Ernte jetzt, entschlüssle später: Post-Quanten-Kryptographie und das Rennen gegen den Quantencomputer
Fully AI-generated content. This article was generated using AI systems (e.g. Claude Code, Perplexity) and may contain errors or hallucinations.
IT-Security · 2026-06-22 · ca. 30 Minuten
Der Aufhänger: Ein Diebstahl, den niemand bemerkt
Stell dir einen Einbrecher vor, der in einen Tresorraum eindringt, fotografiert sämtliche verschlossenen Schließfächer, kopiert die Stahltüren samt aller Schlösser – und wieder geht, ohne ein einziges Fach zu öffnen. Er nimmt nicht den Inhalt mit, sondern die verschlossenen Behälter selbst. Ein absurder Diebstahl, denkst du. Was nützt ihm ein Schließfach, das er nicht aufbekommt?
Die Antwort: Er weiß, dass in zehn Jahren ein Universalschlüssel existieren wird. Und er ist bereit zu warten.
Genau dieser Diebstahl findet gerade statt – millionenfach, im industriellen Maßstab, im Internet. Geheimdienste und kriminelle Akteure greifen verschlüsselten Datenverkehr ab und speichern ihn auf Vorrat. Bankdaten, Gesundheitsakten, Diplomatenkorrespondenz, Geschäftsgeheimnisse, Staatsgeheimnisse. Heute sind diese Daten durch starke Verschlüsselung geschützt und für jeden Angreifer wertloses Rauschen. Aber die Angreifer setzen darauf, dass ein hinreichend leistungsfähiger Quantencomputer diese Verschlüsselung eines Tages in Minuten knacken wird. Dann werden die heute gestohlenen Tresore rückwirkend geöffnet. Diese Strategie hat einen eigenen, beunruhigend nüchternen Namen: „Harvest now, decrypt later" – ernte jetzt, entschlüssle später.
Das Bemerkenswerte daran ist die Zeitachse. Die meisten Cyber-Bedrohungen wirken sofort: Ransomware verschlüsselt jetzt, Phishing stiehlt jetzt. Die Quantenbedrohung wirkt rückwärts in die Zukunft. Daten, die du heute verschlüsselst, können in einem Jahrzehnt offengelegt werden – und für viele Geheimnisse (Identitäten von Quellen, militärische Pläne, personenbezogene Daten mit lebenslanger Relevanz) ist ein Jahrzehnt keine beruhigende, sondern eine alarmierend kurze Schutzfrist.
Dieser Artikel erklärt, warum ein Quantencomputer die heutige Verschlüsselung bricht, warum eine völlig neue Klasse von Verfahren – die Post-Quanten-Kryptographie (PQC) – ihn abwehren kann, welche Standards das US-amerikanische NIST seit 2024 dafür festgelegt hat, wie große Anbieter wie Apple und Cloudflare diese Verfahren bereits ausrollen, und welche praktischen Schritte daraus für jede Organisation folgen. Es ist die Geschichte eines Wettlaufs, dessen Ziellinie niemand genau kennt – bei dem aber bereits klar ist, dass die Vorsichtigen heute starten müssen.
Teil 1: Warum der Quantencomputer die heutige Verschlüsselung bricht
Zwei Familien von Kryptographie
Um die Bedrohung zu verstehen, muss man zwei grundverschiedene Werkzeuge der modernen Kryptographie unterscheiden.
Die erste Familie ist die symmetrische Verschlüsselung (etwa AES). Hier teilen Sender und Empfänger denselben geheimen Schlüssel. Sie ist schnell und robust und schützt die eigentlichen Datenmengen – die Festplatte, den Inhalt einer verschlüsselten Verbindung.
Die zweite Familie ist die asymmetrische Kryptographie oder Public-Key-Kryptographie (RSA, Diffie-Hellman, elliptische Kurven). Sie löst ein scheinbar unmögliches Problem: Wie einigen sich zwei Parteien, die sich nie zuvor begegnet sind und über eine abgehörte Leitung kommunizieren, auf einen gemeinsamen Geheimschlüssel? Und wie kann man digital „unterschreiben", sodass jeder die Echtheit prüfen, aber niemand die Unterschrift fälschen kann? Die asymmetrische Kryptographie ist das unsichtbare Fundament, auf dem das Vertrauen im Internet ruht: jedes Schloss-Symbol im Browser (TLS/HTTPS), jede Software-Signatur, jede sichere Messenger-Verbindung, jede Banktransaktion.
