BSI-Präsidentin Claudia Plattner sagte es im November unumwunden: „Wir müssen davon ausgehen, dass Quantencomputer bis 2030 in der Lage sein werden, heutige kryptografische Algorithmen zu brechen.“ Nicht „könnten in der Lage sein“. Nicht „stellen möglicherweise ein Risiko dar“. Müssen davon ausgehen.
Das Zitat stammt aus einer gemeinsamen Ankündigung von Bundesdruckerei, Giesecke+Devrient, dem BSI und Infineon. Sie haben einen funktionsfähigen Demonstrator gebaut, der Post-Quantum-Kryptografie in den Chip des deutschen Personalausweises integriert. Hybride klassisch-plus-PQC-Signaturen jetzt, vollständige PQC später. Es ist eine der ersten funktionierenden Implementierungen von PQC in einem nationalen Ausweisdokument weltweit.
Die Medienberichterstattung war umfangreich. Help Net Security, Technology Magazine, Quantum Zeitgeist, SecurityBrief, Euro Security—alle brachten die Meldung. Jedes dieser Medien druckte dieselben drei Zitate derselben drei Führungskräfte nach. Keines von ihnen stellte die naheliegende Anschlussfrage.
Der Chip ist nicht das System
Deutschlands eID-Karte verfügt seit 2010 über eine integrierte Online-Ausweisfunktion. Bürgerinnen und Bürger nutzen sie zur Authentifizierung gegenüber staatlichen und privatwirtschaftlichen Diensten. Der Ausweis ist zehn Jahre gültig – genau deshalb ist PQC so dringend: Heute ausgestellte Ausweise müssen bis 2035 sicher bleiben.
Die Bundesdruckerei hat den Chip gehärtet. Das ist der Demonstrator. Was die Berichterstattung nicht untersucht, ist alles oberhalb des Chips.
Wenn sich eine Bürgerin oder ein Bürger mit dem eID-Ausweis authentifiziert, arbeitet die Karte nicht isoliert. Sie nimmt an einem kryptografischen Protokoll mit einem Verifikations-Backend teil. Dieses Backend validiert Signaturen, handelt den Schlüsselaustausch aus und prüft den Sperrstatus. Jede einzelne dieser Operationen basiert auf klassischen kryptografischen Primitiven—genau jenen, die laut Plattner bis 2030 brechbar sein werden.
Ein quantensicherer Chip, der mit einem quantenverwundbaren Verifikationsdienst kommuniziert, ergibt ein quantenverwundbares System.
Die EUDI-Wallet-Deadline
Das wird schnell sehr konkret. Gemäß eIDAS 2.0 muss jeder EU-Mitgliedstaat seinen Bürgerinnen und Bürgern bis Ende 2026 eine European Digital Identity Wallet anbieten. Das ist kein Planungshorizont. Das ist ein Liefertermin.
Die EUDI Wallet ist eine mobile Anwendung, die digitale Nachweise speichert, verwaltet und vorlegt—Ausweisdokumente, Berufszertifikate, Attributbescheinigungen. Das Ökosystem, in dem sie operiert, basiert auf digitalen Signaturen für die Ausstellung und Präsentation von Nachweisen, Key Agreement für sichere Kanäle und Trust-Chain-Validierung gegen mitgliedstaatliche Trust Registries. All das läuft auf Kryptografie, die heute quantenverwundbar ist.
Ein 2024 erschienener Beitrag in Computer Law & Security Review bringt diesen Punkt explizit auf den Tisch: Die EUDI-Wallet-Prototypen verwenden elektronische Signaturen und Authentifizierung, die durch Post-Quantum-resistente Kryptografie ersetzt werden müssen. Die Autoren argumentieren, dass die Wallet sogar das ideale Vehikel sein könnte, um hybride PQC flächendeckend einzuführen—aber nur, wenn die kryptografischen Grundlagen vor dem Deployment adressiert werden, nicht danach.
Die Lücke ist offensichtlich. Die Bundesdruckerei härtet die Dokumentenschicht mit PQC. Die EU schreibt eine Credential-Verification-Schicht vor, die Ende 2026 ausgeliefert werden muss. Niemand befasst sich öffentlich mit der PQC-Reife der Middleware dazwischen.
Wo die Kryptografie tatsächlich steckt
Digitale Identitätsverifikation umfasst mehr kryptografische Angriffsflächen, als die meisten Migrationspläne berücksichtigen. Betrachten wir die Kette:
Ein Credential-Issuer signiert eine Attestierung mit einer digitalen Signatur. Die Wallet speichert sie. Eine Relying Party fordert die Verifikation an. Die Wallet präsentiert den Nachweis über einen sicheren Kanal. Die Relying Party validiert die Signatur gegen den öffentlichen Schlüssel des Issuers, aufgelöst über die von den Mitgliedstaaten veröffentlichten Trusted Lists.
