Von einer Milliarde auf 10'000: In zwei Jahrzehnten sind die geschätzten Qubit-Anforderungen für einen Angriff auf Bitcoins Kryptografie um fünf Grössenordnungen gesunken. Zwei gestern veröffentlichte Forschungspapers beschleunigen diesen Trend nochmals erheblich.
Zwei am Dienstag veröffentlichte Forschungspapers haben die Debatte um Bitcoins Quantenresistenz grundlegend verschoben. Googles Quantum-AI-Team senkte die geschätzte Schwelle für einen Angriff auf Bitcoins Kryptografie auf unter 500'000 physische Qubits. Ein parallel erschienenes Paper von Oratomic und Caltech drückt den Wert auf 10'000 rekonfigurierbare Atom-Qubits. Bisherige Schätzungen lagen bei Millionen.
Für Anleger stellt sich damit nicht mehr die Frage, ob Quantencomputer Bitcoins Verschlüsselung brechen können. Unter Kryptographen ist das unstrittig. Die eigentliche Frage betrifft den Zeitpunkt und ob das Netzwerk bis dahin vorbereitet ist. Zwischen den Fortschritten der Hardware und der Trägheit dezentraler Konsensprozesse öffnet sich ein Zeitfenster, das institutionelle Portfoliomanager zunehmend einbeziehen.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Wie Quantencomputer Bitcoin angreifen könnten
Bitcoin nutzt zwei kryptographische Verfahren: ECDSA (Elliptic Curve Digital Signature Algorithm) für Transaktionssignaturen und SHA-256 für das Mining. Shors Algorithmus kann ECDSA exponentiell schneller brechen als klassische Computer. SHA-256 hingegen gilt als deutlich widerstandsfähiger, ein Quantenangriff würde die Mining-Leistung lediglich halbieren, nicht vollständig untergraben.
Bis Montag lautete der Konsens: Ein Angreifer bräuchte über 13 Millionen physische Qubits, um ECDSA innerhalb eines Tages zu knacken. Googles neues Whitepaper korrigiert diese Zahl drastisch nach unten. Demnach genügen bereits weniger als 500'000 physische Qubits, um ECDLP-256 in wenigen Minuten zu lösen. Oratomics Neutralatom-Ansatz drückt die Schwelle sogar auf rund 26'000 Qubits bei 10 Tagen Rechenzeit, im Minimalfall auf 10'000 Qubits.
Googles Willow-Chip, vorgestellt im Dezember 2024, verfügt dabei über 105 Qubits. Der Abstand zum kryptographisch relevanten Quantencomputer hat sich damit von Faktor 100'000 auf unter Faktor 5'000 reduziert. Oratomics Mitgründer Manuel Endres hat an der Caltech bereits Arrays mit 6'100 Atom-Qubits demonstriert.
Es gibt allerdings ein subtileres Risiko. Bei jeder Bitcoin-Transaktion liegt der Public Key rund 10 Minuten im Mempool exponiert, bevor ein Block bestätigt wird. Googles Paper modelliert genau diesen Angriffsvektor: Ein Quantenangreifer könnte den privaten Schlüssel in 9 Minuten ableiten, mit 41 Prozent Erfolgswahrscheinlichkeit innerhalb der Bitcoin-Blockzeit. Gefährlicher noch ist die Strategie "Harvest Now, Decrypt Later": Angreifer könnten heute exponierte Schlüssel sammeln und erst in Zukunft entschlüsseln. Die US Federal Reserve analysierte dieses Szenario im September 2025 in einem Arbeitspapier.
Wie viele Bitcoin sind verwundbar?
Project Eleven beziffert rund 6.7 Millionen BTC als quantenvulnerabel, etwa 33 Prozent des zirkulierenden Angebots. Googles Whitepaper bestätigt dabei eine ähnliche Grössenordnung: 6.9 Millionen BTC. Chaincode Labs kommt auf 20 bis 50 Prozent, also 4 bis 10 Millionen BTC. Alle Schätzungen verwenden eine breite Definition, die sämtliche Adressen mit exponiertem Public Key einschliesst.
CoinShares relativiert allerdings deutlich. Demnach hätten nur rund 10'200 BTC bei einem hypothetischen Diebstahl realistische Marktauswirkungen. Der Rest verteilt sich entsprechend auf über 32'000 einzelne Adressen mit durchschnittlich 50 BTC. Deren Entschlüsselung würde selbst mit fortgeschrittener Quantenhardware erhebliche Zeit beanspruchen.
Auffällig ist die Konzentration des Risikos. Rund 1.7 Millionen BTC aus der Satoshi-Ära (2009 bis 2011) liegen nämlich in P2PK-Adressen mit permanent exponiertem Public Key, knapp 9 Prozent des Gesamtangebots. Modernere Adressformate wie P2WPKH exponieren den Schlüssel erst beim Ausgeben, was einen gewissen Zeitpuffer bietet. Taproot-Adressen (P2TR) machen rund 32.5 Prozent aller UTXO-Outputs aus, halten aber unter 1 Prozent des Gesamtangebots. Googles Forschung rückt Taproot dennoch in ein neues Licht: Das Upgrade legt standardmässig öffentliche Schlüssel offen und vergrössert damit die Angriffsfläche.