Die entscheidende Erkenntnis lautet: Der Quantencomputer bedroht vor allem die zweite Familie. Und weil die zweite Familie den Schlüsselaustausch für die erste übernimmt, kippt mit ihr das gesamte Gebäude.
Die mathematische Wette der Public-Key-Kryptographie
Die Sicherheit von RSA beruht auf einer einfachen Asymmetrie: Zwei große Primzahlen miteinander zu multiplizieren ist für einen Computer trivial. Eine sehr große Zahl wieder in ihre beiden Primfaktoren zu zerlegen, ist dagegen praktisch unmöglich – ein klassischer Rechner bräuchte für eine RSA-2048-Zahl länger als das Alter des Universums. Elliptische-Kurven-Kryptographie (ECC) beruht auf einem verwandten Problem, dem diskreten Logarithmus. Beide Verfahren sind also Wetten darauf, dass bestimmte mathematische Operationen nur in eine Richtung praktikabel sind.
Diese Wette galt jahrzehntelang als sicher. Bis 1994.
Shors Algorithmus: die Achillesferse
1994 zeigte der Mathematiker Peter Shor, dass ein hinreichend großer Quantencomputer Zahlen effizient faktorisieren und diskrete Logarithmen effizient berechnen kann. Shors Algorithmus nutzt eine Eigenschaft, die klassischen Rechnern fehlt: Er versetzt einen Quantenzustand in eine Überlagerung vieler möglicher Werte gleichzeitig und nutzt Interferenz, um die Periode der modularen Exponentiation herauszufiltern – und aus dieser Periode lassen sich die Primfaktoren direkt ableiten (Fortinet). Was für einen klassischen Computer exponentiell schwer ist, wird für den Quantencomputer effizient lösbar.
Die Konsequenz ist brutal und eindeutig: Ein ausreichend großer, fehlerkorrigierter Quantencomputer bricht RSA und ECC vollständig. Nicht „schwächt", sondern bricht – die Verfahren werden wertlos.
Für die symmetrische Verschlüsselung (AES) ist die Lage entspannter. Hier greift ein anderer Quantenalgorithmus, Grovers Algorithmus, der eine Suche nur quadratisch beschleunigt. Praktisch bedeutet das: Die effektive Schlüssellänge halbiert sich. AES-128 sänke auf das Sicherheitsniveau von AES-64 – problematisch. Aber die Antwort ist simpel: Man verdoppelt die Schlüssellänge auf AES-256, und die Sache ist erledigt. Symmetrische Kryptographie ist also reparierbar; asymmetrische Kryptographie ist es nicht. Genau hier liegt die eigentliche Krise.
Wie nah ist „Q-Day"?
Wann existiert ein Quantencomputer, der groß genug ist, um RSA-2048 zu brechen? Dieser hypothetische Tag heißt im Jargon „Q-Day", und seine Datierung ist die umstrittenste Frage des Felds. Lange galt die Schätzung, man bräuchte rund 20 Millionen physische Qubits – weit jenseits heutiger Maschinen, die im Bereich von Hunderten bis wenigen Tausend liegen.
Doch die Schätzungen sind in Bewegung, und zwar in die falsche Richtung. Mehrere zwischen Mai 2025 und Anfang 2026 veröffentlichte Arbeiten haben den geschätzten Ressourcenbedarf zum Brechen von RSA-2048 von rund 20 Millionen auf unter eine Million, in neueren Architekturen womöglich bis in den Bereich von 100.000 Qubits gesenkt. Solche algorithmischen Effizienzgewinne verschieben die Bedrohung näher heran, ohne dass sich die Hardware überhaupt verbessern muss.
Ich bin der Meinung, dass jede konkrete Jahreszahl für Q-Day unseriös ist – seriös sind nur die Schätzungen anderer, die man als Bandbreite zitieren kann. Diese Bandbreite reicht in der öffentlichen Debatte von „um 2030" bis „nach 2035 oder deutlich später". Entscheidend ist aber gar nicht das genaue Datum, sondern eine simple Ungleichung, die im nächsten Teil das ganze Drama erklärt.
