Quantenbedrohung für Blockchain: Wird Bitcoin überleben?

Typ: Technisches Briefing

Veröffentlicht: Dezember 2025

Schlüsselwörter: Bitcoin, Blockchain, ECDSA, Shor-Algorithmus, Post-Quanten-Kryptographie, Kryptowährungssicherheit, Elliptische Kurven

Zusammenfassung

Bitcoin und Ethereum basieren auf elliptischer Kurvenkryptographie (ECDSA), um Vermögenswerte in Milliardenhöhe zu sichern. Wenn Quantencomputer, die Shors Algorithmus ausführen können, verfügbar werden, bricht dieses mathematische Fundament zusammen. Dieser Artikel erklärt die Schwachstelle, warum „verlorene Coins" ein einzigartiges Ernterisiko darstellen, und wie das Blockchain-Ökosystem zur Post-Quanten-Kryptographie migrieren kann – und muss – bevor es zu spät ist.

Kernpunkte auf einen Blick

ECDSA ist die Schwachstelle: Bitcoin und Ethereum nutzen Signaturen auf Basis elliptischer Kurven; Shors Algorithmus kann diese brechen.
Exponierte öffentliche Schlüssel = Ernteziele: Adressen, von denen bereits Transaktionen gesendet wurden, legen ihre öffentlichen Schlüssel dauerhaft in der Blockchain offen.
Satoshis ~1 Million BTC: Frühe Coins auf exponierten Adressen können nicht migriert werden – ein potenzieller Quantengewinn, der nur darauf wartet, beansprucht zu werden.
Die Blockchain ist ein permanentes Archiv: Anders als TLS-Verkehr sind Blockchain-Daten für immer frei verfügbar – wodurch Harvest-Now-Decrypt-Later trivial einfach wird.
Post-Quanten-Hard-Forks werden erforscht: Sowohl Ethereum als auch Bitcoin-Communities forschen an PQC-Upgrades, aber die Koordination ist herausfordernd.

Wie Krypto-Signaturen funktionieren (und warum sie gefährdet sind)

Jede Bitcoin- oder Ethereum-Transaktion erfordert eine digitale Signatur, um das Eigentum nachzuweisen. Wenn Sie Kryptowährung senden, verwendet Ihre Wallet Ihren privaten Schlüssel, um eine Signatur zu erstellen, die jeder mit Ihrem öffentlichen Schlüssel verifizieren kann. Dies ist derselbe grundlegende Mechanismus, der TLS-Verbindungen, E-Mails und Software-Updates weltweit absichert.

Bitcoin und Ethereum verwenden speziell ECDSA (Elliptic Curve Digital Signature Algorithm) basierend auf der secp256k1-Kurve. Die Sicherheit beruht auf dem diskreten Logarithmusproblem: Aus einem öffentlichen Schlüssel ist es für klassische Computer rechnerisch unmöglich, den privaten Schlüssel abzuleiten.

⚠️ Die Quanten-Schwachstelle

Shors Algorithmus, der auf einem ausreichend leistungsfähigen Quantencomputer läuft, kann das diskrete Logarithmusproblem effizient lösen. Das bedeutet, ein Quantenangreifer könnte Ihren privaten Schlüssel aus Ihrem öffentlichen Schlüssel ableiten – und dann Ihre Gelder stehlen.

Für einen tieferen Einblick, wie Shors Algorithmus die elliptische Kurvenkryptographie bedroht und was dies für Bitcoins Zukunft bedeutet, sehen Sie diese ausgezeichnete technische Erklärung:

Video: Wie Shors Algorithmus Bitcoins elliptische Kurvenkryptographie brechen kann

Diese Schwachstelle ist nicht einzigartig für Kryptowährungen – sie betrifft alle Systeme, die RSA oder elliptische Kurvenkryptographie verwenden. Allerdings hat Blockchain ein einzigartiges Problem: Die öffentliche, permanente Natur ihrer Transaktionshistorie schafft ein perfektes Ernteziel.

