Fahrplan zum Q-Day: Der Aktionszeitraum wird enger – für einige mehr als für andere

Neue Hardware-Durchbrüche verkürzen das Post-Quanten-Zeitfenster für Unternehmen in bestimmten Anwendungsbereichen

Wir befinden uns aktuell in einer kritischen Übergangsphase der Entwicklung der Quantenhardware. Die Ära, in der Technologiekonzerne lediglich versuchten, die schiere Anzahl unkorrigierter, fehleranfälliger physischer Qubits in die Höhe zu treiben, ist vorbei. Der Fokus der weltweiten Spitzenforschung hat sich auf das Erzeugen stabiler, fehlerkorrigierter logischer Qubits verlagert. Das hat Auswirkungen auf das Aktionsfenster für Organisationen; Verschlüsselung muss noch schneller quantensicher migriert werden.

Ein aktuelles Beispiel für diese Dynamik ist die Ankündigung von Microsoft Anfang Juni 2026: Mit dem neuen topologischen Quantenchip Majorana 2 meldet der Konzern einen deutlichen Stabilitätssprung. Durch eine fundamentale Optimierung der Materialzusammensetzung konnte laut Hersteller die Kohärenzzeit der Qubits um das Tausendfache auf durchschnittlich 20 Sekunden gesteigert werden.

Für die Marktreife eines kryptoanalytisch relevanten Quantencomputers (CRQC) bedeutet dies eine massive Beschleunigung; die Entwicklung wandelt sich von einem rein wissenschaftlichen Laborexperiment hin zu einer reinen Skalierungs- und Ingenieursaufgabe. Für Enterprise-Verantwortliche erhöht das den Druck, Migrationspläne für Post-Quanten-Kryptografie nicht weiter aufzuschieben.

Die Demontage klassischer Verschlüsselungsverfahren

Um die heutige Standard-Verschlüsselung in IT-Infrastrukturen auszuhebeln, benötigt ein Quantencomputer eine präzise Anzahl fehlerkorrigierter (logischer) Qubits. Die mathematische Grenze liegt hierbei im Bereich von einigen tausend logischen Qubits. Die im Internet am weitesten verbreiteten Verfahren sind RSA-2048 (z. B. beim Online-Banking) und ECC (Elliptic Curve Cryptography).

• Für das Knacken von RSA-2048 werden im klassischen Lehrbuch-Ansatz des Shor-Algorithmus genau 4.099 logische Qubits benötigt.
• Neuere, extrem optimierte Algorithmen können diese Zahl theoretisch zwar auf bis zu 1.730 logische Qubits drücken, verlangsamen die Berechnung jedoch auf mehrere Tage.
• Für ECC-256 deuten neuere Schätzungen darauf hin, dass weniger logische Qubits nötig sein könnten als für RSA-2048; die exakte Zahl hängt jedoch stark von Angriffsszenario, Hardwaremodell und Fehlerkorrektur ab. Viele aktuelle Analysen gehen daher davon aus, dass ECC in der Praxis voraussichtlich vor RSA angreifbar wird.

Glaube vs. Realität

Lange Zeit galt der enorme Hardware-Overhead als verlässliche Schutzmauer: Da heutige Systeme extrem empfindlich gegenüber Umwelteinflüssen wie Rauschen oder Wärme sind, schleicht sich bei fast jeder Operation ein Fehler ein. Um ein einziges fehlerfreies, logisches Qubit zu generieren, müssen hunderte oder tausende physische Qubits zusammengeschaltet werden, die sich gegenseitig kontrollieren. Die Fachwelt ging daher lange davon aus, dass rund 20 Millionen physische Qubits notwendig wären, um RSA-2048 zu brechen.

Jüngste Arbeiten haben diese Hardware-Größenordnungen deutlich nach unten korrigiert. Eine wichtige Rolle spielen dabei hocheffiziente Fehlerkorrekturverfahren wie qLDPC-Codes (Quantum Low-Density Parity-Check) sowie neue Hardware-Architekturen, etwa mit neutralen Atomen. Im März 2026 veröffentlichte ein Team von Caltech und der Firma Oratomic eine theoretische Ressourcenabschätzung, nach der elliptische Kurven wie P-256 auf einer neutralen-Atom-Architektur bereits mit rund 10.000 physischen Qubits angreifbar sein könnten – allerdings mit erheblichen Laufzeit- und Engineering-Annahmen.

Für RSA-2048 liegen neuere Schätzungen – je nach Architektur – ebenfalls deutlich unter früheren Millionenszenarien; die Spannweite bleibt hier jedoch größer.

