Wie lange bleibt Unternehmen und Gesellschaft noch Zeit bis zum Q-Day – dem Tag, an dem Cyberkriminelle mit Quantenschlüsseln alle Daten auslesen können, die sie jetzt bereits verschlüsselt in ihren Besitz gebracht haben? Wer seine Informationen langfristig schützen will, sollte sich schon jetzt darauf einstellen. Möglichkeiten zur Prävention durch eine zukunftssichere Verschlüsselung von Backups und Produktivsystemen gibt es bereits.
Cyberkriminelle sehnen den Q-Day herbei, um mit Quantenschlüsseln gestohlene Daten auslesen zu können.
(Bild: Midjourney / KI-generiert)
Viele professionelle IT-Entscheider betrachten Quantencomputing noch als theoretisches Konzept ohne unmittelbare Relevanz für ihre aktuelle Praxis. Quantencomputing ist so komplex, dass nur wenige Menschen mehr als die Grundzüge davon verstehen. Zudem findet das Thema angesichts anderer unmittelbarer Gefahren – wie Ransomware oder Cyberangriffen – für viele CISOs keinen Platz auf ihrer Agenda. Laut einer aktuellen Studie der ISACA haben lediglich vier Prozent der IT-Verantwortlichen in Unternehmen Strategien zum Umgang mit Quantencomputing entwickelt. Und nur zwei Prozent können die neuen Möglichkeiten einschätzen.
Außerhalb stark datenschutzregulierter Branchen ist es daher nicht ungewöhnlich, dass die Entscheider in Unternehmen weder die Technologie verstehen noch mit den neuesten Standards und Rahmenbedingungen vertraut sind. Da diese Vorgaben oft nicht rechtlich verbindlich sind, finden sie sich nur selten oben auf den Prioritätenlisten.
Empfehlung der Redaktion
Die Welt der Physik und der Mathematik ist für viele von uns eine unbegreifliche. Doch genau dorthin müssen wir uns begeben, wenn wir verstehen wollen, wie Quantencomputer funktionieren. In Folge 99 des Security-Insider Podcast sprechen wir mit Professor Christoph Becher von der Universität des Saarlandes darüber, wie Quantencomputer funktionieren, welche sinnvollen Anwendungsmöglichkeiten es für die Super-Computer gibt, aber auch welche Gefahren dadurch lauern. Außerdem erklärt Professor Becher, welche Lösungsansätze es schon heute gibt. Wir wünschen viel Spaß, beim Zuhören!
Der Vogel Strauß hat keine Zeit mehr
Tatenlos zu bleiben, wird aber in der nahen Zukunft zum Problem. Obwohl die Idee des Quantencomputings wie Science-Fiction klingt, befindet sich diese Technologie bereits im experimentellen Stadium. Nur wann der Q-Day Wirklichkeit wird, ist umstritten. Die Prognosen variieren, aber die meisten Experten gehen davon aus, dass Quantencomputing absehbar praktische Relevanz haben wird. Für den BSI-Experten Manfred Lochter sei in höchstens 16 Jahren mit dem ersten entschlüsselnden Quantencomputer zu rechnen – überraschende Durchbrüche könnten den Prozess jedoch deutlich beschleunigen. Zu befürchten ist insbesondere die Fähigkeit, weit verbreitete Public-Key-Verfahren wie RSA und ECC (Elliptic Curve Cryptography) auszuhebeln.
Die Hacker sind jetzt schon aktiv und zwingen die Datenschutz- und Datensicherheitsverantwortlichen zu reagieren. Denn nach der Grundsatzstrategie „Harvest Now – Decrypt Later“ sammeln Hacker bereits Datenmaterial, um es später entschlüsseln zu können. Die Beutezüge lohnen sich langfristig, insbesondere für Daten mit einer längeren Lebensdauer – wie etwa Informationen zu Personen.
Letztlich müssen sich die Sicherheitsverantwortlichen darüber im Klaren sein, dass der unberechtigte Zugriff auf verschlüsselte Daten die gesamte IT und nicht nur gespeicherte Informationen bedroht. Datenschutz ist nur das naheliegendste, wenn auch ein besonders schwerwiegendes Risiko. Bedroht sind die ganze IP eines Unternehmens wie das Wissen um den Markt, Forschung, Finanzberichte oder proprietäre Algorithmen. Ebenso gefährdet sind IT-Abläufe, digitale Signaturen oder die Prozesse zur Verifikation digitaler Aktivitäten. Am sogenannten Q-Day verlieren selbst Zero-Trust-Ansätze ihre Wirksamkeit, ebenso wie die bislang sichere Kommunikation über TLS- oder SSL-Protokolle.
Der Bedarf zu handeln ist also bereits gegeben, zumal sich die Kryptografie zum Schutz von Daten vor diesen Angriffen nicht über Nacht ändern lässt – und schon gar nicht in einer komplexen IT-Umgebung. Niemand kann es sich länger leisten, den Kopf in den Sand zu stecken.
Unternehmen können ihre Verschlüsselung jetzt neu aufstellen. Industriestandards sind vorhanden, und Hersteller integrieren diese in eine quantenresistente Plattform für Datensicherheit und Datenverfügbarkeit. Das National Institute of Standards and Technology (NIST) empfiehlt Vorgaben wie CRYSTALS-Kyber, CRYSTALS-Dilithium, SPHINCS+ und FALCON.
