Trumps Durchführungsverordnung legt Fristen für die Umstellung der Bundesbehörden auf quantenresistente Verschlüsselung fest

Behörden stehen vor Fristen bis 2030 und 2031 für sensible Bundes-Systeme

Präsident Donald Trump wies die Bundesbehörden an, hochwertige Vermögenswerte und Systeme mit großer Tragweite auf postquantene Kryptografie umzustellen, und legte dabei den 31. Dezember 2030 als Frist für die Schlüsselerstellung sowie den 31. Dezember 2031 für digitale Signaturen fest. Die am 22. Juni erlassene Durchführungsverordnung gilt für sensible Bundes-Systeme, Beschaffungsvorschriften und die Planung in kritischen Infrastruktursektoren.

Im Mittelpunkt der Verordnung stehen die Risiken, die von Quantencomputern ausgehen. Sie warnt davor, dass Angreifer bereits heute verschlüsselte US-Daten sammeln und diese später, sobald die Quantentechnologie weiter fortgeschritten ist, entschlüsseln könnten. Post-Quanten-Kryptografie bezeichnet kryptografische Algorithmen oder Methoden, die so konzipiert sind, dass sie Angriffen sowohl durch Quanten- als auch durch klassische Computer standhalten. In der Verordnung heißt es:

„Die Vereinigten Staaten müssen Maßnahmen ergreifen, um den kryptografischen Schutz der sensiblen Daten, der kritischen Infrastruktur und der digitalen Wirtschaft des Landes zu stärken.“

Die Leiter der Behörden müssen innerhalb von 30 Tagen einen Verantwortlichen für die Umstellung auf Post-Quanten-Kryptografie benennen. Diese Verantwortlichen berichten an die Chief Information Officers der jeweiligen Behörden und sind dafür zuständig, kryptografische Bestände zu verwalten, Umstellungspläne zu entwickeln und die Umsetzung behördenübergreifend zu koordinieren.

Innerhalb von 90 Tagen muss das Office of Management and Budget in Abstimmung mit der Cybersecurity and Infrastructure Security Agency (CISA) und dem National Cyber Director Leitlinien herausgeben. Die Behörden müssen ihre besonders wertvollen Vermögenswerte und Systeme mit hoher Auswirkung – mit Ausnahme der nationalen Sicherheitssysteme – überprüfen und detaillierte Pläne für den Übergang zu neuen Standards vorlegen.

NIST, CISA und Auftragnehmer erhalten festgelegte Umsetzungsaufgaben

Mehrere Bundesbehörden haben im Rahmen der Verordnung spezifische Zuständigkeiten. Das National Institute of Standards and Technology (NIST) muss innerhalb von 180 Tagen ein Pilotprojekt zur Migration auf ausgewählten Systemen, die es kontrolliert, starten, dessen Abschluss bis zum 31. Dezember 2027 erforderlich ist. Dieses Pilotprojekt soll als Orientierung für eine breitere Einführung vor den Fristen 2030 und 2031 dienen. Die Verordnung hebt zudem langfristige Datenrisiken hervor. Darin heißt es:

„Anhaltende Cyberaktivitäten gegen unser Land bergen zudem das Risiko, dass Gegner bereits jetzt Informationen der Vereinigten Staaten sammeln und diese später entschlüsseln, sobald groß angelegte Quantencomputer einsatzbereit sind.“

Änderungen im Beschaffungswesen werden im Rahmen eines Regelungsverfahrens umgesetzt. Der Federal Acquisition Regulatory Council hat 180 Tage Zeit, einen Regelungsvorschlag zu veröffentlichen, der die betroffenen Auftragnehmer verpflichtet, bis zum 31. Dezember 2030 die NIST-Standards – einschließlich postquanten sicherer Algorithmen – zu erfüllen. Auch kritische Infrastrukturen sind einbezogen: Die für das Risikomanagement in den einzelnen Sektoren zuständigen Behörden wurden angewiesen, mit der CISA zusammenzuarbeiten, um Betreibern bei der Erstellung von Migrationsplänen zu helfen, während die CISA und das NIST 270 Tage Zeit haben, Leitlinien zu den Mindestanforderungen für eine kryptografische Stückliste zu veröffentlichen.

Die Anordnung geht über inländische Systeme hinaus, indem sie den Außenminister anweist, sich mit Bundesbehörden und Geheimdienstmitarbeitern abzustimmen, um die Einführung der NIST-Post-Quantum-Standards im Ausland zu fördern. Nationale Sicherheitssysteme werden einem separaten Verfahren folgen, wobei der Direktor der NSA verpflichtet ist, dem Präsidenten innerhalb von 180 Tagen und danach jährlich über die Fortschritte Bericht zu erstatten.