Teil 2: „Harvest now, decrypt later" – warum die Uhr schon läuft
Die Mosca-Ungleichung
Der Kryptograph Michele Mosca hat das Problem in eine Faustformel gegossen, die jeder Entscheider verstehen sollte. Man addiere zwei Zeitspannen:
- X = wie lange deine Daten geheim bleiben müssen (die „Schutzdauer").
- Y = wie lange deine Organisation braucht, um auf quantensichere Verfahren umzustellen (die „Migrationsdauer").
Wenn die Summe X + Y größer ist als die Zeit bis Q-Day (Z), dann hast du bereits ein Problem. Denn Daten, die du heute verschlüsselst und die für X Jahre geheim bleiben sollen, fallen in das gefährliche Fenster, sobald der Quantencomputer vor Ablauf von X + Y eintrifft.
Der subtile, oft übersehene Punkt: Es zählt nicht, wann Q-Day kommt, sondern wann er kommt relativ zu deiner Schutzdauer plus deiner Migrationsdauer. Eine Bank, deren Kundendaten 30 Jahre vertraulich bleiben müssen, und deren IT-Umstellung realistisch fünf Jahre dauert, hat selbst dann ein Problem, wenn Q-Day erst 2045 einträte. Die Daten, die sie heute schützt, müssen einen Angreifer überdauern, der erst in zwei Jahrzehnten zuschlägt.
Der Diebstahl, der heute geschieht
Genau das ist der Grund, warum „Harvest now, decrypt later" (HNDL) keine ferne Sorge, sondern eine gegenwärtige ist. NIST formuliert in seiner Übergangsleitlinie unmissverständlich: Verschlüsselte Daten bleiben gefährdet, weil Angreifer sie heute abgreifen, um sie zu entschlüsseln, sobald die Quantentechnologie reif ist. Mehrere westliche Nachrichtendienste haben gewarnt, dass Gegner bereits im industriellen Maßstab verschlüsselte Daten exfiltrieren – in der Wette, dass die Entschlüsselung innerhalb eines Jahrzehnts möglich wird.
Auch eine Arbeitspapier-Analyse der US-Notenbank (Federal Reserve, 2025) untersucht HNDL als ernstzunehmendes, zeitabhängiges Bedrohungsmodell für das Finanzsystem. Die Bedrohung ist also nicht länger Stoff für Konferenz-Folien, sondern Gegenstand makroökonomischer Risikobetrachtung.
Die zynische Eleganz von HNDL liegt darin, dass das Opfer nichts merkt. Ein klassischer Datendiebstahl wird irgendwann entdeckt; gestohlene Klardaten tauchen im Darknet auf. Gestohlene verschlüsselte Daten dagegen sind unsichtbar – sie liegen in einem Archiv und warten. Das Opfer erfährt vom Schaden erst, wenn es zu spät ist, ihn zu verhindern. Für Geheimnisse mit langer Halbwertszeit ist das die gefährlichste denkbare Konstellation.
Teil 3: Die Lösung – Kryptographie, die Quantencomputer nicht knacken
Die Grundidee: andere mathematische Probleme
Post-Quanten-Kryptographie (auch quantenresistente oder quantensichere Kryptographie) ist keine exotische Quantentechnologie. Sie läuft auf ganz normalen, klassischen Computern – auf deinem Laptop, deinem Smartphone, deinem Server. Der Trick liegt nicht in neuer Hardware, sondern in neuer Mathematik.
Die Idee ist bestechend einfach: Wenn Shors Algorithmus genau die Struktur von Faktorisierung und diskretem Logarithmus ausnutzt, dann baue Kryptographie auf mathematischen Problemen, die diese Struktur nicht besitzen. Probleme, gegen die auch ein Quantencomputer keinen bekannten effizienten Algorithmus hat.
