SoK: Post-Quantum Cryptography (PQC) Implementation in Software Systems

Diese Systematization of Knowledge (SoK)-Arbeit analysiert die Herausforderungen bei der Implementierung von Post-Quanten-Kryptographie (PQC) durch den Human, Organisation, und Technology (HOT)-Rahmen, wobei sie ein kritisches Ungleichgewicht aufzeigt, in dem menschliche und organisatorische Faktoren unteruntersucht werden, und schlägt das PQC-HOT-Modell vor, um eine koordinierte soziotechnologische Transformation für eine erfolgreiche Integration zu leiten.

Das Wesentliche

Das große Ganze: Ein Quantensturm zieht auf

Stellen Sie sich vor, die Welt der digitalen Sicherheit sei wie eine Festung, die Ihr Bankkonto, Ihre Passwörter und Ihre privaten Nachrichten schützt. Momentan sind die Schlösser an den Türen aus einem sehr starken Metall gefertigt (die aktuelle Verschlüsselung wie RSA).

Doch Wissenschaftler bauen gerade eine neue Art von „Superbohrer" namens Quantencomputer. Sobald dieser Bohrer leistungsstark genug ist, wird er in der Lage sein, diese Metallschlösser in Sekundenschnelle zu zertrümmern und Ihre Daten schutzlos freizulegen.

Um das zu verhindern, haben Kryptografen neue, superstarke Schlösser erfunden, die aus einem anderen Material bestehen, das man Post-Quanten-Kryptografie (PQC) nennt. Diese neuen Schlösser sind so konzipiert, dass selbst der Superbohrer sie nicht knacken kann.

Das Problem: Wir haben zwar die Baupläne für diese neuen Schlösser, aber wir wissen nicht, wie wir sie tatsächlich in den Millionen bestehenden Gebäude (Softwaresysteme) installieren sollen, die wir jeden Tag nutzen. Diese Arbeit ist eine massive Untersuchung darüber, warum die Installation dieser neuen Schlösser so schwierig ist.

---

Die Untersuchung: Der Blick auf den „dreibeinigen Hocker"

Den Autoren wurde klar, dass die Menschen das Problem nur durch eine einzige Linse betrachteten: die Technologie. Sie fragten: „Ist die Mathematik korrekt?" und „Ist der Code schnell?"

Doch die Autoren argumentieren, dass die Installation dieser neuen Schlösser dem Versuch gleicht, einen dreibeinigen Hocker auszubalancieren. Wenn ein Bein fehlt oder wackelig ist, kippt das ganze Ding um. Sie nennen diese drei Beine HOT:

1. H - Human (Mensch): Die Menschen (Entwickler), die die Schlösser bauen und installieren müssen.
2. O - Organisation (Organisation): Die Unternehmen und Regierungen, die dafür bezahlen, die Regeln festlegen und den Übergang managen.
3. T - Technology (Technologie): Die eigentliche Mathematik, der Code und die Werkzeuge, die verwendet werden, um die Schlösser herzustellen.

Was sie herausfanden: Die „technologische Voreingenommenheit"

Die Forscher starteten mit einer riesigen Menge an Material: Sie durchsuchten einen Anfangspool von über 10.000 Publikationen. Doch um wirklich tiefgründige und relevante Erkenntnisse zu gewinnen, wählten sie systematisch nur 29 sorgfältig ausgewählte Studien für ihre endgültige Analyse aus. Hier ist, was sie in diesen 29 Studien entdeckten:

• Das „technologische" Bein ist riesig: Fast die gesamte Forschung konzentriert sich auf die Technologie. Die Menschen sind damit beschäftigt, bessere Mathematik zu erfinden, Code-Bibliotheken zu schreiben und zu testen, ob die Algorithmen funktionieren. Es ist, als hätte man ein ganzes Lager voller perfekter Schloss-Baupläne.
• Das „menschliche" Bein ist winzig: Es gibt nur sehr wenig Forschung darüber, wie man Entwickler lehrt, diese neuen Schlösser zu benutzen. Die meisten Schulungen richten sich an Studenten, nicht an die tatsächlichen Software-Ingenieure, die in Unternehmen arbeiten. Es ist, als hätte man die Baupläne, aber keine Bedienungsanleitung für die Baustelle.
• Das „organisatorische" Bein fehlt komplett: Die Analyse ergab, dass unter den 29 ausgewählten Studien keine einzige existiert, die sich explizit mit Governance-Strukturen, organisatorischer Planung oder regulatorischer Compliance für PQC befasst. Es gibt also nicht nur „fast keine" Forschung – es gibt gar keine wissenschaftliche Arbeit, die diesen Aspekt direkt adressiert. Es ist, als hätte man die Schlösser und die Crew, aber keinen Projektleiter, der ihnen sagt, wann sie anfangen sollen oder wer dafür bezahlt.

Die Analogie: Stellen Sie sich vor, Sie versuchen, den Motor eines Autos zu ersetzen, während es auf der Autobahn fährt.

• Technologie ist der neue Motor.
• Mensch ist der Mechaniker, der ihn austauscht.
• Organisation ist die Verkehrsleitung und das Budget, um den neuen Motor zu kaufen.
• Das Ergebnis der Arbeit: Wir haben einen großartigen neuen Motor (Technologie), aber wir haben weder die Mechaniker geschult (Mensch) noch den Verkehr geregelt (Organisation). Wenn wir den Motor einfach nur dranschrauben, ohne die anderen beiden Aspekte zu berücksichtigen, wird das Auto abstürzen.

Die Gefahr der „Querschnittsbildung"

Die Arbeit erklärt, dass diese Probleme nicht in ihren eigenen Bahnen bleiben. Sie vermischen sich und machen die Situation schlimmer. Dies nennt man Sozio-technologische Kopplung.

• Beispiel: Wenn die technologischen Werkzeuge verwirrend sind (schlechtes Design), gerät der menschliche Entwickler unter Stress und macht einen Fehler.
• Ergebnis: Da die Organisation keinen Plan für die Schulung oder die Überprüfung der Arbeit hatte (weil es dazu schlicht keine Forschung gibt), bleibt dieser Fehler unbemerkt, bis das System versagt.

Die Autoren nennen dies einen „Teufelskreis". Ein schwaches Werkzeug führt zu einem menschlichen Fehler, und ein Mangel an organisatorischer Unterstützung lässt diesen Fehler zu einer Katastrophe werden.

Die Lösung: Das PQC-HOT-Modell

Um dies zu beheben, schlagen die Autoren eine neue Denkweise vor, das PQC-HOT-Modell.

Betrachten Sie dieses Modell als einen dreifachen Handschlag. Damit Post-Quanten-Sicherheit funktioniert, können Sie nicht einfach nur die Mathematik aufrüsten. Sie müssen alle drei Bereiche gleichzeitig aufrüsten:

1. Bauen Sie bessere Werkzeuge, die für Menschen leicht zu bedienen sind (Technologie).
2. Schulen Sie die Menschen, damit sie verstehen, wie sie diese sicher verwenden (Mensch).
3. Erstellen Sie Unternehmenspläne, die Zeit, Geld und Regeln für den Wechsel vorgeben (Organisation).

Das wichtigste Fazit

Die Arbeit kommt zu dem Schluss, dass der Übergang zur Post-Quanten-Sicherheit nicht nur ein Mathematikproblem ist. Es ist ein Menschen- und Managementproblem, das als Mathematikproblem getarnt ist.

Wenn wir uns nur auf das „Schloss" (den Code) konzentrieren und den „Schlosser" (den Entwickler) und den „Gebäudeeigentümer" (die Organisation) ignorieren, wird die neue Sicherheit scheitern. Um erfolgreich zu sein, müssen wir den Übergang als eine vollständige Systemumstellung behandeln, bei der der Code, die Menschen und die Geschäftspläne harmonisch zusammenarbeiten.

