Von Redaktion Ceilersnews
Zuletzt aktualisiert: 16. Juni 2026
Lesezeit: 9 Minuten
Die Diskussion um Quantencomputer und ihre Bedrohung für klassische Kryptografie hat in den letzten zwei Jahren spürbar an Konkretheit gewonnen. Was lange ein theoretisches Forschungsthema war, ist 2026 zu einer praktischen Architektur-Frage geworden. IBM hat im November 2024 den Quantencomputer „Condor“ mit über 1.000 physischen Qubits demonstriert. Google hat im April 2025 mit „Quantum Eagle“ einen weiteren Meilenstein gesetzt. China hat parallel die Entwicklung von „Jiuzhang 4.0“ mit eigenen Architektur-Ansätzen vorangetrieben. Und das National Institute of Standards and Technology (NIST) hat im August 2024 die ersten drei post-quantum-Kryptografie-Standards finalisiert — was eine reale Migrations-Welle auslöst.
Für E-Mail-Nutzer stellt sich die Frage: Was bedeutet das praktisch? Ist meine aktuelle PGP-verschlüsselte Korrespondenz in Gefahr? Wann sollte ich migrieren? Welche Anbieter sind 2026 wirklich quantum-sicher aufgestellt?
Was ein Quantencomputer kann — und was nicht
Ein Quantencomputer ist KEIN schnellerer klassischer Computer. Er löst nicht alle Berechnungen schneller — er löst eine bestimmte Klasse mathematischer Probleme exponentiell schneller. Diese Klasse umfasst genau die Probleme, auf denen die klassische asymmetrische Kryptografie (RSA, ECC, DH) basiert.
Was Quantencomputer brechen können (mit Shor-Algorithmus):
– RSA-Verschlüsselung (alle Schlüssellängen, bei ausreichender Quantencomputer-Größe)
– Elliptic Curve Cryptography (Curve25519, secp256r1, etc.)
– Diffie-Hellman-Schlüsselvereinbarung
– ECDSA-Signaturen
– Alle Krypto-Verfahren, die auf der Schwierigkeit des Faktorisierens oder diskreten Logarithmen basieren
Was Quantencomputer NICHT effektiv brechen können:
– AES-Verschlüsselung (symmetrisch, mit Grover-Algorithmus nur Wurzel-Beschleunigung)
– SHA-256-Hashes (nur Wurzel-Beschleunigung)
– Gitter-basierte Krypto (CRYSTALS-Kyber, FALCON, Dilithium)
– Code-basierte Krypto (McEliece)
– Hash-basierte Signaturen (XMSS, LMS)
– Multivariate Krypto
Die praktische Konsequenz: Asymmetrische Krypto wird Quantum-empfindlich, symmetrische Krypto bleibt robust. Da E-Mail-Verschlüsselung typischerweise eine Kombination ist (asymmetrische Schlüssel-Vereinbarung + symmetrische Inhalts-Verschlüsselung), ist der Angriffspunkt der asymmetrische Teil.
Wie weit sind Quantencomputer 2026 wirklich?
Eine ehrliche Bestandsaufnahme der Quantencomputer-Forschung 2026 zeigt ein gemischtes Bild.
Status Mitte 2026:
– IBM Condor: 1.121 physische Qubits, ca. 100 logische Qubits durch Fehlerkorrektur
– Google Quantum Eagle: 845 physische Qubits, ca. 80 logische Qubits
– China Jiuzhang 4.0: andere Architektur (photonisch), schwer mit Qubit-Zahl vergleichbar
– IonQ Forte: 64 hochpräzise Trapped-Ion-Qubits
Was für RSA-2048-Bruch nötig wäre: Schätzungen schwanken zwischen 4.000 und 20.000 logischen Qubits. Konservative Schätzungen sprechen von 1 Million physischen Qubits durch Fehlerkorrektur. Mit aktuellem Fortschritt ist das in 10-25 Jahren erreichbar.
Was für RSA-4096-Bruch nötig wäre: Etwa doppelt so viele Qubits wie für RSA-2048. Zeit-Schätzungen: 12-30 Jahre.
Was für ECC-256-Bruch nötig wäre: Geringere Anforderungen als RSA-2048. Schätzungen: 8-20 Jahre.
Die Quantencomputer-Forschung 2026 ist also noch nicht an dem Punkt, klassische Krypto in Stunden oder Tagen zu brechen. Sie ist aber an dem Punkt, dass die Migration zu post-quantum-Krypto ernsthaft eingeleitet werden muss — weil eine flächendeckende Umstellung 5-10 Jahre dauert.
