützung | Gefälschte Hauptbuch-Autorisierungen | 20% |
| Krypto-Agilität | Mittlere Zeit zum Austausch von Krypto-Primitiven | Festgelegt auf verwundbare Algorithmen | 15% |
| Regulatorische Ausrichtung | Prüfbereitschaft; Vorstandsfreigabe | DORA-Aufsichtsbefunde | 10% |
Die Gewichtung ist bewusst gewählt. Das Inventar dominiert mit 30%, weil jede andere Ebene ohne es nicht messbar ist — man kann keinen Schlüssel migrieren, den man nicht gefunden hat. Der Transport liegt bei 25%, weil SNDL ihn zur einzigen Ebene macht, auf der die Uhr bereits gegen heute erfasste Daten läuft.
Tabelle 2: Zentrale kryptografische Standards (NIST/FIPS)
| Standard | Primitiv | Hauptrolle |
|---|---|---|
| ML-KEM (FIPS 203) | Gitterbasiertes KEM | Transportsicherheit (TLS 1.3) |
| ML-DSA (FIPS 204) | Gitterbasierte Signatur | Identitäts- & Transaktionssignierung |
| SLH-DSA (FIPS 205) | Zustandslose Hash-Signatur | Langfristige Stammzertifikate |
Diese drei NIST-PQC-Standards sind das Rückgrat jedes glaubwürdigen Migrationsplans für 2026. Das Gitterpaar trägt den täglichen Transport und die Signierung; die konservative hashbasierte Konstruktion von SLH-DSA verdient ihren Platz am Vertrauensanker, wo eine einzelne kryptoanalytische Überraschung am wenigsten tolerierbar ist.
03. Vorstands-Playbook: 24-Monats-Roadmap
Der Index misst, wo eine Bank steht. Die Roadmap legt die Reihenfolge der Arbeit fest. Jeder Meilenstein erzeugt ein Ergebnis auf Vorstandsebene, kein Statusupdate.
| Zeitrahmen | Schwerpunkt | Ergebnis auf Vorstandsebene |
|---|---|---|
| 0–6 Mon. | Erkennung | Unternehmensweites CBOM abschließen; hochsensible Datenlebenszyklen identifizieren. |
| 6–12 Mon. | Pilot | Hybrides ML-KEM + ECDH für internetzugewandten Transport ausrollen. |
| 12–18 Mon. | Integration | Signier-Pipelines auf ML-DSA migrieren; HSM-Firmware aktualisieren. |
| 18–24 Mon. | Optimierung | Resilienz-Scoring in Basel-III-/DORA-Dashboards integrieren. |
Die Reihenfolge ist nicht beliebig. Erkennung zuerst, weil die schwerste Ebene des Index zugleich seine Voraussetzung ist. Pilot auf internetzugewandtem Transport, weil das die SNDL-Frontlinie und die am wenigsten abstimmungsintensive Fläche zum Ändern ist. Die HSM-Firmware fällt in die Integrationsphase, weil der produktive Krypto-Pfad durch kommerzielle Module läuft — die Migration verzögert sich in dem Moment, in dem der PQC-Firmware-Strang eines einzigen Anbieters ins Stocken gerät.
04. Platform Engineering: Begrenzte hybride Architekturen
Um das Risiko ungeprüften PQC-Codes zu vermeiden, setzen Banken auf begrenzte hybride kryptografische Architekturen. Der Ansatz verpackt einen klassischen ECDH-Anteil in einer NIST-standardisierten ML-KEM-Hülle, sodass der Kanal sicher bleibt, selbst wenn ein Algorithmus später gebrochen wird. Die Bank setzt nicht darauf, dass ein einzelnes Primitiv 25 Jahre lang die Kryptoanalyse übersteht; sie betreibt beide, protokolliert alles und behält die Option, den klassischen Strang fallen zu lassen, sobald PQC-Implementierungen Feldstunden vorweisen können.
Hybrid ist die richtige Entscheidung. Sie ist nicht kostenlos. Ein hybrider TLS-1.3-Handshake trägt rund ein Kilobyte mehr als sein klassisches Pendant, und eine ML-DSA-Signatur misst Kilobyte gegenüber den Dutzenden Bytes von ECDSA. Auf den Kanälen des Großbetragszahlungsverkehrs, wo Abwicklungsentscheidungen in einstelligen Millisekundenfenstern fallen, ist diese Kost kein Rundungsfehler. Modellieren Sie sie in die Kapazitätsplanung und benennen Sie sie im SLA — das Vorstandspapier sollte die erwarteten Auswirkungen auf Durchsatz und Tail-Latenz pro Meilenstein veröffentlichen, nicht nur die Algorithmuswahl.
