Blick ins Heft c’t 23/2025: Kryptografie-Risiko Quantencomputer

Quantencomputer sind ein Risiko für klassische Verschlüsselungsverfahren wie RSA. Die Gefahr ist nicht akut, Experten sehen aber dringenden Handlungsbedarf.

30.10.2025, 11:40 Uhr

Lesezeit: 11 Min.

c't Magazin

Von

Andrea Trinkwalder

Hallo aus Hannover,

Quantencomputer sind derzeit weit vom praktischen Einsatz entfernt. So ziemlich alles daran ist noch experimentell: die Hardware, die Algorithmen, von den sehr begrenzten Einsatzszenarien ganz zu schweigen.

Dennoch macht sich unter Bankmanagern und in Security-Kreisen eine gewisse Unruhe breit. Denn Quantencomputer haben theoretisch das Zeug dazu, die heute genutzten Verschlüsselungsverfahren zu knacken. Noch gibt es keine Rechner, die dies auch in der Praxis zuverlässig bewerkstelligen, oder Erkenntnisse aus der Forschung, die darauf hindeuten, dass es bald soweit ist. Deshalb sehen die Experten keine akute Gefahr.

Aber gerüstet wollen und müssen sie auf jeden Fall sein. Denn wenn ein Durchbruch kommt, könnte es ganz schnell gehen – und die Daten und Systeme liegen offen wie ein Scheunentor, wie meine Kollegen und Kolleginnen in der aktuellen c't berichten. Markus Montz beschreibt am Beispiel des Finanzsektors, wie Quantencomputer die Sicherheit aushebeln können. Sabrina Patsch gibt einen Einblick in die Funktionsweise von Quantencomputern und -algorithmen. Und Wilhelm Drehling hat sich angesehen, wie weit quantencomputerresistente Verfahren bereits gediehen sind.

Intensiv beschäftigt haben wir uns in der aktuellen c't auch mit den wahrlich gigantischen Ausmaßen, die die Datensammel- und -analysebranche mittlerweile annimmt, sowie mit dem geplanten Anti-Drone-Wall, der die NATO-Ostflanke gegen das Eindringen von Drohnen schützen soll.

Quantencomputer: Angriff aus der Zukunft

Es ist ja nicht gerade so, dass man Quantencomputer schon im Elektronikmarkt an der Ecke kaufen kann. Es ist noch nicht mal klar, wie ein praxistauglicher Quantencomputer überhaupt aussehen wird, denn Wissenschaftler experimentieren zurzeit mit unterschiedlichen Ansätzen. Trotzdem warnte der Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht Mark Branson im Juli eindringlich vor den Risiken, die die neue Technologie berge: "Denn Quantencomputer werden etablierte Verschlüsselungsverfahren überwinden können", stellte er klar.

Mit dieser Befürchtung steht er nicht alleine da. Dass dieser in Analogie zum D-Day als Q-Day bezeichnete Tag in nicht allzu ferner Zukunft kommen werde, halten Experten zumindest für sehr wahrscheinlich. Und auch wenn noch nicht absehbar ist, wann es, falls überhaupt, so weit sein wird, sehen sie unisono dringenden Handlungsbedarf.

Denn Fakt ist: Entsprechende Quantenalgorithmen zum Überwinden der momentan gebräuchlichen klassischen Verschlüsselungsverfahren existieren bereits; es fehlen nur noch geeignete, robuste Quantenrechner, um diese in der Praxis auszuführen. Würde die Forschung nun morgen, übermorgen oder in einem Jahr den entscheidenden Durchbruch schaffen, wäre der Flurschaden gewaltig. Sämtliche damit geschützte Daten lägen mit einem Schlag offen herum, keine Transaktion wäre mehr sicher.

Auf einen solchen Meilenstein deutet momentan nichts hin, weshalb nun niemand panisch in Aktionismus verfallen muss. Aber auf ein grundsätzliches Scheitern der Technik zu hoffen und das Problem auszusitzen, wäre extrem fahrlässig. Branson legt daher eine "gesunde Paranoia" nahe und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie 20 weitere europäische Behörden fordern dringend dazu auf, dem Wechsel auf Post-Quanten-Kryptografie bis Ende 2030 höchste Priorität zu geben.

Denn in unserer hochvernetzten Welt geht es ja nicht nur darum, ein paar Website-Logins umzustellen. Die Chips von Bezahlkarten müssen ebenso auf quantensichere Verfahren umgerüstet werden wie Kassenterminals und Geldautomaten, die diese auslesen. Um eine solch komplexe Infrastruktur wie die der Finanz- und Versicherungsbranche in einen quantensicheren Zustand zu bringen, braucht es nach Meinung europäischer IT-Sicherheitsbehörden mehrere Jahre.