Technische Zusammenfassung

Technischer Überblick: SoK zu Implementierungen der Post-Quanten-Kryptographie (PQC) in Softwaresystemen

1. Problemstellung

Der Übergang zur Post-Quanten-Kryptographie (PQC) ist entscheidend für den Schutz von Softwaresystemen vor zukünftigen quantengestützten Bedrohungen, wie sie durch Shor- und Grover-Algorithmen entstehen. Obwohl standardisierte PQC-Algorithmen verfügbar sind, bleibt deren sichere Integration in reale Softwaresysteme eine erhebliche Herausforderung. Die aktuelle Forschung konzentriert sich überwiegend auf das Algorithmen-Design, Sicherheitsbeweise und Leistungsbenchmarking. Dieser Fokus bietet jedoch nur begrenzte Einblicke in die breiteren soziotechnischen Faktoren, die für eine erfolgreiche Implementierung erforderlich sind.

Das identifizierte Kernproblem besteht darin, dass die PQC-Implementierung oft als rein technologischer Migrationsprozess behandelt wird. In Wirklichkeit handelt es sich um komplexe Interaktionen zwischen kryptographischen Mechanismen, der Expertise von Entwicklern und der organisatorischen Governance. In der bestehenden Literatur mangelt es an einer integrierten Synthese darüber, wie diese Dimensionen – Mensch, Organisation und Technologie (HOT) – die Implementierungsergebnisse kollektiv beeinflussen. Folglich sind aktuelle Praktiken durch fragmentierte Ansätze, experimentelle Integrationen und einen Mangel an einheitlicher Orientierung gekennzeichnet, was das Risiko von Fehlkonfigurationen und unsicheren Bereitstellungen erhöht.

2. Methodik

Diese Studie verwendet einen Systematisation of Knowledge (SoK)-Ansatz, der dem zweistufigen Protokoll von Kitchenham und Charters (Planung und Ausführung) folgt, um eine strukturierte und reproduzierbare Übersicht zu gewährleisten.

• Definition des Scopes: Die Übersicht nutzt das PICOC-Framework (Population, Intervention, Comparison, Outcome, Context), um den Umfang zu definieren, wobei der Fokus auf Methoden, Frameworks, Leitlinien, Werkzeugen und pädagogischen Interventionen für PQC in der Softwareentwicklung liegt.
• Datenquellen: Die Literatur wurde aus den wichtigsten digitalen Bibliotheken (ACM, IEEE Xplore, Springer etc.) und führenden Cybersecurity-Veranstaltungen (USENIX, CCS etc.) abgerufen.
• Auswahlkriterien: Die Übersicht umfasste wissenschaftliche Publikationen in englischer Sprache zwischen Januar 2020 und Februar 2026, wobei spezifische Einschlusskriterien für Studien zur PQC-Implementierung in der Software angewandt wurden. Zwei außergewöhnliche Studien aus den Jahren 2017 und 2019 wurden mittels Snowballing aufgrund ihrer Relevanz eingeschlossen.
• Auswahlprozess: Gemäß dem PRISMA 2020-Framework umfasste der Prozess drei Phasen: Suche in digitalen Bibliotheken, gezielte Suche in Konferenzen/Journals sowie Backward- und Forward-Snowballing. Aus einem ursprünglichen Pool von über 10.000 Publikationen wurden 29 Studien für die endgültige Analyse ausgewählt.
• Analyse: Eine sechsphasige thematische Analyse (Braun und Clarke) wurde angewandt, um Daten zu extrahieren und zu synthetisieren. Die Ergebnisse wurden systematisch auf das Human-Organisation-Technology (HOT)-Framework abgebildet, um die Implementierungsansätze und -herausforderungen über diese drei Dimensionen hinweg zu analysieren.