Das Problem der „exponierten Schlüssel"

Hier ist eine kritische Nuance, die viele Menschen übersehen: Ihre Bitcoin-Adresse ist nicht Ihr öffentlicher Schlüssel. Eine Bitcoin-Adresse ist tatsächlich ein Hash Ihres öffentlichen Schlüssels (unter Verwendung von SHA-256 und RIPEMD-160). Dies bietet eine zusätzliche Schutzschicht – bis Sie von dieser Adresse ausgeben.

Abbildung 1: Wann wird Ihr öffentlicher Schlüssel exponiert?

Neue Adresse generieren

Nur die gehashte Adresse ist öffentlich bekannt. Privater und öffentlicher Schlüssel bleiben geheim.

🛡️ Geschützt

Gelder empfangen

BTC kommt an Ihrer gehashten Adresse an. Öffentlicher Schlüssel ist noch nicht in der Chain exponiert.

🛡️ Geschützt

Transaktion senden

Ausgeben erfordert die Übertragung Ihres öffentlichen Schlüssels und Ihrer Signatur. Jetzt permanent in der Blockchain.

⚠️ Für immer exponiert

Adresswiederverwendung

Alle zukünftigen Einzahlungen an diese Adresse sind sofort quanten-anfällig.

🎯 Ernteziel

In dem Moment, in dem Sie eine Transaktion senden, wird Ihr öffentlicher Schlüssel Teil der permanenten, unveränderlichen Aufzeichnung der Blockchain. Anders als eine TLS-Sitzung, die nach dem Verbindungsabbau verschwindet, werden Blockchain-Transaktionen für immer gespeichert – auf Tausenden von Knoten weltweit, in unzähligen Backups und in öffentlichen Block-Explorern.

💡 Adresstypen und Quantenrisiko

P2PKH (Legacy-Adressen, die mit „1" beginnen): Öffentlicher Schlüssel bei erster Ausgabe exponiert.
P2WPKH (SegWit-Adressen, die mit „bc1q" beginnen): Ähnliches Expositionsmuster – geschützt bis zur Ausgabe.
P2PK (Pay-to-Public-Key): In frühem Bitcoin verwendet – öffentlicher Schlüssel sofort exponiert. Dies ist das Format, das Satoshi verwendet hat.

Das Dilemma der verlorenen Coins – Satoshis Quanten-Goldgrube

Stellen Sie sich dieses Szenario vor: Es ist 2035. Ein Nationalstaat oder eine gut finanzierte Einrichtung erreicht einen kryptographisch relevanten Quantencomputer (CRQC). Sie greifen nicht zuerst aktive Nutzer an – sie gehen auf das größte, wehrloseste Ziel: Satoshi Nakamotos geschätzte 1,1 Millionen BTC.

🚨 Das unbewegliche Vermögen

Satoshis frühe Mining-Belohnungen verwendeten das P2PK-Format, was bedeutet, dass die öffentlichen Schlüssel direkt in der Blockchain exponiert sind. Diese Coins wurden seit 2009-2010 nicht bewegt. Ohne Zugang zu den privaten Schlüsseln können die legitimen Eigentümer diese Coins nicht auf quantensichere Adressen migrieren – niemals. Sie bleiben als „sitzende Enten" in der Blockchain.

Hier liegt die grausame Ironie: Während der ursprüngliche Eigentümer diese Coins nicht bewegen kann, kann ein Quantenangreifer es. Durch Ableitung des privaten Schlüssels aus dem exponierten öffentlichen Schlüssel „findet" der Angreifer effektiv, was der Eigentümer verloren hat – und beansprucht das Vermögen.

Bei aktuellen Preisen repräsentiert dies über 80 Milliarden Dollar in Bitcoin, die vom ersten Quantencomputer beansprucht werden könnten, der secp256k1 brechen kann. Aber Satoshis Coins sind nur das berühmteste Beispiel.