Doch was macht die Quantenrechner eigentlich so mächtig, dass sie die mathematischen Rätsel, die der Verschlüsselung zugrunde liegen, binnen weniger Stunden lösen können? Ein herkömmlicher Supercomputer würde Millionen oder gar Milliarden Jahre benötigen, um RSA zu knacken.

Quantencomputer sind geradezu prädestiniert dafür, komplexe Optimierungsprobleme in kürzester Zeit zu lösen, erklärt meine Kollegin Sabrina Patsch. Aufgrund der Gesetze der Quantenphysik rechnen diese Maschinen hochparallel. Denn anders als herkömmliche Bits müssen Qubits keinen exakten Zustand (0 oder 1) einnehmen, sondern können in einer Überlagerung der beiden existieren. Mit wachsender Zahl der Qubits, die zu einem Rechenwerk zusammengeschaltet sind, steigt die Anzahl der möglichen Zustände exponentiell. Nur 100 Qubits können eine Quintillion Zustände überlagern, weit mehr als die Zahl der Sterne im Universum. Je mehr Qubits ein Quantencomputer also besitzt, umso mehr mögliche Lösungswege kann er gleichzeitig durchrechnen.

Das befähigt ihn nicht zum universellen Alltagshelfer, mit dem sich Spiele spielen, E-Mails schreiben oder Dokumente verwalten lassen. Aber bei der Primfaktorzerlegung zum Beispiel, wie sie in der Kryptografie eingesetzt wird, gilt es derart viele Möglichkeiten durchzurechnen, dass die Kapazitäten (und vergeichsweise bescheidenen Parallelisierungsfähigkeiten) heutiger Computer bei weitem nicht ausreichen. In Spezialgebieten wie diesem ist der Quantenrechner grundsätzlich haushoch überlegen, weil er exponentiell schneller rechnen kann – theoretisch zumindest. Funktionsfähige Quantenalgorithmen, die dieses Problem lösen, gibt es bereits; der berühmteste ist der Shor-Algorithmus, den der Mathematiker Peter Shor 1994 vorstellte.

In der Praxis nehmen sich die Erfolge allerdings noch bescheiden aus. Heutige Quantencomputer haben um die 100 Qubits, bislang ließen sich damit lediglich kleinere Zahlen (15, 21, 35) faktorisieren. Noch scheitert es an der Störanfälligkeit dieser Systeme; eine robuste Fehlerkorrektur gilt als Schlüssel, um leistungsfähige Quantenrechner zu konstruieren, die relevante Probleme lösen, wie etwa die Zerlegung sehr großer Zahlen in ihre beiden Primfaktoren.

Derweil arbeiten Kryptologen an quantencomputerresistenten Verfahren. Eine Handvoll gibt es bereits und immer mehr Unternehmen stellen darauf um: Knapp 50 Prozent des HTTPS-Traffics sind bereits gegen Angriffe von Quantencomputern gewappnet, hat Wilhelm Drehling herausgefunden. In seinem Artikel beleuchtet er den Stand der sogenannten Post-Quanten-Kryptografie und gibt Einblicke in das Projekt Quoryptan, in dem Protokolle untersucht werden, um industrielle Automatisierung und Bezahlkarten quantensicher zu machen.

Auch das noch!

Man kann sich kaum mehr vorstellen, dass Marktforscher, also Menschen auf Fleisch und Blut, früher durch die Fußgängerzonen gelaufen sind, um Daten zu erheben und Stimmungsbilder einzufangen. Dafür haben sie Menschen einzeln angesprochen, wenn sie Studien zu einem Produkt oder bestimmten Themen durchführen wollten. Damals, vor mehr als 30 Jahren, war ich fast stolz darauf, wenn ich an einer solchen – tatsächlich anonymen – Befragung teilnehmen durfte.

Heute fragt niemand mehr, es wird einfach gesammelt, egal wo man ist: mobil übers Handy, zuhause über den Desktop-Browser sowie smarte Haushaltsgeräte. Ob anonym, pseudonym oder unter echtem Namen, ist dabei unerheblich, denn die Deanonymisierung ist meist nur wenige Klicks entfernt. Im Zweifelsfall kaufen sich interessierte Unternehmen oder auch Kriminelle die fehlenden Informationen einfach bei einem Data Broker und verknüpfen sie. Dafür genügen Übereinstimmungen in wenigen Datenpunkten.

