Allgemein
Hilfe
21bitcoin Office
Erfahre Mehr
Über unsUnsere PartnerKarriereBasicsRechtliches
Bleibe in Kontakt
Flag Austria
Deutsch
Change Language / Sprache ändern
Flag UK
English
Change Language / Sprache ändern
21bitcoin herunterladen
Dino und Quantencomputer

Sind Quantencomputer eine Gefahr für Bitcoin?

Quantencomputer gelten als die nächste große Umwälzung in der IT und werden regelmäßig als Bedrohung für Bitcoin beschrieben. Die Kurzfassung vorab: Aktuell ist Bitcoin sicher. Mittel- bis langfristig gibt es jedoch reale Risiken, die die Community kennt und an denen bereits gearbeitet wird. Dieser Artikel erklärt verständlich, wo die echten Angriffspunkte liegen, welche Szenarien übertrieben sind und warum Taproot aus Quanten-Perspektive nicht die sicherste Adressform ist.

Kurz-Antwort: Sind Quantencomputer eine Gefahr für Bitcoin?

Stand 2026: Nein. Heute existierende Quantencomputer sind weit davon entfernt, die kryptografischen Verfahren hinter Bitcoin zu brechen. Relevant wird die Frage erst, wenn kryptografisch relevante Quantencomputer mit ausreichend vielen stabilen (logischen) Qubits verfügbar sind.

Ein aktuelles Google-Paper vom März/April 2026 schätzt die Messlatte niedriger als bisher angenommen: rund 1.200–1.450 hochwertige logische Qubits und weniger als 500.000 physische Qubits könnten ausreichen, um ECDSA/Schnorr praktisch anzugreifen. Gleichzeitig betont das Paper, dass so ein System noch nicht existiert und dass vor allem Bitcoins Taproot-Upgrade den Pool quantengefährdeter Coins ausweitet, weil Taproot Public Keys standardmäßig offenlegt.

Für Nutzer bedeutet das: kein Grund zur Panik, aber ein guter Anlass, Adresshygiene ernst zu nehmen und die Diskussion um Post-Quanten-Kryptografie zu verfolgen.

Was ist ein Quantencomputer und was macht ihn gefährlich?

Ein Quantencomputer ist kein schnellerer PC, sondern ein Rechner auf Basis der Quantenmechanik. Statt klassischen Bits (0 oder 1) arbeitet er mit Qubits, die mehrere Zustände gleichzeitig einnehmen können. Für bestimmte mathematische Probleme bringt das einen exponentiellen Geschwindigkeitsvorteil.

Qubits, Superposition, Verschränkung

  • Superposition: Ein Qubit kann 0 und 1 gleichzeitig repräsentieren.
  • Verschränkung: Zustände mehrerer Qubits sind miteinander verknüpft, wodurch sich komplexe Probleme parallel bearbeiten lassen.
  • Dekohärenz: Qubits sind extrem störanfällig – heutige Geräte schaffen oft nur Bruchteile einer Sekunde stabile Rechenzeit. Fehlerkorrektur frisst den Großteil der Hardware.

Shor- vs. Grover-Algorithmus

Nicht jeder Quantenalgorithmus ist für Bitcoin relevant. Die zwei entscheidenden:

  • Shor-Algorithmus: Bricht asymmetrische Kryptografie wie RSA und ECDSA/Schnorr (Bitcoin-Signaturen) in polynomieller Zeit. Das ist das eigentliche Risiko für BTC-Wallets.
  • Grover-Algorithmus: Beschleunigt das Durchsuchen von Hash-Funktionen wie SHA-256 quadratisch. Aus 256 Bit Sicherheit würden effektiv 128 Bit – praktisch weiterhin unknackbar.

Warum Bitcoin theoretisch angreifbar ist

Bitcoin nutzt zwei zentrale kryptografische Bausteine:

  1. ECDSA bzw. Schnorr zum Signieren von Transaktionen.
  2. SHA-256 zum Hashen von Blöcken und Adressen.

ECDSA/Schnorr: der eigentliche Schwachpunkt

Mit einem ausreichend großen Quantencomputer ließe sich per Shor-Algorithmus aus einem öffentlichen Schlüssel der zugehörige private Schlüssel berechnen. Wer den privaten Schlüssel hat, kontrolliert die Bitcoin.

Das Angriffsfenster entsteht überall dort, wo der Public Key on-chain sichtbar ist – also bei allen Adressen, die den Public Key direkt enthalten, bei wiederverwendeten Adressen oder sobald eine Adresse signiert und damit den Public Key freigibt.

SHA-256: weniger kritisch als oft behauptet

Der Grover-Algorithmus halbiert zwar die effektive Schlüssellänge von SHA-256, sprengt die Funktion aber nicht. Für Mining und Block-Integrität gilt SHA-256 auch in einem Quantenszenario als „bequem" sicher – notfalls ließe sich auf SHA-384/512 erhöhen.

Welche Bitcoin-Adressen sind besonders gefährdet?

Nicht alle Bitcoin sind gleich stark exponiert. Aus Quanten-Sicht zählt vor allem: Ist der Public Key schon auf der Blockchain sichtbar – oder nur sein Hash?

