Krypto-Agilität: Der Weg von der Bedrohung zur Handlungsfähigkeit

Quantencomputer bedrohen die Grundlagen unserer digitalen Sicherheit. Holger von Rhein hat in seinem Beitrag die Hintergründe beleuchtet: Harvest Now, Decrypt Later, Moscas Theorem und die historische Einordnung kryptografisch relevanter Quantencomputer zeichnen ein klares Bild – wir müssen handeln. Dieser Artikel widmet sich dem „Wie“.

Die unbequeme Wahrheit: Kryptografie ist kein „Set and Forget“. Wer Holgers Artikel gelesen hat, kennt die Ausgangslage: Die Frage ist nicht mehr ob, sondern wann ein kryptografisch relevanter Quantencomputer Realität wird. Die NIST hat mit FIPS 203 (ML-KEM), FIPS 204 (ML-DSA) und FIPS 205 (SLH-DSA) bereits 2024 die ersten Post-Quantum-Standards finalisiert. Das BSI positioniert sich klar an der Seite der EU und empfiehlt, die Migration zeitnah einzuleiten. Die Werkzeuge liegen auf dem Tisch.

Und trotzdem wird das Thema in vielen Organisationen nicht mit der gebotenen Dringlichkeit behandelt, ähnlich wie in den frühen Tagen der DSGVO oder aktuell mit der NIS-2-Einführung. Man hat vielleicht davon gehört, aber unterschätzt, wie groß der Berg tatsächlich ist. In der Konsequenz bleibt der erste Schritt aus. Dabei offenbart die Post-Quanten-Herausforderung ein weit tieferliegendes, strukturelles Problem: Die meisten Organisationen wissen schlicht nicht, wo und wie sie Kryptografie einsetzen. Keine Inventare, keine zentrale Governance, keine Agilität. Kryptografie wurde über Jahrzehnte als unsichtbare Selbstverständlichkeit behandelt – eingebettet in Bibliotheken, Protokolle und Appliances, über die niemand eine Gesamtübersicht hat.

Genau hier setzt Krypto-Agilität an. Und nein, das ist kein bloßes Buzzword. Es beschreibt die Fähigkeit einer Organisation, kryptografische Algorithmen, Protokolle und Schlüssel systematisch, zeitnah und möglichst unterbrechungsfrei austauschen zu können – nicht nur einmal, sondern kontinuierlich. Denn selbst Post-Quanten-Algorithmen sind nicht für die Ewigkeit gemacht. Wer heute eine starre PQC-Migration durchführt, ohne dabei Agilität als Designprinzip zu verankern, schafft die nächste Altlast.

Bin ich überhaupt betroffen? Die kurze Antwort: Ja. Wenn eine Organisation digitale Kommunikation betreibt, Daten speichert oder Software entwickelt, nutzt sie Kryptografie. TLS, VPN, PKI, Festplattenverschlüsselung, Signaturverfahren, API-Authentifizierung: All das basiert auf kryptografischen Bausteinen, den sogenannten Primitiven,, die durch Quantencomputer bedroht sind.

Die differenziertere Antwort ergibt sich aus zwei Aspekten – dem Zeitdruck und der Komplexität der eigenen kryptografischen Landschaft. Dabei stehen Organisationen mit langfristig schützenswerten Daten unter dem höchsten Zeitdruck. Moscas Theorem gibt uns die entscheidende Formel an die Hand: Wenn die Summe aus der Geheimhaltungsdauer der Daten und der benötigten Migrationszeit größer ist als die Zeit bis zur Verfügbarkeit eines kryptografisch relevanten Quantencomputers, dann sind die Daten bereits jetzt im Risiko.

Für Organisationen, deren Daten über Jahrzehnte hinweg vertraulich bleiben müssen (etwa in der Verteidigung, der Forschung oder dem Gesundheitswesen), hätte die Migration bereits beginnen müssen. Doch mittlerweile geht die Gleichung für „normale“ Betriebe nicht mehr auf. Schon gesetzliche Aufbewahrungsfristen von zehn Jahren, etwa beim Handels- und Steuerrecht, reichen in Kombination mit realistischen Migrationszeiten aus, um das Zeitfenster von Moscas Theorem zu sprengen. Wenn ein Angreifender heute verschlüsselten Datenverkehr abfängt (Harvest Now, Decrypt Later), ist der Schaden bei der Verfügbarkeit eines kryptografisch relevanten Quantencomputers bereits eingetreten – unabhängig davon, wann das sein wird.

Das betrifft zum Beispiel:

  • Behörden und Verteidigung: Staatliche Kommunikation, die über Dekaden geheim bleiben muss.
  • Gesundheitswesen: Patientendaten unterliegen strengstem Schutz – und zwar dauerhaft.
  • Forschung und geistiges Eigentum: Forschungsergebnisse, deren wirtschaftlicher Wert auf Jahre hinaus kritisch ist.
  • Finanzsektor: Langfristige Vertragsdaten, Transaktionshistorien, strategische Planungen
  • Konzerne: Hochkomplexe IT-Landschaften, Patente, Firmengeheimnisse und strategische Planungen

Regulatorische Rahmenwerke verschärfen den Druck zusätzlich. Wer unter NIS-2, den Cyber Resilience Act (CRA), ISO 27001, IT-Grundschutz oder branchenspezifische Regelungen wie DORA oder TISAX fällt, wird sich bald mit der Frage konfrontiert sehen, ob die eigene kryptografische Praxis den Anforderungen noch genügt. Diese Regularien fordern üblicherweise bereits heute explizit den Einsatz „dem Stand der Technik entsprechender“ Kryptografie. Das BSI empfiehlt explizit klassisch eingesetzte Kryptografie für hohe Schutzbedarfe nur bis Ende 2030 und für die restlichen Anwendungen bis Ende 2031. Demnach ist die Definition vom „Stand der Technik“ klar: Die Nutzung von quantensicheren Verfahren.

Organisationen mit komplexen, historisch gewachsenen IT-Landschaften – typischerweise im Mittelstand und in Konzernen – stehen vor einer besonderen Herausforderung: Kryptografie steckt nicht nur in den offensichtlichen Punkten (TLS-Zertifikate, VPN-Gateways), sondern tief in der Lieferkette, in eingebetteten Systemen, in OT-Umgebungen und in selbst entwickelter Software. Die Migrationszeit kann hier besonders groß sein, was das von Mosca beschriebene Zeitfenster weiter verengt.

