Technik
7 Min. Lesezeit

Bitcoin und Quantencomputer

Quantencomputer werden regelmässig als existenzielle Bedrohung für Bitcoin dargestellt. Doch wie realistisch ist das Szenario? Welche Teile von Bitcoin sind tatsächlich verwundbar, und welche Gegenmassnahmen existieren bereits?

«Bitcoin is secured by the laws of mathematics, and mathematics doesn't get weaker over time, it gets better understood.»

— Adam Back, Erfinder von Hashcash und CEO von Blockstream

Überblick

Bitcoin-Sicherheit hängt von zwei Dingen ab, nämlich von digitalen Signaturen (damit nur du deine Bitcoin ausgeben kannst) und von Hash-Funktionen (für Mining und Adressen). Quantencomputer könnten langfristig beide angreifen, aber auf sehr unterschiedliche Weise. Die Bedrohung ist real, aber nicht akut. Kein heute existierender Quantencomputer kommt auch nur annähernd an die nötige Leistung heran.

Wie Quantencomputer funktionieren

Ein normaler Computer rechnet mit Bits, also 0 oder 1, immer eindeutig. Ein Quantencomputer nutzt Qubits, die durch die Gesetze der Quantenmechanik beide Zustände gleichzeitig einnehmen können. Das nennt sich Superposition. Stell dir eine Münze vor: Ein normaler Computer schaut, ob sie auf Kopf oder Zahl liegt. Ein Quantencomputer untersucht die drehende Münze und kann dadurch viele Möglichkeiten gleichzeitig testen.

Das klingt nach einem Allzweck-Zaubermittel, ist es aber nicht. Quantencomputer sind nur für ganz bestimmte Arten von Problemen schneller als normale Computer, vor allem für Probleme, bei denen man eine riesige Menge von Möglichkeiten durchsuchen muss. Für alles andere (Textverarbeitung, Videos schauen, normale Berechnungen) sind sie langsamer und unpraktischer.

Für Bitcoin sind vor allem zwei Quantenalgorithmen relevant. Einerseits der Shor-Algorithmus, der gefährlich für Signaturen ist, und andererseits der Grover-Algorithmus, der das Mining minimal beeinträchtigt.

Der Shor-Algorithmus

Bitcoin-Adressen funktionieren nach einem Einweg-Prinzip: Aus dem privaten Schlüssel (einem geheimen Zufallscode) lässt sich der öffentliche Schlüssel berechnen, aber nicht umgekehrt. Das ist wie ein Telefonsystem, das dir erlaubt, aus einem Namen eine Nummer zu finden, dir aber nicht erlaubt, aus der Nummer den Namen zu rekonstruieren. Für normale Computer ist der «Rückweg» praktisch unmöglich. Es würde Milliarden von Jahren dauern.

Der Shor-Algorithmus (1994) wäre für Quantencomputer so, als hätte man auf einmal ein vollständiges Rückwärtsverzeichnis. Er könnte aus dem öffentlichen Schlüssel einer Bitcoin-Adresse den privaten Schlüssel in Stunden oder Tagen berechnen und damit die Bitcoin stehlen. Das ist die ernsthafteste quantenmechanische Bedrohung für Bitcoin.

Der entscheidende Haken ist, dass ein solcher Angriff braucht mehrere Millionen fehlerkorrigierter Qubits. Heutige Quantencomputer haben 1'000–1'500 physische Qubits, die noch viele Fehler machen. Um einen einzigen zuverlässigen «logischen Qubit» zu bauen, braucht man derzeit rund 1'000 physische Qubits als Fehlerkorrektur. Die Lücke zwischen heute und einem bitcoin-gefährlichen Quantencomputer ist noch riesig.

Der Grover-Algorithmus

Der Grover-Algorithmus (1996) beschleunigt die Suche in grossen, unstrukturierten Mengen. Ein normaler Computer muss alle Möglichkeiten nacheinander durchprobieren, ein Quantencomputer mit Grover kann viele parallel testen. Das macht die Suche nicht beliebig schnell, aber quadratisch schneller. Für SHA-256, Bitcoins Hashing-Funktion, bedeutet, dass die effektive Sicherheit von 256 Bit auf 128 Bit halbiert wird.

