Cloudflare meldet, dass über 50% des menschlichen Webverkehrs inzwischen Post-Quanten-Verschlüsselung nutzt. Hinter Cloudflares Edge sind etwa 1% des Origin-Server-Verkehrs post-quantengeschützt. Diese Lücke — zwischen dem, was die Edge meldet, und dem, was die Infrastruktur tatsächlich tut — ist die wichtigste Zahl in der Post-Quanten-Kryptographie derzeit, und fast niemand spricht darüber.
Aber zuerst die Geopolitik. Denn die Edge-Zahlen erzählen eine Geschichte, die alarmierend aussieht — bis man versteht, was man tatsächlich betrachtet.
Die Daten
Wir haben PQC-Adoptionsdaten von Cloudflare Radar für 18 Länder aus den Kategorien Gegner, Verbündete und Blockfreie über die letzten 12 Monate ausgewertet. Cloudflare Radar erfasst den Anteil des HTTPS-Verkehrs, der Post-Quanten-Schlüsselvereinbarung aushandelt — konkret X25519MLKEM768 und seinen Entwurfsvorgänger X25519Kyber768. So sehen die Zahlen per Februar 2026 aus, sortiert nach aktueller Adoptionsrate:
| Land | Kategorie | 12-Monats-Durchschnitt | Aktuell | Trend |
|---|---|---|---|---|
| China | Gegner | 29,9% | ~30% | Spitze & Rückgang |
| Nordkorea | Gegner | 31,5% | ~38% | Flach/Rauschen |
| Syrien | Gegner | 38,4% | ~43% | Langsames Wachstum |
| Myanmar | Gegner | 40,5% | ~45% | Stetiges Wachstum |
| Kuba | Gegner | 41,0% | ~47% | Stetiges Wachstum |
| Saudi-Arabien | Golf | 23,7% | ~47% | Starkes Wachstum, niedriger Start |
| VAE | Golf | 40,6% | ~55% | Starkes Wachstum |
| Indien | BRICS | 48,7% | ~57% | Stetiges Wachstum |
| Iran | Gegner | 38,8% | ~58% | Starkes Wachstum |
| Russland | Gegner | 45,7% | ~58% | Stetiges Wachstum |
| Israel | Verbündeter | 51,0% | ~60% | Allmähliches Wachstum |
| Südafrika | BRICS | 50,9% | ~62% | Stetiges Wachstum |
| Belarus | Gegner | 48,3% | ~62% | Stetiges Wachstum |
| Vereinigtes Königreich | Verbündeter | 39,8% | ~65% | Starkes Wachstum |
| Venezuela | Gegner | 57,2% | ~67% | Allmähliches Wachstum |
| Brasilien | BRICS | 57,5% | ~69% | Stetiges Wachstum |
| Deutschland | Verbündeter | 48,6% | ~70% | Starkes Wachstum |
| Vereinigte Staaten | Verbündeter | 41,5% | ~70% | Starkes Wachstum |
Auf den ersten Blick sieht das alarmierend aus. Russland und Iran vor Israel? Belarus vor dem Vereinigten Königreich? Venezuela für den Großteil des Jahres vor den Vereinigten Staaten?
Das sollte nicht alarmierend sein. Es sollte aufklärend sein.
Das ist ein Browser-Diagramm, kein Sicherheitsdiagramm
Jede Kurve in diesem Datensatz lässt sich auf genau zwei Ereignisse in der Browser-Versionsgeschichte zurückführen.
Der erste Wendepunkt kam im April 2024, als Chrome 124 den Entwurf des hybriden Schlüsselaustauschs (X25519Kyber768) standardmäßig auf dem Desktop aktivierte. Das ist der Moment, in dem fast jedes Land von einstelligen Werten auf den 25–40%-Bereich sprang. Die zweite Beschleunigung folgte im Oktober–November 2024, als Chrome 131 und Firefox 132 gleichzeitig den standardkonformen X25519MLKEM768 als Standardeinstellung auslieferten. Das ist der Anstieg, der im Spät-2024-Abschnitt jeder Kurve sichtbar ist.
