Vor kurzem hat das BSI die Ergebnisse einer neuen Umfrage zum Stand der Quantenmigration in deutschen Unternehmen vorgelegt. Die Zahlen sind, aufgrund der geringen Teilnehmerzahl, mit Vorsicht zu genießen. Dennoch: Die Untersuchung zeigt, dass derzeit nur eine kleine Minderheit der deutschen IT-Entscheider davon ausgeht, die eigenen Systeme rechtzeitig an die neue Gefahrenlage anpassen zu können.
Der Elefant im Raum: Cyberkriminelle attackieren ihre Opfer jetzt, sammeln deren verschlüsselte Daten und warten – bis ihnen die ersten entschlüsselungsfähigen Quantencomputer zur Verfügung stehen. Ihr Ansatz: store now, decrypt later.
(Bild: swillklitch - stock.adobe.com)
Noch ist die Prozessorleistung von Quantencomputern gering. Noch wird an Rechnern mit einigen tausend Qubits gearbeitet. In wenigen Jahren schon dürfte sich die Prozessorleistung von Quantencomputern aber bedeutend erhöht haben – mit weitreichenden Folgen für die Sicherheit heute gängiger Verschlüsselungssysteme. Kürzlich hat das BSI hierzu unter IT-Entscheidern die Marktumfrage Kryptografie und Quantencomputing durchgeführt. Das Ergebnis: nahezu alle befragten Entscheider sehen im Auftauchen leistungsstarker Quantencomputer das Ende der Effektivität traditioneller kryptographischer Verfahren.
Frühestens in zehn Jahren rechnet die Mehrheit von ihnen mit einem Durchbruch im Quantencomputing. Viel Zeit – zumindest auf den ersten Blick. Denn: Nur 47 Prozent glauben, in diesem Zeitfenster ihre IT-Infrastruktur quantensicher machen zu können. 36 Prozent wollen überhaupt erst in fünf oder mehr Jahren mit der Umstellung ihrer Systeme beginnen. 32 Prozent haben hierfür bislang noch nicht einmal einen Zeitplan aufgestellt. Cyberkriminelle sind da schon bedeutend weiter. Längst haben sie damit begonnen, traditionell verschlüsselte Daten zu entwenden und massenhaft zu speichern. Sie wissen, dass die Zeit für sie arbeitet, dass sie nur warten müssen, bis ihnen erste eigene Quantenrechner zur Verfügung stehen. Und sie wissen, dass es noch Jahre dauern wird, bis ihre Opfer ihre IT-Systeme quantensicher gemacht haben werden, bis sich die Sammlung traditionell verschlüsselter Daten für sie nicht mehr lohnen wird.
Bis zum Quantenzeitalter ist es nicht mehr weit
Nach wie vor ist unklar, wann genau die ersten leistungsstarken Quantenprozessoren auf den Markt gelangen werden. Die Quantencomputer, über die in den Medien derzeit so häufig berichtet wird, operieren unter Laborbedingungen, sind Forschungsprojekte. Im IT-Alltag spielen sie noch keine große Rolle. Noch, denn Durchbrüche in der Entwicklung häufen sich. Fachexperten halten es durchaus für möglich, dass dem Markt in den kommenden zehn Jahren erste leistungsstarke Quantencomputer zur Verfügung stehen werden. So leistungsstark, dass es mit ihrer Hilfe möglich sein wird, die kryptographischen Algorithmen der derzeit gängigen Verschlüsselungssysteme zu knacken.
Praktisch alle Bereiche der IT-Infrastruktur werden betroffen sein. Denn jeder PC, jeder Laptop, jedes Notepad und jeder smarte Alltagsgegenstand, vom Smartphone, über das Smart Car bis hin zum Smart Home, nutzt Verschlüsselungssysteme zur sicheren Übertragung, Speicherung und Verarbeitung seiner Daten. Der Einsatz alternativer Verfahren, wie vertrauenswürdiger Boten oder symmetrischer Verfahren, scheitert an ihrer geringeren Praktikabilität. Aus gutem Grund will man vielerorts auf asymmetrische Verfahren nicht mehr verzichten. Keine geheimen Schlüssel müssen ungeschützt geteilt werden. Das Verfahren unterstützt den Einsatz einer digitalen Signatur, die die Identität des Empfängers authentifiziert und sicherstellt, dass die Nachricht während der Übertragung nicht manipuliert werden kann.
Für viele IT-Bereiche wurden bereits, im Rahmen der Forschung zur Quantenkryptographie (QK) und Post-Quanten-Kryptographie (PQK), Lösungen entwickelt und erprobt – teils gänzlich neu, teils basierend auf bereits etablierten asymmetrischen Verfahren. So hat sich der IT-Sicherheitsspezialist Genua beispielsweise schon vor über einem Jahrzehnt dazu entschlossen, eine umfassende Migrationsstrategie für seine Produkte zu konzipieren. Mit den Forschungsprojekten squareUP und QuaSiModO gelang es Genua, quantensichere Produktupdates und VPN-Verbindungen zu entwickeln. Aktuell erforscht das Unternehmen im Projekt AMiQuaSy die Möglichkeit, Verschlüsselungssysteme ganzer konventioneller IT-Systeme erfolgreich quantensicher zu machen. Insgesamt kann gesagt werden, dass die QK- und PQK-Forschung in den vergangenen Jahren ein gutes Stück vorangekommen ist. Doch mangelt es an Standards und regulatorischen Vorgaben. Und: nicht für alle Bereiche wurden bereits Lösungen entwickelt, nicht alle entwickelten Lösungen haben sich bereits im Alltag bewährt. In vielen Fällen steht man vor einer Art Black Box, deren Funktionstüchtigkeit in der Praxis erst noch bewiesen werden muss.
