Kein Hype, sondern harte Realität: Experten warnen, dass der Quantencomputer die heutige Verschlüsselung knacken wird – und die meisten Unternehmen sind nicht vorbereitet.
Es klingt nach Science-Fiction, ist aber längst bittere Gegenwart: Zum World Quantum Day 2026 schlagen führende Cybersecurity-Experten Alarm. Quantencomputer werden schon bald in der Lage sein, die kryptografischen Schutzwälle zu schleifen, auf denen die gesamte digitale Wirtschaft beruht. RSA, Diffie-Hellman, Elliptic Curve Cryptography – all diese Verfahren, die heute Bankdaten, Patientendaten und Staatsgeheimnisse schützen, könnten bis 2030 ausgehebelt sein. Wer jetzt nicht handelt, spielt russisches Roulette mit seinen sensibelsten Informationen.
Roger Grimes, CISO Advisor bei KnowBe4, bringt es auf den Punkt: „Wenn Unternehmen derzeit kein Post-Quantum-Projekt haben, hinken sie hinterher und müssen dringend zumindest eines auf den Weg bringen.“ Der sogenannte Q-Day – der Moment, an dem Quantencomputer klassische Verschlüsselung zuverlässig brechen können – ist kein abstraktes Szenario aus Fachjournalen mehr. Die klügsten Köpfe und bedeutendsten Technologieunternehmen der Welt geben dem Zeitfenster bis 2030 inzwischen eine reale Wahrscheinlichkeit. Und ein Post-Quantum-Projekt ist kein schnell eingespieltes Software-Update: Es wird, so Grimes, zu den wichtigsten und aufwendigsten Vorhaben gehören, an denen ein Unternehmen je beteiligt war.
Doch die Realität in den meisten Unternehmen ist ernüchternd. Viele wissen nicht einmal, wo ihre kritischen Daten liegen – geschweige denn, durch welche Kryptografie sie geschützt werden. Ohne diese Grundlage ist jede Migrationsstrategie eine Luftnummer. Grimes empfiehlt deshalb als ersten konkreten Schritt eine umfassende Bestandsaufnahme der eigenen Datensicherheitslandschaft: Welche Systeme setzen auf quantenanfällige Verschlüsselung? Was lässt sich aktualisieren, was muss komplett ersetzt werden? Außerdem sollten Unternehmen ihre Einkaufsrichtlinien sofort anpassen, um keine neue Software oder Hardware mehr zu beschaffen, die künftige Post-Quantum-Projekte unnötig erschwert. Ein einfacher Test: Beim nächsten Anbietergespräch einfach fragen, ob das Produkt bereits post-quantum-fähig ist – und wenn nicht, wann es das sein wird.
Chris Harris, EMEA Technical Director bei Thales Data & Application Security, rückt eine besonders beunruhigende Angriffsstrategie ins Licht: „Harvest now, decrypt later“. Dabei sammeln Angreifer bereits heute verschlüsselte Daten in großem Stil und warten geduldig, bis Quantencomputer leistungsfähig genug sind, um diese rückwirkend zu entschlüsseln. Was heute in einer gehackten Datenbank landet, könnte in fünf oder zehn Jahren vollständig lesbar sein. Laut dem Data Threat Report von Thales bezeichnen 61 Prozent der befragten IT-Sicherheitsverantwortlichen genau dieses Szenario als ihr größtes Quantenrisiko. Die Bedrohung ist damit längst keine Theorie mehr – sie ist eine strategische Zeitbombe.
Besonders alarmierend: Nur 34 Prozent der im Thales-Report Befragten haben vollständige Transparenz darüber, wo ihre Daten überhaupt gespeichert sind. Weniger als die Hälfte der sensiblen Cloud-Daten ist verschlüsselt. Hier offenbart sich eine gefährliche Schere zwischen Bewusstsein und Handlung. Immerhin experimentieren bereits fast sechs von zehn Unternehmen mit Post-Quantum-Kryptografie – doch Experimentieren allein reicht nicht. Die eigentliche Herkulesaufgabe besteht darin, Krypto-Agilität strukturell zu verankern, das Schlüsselmanagement zu modernisieren und kryptografische Abhängigkeiten in zunehmend komplexen Cloud-Umgebungen vollständig zu erfassen. Harris fasst zusammen: „Die Vorbereitung auf eine Post-Quanten-Welt ist kein einmaliges Upgrade – es ist eine Transformation der Art und Weise, wie Unternehmen Datensicherheit grundlegend angehen.“
Jon France, CISO von ISC2, mahnt zur Differenzierung. Quantencomputing werde oft als singulärer Durchbruch dramatisiert, dabei sei die Realität komplexer: Wir steuern auf eine hybride Welt zu, in der klassisches Computing, Quantensysteme und Künstliche Intelligenz je nach Aufgabenstellung unterschiedliche Rollen übernehmen. Bis ein kommerziell verfügbarer Universalquantencomputer tatsächlich existiert, bleiben Anwendungsgebiete hochspezialisiert. Dennoch: „Der Zeitplan bis zum Q-Day verkürzt sich, und das Risiko von Harvest-now-decrypt-later-Angriffen zwingt Unternehmen bereits heute dazu, anders über den Schutz langfristig gespeicherter Daten nachzudenken.“
France bringt einen weiteren Aspekt ins Spiel, der in der Debatte oft untergeht: Es geht nicht nur um Technologie, sondern um Governance. Quantencomputing sei zwar nicht das Sicherheitsrisiko von heute – aber mangelnde Vorbereitung auf post-quanten-kryptografische Lösungen könnte zum Governance-Versagen von morgen werden. Wer jetzt den Moment verpasst, in dem die Weichen gestellt werden müssen, wird ihn nicht nachholen können.
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de