Gitter: das tragende Fundament
Die wichtigste dieser Problemklassen ist die gitterbasierte Kryptographie. Ein Gitter ist ein regelmäßiges, unendliches Punktraster in einem hochdimensionalen Raum – man stelle sich Millimeterpapier vor, aber in 500 oder 1000 Dimensionen statt zwei. Die zugrundeliegenden harten Probleme lauten etwa: „Finde den kürzesten Vektor in diesem Gitter" (Shortest Vector Problem) oder das verwandte Learning-with-Errors-Problem (LWE), bei dem man aus absichtlich mit kleinem Rauschen verfälschten linearen Gleichungen die verborgene Lösung rekonstruieren soll.
Was diese Probleme so wertvoll macht: Erstens fehlt ihnen die periodische Struktur, die Shors Algorithmus benötigt – es ist bislang kein effizienter Quantenangriff dagegen bekannt. Zweitens, und das ist kryptographisch Gold wert, lässt sich die Sicherheit von LWE auf den schlimmsten Fall von Gitterproblemen zurückführen: Ein Angreifer müsste nicht nur eine konkrete Instanz, sondern die generelle Härte des Problems brechen. Diese „worst-case-to-average-case-Reduktion" ist eine Stärke, die nur wenige kryptographische Konstruktionen vorweisen können (Sectigo, QRAMM).
Gitter sind nicht die einzige Familie. Es gibt auch hash-basierte Verfahren (deren Sicherheit allein auf der Robustheit von Hashfunktionen ruht – eine extrem konservative, gut verstandene Annahme) und code-basierte Verfahren (gestützt auf die Schwierigkeit, fehlerbehaftete Codes zu dekodieren). Jede Familie ist eine eigene mathematische Wette – und kluge Standardisierung setzt bewusst nicht alles auf eine Karte.
Teil 4: Die NIST-Standards – das neue Fundament des Internets
Ein achtjähriger Wettbewerb
Damit nicht jede Organisation ihre eigene, womöglich fehlerhafte quantensichere Krypto erfindet, brauchte es einen verbindlichen, gründlich geprüften Standard. Diese Aufgabe übernahm das National Institute of Standards and Technology (NIST) der USA – dieselbe Institution, die einst AES standardisierte. 2016 rief NIST einen offenen, weltweiten Wettbewerb aus. Kryptographen aus aller Welt reichten Kandidaten ein und attackierten gegenseitig die Vorschläge der anderen – einige vielversprechende Verfahren wurden im Lauf des Prozesses spektakulär gebrochen, was den Wert des öffentlichen Wettbewerbs gerade unterstreicht.
Am 13. August 2024 veröffentlichte NIST die ersten drei finalisierten Standards – der Abschluss eines achtjährigen Prozesses und ein Meilenstein für die IT-Sicherheit (NIST).
Die drei (und mehr) Standards im Überblick
| Standard | Algorithmus (Ursprung) | Zweck | Besonderheit |
|---|---|---|---|
| FIPS 203 | ML-KEM (CRYSTALS-Kyber) | Schlüsselkapselung / Schlüsselaustausch | Der Hauptstandard für allgemeine Verschlüsselung; ersetzt RSA/ECDH beim Schlüsselaustausch. Gitterbasiert. |
| FIPS 204 | ML-DSA (CRYSTALS-Dilithium) | Digitale Signaturen | Der primäre Signaturstandard. Gitterbasiert. |
| FIPS 205 | SLH-DSA (SPHINCS+) | Digitale Signaturen | Hash-basiert – die „Versicherungspolice". Bliebe selbst dann sicher, wenn Gitterverfahren überraschend fallen. |
| FIPS 206 (Entwurf) | FN-DSA (FALCON) | Digitale Signaturen | Kompaktere gitterbasierte Signaturen; als Entwurf angekündigt. |
| HQC (in Standardisierung) | HQC | Schlüsselkapselung (Backup) | Im März 2025 als fünfter Algorithmus gewählt; andere Mathematik (code-basiert) als ML-KEM. |
Ein zentrales Designprinzip springt ins Auge: Diversifikation. NIST hat nicht einen Gewinner gekürt, sondern bewusst Verfahren unterschiedlicher mathematischer Herkunft standardisiert. Die Signatur-Welt bekommt mit ML-DSA (Gitter) und SLH-DSA (Hash) zwei unabhängige Säulen. Und für die Schlüsselkapselung wählte NIST im März 2025 zusätzlich HQC als Reserve – ausdrücklich, weil es auf anderer Mathematik als ML-KEM beruht und damit einspringen könnte, falls in den Gitterverfahren je eine Schwäche entdeckt würde (NIST, 2025). Der Entwurf für den HQC-Standard wird etwa ein Jahr nach der Auswahl erwartet, die Finalisierung um 2027.