Selbst wenn ihre Daten keine jahrzehntelange Geheimhaltung erfordern und sie keiner strikten Regulatorik unterliegen: Krypto-Agilität ist eine architektonische Eigenschaft, die sich nicht über Nacht herstellen lässt. Wer heute beginnt, verschafft sich strategischen Spielraum. Wer wartet, wird irgendwann unter Zeitdruck und einem erhöhten Risiko sowie höheren Kosten migrieren müssen.

Der Weg zur Krypto-Agilität

Krypto-Agilität entsteht nicht durch ein einzelnes Projekt, sondern durch einen strategischen Aufbauprozess, der sich in klar abgrenzbare Phasen gliedern lässt. Im Folgenden skizzieren wir unseren erprobten Ansatz, der sich an der Realität mittelständischer und großer Organisationen orientiert.

Phase 1: Standortbestimmung – Wo stehen wir?

Bevor man irgendetwas migriert, muss man verstehen, was es zu migrieren gilt. Und genau hier liegt bei den meisten Organisationen die größte Lücke.

Unser Crypto-Basis-Check ist der erste, entscheidende Schritt. Er umfasst die Sichtung der kryptografischen Landschaft. Das bedeutet eine systematische Erfassung über alle relevanten Domänen hinweg, von der Zusammenarbeit, Vendor- & Supply-Chain-Readiness bis zum internen Wissen. Dabei betrachten wir alle kryptografischen Kategorien:

  • Operative Kryptografie: PKI-Infrastrukturen, Schlüsselmanagement, Konfigurationen, At-Rest-Verschlüsselung, OT-Umgebungen, …
  • Software-Kryptografie: Kryptografische Bibliotheken, Abhängigkeiten, hartcodierte Schlüssel oder Algorithmen …
  • Netzwerk-Kryptografie: Protokolle, Cipher Suites, In-Transit-Verschlüsselung, Firewall- und VPN-Konfigurationen, …
  • Managed und Hardware-basierte Kryptografie: Verwaltete Schlüssel, HSMs, …

Außerdem gilt klar: Nicht jede Kryptografie ist gleich kritisch. Die zentrale Frage lautet daher:

„Wie lange müssen welche Daten vertraulich, integer oder authentisch bleiben?“

Diese Frage speist direkt in Moscas Theorem ein und liefert die Grundlage für jede sinnvolle Priorisierung. Aus alldem entsteht ein Lagebild, das sich in einem Krypto-Reifegrad-Modell verdichten lässt – von Ad hoc (keine Sichtbarkeit, keine Strategie) bis Optimierend (automatisierte Inventarisierung, abgeschlossener PQC-Rollout für Hochrisikosysteme, kontinuierliche Verbesserung). Dieses Modell dient als KPI-Framework: messbar, nachvollziehbar und steuerungsrelevant. Ein solcher Basis-Check ist – je nach Größe der Organisation – in wenigen Tagen bis zu wenigen Wochen durchführbar und liefert die Entscheidungsgrundlage für alles Weitere.

Phase 2: Inventarisierung und Risikoanalyse – Was haben wir und was davon ist kritisch?

Auf dem Crypto-Basis-Check aufbauend folgt die systematische, unternehmensweite Inventarisierung kryptografischer Assets. Hier gelten einige Grundprinzipien, die wir aus der Praxis ableiten:

  • Vollständigkeit: Das Inventar wird nie vollständig sein – und das ist in Ordnung. Wer auf Vollständigkeit wartet, wird nie fertig. Wichtiger als Perfektion ist ein belastbarer Prozess, der kontinuierlich verbessert wird. Dennoch muss die Erfassung ambitioniert sein.
  • Automatisierung: Netzwerk-Scans, TLS-Checks, Dependency-Analysen in CI/CD-Pipelines – vieles lässt sich toolgestützt erfassen. Wo Scanner nicht hinkommen (OT, Legacy, Blackbox-Appliances), braucht es halbautomatisierte oder manuelle Erfassung.
  • Standardisierung durch CBOM: Die Cryptographic Bill of Materials (CBOM) hat sich als Standardformat für kryptografische Inventare etabliert. Wer sein Inventar heute auf dem CBOM-Standard aufbaut, schafft Anschlussfähigkeit für zukünftige Automatisierung und Tool-Ökosysteme.
  • Erweiterung des bestehenden Asset-Managements: In vielen Organisationen existieren bereits CMDB- oder Asset-Management-Systeme. Die Frage ist nicht, ob man ein neues System braucht, sondern wie sich das bestehende um kryptografische Attribute erweitern lässt.
  • Dokumentation: Was nicht erfasst werden kann, muss dokumentiert werden. Wenn ein System sich einer kryptografischen Inventarisierung entzieht – etwa eine proprietäre Appliance ohne Einsicht in die verwendete Kryptografie – ist das kein Grund, es zu ignorieren. Es ist ein Grund, es als Risiko zu behandeln und den Hersteller in die Pflicht zu nehmen.

Auf Grundlage des Inventars erfolgt die Risikoanalyse. Hierbei empfiehlt sich eine Dreistufung:

KategorieBeschreibung
Akutes Risikobereits heute unsichere Kryptografie (z.B. TLS 1.0, SHA-1, RSA < 2048 Bit)sofortiger Handlungsbedarf, unabhängig von der Quantenbedrohung
Quantum-Risikoheute noch sichere Kryptografie, in Zukunft durch Quantencomputer knackbarPriorisierung über Moscas Theorem
Kein (akutes) Risikokurzlebige Daten mit niedrigem Schutzbedarf und geringer Migrationszeit

Die Ergebnisse lassen sich in einer Risiko-Heatmap verdichten, die sowohl dem operativen Team als auch dem Management als Steuerungsinstrument dient. Assets, die sich der Inventarisierung entzogen haben, sollten mindestens als PQC-Risiko eingestuft werden, denn wo Unklarheit herrscht, muss das Vorsichtsprinzip gelten.

Ein nicht zu unterschätzender Nebeneffekt: Die kryptografische Risikoanalyse fördert häufig akute Schwachstellen zutage, die mit der Quanten-Bedrohung gar nichts zu tun haben. Veraltete Protokolle, abgelaufene Zertifikate, unsichere Konfigurationen – die „Krypto-Hygiene“ ist oft der erste sogenannte No-Regret-Move.