05. Treuhänderische Pflicht & Eigenkapitaladäquanz
Nach DORA Artikel 5 trägt der Vorstand die direkte, nicht delegierbare Verantwortung für das IKT-Risikomanagement. „Angemessene Schritte“ erfordern einen dokumentierten, prüfbaren Migrationsplan — keine Absicht. Eine nicht inventarisierte, klassisch verschlüsselte Infrastruktur aufrechtzuerhalten, ist ein nicht gemindertes operationelles Risiko, und Aufseher können es direkt in den Kapitalrahmen für operationelle Risiken nach Basel III als höheren Multiplikator einlesen.
Das macht den Index zu einem Governance-Instrument, nicht nur zu einem technischen. Der Gesamtwert ist das Artefakt, das ein Senior Independent Director hinterfragen kann: Ist das kryptografische Inventar vollständig oder stichprobenartig; ist der Migrationsplan gegen einen Fünfjahres-CRQC-Horizont datiert; sind langlaufende signierte Instrumente heute durch ein Doppelsignaturverfahren abgedeckt; und wessen Name steht neben dem Programm auf der Verantwortlichkeitserklärung. Eine Bank, die diese vier Fragen aus einem einzigen vierteljährlichen Wert beantworten kann, hat einen regulatorischen Auftrag in ein gesteuertes Risiko verwandelt.
Anhang: Bewertungsraster (0–5)
Jede Indexebene wird gegen dieselbe Reifegradleiter bewertet, sodass der Gesamtwert über Ebenen und Quartale hinweg vergleichbar ist.
- 0 — Nicht konform. Kein Inventar; quantenverwundbare Systeme unüberwacht.
- 1 — Initial. Manuelle Erkennung im Gange.
- 2 — Grundlegend. Automatisiertes Inventar (SBOM/CBOM) in Betrieb.
- 3 — Fortgeschritten. Hybride PQC-Piloten außerhalb der Produktion.
- 4 — Gesteuert. Hybrides PQC in Produktion für externen Verkehr.
- 5 — Optimiert. Vollständige Integration; automatisierte Tests; kontinuierliches DORA-konformes Reporting.
Fazit
Die Primitive existieren. FIPS 203, 204 und 205 sind veröffentlicht; Bibliotheken laufen in Produktion; die Fristen sind auf zwei Kontinenten nun Gesetz. Die offene Frage ist, ob eine Bank ein mehrjähriges, krypto-agiles, CBOM-gesteuertes Programm unter DORA, EO 14409 und der ANSSI-Zertifizierungsgrenze betreiben kann — und es mit einer Zahl belegen kann, die ein Vorstand verteidigen kann. Banken, die den Index 2026 übernehmen und 2027 mit dem hybriden Rollout beginnen, werden 2030 eine saubere Migration erklären. Diejenigen, die EO 14409 als die Frist eines anderen behandeln, werden etwas anderes erklären.
Beginnen Sie mit dem Inventar. Gewichten Sie die Transportschicht. Bewerten Sie sie vierteljährlich. Setzen Sie Ihren Namen darunter.
Häufig gestellte Fragen
Was verlangt die Executive Order 14409 tatsächlich? Am 22. Juni 2026 unterzeichnet, weist EO 14409 die Bundesbehörden an, sensible Systeme bis zum 31. Dezember 2030 auf PQC-Verschlüsselung und bis zum 31. Dezember 2031 auf PQC-Authentifizierung zu migrieren. Bundesauftragnehmer müssen die NIST-FIPS-Standards bis Ende 2030 erfüllen. Für Banken ist der operative Druck die Lieferkette: Jedes Institut, das an US-Bundesstellen verkauft oder für sie cleart, erbt den Zeitplan.
Warum zählt das ANSSI-Datum 2027 mehr als das von 2030? Weil 2027 die Beschaffung bricht. Ab 2027 zertifiziert die ANSSI keine Sicherheitsprodukte mehr, denen quantenresistente Verschlüsselung fehlt; eine Bank, die danach Nicht-PQC-Hardware oder -Software kauft, kauft etwas, das sie für kritische Infrastruktur nicht zertifizieren lassen kann. Die Frist 2030 ist das Ziel; 2027 ist, wann der Weg dorthin schließt.
Was ist „Store Now, Decrypt Later“ und warum den Transport priorisieren? SNDL ist die Praxis, verschlüsselten Verkehr heute abzufangen und zu archivieren, um ihn zu entschlüsseln, sobald ein CRQC existiert. Jede TLS-Session oder Interbanken-Übertragung, die nur durch RSA oder ECC geschützt ist, ist ein Kandidat für rückwirkende Entschlüsselung. Deshalb trägt die Ebene KEM / Transport 25% Gewicht und migriert vor den Signaturen — die heute unterwegs befindlichen Daten sind bereits exponiert.