Diese Logik – verschiedene unabhängige Säulen, damit der Einsturz einer Säule nicht das Dach zum Einsturz bringt – ist dasselbe Denken in Redundanz und unabhängigen Fehlerquellen, das gute Architektur überall auszeichnet.
Der Preis: größere Schlüssel
Quantensicherheit ist nicht umsonst. ML-KEM arbeitet mit öffentlichen Schlüsseln von rund 800 bis 1.568 Byte und Chiffretexten ähnlicher Größe – verglichen mit den kompakten Schlüsseln der elliptischen Kurven (oft nur 32–64 Byte) ist das deutlich mehr Datenvolumen pro Handschlag. Für eine einzelne Verbindung ist das vernachlässigbar; für Systeme mit Milliarden von Verbindungen, für eingebettete Geräte mit knappem Speicher oder für Protokolle mit engen Paketgrenzen kann es jedoch zur echten Engineering-Herausforderung werden. Quantensicherheit erkauft man sich mit Bandbreite und Rechenzeit – ein Tausch, der sich fast immer lohnt, aber bewusst geplant sein will.
Teil 5: Es passiert schon – PQC im Feld
Der vielleicht überzeugendste Beweis, dass PQC keine Zukunftsmusik ist: Große Anbieter haben sie längst ausgerollt – oft, bevor die NIST-Standards überhaupt final waren.
Beispiel 1: Apples iMessage mit PQ3
Im Februar 2024 führte Apple das Protokoll PQ3 für iMessage ein. Apple bezeichnet es als „Level 3"-Sicherheit – die höchste Stufe, weil die Post-Quanten-Kryptographie nicht nur den initialen Schlüsselaustausch absichert, sondern auch die fortlaufende Erneuerung der Schlüssel im laufenden Gespräch (Apple Security Research). PQ3 kombiniert dafür einen post-quantum-sicheren Schlüsselaustausch mit mehreren fortlaufenden „Ratchets", die das System selbstheilend gegen Schlüsselkompromittierung machen. Das erklärte Ziel ist ausdrücklich der Schutz gegen „Harvest now, decrypt later". Hier verteidigt sich ein Massenprodukt mit über einer Milliarde Nutzern proaktiv gegen einen Angreifer, den es heute noch gar nicht gibt.
Beispiel 2: Signals PQXDH
Der Messenger Signal ergänzte sein bewährtes X3DH-Handshake-Protokoll um eine post-quantum Komponente (auf Basis von Kyber) und nannte das Ergebnis PQXDH. Es erreicht „Level 2": Der initiale Schlüsselaustausch ist quantensicher. Der Schritt zeigt, wie der Übergang in der Praxis meist abläuft – nicht als großer Bruch, sondern als Hybridisierung eines etablierten, vertrauten Protokolls.
Beispiel 3: Cloudflare und das post-quantum Internet
Vielleicht am eindrucksvollsten ist die Infrastruktur-Ebene. Cloudflare, das einen erheblichen Teil des weltweiten Web-Traffics abwickelt, hat einen hybriden Schlüsselaustausch ausgerollt, der ML-KEM (quantensicher) mit X25519 (klassisch) kombiniert, um TLS-1.3-Verbindungen abzusichern. Schon Ende 2024 war ein zweistelliger Prozentsatz der TLS-Verbindungen zu Cloudflare post-quantum-gesichert – ein Anteil, der seither weiter steigt (Cloudflare).
