Lieber Bitler,

Quantencomputer gelten als eine der größten theoretischen Herausforderungen für Bitcoin, doch zwischen Schlagzeilen und Realität liegen Welten. In dieser Ausgabe ordnen wir ein, was Quantencomputer heute wirklich können, welche Teile von Bitcoin potenziell betroffen wären und warum Szenarien wie „Bitcoin in zwei Jahren geknackt“ stark überzeichnet sind.

Außerdem erfährst Du, welche Risiken langfristig real sind, welchen Zeithorizont Experten sehen und warum gute Vorbereitung wichtiger ist als Panik. Kurzfristig besteht kein akuter Handlungsdruck, dennoch ist Quantenresilienz langfristig ein Pflicht-Thema. Diese Ausgabe soll dir helfen, die Quanten-Risiken für Bitcoin nüchtern einzuordnen und heute schon sinnvolle Schritte zu gehen.

Um das Risiko von Quantencomputern für Bitcoin einordnen zu können, lohnt sich zunächst ein Blick auf die Grundlagen. Entscheidend ist dabei nicht die schiere Rechenleistung, sondern wie Quantencomputer rechnen und für welche Arten von Problemen sie überhaupt einen Vorteil haben. Genau an dieser Stelle beginnt die Unterscheidung zwischen theoretischer Möglichkeit & realer Gefahr.

Klassische Computer arbeiten mit Bits, die entweder den Zustand 0 oder 1 annehmen, und lösen Probleme Schritt für Schritt. Selbst moderne Hochleistungsrechner stoßen dabei bei bestimmten mathematischen Aufgaben an physikalische und zeitliche Grenzen, weil der Rechenaufwand extrem schnell wächst.

Quantencomputer hingegen nutzen Qubits, die durch Superposition und Verschränkung mehrere Rechenzustände gleichzeitig abbilden können. Dadurch lassen sich bestimmte Problemklassen, etwa die Faktorisierung großer Zahlen, diskrete Logarithmen oder Suchprobleme, deutlich effizienter lösen. Dieser Vorteil gilt jedoch nicht allgemein, sondern nur für genau jene mathematischen Strukturen, auf denen viele heutige kryptografische Verfahren basieren.

Der entscheidende Unterschied bei Quantenalgorithmen liegt zwischen Shor und Grover. Der Shor-Algorithmus erlaubt es, große Zahlen zu faktorisieren und diskrete Logarithmen in polynomieller Zeit zu berechnen, Aufgaben, die für klassische Computer praktisch unlösbar sind. Genau auf dieser Schwierigkeit beruht ECDSA¹, das Signaturschema von Bitcoin. Ein ausreichend leistungsfähiger Quantencomputer könnte daher aus einem bekannten Public Key den zugehörigen Private Key rekonstruieren und Transaktionen im Namen des Besitzers signieren. Besonders betroffen wären Coins in Adressen, deren Public Keys bereits dauerhaft on-chain sichtbar sind, etwa alte P2PK-Outputs oder wiederverwendete Adressen.

Der Grover-Algorithmus ist weniger drastisch: Er beschleunigt unsortierte Suchprobleme lediglich quadratisch. Für symmetrische Kryptografie oder Proof-of-Work bedeutet das vor allem einen Effizienzgewinn, keinen grundlegenden Bruch der Sicherheitsannahmen. Zwar könnte Grover theoretisch das Mining beschleunigen und Zentralisierungstendenzen verstärken, dieser Effekt lässt sich jedoch durch Parameteranpassungen abfedern. Die zentrale Einordnung lautet daher: Shor stellt ein qualitativ viel größeres Risiko für Bitcoin-Signaturen dar als Grover für das Mining, weil er die kryptografische Grundlage von ECDSA direkt angreift, während Grover bestehende Systeme lediglich schneller macht, nicht prinzipiell unsicher.

Shor gefährdet Bitcoins Signaturen | Grover beschleunigt das Mining, ohne es grundlegend zu brechen.

Bereits mit {{rp_num_referrals}} Personen aus deinem Umfeld unser Bits&Satoshis Wissen geteilt.

Wenn über Quantencomputer als Risiko für Bitcoin gesprochen wird, lohnt es sich, zwei klar unterscheidbare Angriffsszenarien zu trennen: Long-Range- und Short-Range-Angriffe.

Ein Long-Range-Angriff richtet sich gegen UTXOs, deren Public Keys bereits seit Jahren on-chain sichtbar sind. Etwa alte P2PK²-Outputs aus der frühen Bitcoin-Zeit, Multisig-Skripte oder stark wiederverwendete Adressen. Diese Coins wären für einen ausreichend leistungsfähigen Quantenangreifer besonders attraktiv, weil kein Zeitdruck besteht: Der Private Key kann „auf Vorrat“ aus dem Public Key berechnet werden, um die Funds später unbemerkt abzuziehen. Im Fokus stünden dabei vor allem sehr frühe Bestände, verlorene Coins mit bekannten Schlüsseln sowie große Exchange-Hotwallets mit schlechter Adresshygiene.