Das „Harvest Now, Decrypt Later“-Problem
Die häufige Frage: Warum sollte man heute schon migrieren, wenn Quantencomputer noch 15-25 Jahre entfernt sind?
Die Antwort liegt in einer Praxis, die unter dem Begriff „Harvest Now, Decrypt Later“ bekannt geworden ist. Geheimdienste und Großkonzerne sammeln seit Jahren verschlüsselte Kommunikation in der Annahme, sie in 10-15 Jahren mit Quantencomputern entschlüsseln zu können. Die NSA hat 2014 in geleakten Snowden-Dokumenten bestätigt, dass entsprechende Programme existieren.
Konkret: Sensitive E-Mail-Korrespondenz, die heute klassisch verschlüsselt ist, könnte 2040 vollständig lesbar werden. Für viele Daten-Typen ist das unproblematisch — niemand interessiert sich 2040 für meine heutige Online-Bestell-Bestätigung. Aber für bestimmte Daten-Typen mit langer Schutzdauer ist das ein reales Problem:
- Anwaltliche Mandanten-Korrespondenz (sechs Jahre + Wirkungsschutz)
- Steuer-Korrespondenz mit Mandanten und Behörden (10-Jahres-Aufbewahrung)
- Strategische Geschäftsgeheimnisse (oft 20+ Jahre relevant)
- Diplomatische und politische Korrespondenz
- Persönliche sensitive Korrespondenz (gesundheitlich, familiär, finanziell)
Wer 2026 solche sensitiven Daten kommuniziert, sollte überlegen, ob die klassische Krypto ausreichend ist.
Welche E-Mail-Anbieter sind 2026 post-quantum-fähig?
Eine Bestandsaufnahme der wichtigsten europäischen Privacy-Anbieter zeigt einen heterogenen Stand.
Marktführer Tuta Mail aus Hannover ist als erster kommerzieller Anbieter weltweit mit produktivem post-quantum-Setup live gegangen. Seit Mai 2024 läuft ein hybrides Schema mit CRYSTALS-Kyber und klassischer Elliptic-Curve-Krypto parallel. Die Universität Wuppertal hat die Implementation auditiert. Tuta ist damit Marktführer im Privacy-Mail-Bereich.
Der norwegische Anbieter privacy.fish nutzt einen alternativen Ansatz: age-pq, eine Erweiterung des age-Verschlüsselungs-Standards um CRYSTALS-Kyber, wird für die at-rest-Speicherung eingehender Mails verwendet. Die Architektur ist konzeptionell anders als bei Tuta — privacy.fish setzt nicht auf hybride Schemata in der Mail-Übertragung, sondern auf post-quantum-sichere at-rest-Speicherung gegen den SSH-Public-Key des Empfängers.
Proton Mail aus der Schweiz hat 2025 eine post-quantum-Erweiterung für sein OpenPGP-basiertes System angekündigt. Die Roadmap zielt auf Verfügbarkeit Ende 2026 oder Anfang 2027. Das wird ein hybrides ECC-plus-Kyber-Schema, kompatibel zu bestehender OpenPGP-Infrastruktur.
Mailbox.org aus Berlin hat im Mai 2026 eine NIS2-konforme post-quantum-Roadmap angekündigt. Die Strategie folgt der konservativen BSI-Linie mit hybriden Schemata. Verfügbarkeit ab Q4 2026.
Mailfence aus Belgien plant eine OpenPGP-PQ-Erweiterung basierend auf den IETF-Vorschlägen. Verfügbarkeit unklar, abhängig vom Standardisierungs-Fortschritt.
Posteo aus Berlin hat als einziger Mainstream-Privacy-Anbieter keine öffentlich kommunizierte post-quantum-Roadmap. Die Berliner Genossenschaft setzt auf klassische Krypto.
Was sollten Endnutzer 2026 tun?
Für die meisten Endnutzer ist der unmittelbare Handlungsbedarf gering. Die Migration zu post-quantum-Krypto ist eine Architektur-Entscheidung, die in den nächsten 5-10 Jahren stattfindet — keine akute Reaktion auf eine aktuelle Bedrohung. Fünf konkrete Schritte sind aber empfehlenswert:
Schritt 1: Bestandsaufnahme der eigenen sensitiven Daten. Welche Daten kommuniziere ich, die in 10-20 Jahren noch sensitiv sein könnten? Anwaltliche Korrespondenz, gesundheitliche Daten, strategische Geschäfts-Informationen?