Der Status Quo

Die Industrie hat die reine Laborphase verlassen und befindet sich in der sogenannten „Utility-Ära“. Bei den nackten, physischen Qubits wurde die Tausender-Marke bereits überschritten. Der aktuelle Status der führenden technologischen Plattformen stellt sich wie folgt dar:

• Unternehmen wie Atom Computing und QuEra führen das Feld bei den physischen Qubit-Zahlen an. Sie operieren mit Architekturen von über 1.180 physischen Qubits.
• IBM arbeitet stabil mit Systemen wie dem Condor-Chip (1.121 physische Qubits) und skaliert modular mit Systemen wie Nighthawk oder Kookaburra.
• Google bewies mit seinem neuesten Willow-Prozessor, dass das Hochskalieren physischer Qubits die Fehlerrate logischer Qubits nun endlich exponentiell senkt.
• Quantinuum demonstrierte auf 98 physischen Qubits bis zu 94 fehlerdetektierte und 48 fehlerkorrigierte logische Qubits; mit 64 logischen Qubits wurde eine Simulation durchgeführt.
• IBM setzt beim „Gross Code“ auf Module mit 12 logischen Qubits in etwa 144 physischen Qubits; größere kombinierte Module liegen im Bereich von rund 288 Qubits.
• Eine kommerzielle Allianz aus Microsoft und Atom Computing entwickelt das System „Magne“, das bis zum Jahreswechsel 2026/2027 rund 50 logische Qubits aus 1.200 physischen Atom-Qubits bereitstellen soll.

Befeuert wird dieser Wettlauf durch den oben erwähnten Majorana-2-Chip. Sollte sich dieser Ansatz bewähren, könnte der physische Overhead pro logischem Qubit deutlich sinken. Noch ist aber offen, wie stark sich diese Vorteile in skalierbaren, fehlertoleranten Systemen tatsächlich materialisieren.

Lesen Sie auf den nächsten Seiten mehr zu Prognosen und erfahren Sie, wer am meisten gefährdet ist.

Prognosen und das Worst-Case-Szenario für den „Q-Day“

Zieht man die mathematischen Hochrechnungen heran, die auf der exponentiellen Hardware-Skalierung, dem Einbruch der Fehlerraten durch qLDPC-Verfahren (Verhältnisse im Labor von unter 1:30) und softwareseitigen Algorithmen-Optimierungen basieren, ergibt sich ein klarer Zeitstrahl:

• Bis ~2028: Systeme mit 100 bis 200 stabilen, logischen Qubits werden zum Standard in der Pharma- und Materialforschung, stellen für die universelle Kryptographie jedoch noch keine Gefahr dar. IBM plant hierzu das Starling-System (200 logische Qubits), während QuEra ebenfalls 100 logische Qubits anstrebt.
• Der reguläre Prognose-Korridor (2031–2033): Wenn sich physische Qubit-Zahlen, Fehlerkorrektur und Systemintegration entlang des aktuellen Trends weiterentwickeln, könnte die kritische Schwelle für kryptografisch relevante Systeme Anfang der 2030er Jahre erreicht werden. Ein hochentwickelter Quantenrechner könnte dann zunächst ECC-basierte Verfahren und später auch RSA-2048 angreifen.
• Das (aktuelle) Worst-Case-Szenario: Microsoft hat seine Roadmap für einen skalierbaren Quantencomputer auf 2029 vorgezogen. Zieht man den üblichen Tech-Hype ab und betrachtet nur die realen Fortschritte bei der Fehlerminimierung, deckt sich dies mit internen Warnungen von Google, die ebenfalls das Jahr 2029 als kritische Schwelle ins Spiel brachten. Im Worst-Case-Szenario könnte ein staatlicher oder kommerzieller Akteur somit bereits Ende 2029 über einen einsatzbereiten CRQC verfügen.

Das BSI arbeitet für Hochsicherheitsanwendungen mit der konservativen Annahme, dass kryptografisch relevante Quantencomputer bereits Anfang der 2030er Jahre verfügbar sein könnten; NIST nennt keinen festen Termin, drängt aber ebenfalls auf eine sofortige PQC-Migration.

Nimmt man Herstellerprognosen allerdings ernst und kombiniert sie mit realen Fortschritten bei Fehlerminimierung, Materialsystemen und Fehlerkorrektur, dann bleibt ein Worst Case denkbar, in dem ein staatlicher oder kommerzieller Akteur bereits gegen Ende des Jahrzehnts über erste kryptografisch relevante Fähigkeiten verfügt.

Das verschiebt den Planungsdruck für Enterprise-Infrastrukturen weiter nach vorn.

