Steht der „Q-Day“ wirklich bevor?
Aus der theoretischen Quantenbedrohung für die Verschlüsselung ist eine strategische Frage geworden.
Was wäre, wenn? Prognosen zufolge könnte der sogenannte „Q-Day“ mit einer Wahrscheinlichkeit von 22 % bis 40 % bis zum Jahr 2036 eintreten – was erhebliche Auswirkungen auf die IT-Sicherheit haben könnte – bei entsprechend schnelleren technologischen Durchbrüchen auch früher und mit höherer Wahrscheinlichkeit. Organisationen sollten jetzt bereits handeln – sagt auch das BSI.
Was ist der „Q-Day“?
Der sogenannte „Q-Day“ bezeichnet den Zeitpunkt, an dem ein leistungsfähiger Quantencomputer erstmals in der Lage ist, die heute weit verbreitete Public-Key-Kryptografie zu knacken. Dieses Ereignis hätte weitreichende Konsequenzen, denn die Public-Key-Kryptografie bildet das Rückgrat der Sicherheit im Internet. Sie schützt unsere E-Mails, Online-Konten, VPN-Verbindungen, Cloud-Workloads, Software-Updates, Identitätsmanagementsysteme sowie Banktransaktionen – kurzum, nahezu jede digitale Aktivität, die wir im Internet ausführen. Sollte dieser Tag tatsächlich eintreten, wäre er für die meisten Menschen kein Grund zur Freude. Die entscheidende Frage ist jedoch, wann beziehungsweise ob der Q-Day tatsächlich eintreten wird.
Q-Day ist nicht gleich Y2K
Häufig wird das Risiko, das von Quantencomputern ausgeht, mit dem Y2K-Bug verglichen. Dieser Vergleich wirkt auf den ersten Blick beruhigend, denn obwohl im Vorfeld des Jahrtausendwechsels eine Katastrophe befürchtet wurde, gab es letztlich keine dramatischen Zwischenfälle – keine Flugzeuge stürzten ab, als die Systeme auf das neue Jahrtausend umschalteten. Allerdings ist dieser Vergleich auch irreführend. Beim Y2K-Problem war genau bekannt, welche Komponenten betroffen sein könnten, wie diese Probleme zu beheben sind, und die Korrekturen waren vergleichsweise einfach. Zudem war der Zeitpunkt offensichtlich: Das Problem trat mit dem Jahreswechsel auf.
Im Gegensatz dazu bietet der Q-Day keinerlei solche Sicherheitspunkte. Weder ist bekannt, wann genau er eintreten wird, noch ist klar, welche Systeme zuerst betroffen sein werden. Hinzu kommt, dass die notwendigen Anpassungen zur Lösung der Probleme äußerst komplex sind.
Neue Bedrohungslage durch feindliche Akteure
Ein weiterer entscheidender Unterschied zur Y2K-Problematik ergibt sich aus der Bedrohungslage: Im Jahr 1999 gab es keine feindlichen Nationalstaaten, die gezielt verschlüsselte Daten sammelten, um diese zu einem späteren Zeitpunkt knacken zu können. Heute stellt genau dieses Vorgehen eine reale Strategie dar. Sollte jemand mehr über das tatsächliche Eintreten des Q-Days wissen, dann sind es vermutlich Regierungen mit geheimen Forschungsprogrammen, enormen Geheimdienstbudgets und einem berechtigten Interesse, ihre Erkenntnisse nicht öffentlich zu machen. Die fortschrittlichste Forschung im Bereich Quantencomputing findet vermutlich weitgehend im Verborgenen statt.
Vorbereitung auf den Q-Day
Es gibt aber auch positive Aspekte: Die Menschheit hatte inzwischen rund 30 Jahre Zeit, sich auf den Q-Day vorzubereiten, und die notwendigen Schritte sind bekannt. Dennoch bleibt die Herausforderung groß, denn Ungewissheit über den Zeitpunkt und das Ausmaß der Bedrohung erschwert die Planung und Umsetzung entsprechender Schutzmaßnahmen erheblich.