Die Variation zwischen den Ländern lässt sich fast vollständig durch eine einzige Variable erklären: den iPhone-Marktanteil. Safari unterstützte Post-Quanten-Schlüsselvereinbarung erst, als Apple im September 2025 macOS Tahoe und iOS 26 auslieferte. Bis zu diesem Datum handelte jedes iPhone, iPad und jede Safari-Sitzung auf macOS ausschließlich klassische Kryptographie aus. Ohne Ausnahme — und ohne Ausweichmöglichkeit, da Apple alle iOS-Browser zwingt, seinen TLS-Stack zu verwenden, unabhängig von der Browser-Marke.
Deshalb lag der Durchschnitt der Vereinigten Staaten — mit ihrer hohen iPhone-Verbreitung — bei 41,5%, während Venezuela, wo Android dominiert, auf 57,2% kam. Deshalb startete Saudi-Arabien bei nur 10%, einem der niedrigsten Werte weltweit, während die VAE mit ähnlicher Infrastruktur, aber anderer Gerätedemographie bei 30% begannen. Und deshalb sind die USA und das Vereinigte Königreich Ende 2025 und Anfang 2026 stark gestiegen, während sich die Verbreitung von iOS 26 durchsetzt.
Hier gibt es keine politische Geschichte. Keine nationalstaatliche PQC-Strategie. Nur Chrome-Update-Verbreitung, gewichtet nach der Anzahl der iPhone-Nutzer in jedem Land.
Zwei bemerkenswerte Anomalien
China ist das einzige Land im Datensatz, das einen Rückgang verzeichnete. Die PQC-Adoption stieg von etwa 10% auf 47% bis Ende 2024 und fiel dann auf 30% zurück. Das spiegelt fast sicher Chinas eigenes Browser-Ökosystem wider. QQ Browser, 360 Secure Browser, Sogou Browser und andere Chromium-Forks halten zusammen einen enormen Marktanteil innerhalb Chinas. Diese Browser folgen dem Upstream-Chromium nach eigenem Zeitplan. Einige übernahmen den Kyber-Entwurf, kehrten dann entweder zurück oder schafften den Übergang zum standardisierten ML-KEM nicht sauber. China ist der einzige große Internetmarkt mit genug Browser-Souveränität, um sich von der globalen Chrome-gesteuerten Kurve abzukoppeln.
Nordkorea ist statistisches Rauschen. Mit einem Durchschnitt von 31,5% und einer völlig flachen Linie spiegeln die Daten vernachlässigbare Verkehrsmengen wider, die über Cloudflare laufen. Es gibt keinen Trend, weil es keine aussagekräftige Stichprobe gibt.
PQC-Passivität ist keine Vorbereitung
Alles oben Genannte misst, ob Clients — Browser auf Endgeräten — PQC-Schlüsselvereinbarung mit Cloudflares Edge-Servern aushandeln. Cloudflare unterstützt PQC auf der Serverseite seit Oktober 2022. Was diese Daten also tatsächlich zeigen: Wenn eine Person im Iran Chrome öffnet und eine Seite hinter Cloudflare besucht, nutzt diese Verbindung Post-Quanten-Schlüsselvereinbarung. Wenn eine Person in den Vereinigten Staaten dasselbe tut, gilt das ebenso.
Das sagt uns genau nichts darüber, was für die nationale Sicherheit relevant ist.
Die Bedrohung, die PQC dringend macht, ist Harvest Now, Decrypt Later: die Annahme, dass Gegner heute verschlüsselten Datenverkehr abfangen und speichern, um ihn zu entschlüsseln, sobald ausreichend leistungsfähige Quantencomputer existieren. Wenn dieses Bedrohungsmodell real ist — und die meisten Geheimdienste verhalten sich so, als wäre es das — dann ist die Frage nicht, ob iranische Bürger-Browser ML-KEM mit Cloudflare aushandeln. Die Frage ist, ob iranische Regierungsdienste, militärische Kommandosysteme, Geheimdienstnetzwerke und kritische Infrastruktur Post-Quanten-Kryptographie auf ihren Servern betreiben. Ob russische Staatssysteme migriert sind. Ob die chinesische militärische Kommunikation PQC-bereit ist.
Cloudflare Radar kann diese Frage nicht beantworten. Es war nie dafür gedacht. Und dennoch werden die Daten zitiert, als würden sie PQC-Bereitschaft messen, obwohl sie tatsächlich PQC-Passivität messen — den Grad, in dem die Bevölkerung eines Landes zufällig Browser verwendet, die sich automatisch aktualisiert haben.