Das klingt dramatisch, ist es aber nicht. 128 Bit Sicherheit gilt auch in der Quantenwelt als praktisch unknackbar. AES-128, der weltweite Standard für verschlüsselte Bankverbindungen, HTTPS und Militärkommunikation, hat ebenfalls 128 Bit und wird vom amerikanischen Normungsinstitut NIST explizit als Post-Quantum-sicher eingestuft. Bitcoin-Mining wäre durch einen Quantencomputer nicht gefährdet, da der Schwierigkeitsgrad sich automatisch anpassen würde und das Netzwerk einfach weiterliefe.

Quantenbedrohung für Bitcoin — Überblick
Shor-Algorithmus
Ziel: ECDSA / secp256k1
Public Key → Private Key berechnen
Benötigt: ~4'000 logische Qubits
(= Millionen physische Qubits)
Heute verfügbar: ~1'500 physische Qubits
⚠️ Langfristige Bedrohung
Grover-Algorithmus
Ziel: SHA-256 (Mining, Adressen)
256 Bit Sicherheit → 128 Bit
128 Bit = weiterhin sicher
(NIST-Standard für Post-Quantum)
Difficulty-Adjustment würde anpassen
✓ Kein kritisches Risiko

Wo stehen wir heute?

Im Dezember 2024 stellte Google seinen «Willow»-Chip vor, mit 105 Qubits, die deutlich fehlerärmer arbeiten als bisherige Chips. IBM betreibt seit 2023 Systeme mit über 1'000 Qubits. Das klingt viel, ist aber immer noch weit entfernt von dem, was für einen Bitcoin-Angriff nötig wäre.

Um den privaten Schlüssel aus einer Bitcoin-Adresse zu berechnen, bräuchte man nach aktuellen Schätzungen mehrere Millionen fehlerkorrigierter Qubits. Das Problem ist, dass jeder physische Qubit Fehler macht. Um einen zuverlässigen «logischen Qubit» zu bauen, braucht man derzeit ca. 1'000 physische Qubits als Fehlerkorrektur. Die Lücke zum Angriff ist also noch enorm.

Stand 2026: Kein existierender oder angekündigter Quantencomputer kann Bitcoin-Kryptographie brechen. Die Bedrohung ist real, aber auf einem Zeithorizont von Jahrzehnten, nicht Jahren.

Welche Bitcoin sind am stärksten gefährdet?

Nicht alle Bitcoin wären gleich stark bedroht. Entscheidend ist, ob deine Adresse den öffentlichen Schlüssel sichtbar macht.

  • Frühe Adressen und Satoshi-Coins tragen das höchste Risiko. Bei den allerersten Bitcoin-Transaktionen (bis ca. 2012) ist der öffentliche Schlüssel direkt auf der Blockchain lesbar. Das betrifft vermutlich auch Satoshis eigene Coins. Ein Quantencomputer könnte daraus direkt den privaten Schlüssel berechnen.
  • Wiederverwendete Adressen haben ein erhöhtes Risiko. Wer dieselbe Adresse mehrfach nutzt und davon einmal etwas gesendet hat, hat seinen öffentlichen Schlüssel bereits preisgegeben. Die Empfehlung lautet daher, jede Adresse nur einmal zu verwenden.
  • Moderne Adressen haben ein niedriges Risiko. Aktuelle Adressen zeigen nur einen Fingerabdruck des Schlüssels, nicht den Schlüssel selbst. Ein Angreifer müsste erst diesen Fingerabdruck knacken, was auch für Quantencomputer sehr aufwändig wäre.
  • Während einer Transaktion gibt es ein kurzes Zeitfenster, in dem der öffentliche Schlüssel sichtbar ist. Selbst ein zukünftiger Quantencomputer müsste den privaten Schlüssel in den rund 10 Minuten bis zur Bestätigung ableiten, was extrem unwahrscheinlich wäre.
Risikoampel nach Bitcoin-Komponente
P2PK-Adressen (Satoshi-Coins)
Public Key direkt on-chain sichtbar → Shor anwendbar
Wiederverwendete Adressen
Public Key nach 1. ausgehender Transaktion sichtbar
Moderne Adressen (P2WPKH / P2TR)
Nur Hash sichtbar — Angriff deutlich aufwändiger
SHA-256 / Mining
128 Bit Restschutz — kein kritisches Risiko

Was wird dagegen getan?

