IBM verpflichtet mehr als 10 Mrd. USD für Quantencomputing über die nächsten fünf Jahre. Die Roadmap nennt erstmals konkrete Etappenziele für fehlertolerante Systeme und bewertet damit das Quantencomputer Bitcoin-Risiko entlang einer klareren Zeitlinie neu.
Quantencomputer nutzen Quantenmechanik wie Superposition und Verschränkung statt klassischer Bits. Damit lösen sie bestimmte Rechenprobleme exponentiell schneller. Dazu zählt das Faktorisieren grosser Zahlen, auf dem asymmetrische Kryptographie wie Bitcoins ECDSA beruht. Heutige Systeme mit einigen Hundert physischen Qubits reichen für einen realen Kryptographie-Angriff allerdings noch nicht aus. IBM betreibt seit 2017 das IBM Quantum Network, das heute mehr als 340 Partnerorganisationen umfasst. Weltweit laufen zudem mehr als 90 IBM-Quantensysteme, mehr als beim Rest der Branche zusammen. Die neue Verpflichtung deckt Forschung, Kapitalausgaben, Produktionsskalierung und Übernahmen ab. Eckpfeiler ist ferner die Gründung von Anderon, der weltweit ersten reinen Quanten-Wafer-Fabrik. IBM bringt dort 1 Mrd. USD in bar ein.
IBMs Roadmap: Von Kookaburra bis Starling
Den Auftakt macht zunächst 2026 der Prozessor Kookaburra, der erste modulare Chip, der fehlerkorrigierte Informationen zugleich speichert und verarbeitet. Damit verschiebt sich die Architektur von reiner Rechenleistung hin zu verlässlichem Quantenspeicher auf einem einzigen Baustein. Im selben Jahr erwartet IBM zudem, dass Partner erstmals einen verifizierten Quantum Advantage demonstrieren. Gemeint ist ein nachweisbarer Vorsprung gegenüber klassischen Rechnern bei einem konkreten Problem. Für 2027 ist später Cockatoo geplant, der zwei Kookaburra-Module über sogenannte L-Couplers verbindet. Diese Schritte bauen auf den Hardware-Fortschritten von Ende 2025 auf, als IBM 120 Qubits in einem GHZ-Zustand verschränkte und kurz darauf den 120-Qubit-Prozessor Nighthawk vorstellte.
Die entscheidende Schwelle markiert jedoch Starling, für 2029 angekündigt und im Werk in Poughkeepsie, New York, angesiedelt. Das System soll 200 logische Qubits bereitstellen und 100 Mio. Quantengatter ausführen, rund 20'000-mal mehr Operationen als heutige Maschinen. Ein logisches Qubit besteht aus vielen physischen Qubits, die gemeinsam Fehler erkennen und korrigieren. Somit erfordern 200 logische Qubits bereits Tausende physischer Einheiten. Schliesslich folgt laut Plan Blue Jay mit 2'000 logischen Qubits und einer Milliarde Quantenoperationen. Damit verzehnfacht die Roadmap die Grössenordnung gegenüber Starling nochmals.
Getragen wird diese Roadmap von einem breiten Entwickler-Ökosystem und einer langen Vertragshistorie. IBMs Open-Source-Software Qiskit wird von rund 70% aller Quantenentwickler weltweit genutzt und hat bislang mehr als 4 Bio. Quantenschaltkreise ausgeführt. Seit dem Start des IBM Quantum Network 2017 hat der Konzern zudem Verträge im Volumen von rund 1.1 Mrd. USD abgeschlossen. Anderon liefert das Produktionsfundament dazu und wird ferner vom US-Handelsministerium unterstützt. CEO Arvind Krishna ordnet die Lage so ein, dass das Quantenzeitalter nicht mehr bevorstehe, sondern bereits begonnen habe.
Abonnieren Sie unseren Newsletter
Die besten Artikel der Woche direkt in ihre Mailbox geliefert.
Wie viele Qubits braucht ein Bitcoin-Angriff
Bitcoin sichert seine Transaktionssignaturen über ECDSA auf der Kurve secp256k1. Shors Algorithmus könnte dieses Verfahren auf einem ausreichend leistungsfähigen, fehlertoleranten Quantencomputer brechen. Dazu kehrt er die zugrunde liegende mathematische Einwegfunktion um. Ein Paper von Google Quantum AI schätzte im März 2026, dass sich secp256k1 unter bestimmten Hardware-Annahmen mit weniger als 500'000 physischen Qubits angreifen liesse. Zwischen dieser Grössenordnung und IBMs Starling-Ziel von 200 logischen Qubits klafft 2029 folglich noch eine erhebliche Lücke. IBM-Experte Jeff Crume verortet den sogenannten Q-Day, also den Zeitpunkt eines kryptographisch relevanten Systems, dementsprechend zwischen 2030 und 2035.
"Das Argument darüber, ob Quantencomputing real ist oder ob wir es ernst nehmen sollten, führe ich kaum noch, denn langfristig wird die Realität dieses Argument für sich entscheiden." - Ethan Heilman, Kryptograph und BIP-360-Co-Autor.