3. Zentrale Beiträge

Die Arbeit leistet vier primäre Beiträge zum Feld der PQC-Implementierung:

1. Soziotechnologische Synthese: Die Autoren bilden bestehende PQC-Implementierungsansätze (Leitlinien, Frameworks, Werkzeuge und pädagogische Interventionen) auf die HOT-Perspektive ab und zeigen dabei ein strukturelles Ungleichgewicht auf, bei dem technologische Lösungen dominieren, während menschliche und organisatorische Aspekte unterrepräsentiert sind.
2. Das PQC-HOT-Modell: Ein konzeptionelles Framework wird eingeführt, um die Interdependenzen zwischen menschlichen, organisatorischen und technologischen Faktoren zu erklären. Dieses Modell konzeptualisiert die PQC-Implementierung nicht als isolierte Aktivitäten, sondern als soziotechnologisches System, in dem kryptographische Mechanismen, die Fähigkeiten der Entwickler und organisatorische Prozesse gemeinsam die Sicherheitsergebnisse bestimmen.
3. Schichtweise Klassifizierung von Herausforderungen: Die Studie konstruiert eine geschichtete Klassifizierung der Implementierungsherausforderungen und zeigt deren Verteilung über die HOT-Dimensionen auf. Dies erweitert bisherige fragmentierte Kategorisierungen, indem es die übergreifenden, interdependenten Einschränkungen hervorhebt.
4. Konsolidierte Forschungsagenda: Basierend auf den identifizierten Lücken skizziert die Arbeit handlungsorientierte Forschungsrichtungen zur Förderung einer effektiven, praxisorientierten PQC-Implementierung, wobei der Schwerpunkt auf integrierten, lebenszyklusbewussten Strategien liegt.

4. Kernergebnisse

4.1. RQ1: Implementierungsansätze

Die Übersicht identifizierte vier Kategorien von Interventionen, die stark in Richtung der technologischen Dimension verzerrt sind:

• Leitlinien (G1): Konzentrieren sich primär auf mathematische Grundlagen und formale Sicherheitsbeweise (Technologisch).
• Frameworks (F1–F3): Umfassen Integrationsframeworks, Erweiterungen für Zertifizierungsstellen sowie Test- und Evaluierungsframeworks, die alle hauptsächlich innerhalb der technologischen Dimension operieren.
• Werkzeuge und Bibliotheken (T1–T4): Die operativ relevanteste Kategorie, einschließlich Implementierungsbibliotheken, Protokoll-Plugins, Testwerkzeugen und Migrationswerkzeugen. Diese sind fast ausschließlich Technologisch.
• Pädagogische Interventionen (E1–E2): Decken traditionelle und aktive pädagogische Strategien ab. Obwohl sie die menschliche Dimension adressieren, richten sie sich primär an ein akademisches Publikum und das theoretische Verständnis statt an die professionelle Praxis von Entwicklern.
• Organisatorische Dimension: Bemerkenswerterweise adressierten null Studien explizit Governance-Strukturen, organisatorische Planung oder regulatorische Compliance für die PQC-Implementierung.

4.2. RQ2: Implementierungsherausforderungen

Die Analyse zeigt, dass Herausforderungen nicht isoliert auftreten, sondern aus strukturellen Fehlausrichtungen über die HOT-Dimensionen hinweg resultieren. Sie sind in fünf Schichten organisiert:

1. Kryptographische und implementierungsspezifische Schwachstellen: Risiken entstehen durch algorithmische Schwächen, unreife Implementierungen und Seitenkanalangriffe. Selbst mathematisch sichere Algorithmen können aufgrund von Codierungsfehlern, unsicheren Optimierungen oder mangelnder Constant-Time-Ausführung scheitern.
2. Systembedingte und Lebenszyklus-Beschränkungen: PQC führt signifikante Overheads ein (Schlüsselgrößen, Speicher, Rechenaufwand), die im Konflikt mit Legacy-Architekturen stehen. Der Mangel an kryptographischer Agilität in bestehenden Systemen erschwert eine inkrementelle Migration und erfordert oft umfangreiches Refactoring.
3. Tooling- und Ökosystem-Risiken: Das Ökosystem ist fragmentiert, mit begrenzter Interoperabilität zwischen Werkzeugen und Bibliotheken. Schlecht gestaltete APIs, unsichere Standardeinstellungen und ein Mangel an standardisierten Validierungsmechanismen erhöhen die Wahrscheinlichkeit von Entwicklerfehlern.
4. Organisatorische und Governance-Barrieren: Organisationen stehen vor Unsicherheiten bezüglich Standardisierung, Migrationszeitplänen und regulatorischer Compliance. Es mangelt an Reifegradmodellen oder strukturierten Governance-Frameworks, die eine groß angelegte Transition leiten könnten.
5. Menschzentrierte Schwachstellen: Es besteht eine Diskrepanz zwischen theoretischem Wissen und praktischen Implementierungsfähigkeiten. Entwicklern mangelt es oft an der spezifischen Expertise, die für eine sichere PQC-Programmierung erforderlich ist (z. B. Speichersicherheit, Parameterwahl), und pädagogische Initiativen adressieren selten professionelle, praxisorientierte Bedürfnisse.

Darüber hinaus hebt die Studie übergreifende Herausforderungen hervor, die nicht als separate sechste Schicht, sondern als interdependente Constraints fungieren, die sich über die oben genannten fünf Schichten und die HOT-Dimensionen hinweg fortpflanzen. Beispielsweise erhöht ein schlechtes Tool-Design (Technologisch) die kognitive Last und die Fehlerrate für Entwickler (Mensch), während eine schwache Governance (Organisation) versäumt, diese Probleme zu entschärfen. Diese Propagation von Risiken über die Dimensionen hinweg unterstreicht die systemische Natur der Implementierungsherausforderungen.

5. Bedeutung und Behauptungen

Die Arbeit behauptet, dass die PQC-Implementierung grundlegend eine soziotechnologische Transformation und nicht lediglich ein einfaches kryptographisches Upgrade ist. Die Bedeutung dieser Arbeit liegt in:

• Reframing des Problems: Sie verschiebt die Perspektive von einer rein algorithmischen Herausforderung hin zu einem systemischen Engineering-Problem, das Softwarearchitektur, Entwicklerverhalten und organisatorische Strategie umfasst.
• Aufzeigen von Ungleichgewichten: Durch die Anwendung des HOT-Frameworks demonstriert die Studie, dass der aktuelle Wissensstand stark auf technologische Lösungen verzerrt ist, wodurch kritische Lücken in der organisatorischen Bereitschaft und der Entwicklung menschlicher Fähigkeiten entstehen.
• Einführung des PQC-HOT-Modells: Dieses Modell bietet eine strukturierte Linse, um zu analysieren, wie Fehlausrichtungen zwischen den Dimensionen kaskadierende Risiken erzeugen. Es wird argumentiert, dass eine sichere Implementierung koordinierte Fortschritte in allen drei Dimensionen erfordert; isolierte technologische Verbesserungen sind unzureichend.
• Orientierung für zukünftige Arbeiten: Die Arbeit postuliert, dass die zukünftige Forschung über technologiezentrierte Ansätze hinausgehen muss, um integrierte, lebenszyklusbewusste Frameworks zu entwickeln, die Usability, Governance und Developer Experience adressieren. Sie fordert die Entwicklung von organisatorischen Reifegradmodellen, praxisorientierten Bildungswerkzeugen und "Secure-by-Design"-Abstraktionen, um eine nachhaltige PQC-Bereitstellung zu ermöglichen.

Die Autoren kommen zu dem Schluss, dass ohne die Adressierung der Interdependenzen zwischen menschlichen, organisatorischen und technologischen Faktoren selbst theoretisch sichere PQC-Lösungen scheitern könnten, eine zuverlässige, skalierbare und sichere Bereitstellung in realen Softwaresystemen zu erreichen.