Der neue Januar-Bericht des Citi Institute schätzt, dass ein eintägiger Quantenangriff auf eine der fünf größten US-Banken ein BIP-Risiko von 2–3 Billionen Dollar auslösen könnte. Google hat erklärt, dass ihr Willow-Chip eine Berechnung durchgeführt hat, für die heutige Supercomputer 10 Septillionen Jahre bräuchten.
Die widersprüchlichen Narrative und Zahlen zwischen Risikomanagern bei Banken und Googles „Corporacademics“ verursachen eine Raum-Zeit-Kollision. Ihre Unterschiede zu verstehen ist entscheidend für jeden, der eine Post-Quanten-Migration plant.
Google Willow erklärt
Die Zahl „10 Septillionen Jahre“ stammt aus Random Circuit Sampling (RCS), das Google als „den klassisch schwersten Benchmark, der heute auf einem Quantencomputer durchgeführt werden kann“ beschreibt. RCS wurde entwickelt, um den quantencomputationalen Vorteil zu demonstrieren, was eine andere Art zu sagen ist: nicht um praktische Probleme zu lösen. Man kann es sich vorstellen wie die alten bogoMIPS—„die Anzahl der Millionen Male pro Sekunde, die ein Prozessor absolut nichts tun kann.“
RCS faktorisiert keine großen Primzahlen, löst keine diskreten Logarithmen und bricht keinen Verschlüsselungsstandard. Googles eigener Sprecher wich gegenüber der BBC aus und deutete an, dass das Brechen von RSA „mindestens 10 Jahre entfernt“ sei. Eine Vorhersage, auf die sie vorerst nicht festgenagelt werden müssen.
Der Benchmark demonstriert echten Fortschritt bei Quantenhardware, ändert aber keine unserer Zeitpläne für kryptographische Bedrohungen. Allerdings ist die eigentlich wichtige Nachricht zwischen den Zeilen: Google hält 2048-RSA für bald knackbar. Sehr bald.
Marktdaten geben Kontext
Der Citi-Bericht zitiert Kalshi-Prognosemarktdaten vom 12. Januar 2026:
| Zeitrahmen | Wahrscheinlichkeit eines kryptographisch relevanten Quantencomputers |
|---|---|
| Vor 2027 | 8% |
| Vor 2030 | 39% |
| Vor 2035 | 50% |
„Kryptographisch relevant“ bedeutet: in der Lage, 2048-Bit-RSA mittels Shor’s Algorithmus zu brechen—das tatsächliche Bedrohungsmodell, keine synthetischen Benchmarks.
Acht Prozent Wahrscheinlichkeit bis 2027 mag beruhigend klingen. Aber Citis Analyse zeigt, warum diese Perspektive den Punkt verfehlt:
Der Q-Day wird oft als zukünftiges Ereignis behandelt. Aus Risikoperspektive ist er bereits da. Heute gestohlene Daten können später entschlüsselt werden.
Harvest-now-decrypt-later-Angriffe erfordern kein Warten auf den Q-Day. Tatsächlich ist es weniger „Y2K“ und mehr „IPv6“, was bedeutet, dass man möglicherweise nicht einmal einen diskreten Wendepunkt definieren kann. Angreifer benötigen lediglich, dass verschlüsselte Daten länger wertvoll bleiben, als klassische Kryptographie sicher ist. Patientenakten, Geschäftsgeheimnisse und Verschlusssachen qualifizieren sich bereits seit gestern.
Dramatisch schrumpfende Ressourcenschätzungen
2019 schätzte Google-Forscher Craig Gidney, dass das Brechen von RSA-2048 etwa 20 Millionen physische Qubits erfordern würde. Seine Analyse vom Mai 2025 reduzierte diese Schätzung auf ungefähr 1 Million Qubits—eine 95-prozentige Reduktion allein durch algorithmische Verbesserungen.
Gidneys Paper enthält eine bemerkenswerte Schlussfolgerung:
Ich stimme dem ersten öffentlichen Entwurf des internen NIST-Berichts zum Übergang zu Post-Quanten-Kryptographie-Standards zu: Verwundbare Systeme sollten nach 2030 als veraltet gelten und nach 2035 nicht mehr zulässig sein. Nicht weil ich erwarte, dass bis 2030 ausreichend große Quantencomputer existieren, sondern weil ich es vorziehe, dass Sicherheit nicht davon abhängt, dass der Fortschritt langsam verläuft.
Die Roadmap der G7 Cyber Expert Group vom Januar 2026 stimmt mit diesem Zeitplan überein und fordert, dass kritische Finanzsysteme die Migration bis 2030 abschließen.
Die eigentliche Migration muss jetzt passieren
Diese Zeitpläne schaffen ein einfaches Planungsproblem. Organisationen müssen wissen:
- Welche Systeme derzeit auf quantenverwundbare Kryptographie angewiesen sind
- Ob Migrationsbemühungen vorankommen oder stagnieren
- Wie Abhängigkeiten von Drittanbietern ihre Gesamtlage beeinflussen
Die meisten Organisationen können die erste Frage teilweise beantworten, da sie ihre Zertifikate kennen. Weniger können die zweite beantworten. Fast keine bauen ausreichende Sichtbarkeit für die dritte auf.
Die Lücke zwischen punktueller Bewertung und kontinuierlicher Lageüberwachung ist der Punkt, an dem Migrationspläne scheitern. Ein Scan zeigt Ihnen, wo Sie stehen. Ein Trend zeigt Ihnen, ob Sie rechtzeitig fertig werden.