Warum das wichtig ist: Ein Ausflug in die Geschichte
Die Entwicklung der Quantenbedrohung lässt sich anhand einiger Meilensteine skizzieren, die verdeutlichen, wie sich aus einer rein theoretischen Überlegung eine strategische Herausforderung für die IT-Sicherheit entwickelt hat.
1976: Die Entstehung der Public-Key-Kryptografie
Im Jahr 1976 gelang es erstmals, das jahrhundertealte Problem der sicheren Kommunikation zwischen zwei Parteien ohne vorherigen Austausch eines geheimen Schlüssels zu lösen. Die Einführung der Public-Key-Kryptografie – insbesondere durch Verfahren wie RSA und später elliptische Kurven (ECC) – ermöglichte es, dass zwei Personen vertraulich miteinander kommunizieren konnten, ohne sich persönlich zu treffen. Das Prinzip dahinter ist, dass bestimmte mathematische Probleme in eine Richtung leicht, in die andere jedoch extrem schwer zu lösen sind. Diese Grundidee bildet bis heute die Basis zahlreicher Verschlüsselungsverfahren.
1994: Shors Algorithmus und die theoretische Bedrohung
1994 zeigte Peter Shor, dass ein ausreichend leistungsfähiger Quantencomputer genau diese schwierigen mathematischen Probleme sehr effizient lösen könnte. Zu diesem Zeitpunkt existierten Quantencomputer allerdings nur als rudimentäre Laborprototypen und galten als reine Spielerei – das Risiko war rein akademisch und schien weit entfernt. Die breite Öffentlichkeit beschäftigte sich zu dieser Zeit vielmehr mit dem aufkommenden World Wide Web.
Ende der 1990er Jahre: Der Siegeszug des E-Commerce
In den späten 1990er Jahren begann der E-Commerce zu boomen. Online-Banking wurde zum festen Bestandteil des Alltags, wobei die Public-Key-Kryptografie als Sicherheitsgrundlage diente. Diese Technologien waren mittlerweile nahezu überall integriert und bildeten das Rückgrat des digitalen Handels und der sicheren Kommunikation.
2001: Praktische Umsetzung von Shors Algorithmus
Im Jahr 2001 wurde Shors Algorithmus erstmals praktisch implementiert – wenn auch nur für sehr kleine Zahlen. Dennoch bewies dieser Erfolg die prinzipielle Funktionsfähigkeit des Ansatzes. Währenddessen schritt die Quanteninformatik langsam voran und fand Anwendung bei speziellen Aufgaben in Physik und Chemie. Kryptografie-Expert:innen begannen zeitgleich damit, Alternativen zu RSA und ECC zu erforschen, um sich gegen zukünftige Quantenangriffe zu wappnen.
2019: Kommerzielle Quantencomputer und verschärfter Wettbewerb
Mit der Markteinführung des ersten kommerziellen Quantencomputers, dem IBM System 1 im Jahr 2019, gewann das Thema weiter an Fahrt. In den folgenden Jahren überboten sich Unternehmen mit Ankündigungen und Erfolgsnachweisen im Bereich des sogenannten Quantenvorteils, was zu einem intensiven Wettbewerb führte.
2024: Standardisierung der Post-Quanten-Kryptografie
Im Jahr 2024 veröffentlichte das US-amerikanische National Institute of Science and Technology (NIST) erstmals Standards für die Post-Quanten-Kryptografie. Ebenfalls gegen Jahresende verkündete Google mit dem Willow-Chip einen Durchbruch bei der Quantenfehlerkorrektur – einem der größten Hürden für den Bau skalierbarer Quantencomputer.
2025: Fortschritte beim Knacken klassischer Verschlüsselung
2025 gelang es Craig Gidney, einem KI-Wissenschaftler bei Google, die geschätzten Ressourcen, die zum Knacken der weitverbreiteten RSA-2048-Verschlüsselung notwendig sind, um den Faktor 20 zu senken. Diese Entwicklung unterstreicht die zunehmende Dringlichkeit, sich mit der Quantenbedrohung auseinanderzusetzen.