Phase 3: Governance – Richtlinien, Prozesse, Verantwortlichkeiten

Technische Migration ohne organisatorische Verankerung ist Sisyphusarbeit. Deshalb ist die Etablierung einer kryptografischen Governance ein essenzieller Baustein – und einer, der oft unterschätzt wird. Viele Organisationen verfügen über eine Krypto-Richtlinie und seltener über ein Krypto-Konzept. Für die vorhandene Richtlinie gilt allerdings oft, dass sie seit Jahren nicht aktualisiert wurde, ausschließlich auf die ungelesene TR-02102 des BSI für Details verweist und PQC nur indirekt berücksichtigt. Eine zeitgemäße Krypto-Richtlinie muss folgende Aspekte abdecken:

  • Zuverlässige Verfahren: Klare Vorgaben für zulässige Algorithmen, Schlüssellängen und Protokolle, inklusive einer Positionierung zu PQC und hybriden Verfahren
  • Regulatorischer Bezug: Ausrichtung an einschlägigen Standards und Vorgaben (BSI TR-02102, NIST SP 800-131A, branchenspezifische Regelwerke)
  • Reaktionsfähigkeit: Finden von Antworten auf die Fragen: Was passiert, wenn morgen ein Algorithmus gebrochen wird? Wer entscheidet? In welcher Zeit? Über welche Meldewege?

Kryptografie betrifft nicht nur die IT-Abteilung. Einkaufsprozesse müssen kryptografische Anforderungen an Produkte und Dienstleister stellen. Softwareentwicklungsprozesse müssen kryptografische Prüfungen einschließen. Und im Lieferantenmanagement müssen PQC-Roadmaps eingefordert und bewertet werden, denn Ihre Krypto-Agilität ist immer nur so gut wie die Ihrer schwächsten Abhängigkeit. Wenn Ihr VPN-Anbieter, Ihr Cloud-Dienstleister oder Ihr HSM-Hersteller keine PQC-Roadmap hat, wird Ihre eigene Migration an genau dieser Stelle blockiert. Der Dialog mit dritten Parteien muss frühzeitig und strukturiert geführt werden.

Phase 4: Proof of Concept und Pilotprojekte – Kontrolliertes Lernen

Bevor eine unternehmensweite Migration beginnt, braucht es kontrollierte Erfahrungsräume. PoC- und Pilotprojekte sind keine optionale Kür, sondern eine notwendige Risikominderung.

Warum Pilotprojekte unverzichtbar sind:

  • Wissensaufbau: PQC-Algorithmen verhalten sich anders als ihre klassischen Vorgänger. Signaturgrößen von ML-DSA oder SLH-DSA sind zum Teil erheblich größer als bei RSA oder ECDSA. Schlüsselgrößen bei ML-KEM unterscheiden sich von ECDH. Dieses Wissen muss in der Organisation ankommen. Nicht nur theoretisch, sondern durch praktische Erfahrung.
  • Interoperabilitätstests: Legacy-Systeme und Middleware kommen mit größeren Schlüsseln und Signaturen nicht immer zurecht. Paketgrößen können MTU-Grenzen überschreiten, Zertifikatsketten können Parser überfordern, Handshakes können Timeouts auslösen. All das will vor dem Produktiv-Rollout entdeckt werden.
  • Hybride Verfahren validieren: Der empfohlene Migrationspfad führt über hybride Kryptografie – also die Kombination klassischer und PQC-Algorithmen. Damit bleibt die Sicherheit auch dann gewährleistet, wenn sich einer der beiden Algorithmen als schwächer herausstellt als erwartet.

Phase 5: Migration und kontinuierliche Verbesserung

Die eigentliche Migration ist kein Sprint, sondern ein priorisierter, phasenweiser Marathon. Dabei müssen Abhängigkeiten der Assets untereinander, technische Einschränkungen und Work-Arounds sowie Kritikalität berücksichtigt werden. Außerdem können PQC-Algorithmen – je nach Parametersatz – signifikant größere Schlüssel, Signaturen und Ciphertexte erzeugen. Das hat Auswirkungen auf Netzwerkbandbreite, Speicher, CPU-Last und Latenz. Eine vorgelagerte Kapazitätsplanung verhindert böse Überraschungen im Produktivbetrieb.

PQC ist komplex. Entwickelnde und Administrierende müssen verstehen, was sich ändert, warum es sich ändert und wie die neuen Algorithmen korrekt eingesetzt werden. Falsch konfigurierte PQC-Kryptografie ist nicht besser als gar keine. Schulungen sind also zu Beginn von Migrationsbestrebungen besonders sinnvoll.

Nach Abschluss der Migrationsschritte sollte der Krypto-Reifegrad erneut erhoben werden. Das macht Fortschritte sichtbar, identifiziert verbleibende Baustellen und gibt dem Management eine belastbare Grundlage für weitere Investitionsentscheidungen.

Krypto-Reifegrad: Wo stehen Sie?

Um die eigene Position auf dem Weg zur Krypto-Agilität greifbar zu machen, hat sich ein fünfstufiges Reifegradmodell bewährt:

StufeBezeichnungCharakteristik
1Ad hocKeine Sichtbarkeit über die eigene kryptografische Landschaft. Kryptografie wird reaktiv und ohne zentralen Plan implementiert. Kein Bewusstsein für PQC-Risiken.
2SensibilisiertWichtige Stakeholder sind informiert. Erste isolierte Assessments finden statt. Pläne werden entwickelt, um Erwartungen und Erkenntnisse mit relevanten Stakeholdern zu teilen.
3StrukturiertUnternehmensweite Krypto-Inventare sind erstellt. Risiko-Heatmaps und Strategiedokumente liegen vor. Tools und Ressourcen für die Migration sind identifiziert und zugewiesen.
4OperativPrinzipien der Krypto-Agilität sind in der Architektur verankert. PQC-Piloten laufen. Kryptografische Metriken werden überwacht (z. B. Alerts bei Richtlinienverstößen, Certificate-Lifecycle-Monitoring, Anomalie-Erkennung in hybriden Prozessen).
5OptimierendVollständig automatisierte Inventarisierung und Krypto-Überwachung. PQC-Rollout für Hochrisikosysteme ist abgeschlossen. Prozesse zur kontinuierlichen Verbesserung sind etabliert. Die Organisation kann schnell auf neue Standards oder Bedrohungen reagieren.