Das Muster: Hybrid statt Bruch
Bei allen drei Beispielen taucht dasselbe Wort auf: hybrid. Man wirft die alte Kryptographie nicht weg, sondern kombiniert sie mit der neuen, sodass ein Angreifer beide Verfahren gleichzeitig brechen müsste. Das hat zwei Gründe. Erstens sind die neuen PQC-Verfahren jünger und weniger kampferprobt als das jahrzehntelang attackierte RSA – sollte sich überraschend eine Schwäche in ML-KEM zeigen, hält die klassische Hälfte den Schutz aufrecht. Zweitens schützt schon die post-quantum Hälfte sofort gegen HNDL, ohne dass man das Vertrauen in die bewährte klassische Krypto aufgeben müsste. Hybrid ist die ingenieurtechnisch reife, risikoarme Brücke von der alten in die neue Welt.
Teil 6: Die Migration – warum das die eigentliche Herausforderung ist
Die Algorithmen zu haben, ist das eine. Sie in gewachsene IT-Landschaften einzubauen, ist das andere – und ungleich schwerer.
Das Inventarproblem: Du kannst nicht schützen, was du nicht kennst
Kryptographie steckt überall, meist tief vergraben und unsichtbar: in TLS-Bibliotheken, in VPNs, in Code-Signaturen, in Smartcards, in IoT-Firmware, in Datenbankverschlüsselung, in PKI-Zertifikaten, in alten Anwendungen, deren Quellcode niemand mehr versteht. Der allererste, oft unterschätzte Schritt jeder PQC-Migration ist deshalb ein kryptographisches Inventar (eine „Cryptographic Bill of Materials", CBOM): eine systematische Bestandsaufnahme, wo überhaupt welche kryptographischen Verfahren im Einsatz sind. Viele Organisationen entdecken dabei zu ihrem Schrecken, dass sie es schlicht nicht wissen.
Krypto-Agilität: die eigentliche Lehre
Aus der Schmerzhaftigkeit dieser Umstellung folgt eine tiefere architektonische Lehre, die über PQC hinausweist: Krypto-Agilität. Gemeint ist die Fähigkeit eines Systems, kryptographische Verfahren auszutauschen, ohne die Anwendung neu schreiben zu müssen – Algorithmen als konfigurierbare, austauschbare Bausteine statt als fest einbetonierte Annahmen. Der heutige Schmerz vieler Organisationen rührt genau daher, dass RSA und ECC vor Jahrzehnten hart verdrahtet wurden, in der stillen Annahme, sie würden ewig halten. Wer aus der PQC-Migration nur eine Lektion mitnimmt, sollte es diese sein: Behandle den verwendeten Algorithmus nie als Konstante, sondern immer als austauschbaren Parameter. Ich bin der Meinung, dass dies die wertvollste und langlebigste Erkenntnis des gesamten Quanten-Umbruchs ist – wertvoller als jeder einzelne Algorithmus, weil sie die nächste Krise schon mit einplant.
Die regulatorische Uhr
Die Migration ist keine freiwillige Kür mehr, sondern zunehmend Pflicht mit festen Fristen. Nach der NIST-Übergangsleitlinie sind RSA-2048 und ECC P-256 – die mit Abstand verbreitetsten Public-Key-Verfahren – für eine Abkündigung („deprecation") bis 2030 vorgesehen: Sie sollen in Neuanwendungen danach nicht mehr eingesetzt werden. Bis 2035 sollen alle quantenanfälligen Public-Key-Verfahren formal unzulässig werden, unabhängig von der Schlüssellänge. Die US-Regierung hat ihre Behörden zur Migration bis 2035 verpflichtet; vergleichbare Fahrpläne entstehen in Europa und im Vereinigten Königreich. Wer heute neue Systeme baut, die zehn oder zwanzig Jahre laufen sollen, baut also bereits in einen regulatorischen Rahmen hinein, der quantenanfällige Krypto am Ende ihrer Lebensdauer verbietet.
Diese Frist-Logik – starre Vorgaben, an denen sich die Praxis ausrichten muss – ist ein klassisches Compliance-Thema, das technische und juristische Welt eng verzahnt.
Teil 7: Was nicht hilft – und ein verbreitetes Missverständnis
Zwei Dinge sind wichtig, um die Lage nüchtern einzuordnen.