Signaturen. Key Agreement. Trust-List-Validierung. Sperrstatusprüfungen. Jede davon ist eine eigenständige kryptografische Operation, und jede ist ein eigenständiges Migrationsziel. Der Signaturalgorithmus auf dem Chip ist ein Glied in einer Kette, in der jedes andere Glied noch klassisch ist.
Die EUDI-Architektur verschärft dieses Problem. Das System ist so konzipiert, dass jeder Teilnehmer—Issuer, Holder, Verifier—kryptografische Operationen eigenständig gegen ein gemeinsames PKI-Trust-Framework implementiert. Eine PQC-Migration muss alle erreichen, sonst bricht die Kette am schwächsten Glied.
Die Organisationen, die diese Identitätsverifikations-Infrastruktur aufbauen—die Wallet-Anbieter, die Trust-Registry-Betreiber, die Credential-Verification-Services—sind diejenigen, die ihre PQC-Migration jetzt planen müssen. Nicht wenn der Chip fertig ist. Nicht wenn die Standards finalisiert sind. Jetzt, denn sie müssen Ende 2026 liefern.
Was die BSI-Timeline wirklich bedeutet
Plattners 2030-Aussage ist keine Prognose. Es ist eine operative Planungsannahme der Leiterin der föderalen Cybersicherheitsbehörde Deutschlands. Sie deckt sich mit Australiens Entscheidung, RSA, DH und ECC in hochsicheren Systemen bis 2030 zu verbieten—fünf Jahre früher als vergleichbare US-Zeitpläne. Das sind Organisationen mit nachrichtendienstlichen Einblicken, über die kommerzielle Anbieter nicht verfügen. Wenn sie Fristen setzen, spiegeln diese Fristen Bedrohungsbewertungen wider, die nicht öffentlich sind.
Der Demonstrator der Bundesdruckerei beweist, dass Deutschland das Thema auf der Hardware-Ebene ernst nimmt. Aber Hardware ist die am einfachsten zu kontrollierende Schicht. Ein Chip ist ein einzelnes Artefakt, von einer überschaubaren Anzahl von Herstellern produziert, mit einer klar definierten kryptografischen Grenze. Das Identitäts-Ökosystem darüber—die Wallets, die Verifikationsdienste, die Credential-Exchange-Protokolle, die Trust Registries—ist verteilt, heterogen und hinsichtlich PQC-Reife weitgehend ungeprüft.
Teile dieser Infrastruktur könnten PQC theoretisch unterstützen. Deutschlands PID-Implementierung beispielsweise wird Wallet-Credentials in einem Cloud-HSM verankern—Hardware, die technisch in der Lage ist, Post-Quantum-Algorithmen auszuführen. Aber die aktuellen Spezifikationen berücksichtigen Krypto-Agilität, ohne PQC irgendwo vorzuschreiben. Die Infrastruktur wäre möglicherweise aufrüstbar. Nichts verlangt bislang, dass sie aufgerüstet wird.
Das ist der Teil, über den niemand schreibt.
Die Lücke messen
Wenn Sie Identitätsverifikations-Infrastruktur in der EU betreiben, sind jetzt drei Fragen entscheidend.
Erstens: Welche kryptografischen Primitive verwenden Ihre Credential-Signing- und Verifikationsoperationen tatsächlich? Nicht was Ihre Bibliothek unterstützt. Was Ihre Produktivsysteme aushandeln.
Zweitens: Können Ihre Systeme hybride klassisch-plus-PQC-Verfahren aushandeln? Der Demonstrator der Bundesdruckerei setzt bewusst auf einen hybriden Ansatz, weil die Umstellung nicht schlagartig erfolgen kann. Ihre Middleware muss dasselbe Modell unterstützen.
Drittens: Wird es besser oder schlechter? Ein punktuelles Audit zeigt Ihnen, wo Sie heute stehen. Es sagt Ihnen nicht, ob das Deployment des letzten Monats Ihre PQC-Reife verschlechtert hat oder ob Ihre Dependency-Updates Sie vorangebracht haben. Migration ist eine Trajektorie, kein Schnappschuss.
Die Bundesregierung hat gerade demonstriert, dass die Dokumentenschicht gehärtet werden kann. Die Frage für alle, die darauf aufbauen, ist, ob sie bereit sein werden, wenn diese Dokumente im Umlauf sind.
pqprobe verfolgt die Post-Quantum-Kryptografie-Migration über die Zeit—über Netzwerkprotokolle, Code-Abhängigkeiten, Konfigurationen und Endpunkte hinweg. Wenn Sie Identitätsinfrastruktur bauen, die über 2030 hinaus Bestand haben muss, ist der richtige Zeitpunkt zum Messen vor dem Go-Live.