Die meisten Organisationen, mit denen wir sprechen, befinden sich derzeit irgendwo zwischen Stufe 1 und 2. Das ist keine Schande – es ist der Normalzustand. Entscheidend ist, dass der Weg nach oben jetzt beginnt.

Der nächste Schritt

Die Post-Quanten-Migration ist aktuell eine der größten Herausforderungen für die IT-Sicherheit. Sie betrifft jede Schicht des Technologie-Stacks, jede Branche und jede Organisationsgröße. Aber sie kann bewältigt werden, wenn man sie strukturiert angeht. Der beste Zeitpunkt, mit Krypto-Agilität zu beginnen, war gestern. Der zweitbeste ist heute.

Die Uhr läuft: Warum die Post-Quanten-Migration jetzt beginnen muss

Be liberal in what you accept – don’t trust anything. Das Thema Vertrauen in Netzwerken hat einen radikalen Wandel vollzogen. Wo es in den Anfangszeiten der modernen IT noch mit einer guten Portion Vertrauensvorschuss voranging, ist heute große Skepsis angebracht. Und mit Quantencomputern steht bereits der nächste Paradigmenwechsel bevor.

Vertrauen im Wandel – eine kurze Geschichte der Netzwerksicherheit

In general, an implementation should be conservative in its sending behavior, and liberal in its receiving behavior.” Diesen Satz formulierte Jon Postel in den Anfangstagen des Internets. Mit diesem Satz in seinem RFC 760 zum Internet-Protokoll im Jahr 1980 sollte er die Netzwerkentwicklung nachhaltig prägen. Nur ein Jahr später, im RFC 793 zur Spezifikation des TCP, erhob er diesen Gedanken explizit zum Robustheitsprinzip: „Be conservative in what you do, be liberal in what you accept from others.

Zum damaligen Zeitpunkt galt dies als pragmatische Ingenieursweisheit. Es entsprach dem Geist einer Zeit, in der das Netz eine überschaubare Gemeinschaft von Universitäten und Forschungseinrichtungen verband. Man kannte sich. Man vertraute sich. Und genau dieses Grundvertrauen wurde zum Fundament eines Netzwerks, das nie für das gebaut wurde, was es heute ist: Ein globales Netzwerk, wo die nächste Gefahr fürs eigene Netzwerksegment nur einen Hop entfernt ist.

Als das Internet in den 1990er-Jahren seinen Weg in Unternehmen fand, wurde schnell klar, dass Postels großzügiges Prinzip allein nicht ausreichen würde. Nicht jeder Teilnehmende im Netz hatte gute Absichten. Die Antwort der IT-Sicherheit folgte einer Logik, die so alt ist wie die Zivilisation selbst: Man baute eine Mauer. Das Modell des Perimeterschutzes war geboren – eine klare Grenze zwischen Innen und Außen. Firewalls filterten den Datenverkehr an den Toren. Was innerhalb der Mauern lag, galt als vertrauenswürdig. Postels Prinzip der Großzügigkeit lebte dort weiter – aber nur noch im geschützten Inneren.

Doch Mauern haben ein grundsätzliches Problem: Sie schützen nur, solange niemand sie überwindet. Wer einmal drinnen ist – ob berechtigt oder nicht – genießt volles Vertrauen. Und die Welt jenseits der Mauern wurde größer, feindseliger, unübersichtlicher.

Parallel dazu reiften kryptografische Verfahren heran, die eine fundamental andere Art von Vertrauen ermöglichten: nicht mehr Vertrauen durch Zugehörigkeit zu einem Netzwerk, sondern Vertrauen durch mathematisch überprüfbare Identität. SSL und sein Nachfolger TLS sicherten die Kommunikation zwischen Endpunkten. VPNs schufen verschlüsselte Tunnel zwischen perimetergeschützten Umgebungen über unsicheres Terrain. Public-Key-Infrastrukturen etablierten Vertrauensketten, die an keine physische Netzwerkgrenze gebunden waren. Was als Ergänzung zum Perimeterschutz begann, wurde zunehmend zu einer eigenständigen Sicherheitsschicht – und schließlich zu einer Alternative.

Nach der Jahrtausendwende formulierte John Kindervag bei Forrester Research im Jahr 2010 den konsequenten Schluss aus dieser Entwicklung: Zero Trust. Das Prinzip ist in seiner Radikalität bemerkenswert einfach: Vertraue niemandem. Verifiziere immer alles.  Kein Netzwerkstandort, keine IP-Adresse, keine Firewall-Regel gewährt Vertrauen – nur die kryptografisch gesicherte, kontinuierlich überprüfte Identität eines Akteurs und der Kontext seiner Anfrage.

Zero Trust ist damit nicht nur eine technische Architektur. Es ist die konsequente Umkehrung von Postels Erbe. Wo das Robustheitsprinzip noch sagte “Sei großzügig in dem, was du akzeptierst”, antwortet Zero Trust “Akzeptiere nichts, was sich nicht zweifelsfrei ausweisen kann”. Aus implizitem Vertrauen wurde explizite Verifikation. Was einst als Tugend galt – Offenheit, Toleranz gegenüber dem Unbekannten – wurde in einer feindlichen Umgebung zur Schwachstelle.

Die Geschichte der Netzwerksicherheit ist damit auch eine Geschichte darüber, wie sich der Begriff des Vertrauens selbst gewandelt hat: vom sozialen Grundkonsens einer akademischen Gemeinschaft über die territoriale Logik befestigter Grenzen hin zu einem System, in dem Vertrauen nicht vorausgesetzt, sondern in jedem einzelnen Moment mathematisch bewiesen werden muss. Postel entwarf sein Prinzip für eine Welt, in der guter Wille die Regel war. Zero Trust wurde für eine Welt gebaut, in der man sich diesen guten Willen nicht mehr leisten kann.