Vom theoretischen Risiko zur strategischen Bedrohung
In den 2020er Jahren wandelte sich die Bedrohung durch Quantencomputer von einer rein theoretischen zu einer strategischen Herausforderung. Die digitale Wirtschaft stützt sich auf mathematische Verfahren, deren „Verfallsdatum“ in der Fachwelt längst bekannt ist. Der Q-Day steht sinnbildlich für den Tag, an dem diese Verfahren durch Quantencomputer obsolet werden und damit ein zentrales Datum für die IT-Sicherheit weltweit markieren.
Wir haben 100 IT-Führungskräfte aus Großbritannien nach ihrer Einschätzung des Risikos durch Quantencomputer befragt.
Nur zwei Prozent sehen das Thema vor allem als Hype, was angesichts der Unsicherheiten über die Skalierbarkeit von Quantencomputern nicht unberechtigt ist. Viele Fachleute bezweifeln, dass technische Herausforderungen rasch – oder überhaupt – überwunden werden. So vermutet Tim Palmer, Physiker an der Universität Oxford, dass Quantencomputer ihren maximalen Nutzen bei der Faktorisierung großer Zahlen schon mit rund 1.000 Qubits erreichen und niemals die etwa eine Million Qubits schaffen, die für das Knacken von RSA-2048 nötig wären.
Auch die Schweizer Quantenkommission betont: Es wurde bisher keine Quantenhardware präsentiert, die große, fehlertolerante Berechnungen ermöglicht, ebenso wenig eine kommerziell erfolgreiche Anwendung.
Die Mehrheit der Computing-Befragten betrachtet Quantentechnologie zwar als Bedrohung für Verschlüsselung, ist aber geteilter Meinung, wie dringend diese Gefahr tatsächlich ist.
Dieses Verhalten ist typisch im Risikomanagement: Bei unsicheren Zeitpunkten neigen wir dazu, Risiken zurückzustellen und uns akuteren Aufgaben zu widmen.
Das National Cyber Security Centre (NCSC) empfiehlt allen Organisationen einen Zeitplan für den Umstieg auf Post-Quanten-Kryptografie (PQC):
- Bis 2028: Erhebung und Analyse abgeschlossen
- Bis 2031: Migration der risikoreichsten Systeme
- Bis 2035: Entfernung anfälliger Kryptosysteme
Diese Richtlinien entsprechen weitgehend denen anderer Behörden.
In den USA fordert die NSA, dass sensible Regierungs-Systeme bis zum 1. Januar 2027 quantenresistente Algorithmen einsetzen, PQC ab 2031 breit implementieren und die vollständige Umstellung bis 2035 abschließen. „Praktisch bedeutet das, neuer Code sollte jetzt mit PQC signiert werden; bestehender Code muss aktualisiert werden“, erläutert die Behörde.
Der EU-Fahrplan verlangt bis Ende 2026 nationale PQC-Strategien, Pilotprojekte für wichtige Anwendungen und vollständige Umstellung von Hochrisikosystemen bis 2030. Bis 2035 sollen möglichst viele Systeme mit mittlerem und niedrigem Risiko geschützt sein.
Das Global Risk Institute fragt jährlich Experten: „Wann wird RSA-2048 geknackt?“ 2024 lag die Wahrscheinlichkeit dafür bis 2029 bei 5–14 %.
RSA-2048, ein etablierter Verschlüsselungsalgorithmus, hat eine effektive Schlüssellänge von etwa 112 Bit; ein Brute-Force-Angriff würde selbst mit Supercomputern rund 150 Millionen Jahre dauern.
Ein Quantencomputer könnte diese Algorithmen jedoch viel schneller knacken – sofern er ausreichend leistungsfähig ist.