Die Verwundbarkeit von Immutable Storage und Backup-Systemen

Die kryptoanalytischen Implikationen des Q-Days treffen den Kern moderner Enterprise-Cyber-Resilience: unveränderliche Speicher- und Backup-Lösungen (Immutable Storage). In der Praxis basieren diese Lösungen meist auf WORM-Mechanismen, Object Lock, Retention Policies und auditierbaren Protokollen; in einzelnen Spezialfällen kommen zusätzlich Ledger- oder Blockchain-Verankerungen zum Einsatz. Für diese Umgebungen bedeutet die Quantenbedrohung vor allem ein doppeltes Risiko: einerseits für die langfristige Vertraulichkeit archivierter Daten, andererseits für die kryptographischen Vertrauensanker rund um Signaturen, Identitäten und Zeitstempel.

1. Die „Harvest now, decrypt later“-Falle für Altdaten: Da Archive und Backups per Definition sensible historische Unternehmensdaten über Jahre oder Jahrzehnte konservieren, greift dieses Angriffsszenario hier mit maximaler Hebelwirkung. Angreifer können unveränderliche, aber mit heutigen asymmetrischen Verfahren (wie RSA-2048) verschlüsselte Backup-Archive bereits heute unbemerkt kopieren, um sie am Tag X rückwirkend offenzulegen. Die physische Unveränderbarkeit schützt in diesem Fall nicht vor nachträglicher Kompromittierung der Datenvertraulichkeit.
2. Identitätsfälschung und geschwächte Vertrauensnachweise: Die Unveränderlichkeit der eigentlichen Datenblöcke wird in vielen Architekturen zunächst weiter durch symmetrische Verfahren, Hashing, Retention Locks und Speicherkontrollen getragen. Problematisch werden jedoch die kryptographischen Nachweise rund um Zugriff, Signaturen, Zertifikate und Zeitstempel: Viele Systeme nutzen heute noch RSA- oder ECC-basierte Signaturen für Verwaltungszugriffe, API-Authentifizierung, Software-Updates, Audit-Nachweise oder RFC-3161-Zeitstempel. Werden diese Verfahren durch einen kryptografisch relevanten Quantencomputer angreifbar, leidet nicht automatisch die physische WORM-Eigenschaft – wohl aber das Vertrauen in Identitäten, Freigaben, Protokolle und langfristige Beweisführung.

Für Anbieter und Nutzer solcher Speicher- und Backup-Lösungen folgt daraus ein erheblicher technischer Umbau: Wo heute noch klassische Signatur- und Schlüsselaustauschverfahren eingesetzt werden, ist mittelfristig eine Migration auf Post-Quanten-Kryptografie nötig.

Das betrifft unter anderem Management-Schnittstellen, Zertifikate, Signaturen für Audit- und Nachweisdaten sowie gegebenenfalls Zeitstempel- und Ledger-Komponenten. Dabei steigen Schlüssel- und Signaturgrößen spürbar. So liegt eine ML-DSA-65-Signatur bei rund 3,3 Kilobyte statt im Bereich weniger Dutzend bis einiger hundert Byte klassischer Verfahren. In Umgebungen mit sehr vielen signierten Metadaten, Nachweisen oder Transaktionen kann das Speicherbedarf, Bandbreite und Latenzen erhöhen.

Wie stark dieser Effekt im Backup-Betrieb tatsächlich ausfällt, hängt jedoch stark von der konkreten Architektur ab – etwa davon, ob pro Objekt, pro Batch, pro Snapshot oder nur an wenigen Kontrollpunkten signiert wird.

Auf der nächsten Seite erfahren Sie, welche Auswirkungen der Q-Day im Finanzsektor hätte.

Kollateralschaden: Kryptomärkte

Obwohl die Blockchain-Technologie im klassischen Enterprise-Umfeld zwar eine wichtige, aber eher untergeordnete Rolle spielt, liefert sie ein exzellentes Anschauungsbeispiel für die physikalischen Grenzen der Post-Quanten-Kryptographie (PQC). Blockchains nutzen ECC-Schlüsselpaare zur Eigentumsverwaltung und zur Transaktionssignatur.

Während das Bitcoin-UTXO-Modell bei nicht ausgegebenen P2PKH- oder P2WPKH-Ausgängen einen gewissen Puffer bietet, weil zunächst nur ein Hash des Public Keys sichtbar ist, werden Public Keys bei frühen P2PK-Ausgaben sowie bei wiederverwendeten oder bereits ausgegebenen Adressen offengelegt.

Ethereum folgt einem anderen Modell: Die Adresse ist zwar zunächst nur aus dem Public Key abgeleitet, bei signierten Transaktionen lässt sich der Public Key jedoch rekonstruieren und ist damit für bereits aktive Accounts effektiv offengelegt. Das erhöht die Exposition gegenüber einem späteren CRQC, macht Ethereum-Adressen aber nicht schon heute unmittelbar angreifbar.

