Die Bedrohung durch Quantencomputer für Bitcoin: Was Sie wissen müssen

Das Erste, was ich ganz klar hervorheben möchte: Ein Quantencomputer ist keine schnellere Version eines klassischen Computers. Er ist eine völlig andere Art von Maschine. Er arbeitet mit einer grundlegend anderen Einheit von Information.

Im Gegensatz zu einem herkömmlichen Bit, das stets einen eindeutigen Wert von null oder eins besitzt, liefert ein Qubit erst im Moment der Messung eine Null oder eine Eins. Hinter diesem Ergebnis verbirgt sich ein präziser Satz von Zahlen – eine für jede mögliche Konfiguration des Systems. Mit jedem zusätzlichen Qubit wächst die Anzahl der möglichen Konfigurationen des Computers exponentiell an.

Das ist wichtig, weil Qubits völlig neue Algorithmen ermöglichen – nicht einfach schnellere Versionen derselben Berechnungen, sondern grundlegend neue Verfahren, die auf Quanteninterferenz und Verschränkung beruhen. Solche Operationen können klassische Computer nicht in grossem Massstab nachbilden, zumindest nicht innerhalb eines praktisch relevanten Zeitraums. Die meisten dieser Algorithmen sind auf sehr spezifische Anwendungsfälle beschränkt. Einer von ihnen stellt jedoch eine direkte Bedrohung für die Kryptografie dar, auf der die Sicherheit von Bitcoin basiert.

Bitcoin nutzt die Elliptische-Kurven-Kryptografie (ECC) für digitale Signaturen. Wenn Sie Bitcoin besitzen, verfügen Sie in Wirklichkeit über das Wissen eines privaten Schlüssels. Digitale Signaturen ermöglichen es Ihnen, nachzuweisen, dass Sie diesen Schlüssel kennen, ohne ihn jemals offenlegen zu müssen.

Dieser Nachweis bildet die technische Grundlage des Eigentums im Bitcoin-Netzwerk. Sollte ECC gebrochen werden können – also wenn es möglich würde, aus einem öffentlichen Schlüssel den dazugehörigen privaten Schlüssel abzuleiten –, wäre das gesamte System der Eigentumsrechte innerhalb des Bitcoin-Netzwerks gefährdet.

Das ist von grundlegender Bedeutung. Jede Bitcoin-Transaktion wird durch digitale Signaturen autorisiert, die auf ECC basieren. Sie sind der Mechanismus, mit dem das Netzwerk überprüft, dass Sie – und nur Sie – berechtigt sind, Ihre Bitcoin auszugeben oder zu übertragen.

Die entscheidende Frage lautet also: Kann ein Quantencomputer ECC tatsächlich brechen? Die Antwort lautet: Ja – vorausgesetzt, er ist leistungsfähig genug.

1994 veröffentlichte der Kryptograf Peter Shor ein Verfahren, das heute als Shor-Algorithmus bekannt ist. Dieser Algorithmus kann prinzipiell die mathematische Einwegfunktion umkehren, auf der ECC basiert, und damit die Ableitung eines privaten Schlüssels aus einem öffentlichen Schlüssel ermöglichen.

Gelingt es, den Shor-Algorithmus in einer Grössenordnung auszuführen, die für heutige Sicherheitsparameter relevant ist, würde die klassische Public-Key-Kryptografie obsolet werden. Digitale Signaturen könnten gefälscht werden, Authentifizierungsverfahren würden ihre Sicherheit verlieren. Für Bitcoin hätte dies zur Folge, dass Angreifer private Schlüssel aus offengelegten öffentlichen Schlüsseln berechnen und die Kontrolle über die entsprechenden Bitcoin übernehmen könnten.

Allerdings stellt der Shor-Algorithmus enorme technische Anforderungen. Er benötigt einen kryptografisch relevanten Quantencomputer (Cryptographically Relevant Quantum Computer, CRQC) – also ein System mit einer grossen Anzahl hochwertiger logischer Qubits, die bei extrem niedrigen Fehlerraten zuverlässig arbeiten.

Über eine solche Maschine verfügen wir heute noch nicht – nicht einmal annähernd. Der aktuelle Stand der Technik liegt bei weniger als hundert logischen Qubits, und keines der bestehenden Systeme erreicht die Fehlerraten, die für kryptografische Angriffe erforderlich wären. Um ECC zu brechen, wären voraussichtlich rund tausend logische Qubits erforderlich, die über viele Millionen Rechenoperationen hinweg zuverlässig funktionieren.

Die Lücke zwischen dem heutigen Stand und einem kryptografisch relevanten Quantencomputer ist also nach wie vor erheblich. Das ist eine Tatsache. Gleichzeitig sind die technologischen Grundlagen vorhanden und die Fortschritte real. Auch das ist eine Tatsache.

Nicht alle Bitcoin sind gleichermassen gefährdet. Die Verwundbarkeit hängt davon ab, ob der zugehörige öffentliche Schlüssel bereits offengelegt wurde.

Rund 7 Millionen BTC – bei den aktuellen Bewertungen im Wert von mehreren hundert Milliarden US-Dollar – befinden sich in Adressen, deren öffentlicher Schlüssel bereits bekannt ist. Dies kann entweder auf das verwendete Adressformat oder auf die Wiederverwendung von Adressen zurückzuführen sein. Würde heute ein kryptografisch relevanter Quantencomputer existieren, könnten diese Bestände gezielt angegriffen werden – jeweils öffentlicher Schlüssel für öffentlichen Schlüssel. Ein Angreifer könnte den Shor-Algorithmus anwenden, den privaten Schlüssel berechnen und die entsprechenden Bitcoin übertragen.