Klassischerweise gleicht das dem Versuch, eine Person durch ein riesiges Labyrinth zu schicken, die erst nach 150 Millionen Jahren wieder herauskommt. Der Quantenansatz hingegen schickt eine ganze Gruppe hinein, die sich bei jeder Kreuzung aufteilt – so kommt man oft schon nach Stunden oder Tagen ans Ziel. Shors Algorithmus macht dies möglich.
Post-Quanten-Kryptografie
Quantencomputer sind nur für bestimmte Problemtypen geeignet, bei denen Muster ausgenutzt werden können.
PQC-Algorithmen wie gitterbasierte Verfahren setzen auf einen komplexen, verrauschten geometrischen Raum, während hashbasierte Schemata Quantencomputern kaum Vorteile bieten. Nach aktuellem Stand gibt es für diese mathematischen Probleme keine bekannte Quanten-Abkürzung – man kann die Rechenzeit also nicht dramatisch verkürzen. Selbst wenn neue Algorithmen Schwachstellen zeigen, dürfte die Gefahr nicht primär von Quantencomputern ausgehen.
Die Mosca-Ungleichung: Ein Planungsansatz für das Quantenrisiko
Für CIOs und CISOs stellt sich nicht nur die Herausforderung eines ungewissen Zeitrahmens, sondern vor allem die Frage, wie ein möglicherweise erhebliches Budget für die Minderung eines Risikos eingesetzt werden soll, das vielleicht erst in ferner Zukunft relevant wird – oder unter Umständen nie eintritt. Hinzu kommt, dass eine Vorbereitung auf diese Bedrohung erst über mehrere Jahre hinweg erfolgen kann.
Michele Mosca, Professor am Institut für Quantencomputing der University of Waterloo in Kanada, empfiehlt Organisationen, das Risiko unabhängig vom tatsächlichen Eintritt des sogenannten „Q-Day“ als kurzfristiges Planungsproblem zu betrachten. Grund dafür ist, dass die Risikominderung einen langen Vorlauf benötigt und sensible Daten oft über sehr lange Zeiträume gespeichert werden.
Dieser Gedankengang wird in der sogenannten Mosca-Ungleichung zusammengefasst:
X + Y > Z
Die Variablen stehen für:
- X: Die Zeitspanne, für die Ihre Daten sicher bleiben müssen
- Y: Die Zeit, die Sie für die Umstellung auf Post-Quanten-Kryptografie benötigen
- Z: Die Zeit bis zur Verfügbarkeit von Quantencomputern, die bestehende Systeme knacken können
Wenn X plus Y größer ist als Z, droht der Verlust der Datensicherheit.
Ein Beispiel verdeutlicht das Problem: Müssen Daten sieben Jahre lang aufbewahrt werden – wie es häufig aus Compliance-Gründen gefordert wird – und dauert die Migration drei Jahre (was je nach Unternehmen optimistisch sein kann), ergibt sich für X + Y ein Zeitraum von zehn Jahren. Kommt ein leistungsfähiger Quantencomputer vor Ablauf dieser zehn Jahre auf den Markt, sind sämtliche Daten gefährdet.
Selbst wenn man sich auf der „richtigen Seite“ dieser Ungleichung befindet, bedeutet das nicht automatisch Sicherheit. Daten, die heute gesammelt und durch gefährdete Systeme geschützt werden, könnten später durch einen sogenannten HNDL-Angriff (Harvest Now, Decrypt Later) entschlüsselt werden.
Betrachtet man die Grafik des Global Risk Institute mit dem Jahr 2026 als Ausgangspunkt, liegt die Wahrscheinlichkeit zwischen 22 % und 40 %, dass der sogenannte Q-Day innerhalb der nächsten zehn Jahre, also bis 2036, eintritt. Diese Einschätzung stammt aus einer Umfrage unter Quantencomputing-Experten und wurde vor den jüngsten Fortschritten im Bereich der Fehlerkorrektur vorgenommen.
Angesichts der potenziellen Auswirkungen erscheint diese Prognose besonders relevant. Es stellt sich die Frage, wie diese Vorhersage im Vergleich zu anderen Bewertungen steht.