Sowohl die globale Kryptographie-Community als auch Bitcoin-Entwickler arbeiten aktiv an Lösungen.

  • Neue quantensichere Standards (NIST 2024) Das amerikanische Normierungsinstitut NIST hat 2024 die ersten offiziellen Post-Quantum-Standards veröffentlicht: FIPS 204 (ML-DSA) für digitale Signaturen, FIPS 203 (ML-KEM) für Schlüsselaustausch und FIPS 205 (SLH-DSA) für hash-basierte Signaturen. Diese Algorithmen basieren auf Mathematik, die Quantencomputer nicht effizient lösen können.
  • BIP-360 und P2QRH (Pay to Quantum Resistant Hash) Ein konkreter Bitcoin-Verbesserungsvorschlag (BIP) von Entwickler Hunter Beast beschreibt, wie Bitcoin einen neuen, quantenresistenten Ausgabetyp erhalten könnte. BIP-360 (Entwurf auf GitHub) schlägt den Einsatz von FALCON oder anderen gitterbasierten Signaturen vor. Das ist noch kein offizieller Standard, aber ein Zeichen, dass konkrete Arbeit läuft.
  • Forschung zu quantensicheren Bitcoin-Signaturen. Das 2017-Paper «Quantum Attacks on Bitcoin, and How to Protect Against Them» von Aggarwal et al. (arXiv) analysiert die Angriffsvektoren im Detail und schlägt hash-basierte Signatursysteme (XMSS, Lamport) als quantensichere Alternativen vor.
  • Bitcoin kann per Soft Fork aktualisiert werden. Das Bitcoin-Netzwerk kann neue Signaturverfahren durch ein koordiniertes Update (Soft Fork) einführen, genau wie 2021 mit Taproot. Die Frage ist nicht ob, sondern wann und wie die Migration organisiert wird. Bestehende Adressen würden nicht automatisch migriert, Nutzer müssten aktiv handeln.
  • Heute schon lässt sich das Risiko senken, indem man Adressen nie wiederverwendet. Das reduziert das Risiko sofort und kostet nichts. Eine neue Adresse für jede Transaktion hält deinen öffentlichen Schlüssel verborgen, solange du nichts sendest.

Nicht nur Bitcoin

Bitcoin ist bei weitem nicht das einzige System, das auf den heute verwundeten kryptographischen Grundlagen basiert. Dieselben Algorithmen, insbesondere RSA und elliptische Kurven (ECC), sichern einen Grossteil der digitalen Infrastruktur weltweit. Ein kryptographisch relevanter Quantencomputer würde nicht nur Bitcoin bedrohen, sondern eine globale Krise auslösen.

🏦

Banken & Finanzsystem

SWIFT-Überweisungen, Online-Banking, Kreditkartentransaktionen und der gesamte internationale Zahlungsverkehr basieren auf TLS/SSL mit RSA und ECC. Jede HTTPS-Verbindung zu einer Bank und jede digitale Signatur auf einer Transaktion wären gefährdet.

🪖

Militär & Geheimdienste

Verschlüsselte Kommunikation zwischen Kommandozentralen, Satellitendaten, Drohnensteuerung und nachrichtendienstliche Kanäle nutzen dieselbe Kryptographie. Die NSA hat bereits 2015 angekündigt, auf Post-Quantum-Algorithmen umzusteigen, was zeigt, dass die Bedrohung ernst genommen wird.

🏥

Medizin & Gesundheitsdaten

Patientenakten, medizinische Geräte mit Fernzugriff (Insulinpumpen, Herzschrittmacher), Krankenhaussysteme und telemedizinische Dienste übertragen sensible Daten verschlüsselt. Ein Bruch der Verschlüsselung wäre hier nicht nur finanziell, sondern direkt lebensbedrohlich.