Die vier Bedrohungsachsen der Kryptografie

Heute ist die Netzwerksicherheit fundamental von der Sicherheit der eingesetzten kryptografischen Verfahren abhängig. Diese Verfahren sehen sich vier zentralen Bedrohungsachsen ausgesetzt:

  1. Kontinuierliche Steigerung der Rechenleistung – was heute als sicher parametrisiert gilt, kann morgen durch brute-force-fähige Hardware fallen.
  2. Protokoll- und Implementierungsfehler – von Heartbleed (CVE-2014-0160) über ROBOT (CVE-2017-17382, CVE-2017-6168) bis hin zu Timing-Seitenkanalangriffen. Die Lücke liegt oft nicht im Algorithmus, sondern im Code.
  3. Mathematische Fortschritte – neue analytische Methoden können die effektive Sicherheit eines Verfahrens über Nacht reduzieren, wie zuletzt die Diskussionen um Angriffe auf gitterbasierte Verfahren zeigten.
  4. Quantencomputer – ein kryptografisch relevanter Quantencomputer (CRQC) würde RSA, ECDSA und Diffie-Hellman mittels Shors Algorithmus in polynomialer Zeit brechen.

Die strategische Antwort auf diese Bedrohungen trägt einen Namen: Kryptoagilität – die architektonische Fähigkeit, kryptografische Verfahren in bestehenden Systemen zügig und ohne disruptive Umbaumaßnahmen austauschen zu können (vgl. Fraunhofer SIT: Kryptoagilität). Kryptoagilität ist keine Option mehr. Sie ist eine Überlebensfähigkeit.

Die Quantenbedrohung: Näher als viele glauben

Lange Zeit galt ein kryptografisch relevanter Quantencomputer (CRQC) als akademische Spekulation. Doch die Faktenlage hat sich verdichtet:

  • 2015 veröffentlichte Prof. Michele Mosca, Mitgründer des Institute for Quantum Computing an der University of Waterloo, eine vielbeachtete Risikoabschätzung: Die Wahrscheinlichkeit, dass die heute eingesetzte Public-Key-Kryptografie durch einen Quantencomputer gebrochen wird, liege bei ca. 14 % bis 2026 und bei 50 % bis 2031 (Mosca 2015, eprint.iacr.org/2015/1075).
  • 2016 rief das NIST den Standardisierungsprozess für Post-Quantum Cryptography (PQC) ins Leben. In der Begründung (NIST IR 8105) hieß es unmissverständlich: Ein CRQC könne innerhalb von ein bis zwei Jahrzehnten zur realen Bedrohung werden.
  • August 2024 veröffentlichte das NIST die finalen PQC-Standards: FIPS 203 (ML-KEM, basierend auf CRYSTALS-Kyber), FIPS 204 (ML-DSA, basierend auf CRYSTALS-Dilithium) und FIPS 205 (SLH-DSA, basierend auf SPHINCS+). Der Werkzeugkasten für die Post-Quanten-Ära existiert. Die Standards sind da.
  • 2025 und darüber hinaus setzt sich die Standardisierungsdynamik fort: Mit FIPS 206 (FN-DSA, basierend auf FALCON) steht ein weiterer NIST-Standard für digitale Signaturen kurz vor der Veröffentlichung – ein Verfahren, das insbesondere durch kompakte Signaturen bei gleichzeitig moderaten Schlüsselgrößen besticht. Parallel dazu treibt die ISO die Standardisierung zweier Verfahren voran, die bewusst auf konservativere – und damit besser verstandene – mathematische Grundlagen setzen: FrodoKEM, dessen Sicherheit auf dem allgemeinen Learning-with-Errors-Problem (LWE) ohne Gitterstruktur basiert, sowie Classic McEliece, ein codebasiertes Verfahren mit über 40 Jahren kryptoanalytischer Resistenz (vgl. BSI TR-02102-1, Kryptografische Verfahren: Empfehlungen und Schlüssellängen, Version 2026-01, Abschnitte 2.4.1 & 2.4.2). Damit zeichnet sich ein diversifiziertes PQC-Ökosystem ab – eines, das nicht von einer einzelnen mathematischen Annahme abhängt und der Forderung nach Kryptoagilität auch auf Verfahrensebene Rechnung trägt.

Ein bemerkenswertes Detail verdient besondere Aufmerksamkeit: Anders als bei der Kernfusion, die stets „in 50 Jahren“ einsatzbereit sein soll – egal, wann man fragt –, hat sich die Einschätzung der Krypto-Community zum Zeithorizont eines CRQC über das letzte Jahrzehnt nicht nach hinten verschoben. Die Prognosen konvergieren beständig auf den Zeitraum 2030 bis 2035. Das ist keine vage Zukunft. Das ist dieses Jahrzehnt.

Harvest Now, Decrypt Later – die Bedrohung von heute

Die Quantenbedrohung ist keine Zukunftsmusik – sie materialisiert sich bereits. Unter dem Paradigma „Harvest now, decrypt later“ (HNDL) werden heute verschlüsselt übertragene Daten von staatlichen Akteuren und nachrichtendienstlichen Einheiten systematisch abgefangen und gespeichert, um sie zu einem späteren Zeitpunkt mit einem CRQC zu entschlüsseln.

Betroffen sind alle Daten, deren Vertraulichkeit über den Zeitpunkt der Übertragung hinaus Bestand haben muss: Staatsgeheimnisse, medizinische Daten, Geschäftsgeheimnisse, Verhandlungspositionen, Quellenschutz. Wer heute verschlüsselt kommuniziert, aber klassische Verfahren nutzt, gewährt retrospektive Einsicht, sobald ein CRQC verfügbar ist.

Die Bedrohung durch Quantencomputer ist daher nicht erst in zehn Jahren relevant. Sie ist es bereits jetzt.

Moscas Ungleichung: Warum die Schere bereits aufgegangen ist

Die eigentliche Eskalation liegt nicht im Quantencomputer selbst – sie liegt in der Asymmetrie zwischen Angriffs- und Verteidigungstempo.

Filippo Valsorda, einer der profiliertesten Stimmen im Bereich angewandter Kryptografie, hat diese Dynamik in einer vielbeachteten Analyse (words.filippo.io/crqc-timeline) auf den Punkt gebracht: Mit jedem Durchbruch in der Quantenfehlerkorrektur komprimiert sich die prognostizierte Zeitlinie für einen CRQC, während sich gleichzeitig die für eine vollständige kryptografische Migration benötigte Zeit als erschreckend lang erweist.

Das formalisiert Moscas Ungleichung:

x + y < z

x = benötigte Migrationszeit, y = geforderte Schutzfrist der Daten, z = verbleibende Zeit bis zum CRQC

Sobald x + y > z (die Summe aus Migrationszeit und Schutzbedarf die verbleibende Zeit bis zum CRQC übersteigt) ist das Zeitfenster für eine rechtzeitige Absicherung unwiderruflich geschlossen. Jeder Tag ohne begonnene Migration ist ein Tag, an dem die Schere weiter aufgeht. Es gibt keinen Weg, verlorene Zeit zurückzugewinnen.