Ein zusätzliches Marktrisiko besteht in sehr alten Bitcoin-Beständen aus der Frühzeit des Netzwerks (z. B. jenen von Satoshi Nakamoto), deren Public Keys dauerhaft im Klartext sichtbar sind. Nakamoto gilt seit 2011 als verschollen und soll mit geschätzten 1,1 Millionen BTC der größte Bitcoin-Besitzer sein; die Bestände sollen seit den frühesten Tagen der Kryptowährung unberührt in seinen Wallets liegen.

Würden solche Bestände eines Tages durch einen Quantenangriff bewegt, könnte das erhebliche Marktverwerfungen und Vertrauensschäden auslösen.

Gleichzeitig stellt die Umstellung auf PQC verteilte Ledger vor spürbare Effizienzfragen. Klassische ECDSA- oder Schnorr-Signaturen liegen typischerweise im Bereich von einigen Dutzend Byte; standardisierte PQ-Signaturen wie ML-DSA-65 liegen dagegen bei rund 3,3 Kilobyte. Das vergrößert Transaktionen und Zustandsdaten deutlich und kann je nach Protokolldesign Bandbreite, Speicherbedarf und Gebühren erhöhen.

Wie stark dieser Effekt tatsächlich ausfällt, hängt jedoch von der Wahl des Verfahrens, der Signaturarchitektur, möglichen Aggregationsmechanismen und dem konkreten Blockchain-Design ab. Ein genereller Kollaps der Dezentralität ist zwar eher unwahrscheinlich – wohl aber ein Trade-off zwischen Zukunftssicherheit und Effizienz.

Erst vor wenigen Wochen (April 2026) hat das unabhängige Coinbase Quantum Advisory Board ein umfassendes Positionspapier veröffentlicht, das die Dringlichkeit für den gesamten Finanzsektor untermauert.

Enterprise-IT: Strategische Implikationen und Handlungsbedarf

Für die IT-Verantwortliche ergibt sich aus den neuen – verkürzten – Fristen ein unmittelbarer Handlungszwang. Das akuteste Risiko stellt das Szenario „Harvest now, decrypt later“ dar: Angreifer zeichnen bereits heute gezielt verschlüsselten Datenverkehr auf, um diesen nach dem Q-Day retroaktiv zu entschlüsseln.

Großunternehmen und Infrastrukturbetreiber migrieren daher zunehmend auf eine zweigleisige Sicherheitsarchitektur:

1. Migration der Netzwerkinfrastruktur: Interne Server, Datenbanken und Kundenschnittstellen müssen konsequent auf die vom NIST standardisierten Post-Quanten-Algorithmen wie ML-KEM (für Verschlüsselung) und ML-DSA / Dilithium (für Signaturen) umgestellt werden. Um der Bedrohung durch Datenabfang entgegenzuwirken, müssen TLS/SSL-Verbindungen ab sofort mit hybriden Verfahren gesichert werden, die klassische Verschlüsselung mit Post-Quanten-Schlüsseln kombinieren.
2. Etablierung von Krypto-Agilität (Crypto-Agility): Die Softwarearchitektur im Enterprise-Umfeld muss so umprogrammiert werden, dass kryptographische Algorithmen im Ernstfall per Plug-and-Play ausgetauscht werden können, ohne die Kernsysteme zu gefährden. Zudem etablieren sich Hybrid-Signaturen für hochsensible Datenspeicher (Cold Storages): Transaktionen und Systemfreigaben sind nur gültig, wenn sie sowohl mit klassischen Verfahren als auch mit quantensicheren, gitterbasierten Algorithmen signiert wurden – versagt ein System, hält das andere.

Fazit

Die technologischen Fortschritte der ersten Jahreshälfte 2026 verkürzen für Unternehmen das Zeitfenster, in dem sie ihre kryptographischen Altlasten ohne erhöhtes Risiko modernisieren können. Die Kombination aus effizienterer Fehlerkorrektur, neuen Architekturansätzen und ambitionierten Roadmaps verschiebt die Grenze des Machbaren nach vorn. Gleichzeitig steigt das Risiko, dass einzelne Schutzmechanismen, lang lebende Datenbestände und schwer migrierbare Infrastrukturen früher unter Druck geraten als bisher angenommen.

Für IT-Verantwortliche bedeutet das: Wer Krypto-Agilität und Post-Quanten-Migration weiter vertagt, riskiert strategische Handlungsunfähigkeit in einem sicherheitskritischen Übergangsfenster.