🏛️

Regierungen & Behörden

Digitale Ausweise, E-Government-Dienste, Steuersysteme, elektronische Abstimmungen und die Kommunikation zwischen Behörden weltweit sind mit RSA/ECC-Zertifikaten abgesichert. Ein Staatsfeind mit Quantencomputer könnte Behördenkommunikation entschlüsseln oder fälschen.

📡

Internet-Infrastruktur

Das gesamte HTTPS-Protokoll, auf dem das moderne Web basiert, verwendet ECC und RSA. E-Mails, Cloud-Dienste, DNS-Sicherheit (DNSSEC) und VPN-Verbindungen wären kompromittierbar. Browser, Server und Router müssten ausgetauscht werden.

Kritische Infrastruktur

Stromnetze, Wasserversorgung, Industrieanlagen und Transportsysteme werden zunehmend digital gesteuert und kommunizieren über verschlüsselte Kanäle. Ein gezielter Quantenangriff auf diese Infrastruktur hätte weitreichende gesellschaftliche Folgen.

Perspektive: Bitcoin ist nicht das Schwächste in dieser Kette. Im Gegenteil diskutiert die Bitcoin-Community Post-Quantum-Migrationen aktiv, während viele Legacy-Systeme (alte Banksoftware, Behördeninfrastruktur) träger und schwerer zu aktualisieren sind. Ein Quantenangriff würde das gesamte digitale Finanzsystem treffen, nicht nur Bitcoin.

Wann wird es gefährlich?

Niemand weiss es genau. Konservative Schätzungen gehen von 15 bis 30 Jahren aus, bis ein Quantencomputer stark genug für einen Bitcoin-Angriff wäre. Manche Experten sagen, die technischen Hürden seien so gross, dass es noch viel länger dauert oder es nie soweit kommt.

Die Fortschritte sind real, aber langsamer als oft behauptet. Googles Willow-Chip (2024) war ein Meilenstein bei der Fehlerkorrektur, hat aber 105 Qubits und nicht Millionen. Die Lücke zwischen heute und einem kryptographisch relevanten Quantencomputer ist noch sehr gross.

Bitcoin muss nicht warten, bis die Bedrohung akut wird. Das Netzwerk kann durch ein koordiniertes Update, wie schon mit Taproot 2021 geschehen, auf quantensichere Signaturen migrieren. Die Bitcoin-Community hat Zeit, sich vorzubereiten.

Fazit in einem Satz: Quantencomputer sind eine ernsthafte langfristige Herausforderung, aber kein Grund zur Panik. Bitcoin und das gesamte Internet werden sich rechtzeitig anpassen müssen, und die Arbeit daran hat bereits begonnen.

Häufige Fragen

Können Quantencomputer Bitcoin knacken?

Aktuelle Quantencomputer sind nicht annähernd leistungsfähig genug, um Bitcoin-Verschlüsselung zu brechen. Googles Willow-Chip (2024) hat 105 Qubits, während für einen Angriff auf Bitcoin Schätzungen zufolge Millionen fehlerkorrigierter Qubits nötig wären.

Was tut die Bitcoin-Community gegen Quantencomputer?

Entwickler beobachten den Fortschritt aktiv. Es gibt bereits quantenresistente Kryptographie-Standards (NIST FIPS 203/204, 2024). Eine Migration des Bitcoin-Protokolls zu quantenresistenten Algorithmen ist technisch möglich, erfordert aber breiten Konsens.

Wann ist Bitcoin durch Quantencomputer gefährdet?

Experten schätzen, dass kryptographisch relevante Quantencomputer frühestens in 10–20 Jahren existieren könnten. Bis dahin hätte die Bitcoin-Community genug Zeit für eine Migration. Die grösste Gefahr betrifft Bitcoin, die in alten P2PK-Adressen liegen.

Quellen

Verwandte Artikel

Technik
Kryptographie-Grundlagen
Technik
SHA-256 erklärt
BTC ...