Die konvergierenden Signale sind eindeutig: Google demonstrierte im Dezember 2024 mit dem Quantenprozessor Willow erstmals eine skalierende Quantenfehlerkorrektur unterhalb der Fehlerschwelle, wie sie seit den 1990er‑Jahren theoretisch vorhergesagt wurde. Die Ergebnisse, veröffentlicht in der wissenschaftlichen Fachzeitschrift Nature, zeigen, dass logische Qubits mit wachsender Größe exponentiell zuverlässiger werden. Ein Durchbruch, der Quantencomputing von einem physikalischen Experiment zu einer ingenieurtechnisch beherrschbaren Technologie und damit das Narrativ „Quantencomputer sind noch Jahrzehnte entfernt“ endgültig obsolet macht.

IBM, Google und Microsoft haben in den Jahren 2024–2025 konsistente Roadmaps veröffentlicht, die jeweils explizit auf fehlerkorrigierte (fault‑tolerante) Quantensysteme abzielen (Roadmap IBM, Roadmap Google, Roadmap Microsoft). Obwohl sie unterschiedliche Hardware‑Ansätze verfolgen, konvergieren ihre Zeitpläne auf die späten 2020er Jahre, mit ersten großskaligen, logisch geschützten Quantensystemen bis zum Ende dieses Jahrzehnts.

Nationale Sicherheitsbehörden gehen heute explizit davon aus, dass staatliche Akteure bereits verschlüsselten Datenverkehr massenhaft erfassen und langfristig speichern, um ihn mit zukünftigen kryptografischen Durchbrüchen – insbesondere durch Quantencomputer – nachträglich zu entschlüsseln. Dieses bereits weiter oben benannte Vorgehen ist als Harvest Now, Decrypt Later (HNDL) bekannt und wird in aktuellen Regierungs‑, Industrie‑ und Aufsichtsberichten als gegenwärtige, operative Realität beschrieben (stateofsurveillance.org, federalreserve.gov).

Damit hat sich die zentrale Frage verschoben: Es geht nicht mehr darum, ob die heutige Public-Key-Kryptografie fällt, sondern ob unsere Infrastrukturen schnell genug umgerüstet sein werden, wenn es so weit ist.

Was jetzt zu tun ist

Das klingt düster, ist aber kein Grund zur Resignation. Es ist ein Grund zum Handeln. Der Werkzeugkasten existiert. Die Standards sind verabschiedet. Die Migrationspfade werden klarer. Was fehlt, ist nicht Technologie. Was fehlt, ist Entschlossenheit und begonnene Arbeit.

Fünf Schritte, die Sie diese Woche anstoßen können:

  1. Kryptografisches Inventar erstellen: Sie können nicht migrieren, was Sie nicht kennen. Erfassen Sie systematisch, wo in Ihrer Infrastruktur welche kryptografischen Verfahren im Einsatz sind – von TLS-Konfigurationen über VPN-Tunnel bis hin zu Signaturverfahren in CI/CD-Pipelines und Firmware-Updates. Das BSI bezeichnet diesen Schritt als unverzichtbare Grundlage jeder Migrationsstrategie.
  2. Daten nach Schutzfrist klassifizieren: Nicht alle Daten sind gleich betroffen. Identifizieren Sie Assets, deren Vertraulichkeit oder Integrität über 2030 hinaus gewährleistet sein muss. Diese Daten stehen unter akuter HNDL-Bedrohung und erfordern priorisierte Migration.
  3. Kryptoagilität architektonisch verankern: Kryptografische Verfahren dürfen nicht hart in Anwendungen und Protokolle eingebrannt sein. Abstraktionsschichten, konfigurierbare Cipher-Suites und modulare Kryptobibliotheken sind die Voraussetzung dafür, dass die PQC-Migration nicht zum Großprojekt mit Zeithorizont 2035 wird.
  4. Hybride Ansätze jetzt evaluieren und pilotieren: Die NIST-Standards (ML-KEM, ML-DSA, SLH-DSA) sind final. Große Anbieter wie Cloudflare, Google und Signal setzen bereits hybride Verfahren (klassisch + PQC) in Produktion ein. Pilotieren Sie hybride TLS-Konfigurationen und Key-Encapsulation in Ihren kritischsten Kommunikationskanälen.
  5. Migration als strategisches Programm aufsetzen – nicht als Technikprojekt: Selbst bei guter Kryptoagilität bleibt die PQC-Migration mehr als ein Algorithmentausch. Sie betrifft Procurement-Anforderungen, Compliance-Nachweise, Partnerkommunikation, Zertifikats-Lifecycles und Legacy-Systeme, die sich nicht per Konfigurationsänderung umstellen lassen. Diese organisatorische Breite erfordert ein Mandat auf Leitungsebene, ein dediziertes Budget und einen realistischen, aber ambitionierten Zeitplan. Kryptoagilität verkürzt die technische Migrationszeit erheblich. Aber nur ein strategisches Programm stellt sicher, dass auch alles drumherum rechtzeitig mitkommt.

Moscas Ungleichung ist keine Abstraktion. Sie ist eine Stoppuhr – und sie läuft. Jeder Tag, an dem Ihre Organisation die Post-Quanten-Migration nicht aktiv vorantreibt, ist ein Tag, an dem sich das Zeitfenster für eine geordnete Transition weiter schließt. Die gute Nachricht: Wer heute beginnt, hat noch die Chance, vor der Kurve zu sein statt hinter ihr. Die Standards stehen. Die Werkzeuge reifen. Die Early Movers haben angefangen.

Die Frage ist nicht mehr, ob Sie migrieren müssen. Die Frage ist, ob Sie es rechtzeitig tun.

Fangen Sie an. Heute.