Erstens: Quantenkryptographie ist nicht dasselbe wie Post-Quanten-Kryptographie. Es existiert ein verwandtes, aber grundverschiedenes Feld – die Quantum Key Distribution (QKD), die quantenphysikalische Effekte nutzt, um Schlüssel auszutauschen, deren Abhören prinzipiell bemerkbar wird. QKD ist faszinierend, aber teuer, an spezielle Hardware und kurze Distanzen gebunden und für die Breite des Internets ungeeignet. Die praktische Antwort auf die Quantenbedrohung ist deshalb nicht QKD, sondern PQC: klassische Software-Mathematik, die überall läuft. (Die physikalischen Grundlagen, auf denen QKD und der ganze Quantencomputer beruhen – Überlagerung und Verschränkung – sind ausführlich im verlinkten Artikel zur spukhaften Fernwirkung beschrieben.)
Zweitens: Mehr klassische Bits helfen nicht. Ein verbreiteter Irrglaube lautet, man müsse RSA nur „länger" machen – RSA-4096 oder RSA-8192. Das ist ein Trugschluss. Shors Algorithmus skaliert so günstig, dass eine Verdopplung der Schlüssellänge den Quantencomputer nur unwesentlich aufhält. Gegen einen strukturellen Angriff hilft kein quantitatives Mehr derselben Struktur, sondern nur ein anderes mathematisches Fundament. Genau das ist der Punkt von PQC.
Teil 8: Die ehrliche Bilanz – Restrisiken und offene Fragen
Es wäre unredlich, PQC als fertige, sorgenfreie Lösung zu verkaufen.
Die neuen Verfahren sind vergleichsweise jung. RSA wurde über vier Jahrzehnte von der gesamten Welt attackiert und hat gehalten; ML-KEM und ML-DSA haben einen intensiven, aber kürzeren Beschuss hinter sich. Dass im Lauf des NIST-Wettbewerbs mehrere ernstzunehmende Kandidaten überraschend gebrochen wurden, ist beruhigend (der Prozess funktioniert) und mahnend (Sicherheit ist nie endgültig bewiesen, nur bislang nicht widerlegt) zugleich. Die Diversifikationsstrategie – Gitter und Hash und Code – ist die direkte Antwort auf dieses Restrisiko.
Hinzu kommen Implementierungsrisiken. Die Mathematik mag sicher sein, aber eine fehlerhafte Implementierung öffnet Seitenkanäle (etwa über Laufzeitunterschiede), durch die Schlüssel lecken. Die größeren Schlüssel und der höhere Rechenaufwand stellen besonders eingebettete und ressourcenarme Systeme vor reale Probleme.
Und schließlich bleibt die Unsicherheit über Q-Day selbst. Vielleicht kommt der kryptographisch relevante Quantencomputer erst in zwanzig Jahren – vielleicht nie in der befürchteten Form. Doch hier greift erneut die Mosca-Logik: Wegen der HNDL-Bedrohung und der langen Migrationsdauer ist Abwarten keine neutrale Option, sondern eine aktive Wette gegen die eigenen Daten. Die Asymmetrie der Konsequenzen ist eindeutig – die Kosten des zu frühen Handelns sind überschaubar (etwas Bandbreite, etwas Projektaufwand), die Kosten des zu späten Handelns potenziell katastrophal und nicht mehr korrigierbar.
Die zentrale Erkenntnis zum Mitnehmen
Die Quantenbedrohung der Kryptographie ist real, mathematisch gut verstanden und in ihrer Mechanik eindeutig: Shors Algorithmus bricht die asymmetrische Kryptographie (RSA, ECC), auf der das Vertrauen des gesamten Internets ruht. Die Lösung steht bereit – Post-Quanten-Kryptographie, die auf andersartigen mathematischen Problemen (vor allem Gittern) fußt, auf normaler Hardware läuft und seit August 2024 in den NIST-Standards FIPS 203, 204 und 205 verbindlich kodifiziert ist, ergänzt um Reserve-Verfahren wie HQC.
Das eigentlich Dringliche ist jedoch nicht die ferne Ankunft des Quantencomputers, sondern die gegenwärtige Bedrohung „Harvest now, decrypt later": Daten, die heute gestohlen und archiviert werden, fallen, sobald Q-Day eintrifft. Die Mosca-Ungleichung X + Y > Z macht klar, dass Organisationen mit langlebigen Geheimnissen bereits jetzt handeln müssen – nicht trotz, sondern wegen der Unsicherheit über das genaue Datum.