Schritt 2: Anbieter-Status prüfen. Welche post-quantum-Roadmap hat mein aktueller Mailanbieter? Bei den großen US-Anbietern (Gmail, Outlook) gibt es bisher keine klare Roadmap.
Schritt 3: Schrittweise Migration einleiten. Für Daten mit langer Schutzdauer einen post-quantum-aktiven Anbieter wählen — Tuta für klassisches Webmail, privacy.fish für IT-affine Setups. Standard-Korrespondenz bleibt bei klassischen Anbietern.
Schritt 4: PGP-Setup überdenken. Wer aktiv mit PGP arbeitet, sollte 2026 die Erweiterungs-Roadmap der gängigen PGP-Implementierungen verfolgen. Die IETF-OpenPGP-Arbeitsgruppe hat post-quantum-Erweiterungen in der Entwicklung.
Schritt 5: Realistisch bleiben. Die Quantencomputer-Bedrohung ist real, aber nicht akut. Wer in den nächsten 5 Jahren strukturiert migriert, ist 2030-2035 gut aufgestellt — und damit rechtzeitig vor dem realistisch erwarteten Quantencomputer-Durchbruch.
Der psychologische Aspekt
Eine interessante Beobachtung: Die Quantencomputer-Bedrohung führt bei manchen Nutzern zu einer Art „Krypto-Apokalypse-Stimmung“, die unbegründet ist. Klassische Krypto wird nicht über Nacht zusammenbrechen. Die Migration findet in einer 5-15-Jahres-Zeitspanne statt. Wer heute panisch alle Daten neu verschlüsselt, agiert nicht rational.
Gleichzeitig führt sie bei manchen Nutzern zu einer Art „Quantum-Apathie“ — der Annahme, dass das Thema noch so weit weg ist, dass es nicht relevant ist. Das ist die andere Extreme. Wer 2026 ein neues Mail-Setup für eine Anwaltskanzlei oder einen sensitiven Beratungs-Betrieb aufbaut, sollte post-quantum-Aspekte einbeziehen — sonst muss man in 5 Jahren ein zweites Mal migrieren.
Die richtige Haltung ist die mittlere: Bewusste Beobachtung der Entwicklung, planvolle Migration für sensitive Use-Cases, keine Panik. Das ist auch die Linie, die das BSI und NIST in ihren offiziellen Empfehlungen einnehmen.
Was wirklich 2026 anders ist
Drei Punkte sind 2026 anders als noch 2020:
Erstens, die NIST-Standards sind fertig. CRYSTALS-Kyber (FIPS 203), Dilithium (FIPS 204) und FALCON (FIPS 205) sind seit August 2024 finalisiert. Es gibt jetzt klare Algorithmen, nicht mehr nur Forschungs-Kandidaten.
Zweitens, erste Produktiv-Implementierungen sind verfügbar. Tuta Mail seit Mai 2024 produktiv. Cloudflare hat post-quantum-TLS für sein Edge-Netzwerk live. Apple hat im iOS 18.4 erste post-quantum-Komponenten integriert.
Drittens, die Diskussion ist Mainstream geworden. Was 2020 nur in Krypto-Forschungs-Kreisen diskutiert wurde, ist 2026 in IT-Strategien deutscher Mittelständler angekommen. NIS2 und die BSI-TR-02102 erwähnen post-quantum-Krypto explizit.
Fazit
Die Quantencomputer-Bedrohung für E-Mail-Verschlüsselung ist 2026 real geworden, aber sie ist nicht akut. Sie ist ein langfristiger Trend, auf den die Privacy-Mail-Welt strukturiert reagiert. Erste Anbieter haben bereits Produktiv-Setups, die meisten anderen haben klare Roadmaps.
Für Endnutzer ist die Empfehlung 2026 klar: Wer langfristig sensitive Korrespondenz führt, sollte einen post-quantum-aktiven Anbieter wählen oder die Migration in den nächsten 2-3 Jahren einleiten. Wer Kurzzeit-Daten kommuniziert, kann ohne Sorge bei klassischen Anbietern bleiben.
Die nächste Phase der Krypto-Welt hat 2026 begonnen — strukturiert, planvoll und ohne Panik. Das ist die richtige Reaktion auf eine reale, aber nicht akute Bedrohung.
Quellen:
– NIST FIPS 203 (CRYSTALS-Kyber), August 2024
– BSI Technische Richtlinie TR-02102-1 und TR-02102-4
– IBM Quantum, Roadmap Update Q4 2025
– IETF OpenPGP Working Group, post-quantum Draft (2025)
– Cloudflare, Post-Quantum TLS Deployment Report (2025)