Quantenresistente Verschlüsselung ist jedoch kein Umdrehen der Schlüssel, sondern ein langfristiger Prozess. Eine Postquanten-Cyber-Resilienz erfordert daher schon heute mehrere Schritte:
Kryptographie-Inventur: Zunächst müssen Entscheider definieren, welche Bereiche überhaupt einer Kryptographie bedürfen. Dazu gehören in der Regel die sensibelsten Daten wie Applikationen, Netzwerk, Identitätsmanagement, das Sichern der Daten at rest sowie der Datenaustausch mit Dritten.
Priorisierte Migration: Hacker können am Q-Day nicht alle Daten und Nachrichten auf einmal entschlüsseln. Aber die Cyberdefensive sollte schon jetzt Prioritäten setzen. Ganz oben stehen die sensibelsten und langlebigsten Systeme und Daten. Die Grundregel lautet: Informationen, die länger als fünf Jahre vertraulich bleiben sollten, benötigen jetzt einen postquantenkonformen Schutz. Weniger sensible Daten sind in der Regel mit heutigen Standardmethoden hinreichend geschützt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Sobald hochsensible Daten identifiziert sind, sollten IT-Verantwortliche diese vorrangig auf eine quantenresistente Plattform migrieren, idealerweise auf eine, die dies effektiv unterstützt. Je nach Plattform kann dies mit erheblichem Aufwand verbunden sein. Umso wichtiger ist es, die notwendigen Schritte jetzt einzuleiten, um geistiges Eigentum und personenbezogene Daten so schnell wie möglich wirksam und zukunftssicher zu schützen. Die Schritte jetzt einzuleiten, ist entscheidend für den schnellstmöglich effektiven und zukunftssicheren Schutz geistigen Eigentums oder personenbezogener Daten.
Krypto-Agilität implementieren: Krypto-Agilität – die Fähigkeit, als Reaktion auf neue Gefahren zwischen verschiedenen kryptografischen Algorithmen zu wechseln – spielt im Postquanten-Zeitalter eine entscheidende Rolle. Die Verantwortlichen für Datensicherheit sollten daher Frameworks entwickeln, um zukunftsresiliente Algorithmen schnell und ohne umfangreiche Umbauten in der IT-Infrastruktur ersetzen zu können. Krypto-Agilität erfordert geschulte Mitarbeiter.
Die Supply-Chain nicht vergessen: Für einen durchgängigen Schutz der Informationskette ist es zudem nötig, dass alle Teilnehmer im Ökosystem eines Unternehmens die neuen Standards einhalten, um einen durchgängigen Schutz und Agilität zu gewährleisten.
Darren Thomson, Field CTO EMEAI bei Commvault.
(Bild: Commvault)
Die Zeit bis zum Q-Day läuft ab. Die möglichen Betroffenen sollten jetzt handeln, um zu verhindern, dass weitere, nicht zukunftssichere verschlüsselte Informationen in falsche Hände geraten. Eile ist umso mehr geboten, da die Komplexität und damit die Kosten sowie der Aufwand dieser Aufgabe nicht zu unterschätzen sind. Eine Migration zur Postquantenkryptographie bedarf Zeit – gerade in komplexen IT-Unternehmen. Plattformen zu Datensicherheit geben Verantwortlichen die Möglichkeit, jetzt die Schlüssel umzudrehen.
* Der Autor: Darren Thomson, Field CTO EMEAI bei Commvault
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/70/bb/70bbb2c0f01574e4d6150386387ae219/0122095566v1.jpeg "Nutzen Cyberkriminelle die Fähigkeiten hochintelligenter Quantencomputer für ihre Zwecke, könnte das massive Auswirkungen auf die Sicherheit unserer digitalen Infrastrukturen haben. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/12/a5/12a59036234d47a628d712a100861933/0120566087v1.jpeg "Quantencomputer stellen bereits jetzt eine Gefahr dar (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/75/93/7593ac4f06c9ef053f2e306b05b9e7fb/0124645928v2.jpeg "Die wohl größte Gefahr durch Quantencomputer besteht wohl darin, dass sie in der Lage sein werden, unsere heutigen Verschlüsselungstechnologien zu umgehen. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/b3/adb3569bae0529f843474099e43bd683/0119955853v1.jpeg "PQC-Algorithmen und Krypto-Agilität sind entscheidend im Kampf gegen Cyber-Angriffe, wenn nicht nur das eigene Unternehmen, die genutzte Cloud, sondern auch Kriminelle und freindliche Mächte Quantencomputer nutzen können. (Bild: © Saulo Collado stock.adobe.com )")
:quality(80)/p7i.vogel.de/wcms/26/f8/26f823c40fe5fe1d6f99ff3b3fc5b0a8/0128117852v1.jpeg "Wer Verschlüsselung frühzeitig auf Post-Quanten-Kryptografie umstellt, senkt das Risiko, dass heute geschützte Daten in einigen Jahren entschlüsselt werden. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c5/23/c52364ae8656e045d2cde52d6e55ad5c/0124979083v2.jpeg "Bis zur Marktreife von Quantencomputern dauert es zwar noch etwas, doch frühes Handeln zahlt sich aus. Wer gut auf den Q-Day vorbereitet wird, handelt im Ernstfall dann auch souverän. (Bild: © Production Perig - stock.adobe.com)")