Ein Short-Range-Angriff betrifft hingegen selbst moderne Adresstypen. Hier entsteht die Verwundbarkeit erst in dem Moment, in dem ein Besitzer eine Transaktion signiert und seinen Public Key über das Mempool ins Netzwerk bringt. Ab diesem Zeitpunkt läuft ein Wettlauf gegen die Zeit: Gelingt es einem Angreifer, den Private Key schneller zu berechnen als die Miner die Transaktion bestätigen, könnte er eine konkurrierende Transaktion mit höherer Fee senden und die Coins umleiten. Wie relevant dieses Szenario ist, hängt entscheidend von der verfügbaren Quantenleistung und den Bestätigungszeiten ab.

Ökonomisch ist die Dimension dennoch erheblich: Schätzungen gehen davon aus, dass rund ein Drittel der heutigen Bitcoin-Supply bereits in UTXOs mit offengelegten Public Keys liegt ein potenziell verwundbarer Wert im hohen dreistelligen Milliardenbereich. Das bedeutet nicht akute Gefahr, aber es erklärt, warum gute Adresshygiene und langfristige Vorbereitung keine akademischen Details sind, sondern Teil verantwortungsvollen Bitcoin-Managements.

Heutige Quantencomputer sind noch weit davon entfernt, Bitcoin-Schlüssel praktisch brechen zu können. Zwar ist der technologische Pfad klar erkennbar, doch Szenarien wie „Bitcoin in zwei Jahren geknackt“ gelten als stark übertrieben. Aktuell befindet sich die Forschung in der NISQ-Ära: Systeme mit Dutzenden bis wenigen Hundert physischen Qubits, die noch fehleranfällig sind und nur einfache Programme zuverlässig ausführen. Für einen realistischen Angriff auf Bitcoin-Signaturen wären jedoch tausende stabile logische Qubits und Millionen bis Milliarden physischer Qubits nötig. Größenordnungen, die deutlich über dem heutigen Stand liegen.

Entsprechend verorten Analysten und Entwickler eine „kryptografisch relevante“ Bedrohung frühestens in den 2030er-Jahren, teils auch deutlich später. Einschätzungen von Industrie und Standardisierungsgremien wie dem NIST bewegen sich in ähnlichen Zeiträumen und empfehlen einen schrittweisen Übergang zu Post-Quantum-Verfahren lange vor einer akuten Gefahr. Die Spannbreite der Prognosen bleibt groß, was weniger für Alarmismus, aber für ernsthafte Vorbereitung spricht.

Das Bitcoin-Ökosystem nimmt die Quantenfrage bereits ernst, noch nicht im Mainnet, aber sehr konkret auf Forschungs- und Testnet-Ebene. Entwickler wie Adam Back und Jameson Lopp sehen Quantencomputer als langfristiges Risiko und betonen, dass eine sichere Umstellung 5–10 Jahre Vorlauf braucht. Entsprechend liegt der Fokus heute auf Einordnung, UTXO-Analysen und klaren Best Practices wie guter Adress-Hygiene.

Parallel dazu laufen konkrete technische Arbeiten. Post-Quantum-Standards wie ML-DSA (Dilithium) bilden die Grundlage, während Prototypen wie BTQ’s „Bitcoin Quantum Core“ ECDSA bereits im Testnet ersetzen. Auf Protokoll-Ebene werden Migrationspfade diskutiert, etwa neue Adresstypen (P2QRH) und eine schrittweise Abkehr von ECDSA.

Wahrscheinlich ist ein langsamer, planbarer Übergang: erst optionale quantensichere Outputs, später Policy-Änderungen und ganz zum Schluss Einschränkungen für alte Formate. Nicht aus Panik, sondern weil Bitcoin Risiken traditionell vor ihrem Eintritt adressiert.

Für dich als Leser heißt das: keine Panik, aber Vorbereitung.
Schon heute lassen sich Risiken durch saubere Wallet-Hygiene reduzieren, keine Adress-Wiederverwendung, moderne Adressformate, aktuelle Wallets. Behalte Anbieter und Custodians mit klarer Post-Quantum-Roadmap im Blick und sei bereit, bei etablierten Bitcoin-Standards kontrolliert zu migrieren.
Die Werkzeuge sind da, die Experimente laufen. Vorbereitung ist jetzt sinnvoll, nicht aus Angst, sondern aus Verantwortung.

Stay humble & stack Sats

Euer Bits&Satoshis Team

Ps: Antworte einfach auf diese Mail, wenn es ein Thema gibt, das dich besonders interessiert oder das du besser verstehen möchtest.