Abbildung 2: Geschätzte Bitcoin mit Quantenrisiko

~1,7M BTC

P2PK-Adressen (öffentlicher Schlüssel exponiert)

~4M BTC

Wiederverwendete Adressen mit exponierten Schlüsseln

~3-4M BTC

Verlorene Coins (Schlüssel nicht wiederherstellbar)

Dies schafft einen beunruhigenden wirtschaftlichen Anreiz: Die erste Entität, die Quantenüberlegenheit über ECDSA erreicht, könnte Milliarden an „aufgegebener" Kryptowährung beanspruchen. Dies ist kein Diebstahl im traditionellen Sinne – es ist eher so, als würde man einen Tresor finden, dessen Kombination trivial einfach zu erraten geworden ist.

Harvest-Now-Decrypt-Later – Blockchain-Edition

Wir haben die Harvest-Now-Decrypt-Later (HNDL)-Bedrohung in früheren Artikeln diskutiert. Die Grundidee: Angreifer erfassen heute verschlüsselte Daten und speichern sie, bis Quantencomputer die Verschlüsselung brechen können.

Für die meiste Verschlüsselung (wie TLS-Verkehr) erfordert HNDL das aktive Abfangen von Datenströmen – durch BGP-Hijacks, kompromittierte ISPs oder bösartige Proxys. Aber Blockchain macht HNDL trivial einfach:

💾 Öffentlich verfügbar: Jede Transaktion wird an das gesamte Netzwerk übertragen und permanent gespeichert.
🌍 Globale Replikation: Tausende von Knoten pflegen vollständige Kopien der Blockchain.
📜 Historische Vollständigkeit: Jede Transaktion seit Januar 2009 ist erhalten.
🔓 Kein Harvesting nötig: Angreifer müssen nicht abfangen – sie laden einfach die Blockchain herunter.

Jeder exponierte öffentliche Schlüssel aus jeder Transaktion – jemals – wird zu einem potenziellen Ziel. Der Angreifer lädt heute einfach die Blockchain herunter, wartet auf Quantenfähigkeiten und leitet dann in aller Ruhe private Schlüssel aus öffentlichen Schlüsseln ab.

Zeitplan – Wann stoppt die Uhr?

Wie viel Zeit hat die Krypto-Community? Die Expertenmeinungen variieren, aber der Trend ist klar: Die Zeitpläne verdichten sich.

Abbildung 3: Expertenprognosen für kryptographisch relevante Quantencomputer

HEUTE

~1.000 Qubits

Verrauscht, fehleranfällig

2030

22,7% der Experten

Erwarten RSA-2048 gebrochen

2035

50% der Experten

Mehrheit erwartet CRQC

Die Ressourcenschätzungen verbessern sich weiter. Das wegweisende Gidney & Ekerå-Paper von 2019 schätzte, dass das Brechen von RSA-2048 ungefähr 20 Millionen verrauschte Qubits für 8 Stunden erfordern würde. Neuere Forschung deutet darauf hin, dass algorithmische Verbesserungen dies auf mehrere Millionen Qubits reduzieren könnten – nach heutigen Standards immer noch enorm, aber der Trend ist klar. Das Brechen von secp256k1 (Bitcoins Kurve) erfordert ähnliche Ressourcen, da beide auf Quantenalgorithmen beruhen, die verwandte mathematische Probleme lösen.

⏱️ Die echte Deadline: Migrationszeit

Selbst wenn CRQC 2035 eintrifft, muss die Blockchain-Community vorher migrieren. Die Koordination eines Hard Forks über Millionen von Nutzern, Tausende von Börsen und unzählige Wallets dauert Jahre – nicht Monate. Die praktische Deadline liegt viel früher als der „Q-Day" selbst.

Der Weg nach vorne – Post-Quanten-Hard-Forks

Die gute Nachricht: Post-Quanten-kryptographische Algorithmen existieren heute bereits. Das NIST hat ML-KEM und ML-DSA Standards im August 2024 finalisiert, und die Blockchain-Community forscht aktiv an Migrationspfaden.