In der aktuellen c't geben wir einen Überblick über das Ausmaß der vor allem werbegetriebenen Datensammelwut und einen Einblick in das lukrative und weitgehend unregulierte Geschäft der Data Broker. Längst beschränkt sich das mit diesen Informationen durchgeführte Profiling auch nicht auf bloßes Matching von Interessen oder Vorlieben. Die Werbevermarkter versuchen sich auch an psychologischer Einordnung, indem sie aus Verhaltensweisen auf Social Media oder dem Musik- und Filmgeschmack eines Menschen auf dessen Persönlichkeit schließen – und die vermeintlich damit einhergehende individuelle Manipulierbarkeit. Die dafür zusammengetragenen Datenpunkte werden immer umfangreicher, das Profiling immer differenzierter. Ob die Prognose im Einzelfall zutrifft oder nicht, ist dabei unerheblich. Damit es sich lohnt, muss die gezielte Ansprache nur bei genügend Personen verfangen.

Der permanenten Überwachung kann sich der Einzelne nur schwer entziehen, aber immerhin setzt die EU den Big-Tech-Konzernen Grenzen in Form von Gesetzen und empfindlichen Strafen; wie genau die das Profiling eindämmen, erklärt unser Rechtsartikel.

Meine persönlichen Highlights

Drohnen fallen aggressiv in Länder ein, legen Flughäfen lahm oder spionieren Militäranlagen aus. Zur Abwehr dienen Drohnen auf Kollisionskurs oder mit Fangnetzen, aber auch ganz andere Techniken.

Apples Smartwatches haben in der 2025er-Auflage dezente, aber sinnvolle Updates erhalten. Im Fokus stehen verbesserte Bildschirme und schnellere 5G-Verbindungen. Bei den Sensoren bleibt alles beim Alten, dennoch kommen Gesundheitsfunktionen nicht zu kurz.

Schnelles USB4 beziehungsweise Thunderbolt 4 ist bei Mittelklasse-Notebooks selten. Wir stellen die günstigsten 16-Zoll-Notebooks mit USB4 auf den Prüfstand.

Beim Konzept Vehicle2Grid dient das E-Auto als Speicher im öffentlichen Stromnetz. BMW und E.ON nennen Details eines ersten Angebots, die Konkurrenz dürfte bald folgen. Damit das Thema für die Masse attraktiver wird, sind allerdings noch technische Standards sowie bessere Rahmendbedingungen nötig.

Ein günstiger SDR-USB-Stick ermöglicht jedem, einem großen Teil des Funkspektrums zuzuhören. Wir zeigen, wie Sie ihn für diesen Zweck mit der Browser-SDR-Software OpenWebRX verbinden, um auch ohne direkt angeschlossenen Empfänger etwa vom Sofa aus auf den Frequenzbändern zu lauschen.

Das Wissenssammel- und Notizprogramm Obsidian hat etwas Neues gelernt: Das offizielle Plug-in „Bases“ fügt dynamische, datenbankähnliche Tabellen hinzu.

Eine Android-App hilft, Informationslücken in der OpenStreetMap-Karte zu ergänzen. Ihre einfache und spielerische Bedienung ermöglicht es auch Unerfahrenen, sich zu beteiligen.

Das kostenlose Windows-Tool Fan Control steuert Lüfter von Gehäuse, Grafikkarte und CPU, fasst Sensoren zu Gruppen zusammen und hat dazu einige Tricks auf Lager.

Apple und Samsung wollen einen Nachfragetrend hin zu besonders flachen Smartphones erkannt haben und bedienen sie mit dem iPhone Air und dem Galaxy S25 Edge. Apple treibt dabei den Minimalismus auf die Spitze.

Aus der Redaktion

Vom 18. bis 20. November öffnet in Köln die c't webdev ihre Pforten, diesmal mit einem ganz besonderen Abendprogramm: der Premiere des c't slam. Initiiert und moderiert von der c't-Redakteurin und erfahrenen Science Slammerin Sabrina Patsch, wagen sich sechs mutige Redakteure auf unbekanntes Terrain. Anstatt im stillen Kämmerchen zu brüten und technisch anspruchsvolle Artikel in die Tastatur zu hacken, treten sie auf der Bühne gegeneinander an, um ihr jeweiliges Fachgebiet zu erklären: Georgiy Belashov, Jan Mahn, Jan Schüssler, Jo Bager und Steffen Herget von c't sowie Philipp Steevens von der iX.

Keine Angst, es wird nicht in langatmige Vorträge ausarten, ganz im Gegenteil. Denn die Kandidaten haben nur 10 Minuten Zeit, um möglichst klar, unterhaltsam und auf Englisch zu vermitteln, womit sie sich den ganzen Tag so beschäftigen. Die Challenge beginnt am 19.11. um 18 Uhr. Wer die beste Performance geliefert hat, entscheidet das Publikum.