Die tiefste, über die Quantenfrage hinausreichende Lehre aber heißt Krypto-Agilität: Behandle kryptographische Verfahren nie als ewige Konstanten, sondern als austauschbare Parameter. Der heutige Migrationsschmerz ist die Quittung für gestern einbetonierte Annahmen – und die beste Vorsorge gegen die nächste, heute noch unbekannte Krise.
Konkreter Handlungsanstoß für diese Woche: Stelle für ein System, das du verantwortest, drei Fragen. Erstens: Wie lange müssen die Daten in diesem System geheim bleiben? (Das ist dein X.) Zweitens: Weiß ich überhaupt, welche kryptographischen Verfahren hier im Einsatz sind? (Falls nein, hast du gerade deinen ersten, wichtigsten Migrationsschritt identifiziert: das Inventar.) Drittens: Könnte ich den Verschlüsselungsalgorithmus austauschen, ohne die Anwendung umzuschreiben? Lautet die Antwort „nein", kennst du jetzt deine wahre langfristige Schwachstelle – und sie heißt nicht „Quantencomputer", sondern „fehlende Krypto-Agilität".
Reflexionsfrage: Welche deiner heute verschlüsselten Daten wären in zehn oder zwanzig Jahren noch brisant genug, um einen geduldigen Angreifer das Warten lohnen zu lassen – und schützt du sie heute schon so, als läge der Universalschlüssel bereits in einer fremden Schublade?
Querverweise im Vault
- Spukhafte Fernwirkung: Quantenverschränkung von Einstein zum Quanteninternet – Die physikalischen Grundlagen (Überlagerung, Verschränkung), aus denen sowohl der bedrohliche Quantencomputer als auch die Quantum Key Distribution überhaupt erst entstehen; das Fundament unter diesem ganzen Artikel.
- Das Logbuch der Wahrheit: Event Sourcing und CQRS verstehen – Dort das Problem unveränderlicher Daten und das DSGVO-„Recht auf Vergessen"; hier die Kehrseite: Daten, die zu lange lesbar bleiben. In beiden Fällen ist die Halbwertszeit von Information die zentrale Designgröße.
- Ist die Cloud valide – Vertrauen in fremde Infrastruktur und die Abwägung von Nutzen gegen Risiko; PQC-Migration ist genau eine solche strategische Abwägung unter Unsicherheit.
- Der Wettlauf mit der (um die) KI – Ein verwandtes Wettrennen gegen eine sich beschleunigende Technologie; auch dort verschieben algorithmische Durchbrüche die Zeitachsen schneller als erwartet.
Quellen und zum Weiterlesen
- NIST – NIST Releases First 3 Finalized Post-Quantum Encryption Standards (FIPS 203/204/205, August 2024): https://www.nist.gov/news-events/news/2024/08/nist-releases-first-3-finalized-post-quantum-encryption-standards
- NIST – NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption (März 2025): https://www.nist.gov/news-events/news/2025/03/nist-selects-hqc-fifth-algorithm-post-quantum-encryption
- Wikipedia – NIST Post-Quantum Cryptography Standardization (Überblick, FN-DSA/FIPS 206, Zeitplan): https://en.wikipedia.org/wiki/NIST_Post-Quantum_Cryptography_Standardization
- Fortinet – Shor's and Grover's algorithms: Quantum threats to encryption: https://www.fortinet.com/resources/cyberglossary/shors-grovers-algorithms
- Sectigo – What is lattice-based cryptography?: https://www.sectigo.com/blog/what-is-lattice-based-cryptography
- Apple Security Research – iMessage with PQ3: The new state of the art in quantum-secure messaging at scale: https://security.apple.com/blog/imessage-pq3/
- Cloudflare – State of the post-quantum Internet in 2025: https://blog.cloudflare.com/pq-2025/
- Federal Reserve – „Harvest Now Decrypt Later": Examining Post-Quantum Cryptography (FEDS Working Paper, 2025): https://www.federalreserve.gov/econres/feds/files/2025093pap.pdf
Erstellt im Rahmen des täglichen Lern-Workflows. Interessensgebiet: IT-Security. Geschätzte Lesedauer: ~30 Minuten.