Alltagstauglichkeit auf dem Prüfstand
Hier liegt derzeit im Bereich der QK und PQK der wohl größte Knackpunkt. Die entwickelten quantensicheren Verfahren müssen in die Praxis überführt und auf ihre Alltagstauglichkeit hin getestet werden. Entwickler wie Google, Cloudflare – oder eben Genua – haben ihre quantensicheren Verfahren eingehend getestet – als Experiment unter Labor- und im Internet unter realistischen Bedingungen. Erste PQC-Verfahren, wie Genuas quantensichere Produktupdates, wurden auch bereits erfolgreich in die Praxis überführt. Viele Verfahren sind aber nach wie vor nicht über das Experiment-Stadium hinaus. Noch ist deshalb völlig unklar, was passieren wird, wenn plötzlich alle Parteien eines Netzwerkes oder des gesamten Internets ihre Daten über quantensichere Verfahren austauschen, speichern und verarbeiten. Dieses Wagnis werden IT-Entscheider aber eingehen müssen. Denn die Zeit drängt.
Der Elefant im Raum: store now, decrypt later
An Netzknoten können Angreifer schon heute sensible Unternehmensdaten abfangen und nach dem Motto "store now, decrypt later", die Verschlüsselung der Daten knacken, sobald ihnen Quantencomputer zur Verfügung stehen.
(Bild: genua)
Cyberkriminelle attackieren ihre Opfer jetzt, sammeln deren verschlüsselte Daten und warten – bis ihnen die ersten entschlüsselungsfähigen Quantencomputer zur Verfügung stehen. Ihr Ansatz: store now, decrypt later. Umso länger ihre Opfer mit der Umstellung auf quantensichere Verschlüsselungsverfahren warten, umso mehr traditionell verschlüsselte Daten können sie erbeuten, später entschlüsseln und missbrauchen – sobald ihnen die ersten Quantencomputer zur Verfügung stehen. IT-Entscheider müssen dementsprechend schon jetzt handeln.
Was IT-Entscheider jetzt tun sollten
Da die gesamte IT-Infrastruktur umgestellt werden muss, da für viele Bereiche noch keine praktikablen Lösungen vorhanden sind und da für die Bereiche, für die praktikable Lösungen bereits bestehen, noch keine Erkenntnisse zur Alltagstauglichkeit vorliegen, kann die Implementierung quantensicherer Verfahren nicht in einer kurzen Hauruckaktion bewerkstelligt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Was also sollen IT-Entscheider tun? Vor allem sollten sie jetzt beginnen, sich mit der Quantenmigration ihrer IT auseinanderzusetzen. Umso länger sie warten, umso größer das voraussichtliche Schadenspotential. Sie sollten:
den quantenmigrationsbedingten Änderungsbedarf ihrer gesamten IT-Landschaft untersuchen und analysieren,
für sie relevante QK- und PQK-Lösungen erfahrener Hersteller in Augenschein nehmen, diese auf ihre Alltagstauglichkeit hin theoretisch beleuchten und dann
langsam – nach und nach – implementieren und im Hinblick auf mögliche Beeinträchtigungen der Einsatz- und Leistungsfähigkeit ihrer IT-Landschaft prüfen.
IT-Entscheider spielen im Thema Quantenkryptographie und Postquantenkryptographie gegen die Zeit – und sind bereits im Rückstand. Sie müssen sich über den Stand der Entwicklungen informieren, ihre Lage analysieren und schließlich ihre Umstellung planen und umsetzen – ohne den laufenden Geschäftsbetrieb größeren Risiken auszusetzen.
Über den Autor: Stefan-Lukas Gazdag ist Research Engineer bei der genua GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/e2/c6/e2c6cbd04432e4f1bf83434a858d8b23/0112103185.jpeg "Zur Zukunft des Quantencomputing befragt, gibt sich Prof. Dr. Christoph Skornia mitunter wettfreudig. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/42/13/4213cf1e9ec559c9fc4cf93df0e80ece/0106848033.jpeg "Das NIST hat in der dritten Bewertungsrunde die Zahl der in Frage kommenden Post-Quantum-Algorithmen, die definitiv standardisiert werden sollen, auf vier eingeschränkt. (Bild: blobbotronic - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1286500/1286532/original.jpg "Durch Quantencomputer können aktuelle kryptographische Algorithmen wie RSA und ECC in Zukunft die Sicherheitsanforderungen aus Industrie und Verwaltung wohl nicht mehr erfüllen. Ein Ausweg ist die Migration zu Post-Quantum-Kryptographie (PQC). (Infineon Technologies AG)")
:quality(80)/p7i.vogel.de/wcms/c5/23/c52364ae8656e045d2cde52d6e55ad5c/0124979083v2.jpeg "Bis zur Marktreife von Quantencomputern dauert es zwar noch etwas, doch frühes Handeln zahlt sich aus. Wer gut auf den Q-Day vorbereitet wird, handelt im Ernstfall dann auch souverän. (Bild: © Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/f8/26f823c40fe5fe1d6f99ff3b3fc5b0a8/0128117852v1.jpeg "Wer Verschlüsselung frühzeitig auf Post-Quanten-Kryptografie umstellt, senkt das Risiko, dass heute geschützte Daten in einigen Jahren entschlüsselt werden. (Bild: Midjourney / Paula Breukel / KI-generiert)")