Harvest now, decrypt later ist eine konkrete Bedrohung. NIST hat 2024 Post-Quanten-Standards verabschiedet. Die Implementierung steht noch aus.

Mai 1, 2026
Recht
Der stille Angriff läuft bereits
Es gibt eine Bedrohung im Banking, die heute keinen Schaden anrichtet und gerade deshalb gefährlich ist. Staatliche und andere kapitalstarke Akteure sammeln heute verschlüsselte Daten, die sie mit heutiger Technik nicht entschlüsseln können, in der Absicht, sie zu entschlüsseln, sobald leistungsfähige Quantencomputer verfügbar sind. Diese Strategie hat einen Namen: harvest now, decrypt later, also heute ernten und später entschlüsseln. Sie ist keine Theorie, sondern eine realistische Annahme, mit der Sicherheitsfachleute arbeiten.
Für das Banking ist das brisant, weil viele Daten über Jahre oder Jahrzehnte schützenswert bleiben. Eine verschlüsselte Kommunikation, die heute abgefangen wird, kann in einigen Jahren entschlüsselt sein, und die Daten darin sind dann immer noch sensibel. Wer also annimmt, die heutige Verschlüsselung sei sicher, verkennt, dass ihre Sicherheit ein Verfallsdatum hat. Der Angriff auf die heute abgefangenen Daten findet nicht heute statt, aber er ist bereits vorbereitet.
Warum die heutige Verschlüsselung verwundbar ist
Die Verschlüsselung, die heute den Datenverkehr im Banking schützt, beruht zu großen Teilen auf mathematischen Problemen, die für klassische Computer praktisch unlösbar sind. Genau diese Probleme aber lassen sich von hinreichend leistungsfähigen Quantencomputern in handhabbarer Zeit lösen. Was heute als unknackbar gilt, wird damit knackbar, sobald die Quantentechnik einen bestimmten Reifegrad erreicht. Niemand weiß genau, wann das sein wird, aber die Richtung ist klar.
Das Tückische ist die Unsicherheit über den Zeitpunkt. Vielleicht dauert es noch viele Jahre, vielleicht geht es schneller als erwartet. Diese Unsicherheit ist kein Grund zur Entwarnung, sondern zur Vorsorge, denn die Umstellung der Verschlüsselung im gesamten Banking braucht Jahre. Wer erst reagiert, wenn der leistungsfähige Quantencomputer da ist, hat die abgefangenen Daten längst verloren und steht zudem vor einer Umstellung, die unter Zeitdruck kaum zu bewältigen ist.
Die Antwort steht bereit
Die gute Nachricht ist, dass die Antwort bereits existiert. Die zuständige amerikanische Normungsbehörde hat 2024 die ersten Standards für eine quantensichere Verschlüsselung verabschiedet, also für Verfahren, die auch einem Quantencomputer standhalten. Diese Verfahren sind verfügbar, erprobt und standardisiert. Die Technik ist also nicht das Problem. Das Problem ist die Umstellung, die jedes Institut für sich vollziehen muss.
Auch die großen Infrastrukturanbieter im deutschen Banking bereiten sich vor. Moderne Großrechner-Technologie, wie sie etwa im genossenschaftlichen Bereich zum Einsatz kommt, bringt quantensichere Verschlüsselung bereits mit. Die Bausteine für die Umstellung liegen also bereit. Was fehlt, ist in vielen Häusern der Plan, wie und wann die Umstellung vollzogen wird, und genau dieser Plan ist die eigentliche Aufgabe.
Warum die Umstellung jetzt beginnen muss
Die Umstellung auf quantensichere Verschlüsselung ist kein einzelnes Projekt, sondern eine Aufgabe, die sich durch die gesamte IT-Landschaft eines Instituts zieht. Jede Verbindung, jedes gespeicherte Geheimnis, jedes Verfahren, das auf der bedrohten Verschlüsselung beruht, muss erfasst und umgestellt werden. In einer gewachsenen Banken-IT mit ihren vielen Systemen und Schnittstellen ist das eine erhebliche Aufgabe, die Jahre dauert.
Genau deshalb muss die Umstellung jetzt beginnen, obwohl der leistungsfähige Quantencomputer noch nicht da ist. Der erste Schritt ist eine Bestandsaufnahme: Wo wird welche Verschlüsselung eingesetzt, welche Daten sind langfristig schützenswert, wo ist die Bedrohung am größten? Auf dieser Grundlage lässt sich ein Plan entwickeln, der die Umstellung priorisiert und über die kommenden Jahre staffelt. Wer diese Bestandsaufnahme heute macht, verschafft sich die Zeit, die die Umstellung braucht.
Welche Daten besonders gefährdet sind
Nicht alle Daten sind gleich gefährdet. Am gefährdetsten sind Daten, die lange schützenswert bleiben und die heute über Leitungen gehen, die abgefangen werden könnten. Dazu gehören sensible Kundendaten, langfristige Verträge, Geschäftsgeheimnisse und alles, was auch in vielen Jahren noch vertraulich bleiben muss. Wer solche Daten heute mit einer Verschlüsselung schützt, die in einigen Jahren fällt, schützt sie nur scheinbar.