Ein erheblicher Teil dieser potenziell gefährdeten Bitcoin gilt als dauerhaft verloren, darunter schätzungsweise eine Million BTC, die Satoshi Nakamoto zugeschrieben werden. Die Gefährdung beschränkt sich jedoch keineswegs auf verlorene Bestände. Jede Adresse, die bereits einmal Bitcoin ausgegeben hat und dabei ihren öffentlichen Schlüssel offenlegen musste, ist grundsätzlich einem Quantenrisiko ausgesetzt, sofern sich weiterhin Bitcoin auf dieser Adresse befinden. Dazu gehören auch aktiv genutzte Bestände.

Heute verfügen wir noch nicht über einen kryptografisch relevanten Quantencomputer (CRQC). Dennoch haben mehrere Entwicklungen die Risikoeinschätzung in den vergangenen Jahren grundlegend verändert.

Im Dezember 2024 zeigte Google mit seinem Willow-Chip, dass Quantenfehlerkorrektur im grossen Massstab funktioniert: Je mehr physische Qubits hinzugefügt werden, desto geringer wird die Fehlerrate der logischen Qubits. Dies stellte einen bedeutenden Durchbruch dar. Er bestätigte, dass der Weg zu zuverlässigen logischen Qubits nicht nur theoretisch möglich ist, sondern praktisch beschritten werden kann. Seither haben mehrere Unternehmen Fortschritte auf demselben Gebiet präsentiert. Die technologischen Bausteine sind vorhanden – und ihre Zahl wächst von Jahr zu Jahr.

Gleichzeitig hat das US-amerikanische National Institute of Standards and Technology (NIST) den Übergang zu quantensicheren Kryptografieverfahren eingeleitet. Für Organisationen, die nationale Sicherheitsstandards einhalten müssen, ist diese Umstellung keine Option, sondern eine Notwendigkeit. Zudem erklärte die Leitung von DARPA im März 2026, es erscheine inzwischen „wahrscheinlicher als nicht“, dass bis 2033 ein Quantencomputer im industriell nutzbaren Massstab entwickelt werde.

Besonders relevant für Bitcoin ist eine jüngste Veröffentlichung von Google Quantum AI. Darin wird eine erhebliche Optimierung des Shor-Algorithmus vorgestellt – ausdrücklich angewendet auf secp256k1, jene elliptische Kurve, auf der die digitalen Signaturen von Bitcoin basieren.

Unabhängige Forscher haben die Ergebnisse inzwischen weiter verbessert, und das Potenzial für zusätzliche Optimierungen scheint noch längst nicht ausgeschöpft zu sein. Dadurch entwickelt sich die Quantenbedrohung von einer allgemeinen Herausforderung für die Public-Key-Kryptografie zu einer gezielten Auseinandersetzung mit den kryptografischen Grundlagen von Bitcoin selbst.

Niemand kann den genauen Zeitpunkt vorhersagen, an dem ein entsprechender Quantencomputer verfügbar sein wird. Die Richtung der Entwicklung ist jedoch klar. Und das Zeitfenster für Vorbereitung und Anpassung wird zunehmend in Jahren statt in Jahrzehnten gemessen.

Bitcoin bleibt nicht stehen. Mit BIP-360, das im Februar 2026 in das Repository der Bitcoin Improvement Proposals aufgenommen wurde, wurde ein neuer Adresstyp vorgeschlagen, der die spätere Einführung quantensicherer oder hybrider Signaturverfahren ermöglichen soll. Testnetzwerke sind bereits aktiv, die Entwicklergemeinschaft arbeitet intensiv an entsprechenden Lösungen, und quantensichere Signaturverfahren existieren heute bereits. Sie wurden standardisiert und gelten als sicher.

Die zentrale Herausforderung besteht daher nicht darin, ob kryptografische Lösungen verfügbar sind – das sind sie. Die eigentliche Schwierigkeit liegt darin, dass diese Verfahren bislang nicht optimal auf die Anforderungen von Bitcoin zugeschnitten sind. Faktoren wie die Grösse der Signaturen, Sicherheitsgarantien, Einfachheit, Effizienz und Kompatibilität erfordern sorgfältige Abwägungen. Jede Lösung bringt Kompromisse mit sich.

Hinzu kommt die Herausforderung der Koordination. Eine Migration auf quantensichere Signaturen müsste von einem dezentralen Netzwerk umgesetzt werden, das auf breitem Konsens basiert und die aktive Mitwirkung von Millionen von Nutzern erfordert. Darüber hinaus wirft die Frage nach verlorenen Bitcoin eine kontroverse Governance-Debatte auf: Sollten solche Bestände eingefroren werden, um sie vor zukünftigen Quantenangriffen zu schützen, oder sollen sie weiterhin theoretisch von kryptografisch relevanten Quantencomputern beansprucht werden können?

In den kommenden Wochen werden wir die möglichen Zeitpläne, die Herausforderungen einer Migration sowie die Strategien verschiedener Protokolle im Umgang mit der Quantenbedrohung näher beleuchten. Für einen kompakten Überblick über die wichtigsten Konzepte – darunter Qubits, ECDSA, der Shor-Algorithmus und die Offenlegung öffentlicher Schlüssel – werden wir in Kürze zudem ein kurzes Erklärvideo veröffentlichen.

Die Bedrohung ist real. Die Vorbereitungen haben begonnen. Und der richtige Zeitpunkt, um zu verstehen, was auf dem Spiel steht, ist jetzt.