BSI zertifiziert quantensichere Smartcard

Unter der schwebenden Gefahr der Entwicklung eines kryptografisch relevanten Quantencomputers treiben unter anderem das BSI (Bundesamt für Sicherheit in der Informationstechnik) und auch das NIST (National Institute of Standards and Technology) seit geraumer Zeit die Ablösung der altbewährten asymmetrischen Verschlüsselungsalgorithmen (RSA, ECDSA, EdDSA, DH und ECDH) durch neue quantensichere Algorithmen voran.

https://www.forschung-it-sicherheit-kommunikationssysteme.de/dateien/forschung/2024-03-impulspapier-quanten-cybersicherheit.pdf

https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8547.ipd.pdf

Aber auch Europol hat Finanzinstitute und politische Entscheidungsträger weltweit aufgefordert, dem Übergang zur quantensicheren Verschlüsselung Priorität einzuräumen und Lösungen einzusetzen.

https://www.heise.de/news/Europol-Finanzinstitute-sollten-rasch-auf-quantensichere-Kryptografie-umsatteln-10274967.html

Das BSI hat nun das weltweit erste Common-Criteria-Sicherheitszertifikat (EAL6+, ALC_FLR.1) für eine konkrete Implementierung des (neuen) PQC-Verfahrens ML-KEM (https://csrc.nist.gov/pubs/fips/203/final) auf einer Smartcard erteilt.

Die quantensichere Smartcard soll damit langfristig die Sicherheit verschlüsselter Daten auch bei der Entwicklung eines kryptografisch relevanten Quantencomputers gewährleisten und kann in verschiedenen Anwendungen wie Personalausweis, Gesundheitskarte, Kreditkarte und SIM-Karte eingesetzt werden.

Die vom BSI zertifizierte Smartcard setzt auf einen Infineon-IC auf 32-bit Arm v8-M CPUBasis, der das PQC-Verfahren FIPS203 (ML-KEM) umsetzt.

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2025/250121_erste_quantensichere_Smartcard.html

https://www.heise.de/news/BSI-zertifiziert-erste-Smartcard-mit-Post-Quanten-kryptografischem-Algorithmus-10250779.html

https://www.it-finanzmagazin.de/bsi-zertifiziert-erste-quantensichere-smartcard-mit-post-quanten-kryptografischen-algorithmus-221558

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/Reporte1200/1249a_pdf

Wann lohnt sich der Quantensprung? Post-Quanten-Kryptographie 

Asymmetrische Kryptographie ist heute weit verbreitet. Algorithmen, die heute noch als sicher gelten, können von den Quantencomputern von morgen gebrochen werden. 

Asymmetrische Kryptographie-Algorithmen basieren auf mathematischen Problemen (Primfaktorzerlegung oder Berechnung des diskreten Logarithmus), die als schwer zu lösen gelten. Bereits Anfang der 90er-Jahre hat Peter Shor den nach ihm benannten Algorithmus entwickelt, mit dem die genannten mathematischen Probleme auf einem Quantencomputer effizient berechnet werden können. Um das zu verdeutlichen: Um eine n-Bit Zahl zu faktorisieren, sind etwa 2n Qubits nötig. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert bei der Verwendung von RSA eine Schlüssellänge von mindestens 2000 Bit, für den Einsatzzeitraum über das Jahr 2022 hinaus sogar mindestens 3000 Bit. Das bedeutet, dass man bei der Verwendung von RSA mit einer Schlüssellänge von 2048 Bit schon theoretisch einen Quantencomputer mit über 4000 Qubit braucht. Praktisch sind wegen technischer Herausforderungen beim Bau von Quantencomputern wesentlich mehr Qubits notwendig. Der Physikforscher Michele Mosca schätzt, dass es mit einer Wahrscheinlichkeit von 50 % einen effizienten Quantencomputer bereits ab 2030 geben wird. 

Aber nicht nur asymmetrische Verschlüsselungs- und Signaturverfahren sind gefährdet, sondern auch symmetrische Verschlüsselungsverfahren und Hashfunktionen. Denn mit dem ebenfalls in den 90er-Jahren entwickelte Such-Algorithmus „Grover“ kann die Komplexität von Suchproblemen auf ungeordnete Daten auf die Wurzel der klassischen Komplexität reduziert werden. Infolgedessen müssen die Schlüssellängen angepasst werden. Es wird heute schon bei Neuentwicklungen davon abgeraten, AES-128 zu verwenden. Stattdessen sollte AES-256 genutzt werden, da davon ausgegangen wird, dass die Verwendung einer Schlüssellänge von 256 Bit langfristig einen hinreichenden Schutz gegen Quantencomputer-Angriffe bietet. 

Auch wenn der Durchbruch in der Quanteninformatik noch einige Jahre auf sich warten lässt, müssen sich Organisationen rechtzeitig auf den reibungslosen Übergang zu quantensicheren Systemen vorbereiten. Die Auswahl geeigneter Algorithmen sowie das Umstellen auf quantensichere Systeme kann eine besondere Herausforderung für viele Organisationen sein. In den letzten Jahren wurden enorme Fortschritte in der Quanteninformatik erzielt, so dass der erste Quantencomputer, der in der Lage ist, asymmetrische Kryptographie-Verfahren zu brechen, in wenigen Jahren zur Verfügung stehen könnte. Organisationen, die die gefährdeten Verfahren verwenden, um Daten mit langen Lebenszyklen zu schützen, müssen sich am besten jetzt schon um eine geeignete Alternative kümmern. Dazu zählen z. B. Gesundheitsdaten, die 10 Jahre sicher aufbewahrt werden müssen. Wenn 2030 der erste Quantencomputer zur Verfügung stehen sollte, könnten die Angreifer die verschlüsselten Daten bereits jetzt abfangen und dann entschlüsseln (hack now – decrypt later). Für Signaturen drängt die Zeit noch weniger, denn Angriffe auf frühere Kommunikation sind nicht möglich. 

Die US-Bundesbehörde National Institute of Standards and Technology (NIST), die bereits in der Vergangenheit für den Standardisierungsprozess bekannter kryptographischer Verfahren (wie z. B. AES) zuständig war, ist bereits seit 2016 auf der Suche nach neuen kryptographischen Standards, die gegen Quantencomputer resistent sind.  

Das NIST hat bereits im Juni 2022 erste Post-Quanten-Kryptographie-Verfahren zur öffentlichen Kommentierung standardisiert. Als Beispiel wurde CRYSTALS-Kyber ausgewählt, das auf dem Learning with Error (LWE) Problem basiert, welches auf Probleme in mathematischen Gittern zurückzuführen ist. Dieses Forschungsfeld ist jedoch noch recht jung. 