Das drängendere Kurzfristrisiko liegt jedoch im Prinzip „Harvest Now, Decrypt Later". Angreifer können heute Blockchain-Daten sammeln und sie später entschlüsseln, sobald ausreichend starke Quantenhardware verfügbar ist. Besonders relevant ist das wegen der öffentlichen Schlüssel auf der Blockchain. Sie bleiben dauerhaft sichtbar und lassen sich anders als bei zentralisierten Systemen nicht nachträglich verbergen. Rund 6.9 Mio. BTC liegen in Wallets mit sichtbaren öffentlichen Schlüsseln. Davon entfallen 1.7 Mio. BTC auf ältere Adressformate mit dauerhaft exponiertem Schlüssel und gelten somit als besonders verwundbar.
Nicht alle kryptographischen Bausteine sind gleich stark gefährdet. Bitcoins Hash-Funktion SHA-256 wird durch Grovers Algorithmus nur quadratisch geschwächt, von 256 auf effektiv 128 Bit Sicherheit, und gilt daher als robust. Das Signaturverfahren ECDSA bleibt somit das deutlich drängendere Problem, da Shors Algorithmus es nicht bloss schwächt, sondern grundsätzlich brechen würde.
Bitcoins strukturelles Problem bei der Migration
Zentralisierte Akteure wie Banken können veraltete Verschlüsselung still per Software-Update austauschen. Bei Bitcoin hingegen müssen alle Nodes einer Änderung im Konsens zustimmen, was eine Migration ungleich schwerer macht. Hinzu kommt das Grössenproblem: eine heutige Bitcoin-Signatur umfasst 64 Bytes, der Post-Quanten-Standard ML-DSA dagegen 2'420 Bytes, also rund das 38-Fache. Eine Umstellung könnte den Transaktionsdurchsatz somit um bis zu 90% senken. Das würde die Gebühren erhöhen und die ohnehin begrenzte Blockkapazität zusätzlich belasten.
Die Bitcoin-Community diskutiert mehrere technische Antworten darauf. BIP-360 sieht vor, gefährdete Coins schrittweise auf sicherere Adressen zu verschieben, während das Hourglass-Konzept nicht bewegte Coins graduell beschränken würde. Rund 1 Mio. BTC konzentrieren sich zudem auf elf grosse Adressen, die als Frühwarnsystem dienen könnten. Bewegt sich dort etwas Auffälliges, wäre das ein mögliches Signal für einen laufenden Angriff. Anders als ein Software-Update bei einer Bank verlangt jeder dieser Schritte allerdings eine breite Einigung im Netzwerk.
Den äusseren Rahmen setzen schliesslich regulatorische Fristen. NIST veröffentlichte im August 2024 die ersten finalisierten Post-Quanten-Standards FIPS 203, 204 und 205 und empfiehlt, die Migration bis 2035 abzuschliessen. Die NSA setzt mit CNSA 2.0 für nationale Sicherheitssysteme hingegen bereits 2030 als Pflichtdatum. Diese externe Zeitlinie erhöht den Druck auf alle Beteiligten und überschneidet sich mit dem von IBM projizierten Q-Day-Fenster.
Wie andere Krypto-Netzwerke reagieren
Andernorts ist die Industrie bereits konkreter unterwegs. Coinbase berief einen sechsköpfigen unabhängigen Beirat ein, dem unter anderem Scott Aaronson, Dan Boneh, Justin Drake, Sreeram Kannan, Yehuda Lindell und Dahlia Malkhi angehören. Die Ethereum Foundation gründete zudem bereits 2025 ein dediziertes Quantum-Forschungsteam. Bitcoins eigener Prozess rund um BIP-360 bleibt im Vergleich dazu hingegen noch offen und ohne verbindlichen Zeitplan.
Auch jenseits der grossen Netzwerke gibt es konkrete Massnahmen. Algorand führte ebenfalls die erste Post-Quanten-Transaktion aus. Optimism setzte mit dem „Flag Day" im Januar 2036 einen festen Stichtag für die Migration. Solana wiederum bietet optional ein „Winternitz Vault" mit hashgestützten Signaturen an, die als quantenresistent gelten. NIST wählte im März 2025 ferner HQC als vierten Standard-Kandidaten, um die Algorithmenvielfalt abzusichern und nicht von einem einzigen Verfahren abhängig zu sein.
Der Blick über die Krypto-Branche hinaus zeigt, wie weit die Umstellung andernorts schon fortgeschritten ist. Apple iMessage, Signal und Zoom unterstützen längst Post-Quanten-Kryptographie, und Meta migrierte 2026 seine internen Systeme auf die neuen Standards. Während diese Anbieter die Umstellung still vollziehen, müssen Blockchain-Netzwerke jeden Schritt im offenen Konsens aushandeln. Letztlich bestimmt genau dieser Unterschied, wie viel Vorlauf Bitcoin gegenüber IBMs Zeitlinie tatsächlich noch hat.