Wie sähe eine echte Messung aus?
Eine aussagekräftige PQC-Bereitschaftsbewertung für jedes Land oder jede Organisation müsste eine völlig andere Reihe von Fragen beantworten. Nicht „Welcher Prozentsatz des eingehenden Browser-Verkehrs nutzt ML-KEM?“, sondern: Welcher Anteil Ihrer extern erreichbaren Dienste unterstützt Post-Quanten-Schlüsselvereinbarung? Werden Sie besser oder schlechter im Laufe der Zeit? Welche Protokolle und Ports sind noch rein klassisch? Wo stehen Sie in der Migration, und wie ist Ihre Entwicklungsrichtung?
Dafür muss man Infrastruktur von außen scannen, Ergebnisse über die Zeit verfolgen und mit Referenzwerten vergleichen — nicht passives Browser-Verhalten über ein CDN messen.
Die Edge ist ein trügerischer Boden
Die Lücke zwischen der Cloudflare-Radar-Schlagzeile („52% des menschlichen Webverkehrs ist post-quantenverschlüsselt!“) und der Infrastruktur-Realität ist der Ort, an dem das eigentliche Risiko liegt. Cloudflares eigene Daten, präsentiert auf der Fraunhofer PQC-Konferenz, zeigten, dass zwar über 50% des Client-zu-Edge-Verkehrs PQC nutzt, aber nur etwa 1% des Origin-Server-zu-Cloudflare-Verkehrs PQC-geschützt ist. Die Verbindung zwischen Ihrem Browser und der CDN-Edge ist quantensicher. Die Verbindung zwischen dem CDN und dem eigentlichen Server, der die Anwendung hostet, ist klassisch. Die Verschlüsselung endet an der Edge. Dahinter ist der Datenverkehr weiterhin klassisch verschlüsselt. Die Edge ist ein trügerischer Boden. Stellen Sie sich darauf, und Sie fallen hindurch.
Das breitere Bild auf der Serverseite ist nicht besser. F5 Labs stellte fest, dass unter den Top-Million-Websites nur 8,6% hybriden PQC-Schlüsselaustausch unterstützen, und ein Viertel dieser Seiten nicht einmal TLS 1.3 unterstützt — die Voraussetzung für PQC. Forescouts internetweite Scans ergaben, dass nur 6% der SSH-Server PQC unterstützen. Cloudflares eigener Scan der Top-100.000-Domains zeigte, dass die serverseitige PQC-Unterstützung im Laufe des Jahres 2025 von 28% auf 39% stieg — eine ermutigende Entwicklung unter den sichtbarsten Internetauftritten, aber immer noch eine Minderheit selbst auf dieser Ebene.
Die Uhr
Die Seite der Consumer-Browser ist faktisch gelöst. Chrome, Firefox und jetzt auch Safari handeln standardmäßig PQC-Schlüsselvereinbarung aus. Die Client-Adoption wird innerhalb der nächsten 12–18 Monate weltweit auf über 90% konvergieren, wenn die Geräte-Upgrade-Zyklen abgeschlossen sind und sich iOS 26 flächendeckend durchsetzt. Eingebettete Systeme, IoT-Geräte und ältere Unternehmensanwendungen, die nicht-browserbasierte TLS-Bibliotheken verwenden, sind eine andere Geschichte — aber für den Webverkehr, den Cloudflare misst, ist die Client-Seite erledigt.
Die Serverseite ist der Bereich, in dem die Lücke klafft — und in dem die meisten Organisationen noch nicht begonnen haben. Jeder Monat Verzögerung ist ein weiterer Monat, in dem Datenverkehr für Gegner angreifbar ist, die verschlüsselte Sitzungen horten. Die Länder in der obigen Tabelle liefern sich kein Rennen um die PQC-Adoption. Ihre Browser aktualisieren sich ungefähr im gleichen Tempo. Das Rennen, das zählt, findet hinter der Edge statt, in der Origin-Infrastruktur, und es ist für öffentliche Messinstrumente weitgehend unsichtbar.
Dort sollten Sie hinschauen.