Wie wird der Composite Post-Quantum Resilience Score berechnet? Bewerten Sie jede der fünf Ebenen mit 0–5 gegen das Raster im Anhang, multiplizieren Sie mit dem Ebenengewicht (Inventar 30%, Transport 25%, Signaturen 20%, Krypto-Agilität 15%, Regulatorik 10%) und summieren Sie. Das Ergebnis ist eine einzige vierteljährliche Zahl, die sich direkt auf das DORA-Reporting und die Basel-III-Dashboards für operationelle Risiken abbilden lässt.
Erzeugt der Einsatz hybrider Kryptografie ein eigenes Risiko? Das begrenzte Hybridmuster verringert das algorithmische Risiko — der Kanal überlebt, wenn einer der beiden Stränge gebrochen wird — fügt aber messbaren Mehraufwand hinzu: größere Handshakes, größere Signaturen, ungefähr verdoppelte CPU pro Transaktion. Auf latenzsensiblen Clearing-Kanälen muss dies in die Kapazitätsplanung modelliert und im SLA benannt werden, nicht erst während einer Vorfalluntersuchung entdeckt.
Quellen
- Executive Order 14409 — föderale Post-Quantum-Migration (OMB-Memoranden)
- ANSSI — Positionen zum Übergang zur Post-Quantum-Kryptografie
- NIST — die ersten drei finalisierten Post-Quantum-Verschlüsselungsstandards
- NIST-Programm für Post-Quantum-Kryptografie
- DORA Artikel 5 — Verordnung (EU) 2022/2554
- Basel III — internationaler Regulierungsrahmen für Banken
- BIS Project Leap — Quantensicherung des Finanzsystems
Zuletzt überprüft .
Zuletzt überprüft .
Diesen Artikel weiterveröffentlichen
Format für Medium kopieren
# Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau > Originally published at [https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/](https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/) EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex — ein 0–5-Reifegrad-Scorecard für Banken. Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Format für Mastodon kopieren
Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex — ein 0–5-Reifegrad-Scorecard für Banken. https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Formatiert für LinkedIn kopieren
Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex - ein 0–5-Reifegrad-Scorecard für Banken. Hier sind die wichtigsten strategischen Erkenntnisse: - 01. Die Quantenbedrohung für die Integrität globaler Hauptbücher. Quantencomputer bedrohen das mathematische Fundament moderner digitaler Sicherheit. - 02. Der Post-Quantum Banking Resilience Index 2026. Der Index gliedert den Übergang in fünf messbare, prüfbare Ebenen. - 03. Vorstands-Playbook: 24-Monats-Roadmap. Der Index misst, wo eine Bank steht. - 04. Platform Engineering: Begrenzte hybride Architekturen. Um das Risiko ungeprüften PQC-Codes zu vermeiden, setzen Banken auf begrenzte hybride kryptografische Architekturen. Wie geht Ihre Organisation mit den in diesem Beitrag beschriebenen Herausforderungen um? → https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ #PostQuantumKryptografie #Pqc #Eo14409 #ExecutiveOrder14409 #AnssiFrist2030 Sebastien Rousseau | CC-BY-4.0
Diesen Artikel zitieren
Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau
EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex — ein 0–5-Reifegrad-Scorecard für Banken.
BibTeX
@online{rousseau2026der,
author = {Rousseau, Sebastien},
title = {{Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau}},
year = {2026},
url = {https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/},
urldate = {2026}
}RIS
TY - GEN AU - Rousseau, Sebastien TI - Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau PY - 2026 UR - https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ ER -
Vancouver
Rousseau S. Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 26. Available from: https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Chicago
Rousseau, Sebastien. "Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau." sebastienrousseau.com. June 26, 2026. https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/.
APA
Rousseau, S. (2026, June 26). Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/
Diesen Artikel republizieren
Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau
EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex — ein 0–5-Reifegrad-Scorecard für Banken.
Dieser Artikel ist lizenziert unter Creative Commons Attribution 4.0 International. Eine Republikation erfordert Attribution zur kanonischen URL.
Der Post-Quantum Banking Resilience Index 2026: EO 14409, globale Fristen und treuhänderische Krypto-Agilität — Sebastien Rousseau EO 14409, die ANSSI-Frist 2030 und DORA Artikel 5 machen die Post-Quantum-Migration zum vorstandstauglichen Resilienzindex — ein 0–5-Reifegrad-Scorecard für Banken. Originally published at https://sebastienrousseau.com/de/2026-06-26-post-quantum-banking-resilience-index-eo-14409-fiduciary-crypto-agility-2026/ by Sebastien Rousseau. Licensed under CC-BY-4.0.