Ethereums Ansatz

Ethereum-Mitgründer Vitalik Buterin hat Quantenresistenz als Priorität diskutiert. Forschungsbereiche umfassen:

Account-Abstraktion, die Nutzern erlaubt, ihre Signaturverfahren zu wählen
zkSNARK-basierte Signatur-Aggregation für effiziente Post-Quanten-Signaturen
Schrittweise Migration durch Smart-Contract-Upgrades

Bitcoins Herausforderung

Bitcoins konservative Upgrade-Philosophie macht die Post-Quanten-Migration komplexer:

Soft Fork vs. Hard Fork-Debatten: Community-Konsens ist historisch schwierig
Signaturgrößen-Bedenken: Post-Quanten-Signaturen (z.B. SPHINCS+) sind viel größer als ECDSA
Keine erzwungene Migration: Nutzer müssen Gelder aktiv auf neue Adresstypen verschieben

📊 Das Signaturgrößen-Problem

Aktuelle ECDSA-Signaturen: ~71 Bytes
ML-DSA-65 (Dilithium): ~3.300 Bytes (46× größer)
SPHINCS+-128s: ~7.800 Bytes (110× größer)

Größere Signaturen bedeuten weniger Transaktionen pro Block, höhere Gebühren und langsamere Bestätigungszeiten. Dies ist eine echte technische Herausforderung für die Blockchain-Skalierbarkeit.

Was können Inhaber heute tun?

Während sie auf Protokoll-Level-Upgrades warten, können Kryptowährungsinhaber Maßnahmen ergreifen, um ihr Quantenrisiko zu reduzieren:

Adressen niemals wiederverwenden: Generieren Sie für jede Transaktion eine neue Adresse. Sobald Sie von einer Adresse ausgeben, zahlen Sie keine weiteren Gelder dort ein.
Moderne Adressformate verwenden: Sowohl Legacy P2PKH (Adressen, die mit „1" beginnen) als auch SegWit (bc1q...) hashen Ihren öffentlichen Schlüssel und halten ihn verborgen, bis Sie ausgeben. Vermeiden Sie das P2PK-Format vollständig. SegWit wird wegen anderer Vorteile wie niedrigerer Gebühren empfohlen.
Zeit mit exponierten Schlüsseln minimieren: Wenn Sie Gelder konsolidieren müssen, tun Sie es in einer Transaktion und verschieben Sie sie auf eine neue Adresse.
Community-Vorschläge verfolgen: Bleiben Sie über BIPs (Bitcoin Improvement Proposals) informiert, die sich auf Post-Quanten-Sicherheit beziehen.
Das Migrationsfenster verstehen: Wenn PQC-Adressen verfügbar werden, migrieren Sie Gelder umgehend.

Fazit: Die Quantenuhr tickt

Die Quantenbedrohung für Blockchain ist nicht hypothetisch – es ist eine Frage des Wann, nicht des Ob. Milliarden von Dollar in Kryptowährung liegen auf Adressen mit exponierten öffentlichen Schlüsseln, permanent aufgezeichnet in einem global replizierten Ledger, das jeder herunterladen kann.

Anders als traditionelle Harvest-Now-Decrypt-Later-Szenarien erfordert Blockchain-HNDL keinen aktiven Angriff – die Daten sind bereits öffentlich. Die erste Entität, die Quantenüberlegenheit über elliptische Kurven erreicht, könnte nicht nur Satoshis legendären Vorrat beanspruchen, sondern Millionen von Bitcoin von Adressen, die niemals migriert werden können.

Der Weg nach vorne existiert: Post-Quanten-kryptographische Standards sind finalisiert, und sowohl Bitcoin- als auch Ethereum-Communities forschen an Migrationsstrategien. Aber Koordination braucht Zeit, und der Quanten-Zeitplan verdichtet sich weiter.

Die Frage ist nicht, ob Bitcoin das Quantencomputing überlebt – sondern ob die Community schnell genug handelt, um sicherzustellen, dass es das tut.

Nächster Schritt

Möchten Sie die breitere Post-Quanten-Kryptographie-Landschaft verstehen? Erkunden Sie, wie Organisationen sich auf den Quantenübergang vorbereiten:

Lesen: Was ist Harvest-Now-Decrypt-Later? →