Ebenfalls im Juni 2022 hat die Runde 4 des Auswahlprozesses bei NIST begonnen. Einer der Finalisten ist das codebasierte Verfahren McEliece, welches auf fehlerkorrigierenden Codes basiert. Im Gegensatz zu den gitterbasierten Verfahren wurde das McEliece-Verfahren bereits im Jahr 1973 entwickelt und konnte somit bereits lange ausgiebig erforscht werden. Jedoch ist die Schlüsselerzeugung mit einem hohen Aufwand verbunden, da große Matrizen verarbeitet werden müssen. Dafür sind die Ver- und Entschlüsselungsalgorithmen extrem schnell und der Ciphertext ist bisher der kleinste aller NIST-Post-Quanten-Kryptographie-Kandidaten. 

Auch das BSI hat bereits erste Empfehlungen ausgesprochen. Dazu zählen z. B. die Entwicklung von kryptoagilen Lösungen und die Verwendung von Post-Quanten-Kryptographie Algorithmen in hybrider Form, also in Kombination mit klassischen kryptographischen Algorithmen, da viele Verfahren noch sehr jung und wenig erforscht sind. Dies führt zu den nächsten Herausforderungen. Kryptographische Protokolle müssen weiterentwickelt werden und die Public-Key-Infrastruktur muss in der Lage sein, Zertifikate zu verarbeiten, die sowohl die längeren klassischen Schlüssel als auch die quantensicheren Schlüssel enthalten. 

Unsere Experten der HiSolutions AG analysieren für Sie Ihre spezifischen Systeme, die kryptographische Verfahren verwenden, um die notwendigen Änderungen für die Migration zu Post-Quanten-Kryptographie-Lösungen unter Berücksichtigung spezifischer Anforderungen zu identifizieren. Dabei entwickeln wir für Sie geeignete Migrations- und Übergangslösungen. Ebenfalls möchten wir das Bewusstsein für die Problematik schärfen, die sich aus der Entwicklung der Quanteninformatik ergeben. 

Für mehr Informationen zum Quantencomputer und den Gefährdungen wie Lösungsmöglichkeiten, siehe auch dieses Dokument des BSI

Da waren‘s nur noch sieben: Nächster quantensicherer Algorithmus (SIKE) gebrochen

Ein erfolgreicher Angriff auf den Verschlüsselungsalgorithmus SIKE (Supersingular Isogeny Key Encapsulation) hat die Zahl der Verfahren, in die das US-amerikanische Normungsinstitut NIST noch Hoffnung in Bezug auf Sicherheit vor dem Quantencomputer setzt, auf sieben reduziert. Damit sind nun bereits über 90 % der Kandidaten ausgeschieden: Motiviert von den offenen Wettbewerben zur Wahl von AES (1997-2000) und SHA-3 (2007-2012) hatte es 2017 ganze 69 Einreichungen für Post Quantum Cryptography (PQC) gegeben, die in der Folge immer weiter zusammenschrumpften.

SIKE fiel dabei ganz sang- und klanglos einem älteren Modell eines Nicht-Quanten-Rechners zum Opfer – und einigen mathematischen Tricks aus dem jungen Forschungsfeld der Isogenie-Graphen. Dies macht noch einmal das Risiko deutlich, welches in der Verwendung neuer Mathematik für die Kryptographie liegt. Andererseits besteht inzwischen starker Handlungsdruck, quantensichere Verfahren zu standardisieren. Denn ein ausreichend großer Quantencomputer wird wahrscheinlich in den nächsten fünf bis zwanzig Jahren alles an Kryptographie knacken, was wir im Großmaßstab im Einsatz haben, vor allem sämtliche asymmetrische (und damit auch hybride) Verschlüsselung und alle digitalen Signaturen.

Mit dem Scheitern der Isogenie als Quelle für mögliche PQC sind wir nun vorerst auf Gedeih und Verderb den verbleibenden drei Forschungsrichtungen ausgeliefert: Gitter, fehlerkorrigierende Codes und Hashsignaturen. Gerade weil jedes der betrachteten Verfahren seine spezifischen Vor- und (zum Teil gravierenden) Nachteile mitbringt, können wir nur hoffen, dass von den noch im Rennen befindlichen Kandidaten möglichst viele auch die Angriffe der nächsten Jahre heil überstehen werden.

https://t3n.de/news/algorithmus-quantencomputern-1489626/

Post für das Quantum – BSI-Handlungsempfehlungen zur Post-Quantum-Kryptografie

Laut BSI sollten nicht mehr die Fragen im Vordergrund stehen, ob und wann es einen leistungsfähigen Quantencomputer geben wird, sondern wie wir die Migration zu quantensicheren Verfahren heute schon gestalten können, um auf der sicheren Seite zu sein. Dies beschreiben die neuen Handlungsempfehlungen „Migration zu Post-Quanten-Kryptografie“ auf netto sieben Seiten kurz und prägnant.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Krypto/Post-Quanten-Kryptografie.pdf?__blob=publicationFile&v=2

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html

Millionen? Ich dachte Milliarden! Quantencomputer rücken dank Rechentricks näher

Quantencomputer gefährden bekanntlich, wenn sie einmal in ausreichender Größe gebaut werden können, das Gros der heute im Einsatz befindlichen kryptographischen Verfahren. Unter anderem sind asymmetrische Kryptographie wie RSA und elliptische Kurven sowie die meisten Arten von Signaturen hinfällig, symmetrische Algorithmen wie AES büßen de facto „nur“ die Hälfte ihrer effektiven Schlüssellänge ein. Noch gibt es jedoch große technische Hürden, ausreichend Stabilität hinzubekommen, um einen Quantenrechner ernstzunehmende Dechiffrierung ausführen zu lassen –theoretisch. Forschern von Google und des Royal Institute of Technology in Stockholm ist es nun gelungen, die Algorithmen so umzuformen, dass 20 Millionen wackelige Qubits genügen könnten, um RSA 2048 zu brechen. Das ist immer noch weit über dem aktuellen Rekord von 70 Qubits, aber zwei Größenordnungen unter der zuvor benötigten Zahl von einer Milliarde Qubits. Sollte die Forschung in diesem Tempo weitergehen, wären praktische Quantencomputer vermutlich weniger als 10 Jahre entfernt.

https://www.technologyreview.com/s/613596/how-a-quantum-computer-could-break-2048-bit-rsa-encryption-in-8-hours