Weniger gefährdet sind kurzlebige Daten, deren Vertraulichkeit ohnehin bald erlischt. Eine Information, die in einem Monat wertlos ist, muss nicht gegen einen Angriff geschützt werden, der erst in Jahren möglich wird. Diese Unterscheidung ist wichtig für die Priorisierung der Umstellung: Man beginnt bei den langlebigen, sensiblen Daten, weil dort die Bedrohung am größten ist, und arbeitet sich von dort vor.
Die Umstellung als mehrjähriges Programm
Die Umstellung auf quantensichere Verschlüsselung ist kein Projekt, das man in einem Quartal abschließt, sondern ein mehrjähriges Programm. Es betrifft die Verschlüsselung der Kommunikation, die Verschlüsselung gespeicherter Daten, die digitalen Signaturen, die Schlüsselverwaltung und die Schnittstellen zu Partnern. Jedes dieser Felder muss erfasst, bewertet und umgestellt werden, und vieles davon hängt voneinander ab.
Ein solches Programm verlangt eine klare Steuerung: ein Verzeichnis der eingesetzten Verschlüsselung, eine Priorisierung nach Gefährdung, einen Zeitplan und die Abstimmung mit Partnern und Dienstleistern. Es verlangt auch, neue Systeme von vornherein quantensicher zu gestalten, damit nicht ständig neue Altlasten entstehen, während man die alten abbaut. Diese Steuerung aufzubauen ist die eigentliche Führungsaufgabe, und sie kann nicht an die Technik allein delegiert werden.
Ein Thema für die Führung, nicht nur die IT
Es wäre ein Fehler, die quantensichere Umstellung als reines IT-Thema zu behandeln. Sie betrifft die Sicherheit des gesamten Geschäfts über viele Jahre, sie verschlingt Ressourcen, und sie verlangt Entscheidungen über Prioritäten und Zeitpläne. Solche Entscheidungen gehören in die Führung, nicht in die technische Fachabteilung allein. Die Führung muss verstehen, dass der Countdown läuft, und sie muss die Mittel und die Aufmerksamkeit bereitstellen, die die Umstellung braucht.
Das fällt vielen Häusern schwer, weil die Bedrohung abstrakt wirkt und keinen akuten Druck erzeugt. Genau das ist die Gefahr: Eine Bedrohung, die keinen akuten Druck macht, wird leicht aufgeschoben, bis sie akut wird, und dann ist es zu spät. Die Führung, die das versteht, beginnt heute mit der Bestandsaufnahme, auch wenn nichts sie dazu zwingt, weil sie weiß, dass die Vorsorge Zeit braucht, die man später nicht mehr hat.
Krypto-Beweglichkeit als Ziel
Ein kluges Ziel der Umstellung ist nicht nur, die heutige Verschlüsselung gegen eine quantensichere zu tauschen, sondern die eigene IT so zu gestalten, dass künftige Wechsel der Verschlüsselung leichter fallen. Denn die quantensichere Verschlüsselung von heute ist nicht das letzte Wort, und auch sie könnte eines Tages ersetzt werden müssen. Wer seine Systeme so baut, dass die Verschlüsselung austauschbar ist, statt fest verdrahtet, erspart sich künftige Großprojekte.
Diese Beweglichkeit in der Verschlüsselung ist eine Eigenschaft, die man heute mit einbauen kann, wenn man die Umstellung ohnehin angeht. Statt nur das akute Problem zu lösen, schafft man eine Grundlage, die für kommende Wechsel gewappnet ist. Das macht die Umstellung zu mehr als einer einmaligen Reaktion auf eine einmalige Bedrohung, nämlich zu einem Schritt hin zu einer Verschlüsselung, die sich anpassen kann, wenn die nächste Bedrohung kommt.
Jetzt handeln heißt Zeit gewinnen
Wer heute mit der Bestandsaufnahme beginnt, gewinnt genau die Zeit, die die Umstellung braucht und die man später nicht mehr hat. Die Bedrohung erzeugt heute keinen Druck, aber sie wird ihn erzeugen, und dann zählt jeder Monat Vorsprung. Wir helfen Ihnen, die Bestandsaufnahme Ihrer Verschlüsselung zu machen und ein gestaffeltes, beweglich angelegtes Umstellungsprogramm aufzusetzen. Strategie und Umsetzung aus einer Hand. Beginnen Sie mit einer Sprechstunde.
Vom Countdown zur Vorsorge
Quantencomputing ist für das Banking kein abstraktes Zukunftsszenario, sondern ein Countdown, der bereits läuft. Die abgefangenen Daten werden bereits gesammelt, die quantensichere Antwort steht bereit, und die Umstellung braucht Jahre. Wer diese drei Tatsachen zusammendenkt, erkennt, dass die Zeit zum Handeln jetzt ist, nicht erst, wenn die Bedrohung akut wird.
Mehr zum Thema: MiCA ist in Kraft. Was das für Banken bedeutet, die Krypto ignoriert haben. und Ohne Cloud-Souveränität kein prüfbarer KI-Betrieb. Der AI Act macht das zur Pflicht..
Wir helfen Ihnen, die Bestandsaufnahme Ihrer Verschlüsselung zu machen und einen gestaffelten Plan für die Umstellung auf quantensichere Verfahren zu entwickeln, bevor der Countdown abläuft. Strategie und Umsetzung aus einer Hand. Beginnen Sie mit einer Potenzialanalyse.
Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.