Während einige Experten davon ausgehen, dass der Q-Day erst weit in der Zukunft liegt, prognostizieren Unternehmen wie IBM und Google die Verfügbarkeit kommerziell nutzbarer, fehlertoleranter Quantensysteme bereits um das Jahr 2029. Obwohl es plausible Gründe gibt, weshalb beide Organisationen ihre Fortschritte positiv darstellen möchten, haben sich ihre Entwicklungspläne bisher als verlässlich erwiesen.
Die Markteinführung eines solchen Systems würde zwar nicht unmittelbar zu einem grundlegenden Wandel im Bereich der Kryptografie führen, dürfte jedoch erhebliche Investitionen nach sich ziehen und den technologischen Fortschritt weiter beschleunigen.
Für das brechen von RSA-2048 mittels des Shor-Algorithmus sind nach aktuellen Schätzungen etwa 1.730 logische Qubits erforderlich, was die aktuellen Kapazitäten vorhandener Systeme (rund 50 logische Qubits) deutlich übersteigt. Dennoch bewegt sich diese Herausforderung mittlerweile jenseits des Science-Fiction-Bereichs.
Kleiner Realitätscheck
Die von uns befragten Organisationen haben ambitionierte Pläne: 13 % wollen bis 2028 auf Post-Quanten-Kryptografie umstellen, 30 % bis 2031 und 19 % bis 2035. Trotz dieser Absichtserklärungen bleibt Skepsis wegen vieler Unentschlossener angebracht.
Kosten und Budgetplanung sind das größte Hindernis. Danach folgen konkurrierende Prioritäten; viele IT-Führungskräfte haben mehr Sicherheitsprobleme, als sie bewältigen können. Ein weiteres Problem mit unklarer zeitlicher Planung bekommt daher oft nicht die volle Aufmerksamkeit.
39 Prozent sehen unsichere Standards und Zeitpläne als Hürde. Obwohl das NCSC und andere Organisationen klare Vorgaben machen, gibt es mittlerweile genehmigte Standards, auf die sich Unternehmen beziehen können. Das Warten auf noch mehr Klarheit ist deshalb möglicherweise keine sinnvolle Option.
Das US-amerikanische National Institute for Standards and Technology (NIST) hat bereits neue Systeme für Datenverschlüsselung und digitale Signaturen genehmigt und arbeitet an weiteren Lösungen. Die Umsetzung bleibt herausfordernd, aber die Standards stehen inzwischen zur Verfügung.
Auch vom BSI gibt es einen Leitfaden und Handlungsempfehlungen.
Sind wir nun gefährdet – oder nicht?
Bei der Berechnung von Cyberrisiken sollte stets bewertet werden, wie wahrscheinlich es ist, dass eine Organisation zum Angriffsziel wird. Die ersten Angreifer mit Zugang zu Quantencomputern werden vermutlich staatlich unterstützt sein und sich zunächst auf Regierungen, Banken, Cloud-Dienste, Verteidigungs- und Energiesektoren sowie andere wichtige Infrastrukturen konzentrieren. Trotzdem sind alle Unternehmen als Partner, Kunden oder Teil einer Lieferkette miteinander verbunden und dadurch potenziell betroffen.
Positiv ist, dass viele Technologieanbieter bereits seit geraumer Zeit an Lösungen für diese Bedrohung arbeiten. So stellen Cloud-, Netzwerk- und Kommunikationsdienste sowie Anbieter von Browsern, Betriebssystemen und Bankensoftware zunehmend quantensichere Optionen bereit.
Negativ bleibt allerdings, dass die Vielzahl und Komplexität interner Verschlüsselungslösungen von den Anbietern nicht zentral gelöst werden kann – hier müssen Organisationen selbst aktiv werden.
Ob der sogenannte Q-Day unmittelbar bevorsteht, lässt sich nicht sagen. Doch angesichts der aktuellen Entwicklungen empfiehlt es sich auf jeden Fall, das Thema aufmerksam zu verfolgen und ernst zu nehmen.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.