"Die Migration zu Post-Quantum-Standards könnte leicht 5 bis 10 Jahre dauern aufgrund der Komplexität des dezentralen Konsens." - Jameson Lopp, Bitcoin-Sicherheitsexperte
Hardware-Fortschritte beschleunigen den Zeitplan
Googles Willow-Chip löste im Oktober 2025 mit dem Quantum-Echoes-Algorithmus eine Rechenaufgabe rund 13'000-mal schneller als der leistungsfähigste klassische Supercomputer. Beeindruckend, aber für Kryptografie-Angriffe allein nicht ausreichend. Die 105 Qubits reichen bei weitem nicht.
Microsofts Majorana 1, vorgestellt im Februar 2025, verfolgt einen anderen Ansatz. Der Prozessor nutzt topologische Qubits, basierend auf einem neuartigen Materialsystem aus Indiumarsenid und Aluminium. Ziel ist daher 1 Million Qubits auf einem einzigen Chip. Hardwareseitige Fehlerkorrektur soll den Overhead um den Faktor 10 reduzieren.
Die neuen Schätzungen verändern dennoch die Risikobewertung. Bisher galt als Konsens: 1'500 bis 2'600 logische Qubits nötig, entsprechend 13 bis 300 Millionen fehlerkorrigierten physischen Qubits. Googles Paper reduziert das auf 1'200 logische Qubits und unter 500'000 physische. Oratomics Architektur kommt mit 10'000 bis 26'000 physischen Qubits aus. Die geschätzten Anforderungen sind damit innerhalb von zwei Jahrzehnten um fünf Grössenordnungen gesunken, von einer Milliarde auf unter 10'000.
Google hat am 25. März 2029 als interne Deadline für die eigene Post-Quanten-Migration gesetzt. Dieser Zeitrahmen liegt folglich deutlich vor dem bisherigen Branchenkonsens von 2030 bis 2035.
BIP-360 und der Post-Quantum-Upgrade-Pfad
BIP-360, ein 2025 eingereichter Vorschlag zur Änderung des Bitcoin-Protokolls, definiert einen neuen Adresstyp mit Unterstützung für Post-Quantum-Signaturen wie Dilithium. Der Vorschlag nutzt Pay-to-Merkle-Root (P2MR) mit SegWit Version 2 und bech32m-Adressen im bc1z-Format. BIP-360 ermöglicht eine schrittweise Migration, ohne eine erzwungene Netzwerkänderung.
Am 20. März 2026 setzte BTQ Technologies die erste funktionsfähige Implementation auf einem Bitcoin-Testnet um. Über 50 Miner beteiligten sich an Version 0.3.0 und schürften mehr als 100'000 Blöcke. Testnet und Mainnet trennen allerdings Welten. Chaincode Labs stufte Bitcoins Post-Quantum-Initiativen im Mai 2025 als "frühe, explorative Phase" ein. BIP-360-Mitautor Ethan Heilman schätzt die vollständige Migration auf mindestens sieben Jahre, sofern sofort begonnen wird.
Ein technisches Kernproblem bleibt zudem ungelöst. Post-Quantum-Schlüssel sind deutlich grösser als herkömmliche, oft mehrere Kilobytes. Das treibt Transaktionsgebühren, Speicherbedarf und Bandbreite nach oben. Bei Bitcoins 1-MB-Blocklimit stellt das eine substanzielle Hürde dar.
Was dabei untergeht: BIP-360 ist nur der erste Schritt. Es entfernt die quantenverwundbare Schlüsselpfad-Ausgabe von Taproot, ersetzt aber weder ECDSA noch Schnorr-Signaturen durch quantenresistente Algorithmen. Für vollständige Sicherheit wären weitere BIPs nötig. SegWit brauchte rund 8.5 Jahre bis zur breiten Adoption, Taproot 7.5 Jahre. Google plant die eigene Migration bis 2029.
Regulatorische Standards überholen Bitcoin
Während Bitcoin noch debattiert, schaffen Regulierungsbehörden bereits Fakten. Das National Institute of Standards and Technology (NIST) finalisierte im August 2024 drei Post-Quantum-Standards (FIPS 203, 204, 205), basierend auf CRYSTALS-Kyber, CRYSTALS-Dilithium und SPHINCS+. Im März 2025 folgte die Auswahl von HQC als fünftem Algorithmus. NIST-Mathematiker Dustin Moody erklärte, HQC solle als Backup-Standard auf einem anderen mathematischen Fundament als ML-KEM basieren.
Die US-Regierung setzt klare Fristen: Bis April 2026 müssen Bundesbehörden Post-Quantum-Übergangspläne vorlegen. Die EU peilt 2030 als Ziel für die Quantenresistenz kritischer Infrastruktur an. Google integriert daher bereits quantenresistente Signaturen in Android 17, Chrome und Cloud-Dienste.
Bitcoin hinkt strukturell hinterher. Denn Protokolländerungen erfordern breiten Konsens unter Tausenden unabhängiger Akteure. Kein CEO kann ein Upgrade anordnen. Die Dezentralisierung, die Bitcoin seine Widerstandsfähigkeit verleiht, verlangsamt zugleich die Anpassung. Für Anleger bedeutet das konkret: Das Quantenrisiko ist kein Grund zur Panik, aber es ist seit gestern deutlich greifbarer geworden. Wer langfristig in Bitcoin investiert ist, sollte Taproot-Adoption, Fortschritte bei BIP-360 und die Adresshygiene seines Custodians im Blick behalten.