Adresstyp Adressformat Was liegt on-chain? Public Key vor Spending sichtbar?
P2PK (früh, 2009–2010) z. B. Satoshi-Outputs Roher Public Key Ja, immer
P2PKH (Legacy) 1… HASH160 des Public Keys Nein – erst beim Spenden
P2SH-P2WPKH 3… Hash Nein – erst beim Spenden
P2WPKH (SegWit v0) bc1q… Hash Nein – erst beim Spenden
P2TR (Taproot, SegWit v1) bc1p… Getweakter Schnorr-Public-Key im Klartext Ja, ab der ersten Einzahlung

Wichtig: Taproot ist aus Quanten-Sicht kein Upgrade

Ein weitverbreiteter Irrtum: „Taproot ist neuer, also sicherer." Aus reiner Quanten-Perspektive stimmt das nicht. P2TR-Outputs enthalten den x-only Schnorr-Public-Key direkt im scriptPubKey. Sobald Bitcoin auf eine Taproot-Adresse empfangen wird, ist der Public Key öffentlich sichtbar – und bleibt es für immer. Damit ist jeder P2TR-Output ein klassischer „harvest now, decrypt later"-Kandidat: Ein Angreifer muss den Schlüssel heute nicht brechen, sondern kann die Daten einfach archivieren und später angreifen.

Bei P2PKH und P2WPKH steht dagegen nur ein Hash des Public Keys auf der Chain. Solange die Adresse nicht wiederverwendet wird und noch keine ausgehende Transaktion getätigt hat, fehlt dem Shor-Algorithmus das Ziel. Grover gegen den Hash wäre praktisch nicht durchführbar.

Für den Quanten-Risiko-Ranking gilt daher grob:

  • Am exponiertesten: P2PK-Outputs, wiederverwendete Adressen und alle P2TR-Outputs.
  • Am besten geschützt: frisch genutzte, nie wiederverwendete P2PKH- oder P2WPKH-Adressen, deren Public Key noch nie in einer ausgehenden Transaktion aufgetaucht ist.

Das ändert nichts an den Alltags-Vorteilen von Taproot (Privacy, günstigere Multisig, MuSig2, Script-Trees). Für langfristiges HODL in Cold Storage ist es aber ein relevanter Punkt.

Wie weit ist die Quantenforschung 2026 wirklich?

Aktuelle Systeme von IBM, Google und anderen arbeiten im Bereich mehrerer tausend physischer Qubits mit hoher Fehlerrate. Für einen kryptografisch relevanten Angriff auf Bitcoin braucht es fehlerkorrigierte logische Qubits in ausreichender Zahl.

  • Googles 2024er „Willow"-Chip hat Fehlerkorrektur über die Schwelle gezeigt, aber noch keinen Angriff ermöglicht.
  • IBMs Roadmap, QuEra, IonQ, PsiQuantum u. a. arbeiten an deutlich skalierteren Systemen bis Ende der 2020er.
  • Googles 2026er Paper senkt die Latte auf unter 500.000 physische Qubits für einen Angriff auf ECDSA/Schnorr. Verfügbar ist so ein System noch nicht – aber der Zeithorizont rückt näher.

Parallel dazu ist „Harvest now, decrypt later" die eigentliche strategische Drohung: Daten, die heute öffentlich sichtbar sind (Public Keys in P2TR-Outputs, exponierten P2PKH etc.), können Jahre später entschlüsselt werden.

Post-Quanten-Kryptografie: der Lösungspfad

Die Forschungsantwort heißt Post-Quantum Cryptography (PQC). Das US-Institut NIST hat 2024 die ersten Standards veröffentlicht, darunter ML-KEM (Kyber), ML-DSA (Dilithium) und SLH-DSA (SPHINCS+). Sie basieren auf Gitter-, Hash- oder Code-Problemen, die auch für Quantencomputer schwer lösbar sind.

Für Bitcoin diskutierte Ansätze:

  • Hash-basierte Signaturen (z. B. XMSS, LMS, SPHINCS+) – sehr konservativ, gut verstanden.
  • Lattice-basierte Signaturen (z. B. Dilithium) – kompakter, aber jüngere Annahmen.
  • BIP-360 / P2QRH (Pay-to-Quantum-Resistant-Hash) bzw. P2MR – ein jüngst in die BIPs gemergter Vorschlag, der sich wie „Taproot ohne Key-Path" verhält: keine langlebigen Public Keys im Output, Spending nur über einen Script-Pfad mit Merkle-Beweis. Damit verschwindet die dauerhafte Quanten-Angriffsfläche von Taproot, ohne sofort einen schweren PQC-Signaturalgorithmus zu erzwingen.

Eine vollständige Migration würde voraussichtlich über einen Soft Fork ablaufen: neuer Adresstyp, Nutzer ziehen ihre UTXOs in einem Migrationsfenster um. Wichtig ist, dass der Prozess vor einem kryptografisch relevanten Quantencomputer abgeschlossen ist.

Was du als Bitcoin-Nutzer jetzt tun kannst

Keine Panik, aber solide Hygiene:

  • Adressen nicht wiederverwenden. Jede Empfangsadresse nur einmal nutzen.
  • Adresstyp bewusst wählen: Für Alltagszahlungen sind SegWit/Taproot unproblematisch. Für große, langfristige Cold-Storage-Bestände sind nicht wiederverwendete P2WPKH-Adressen (bc1q...) aus Quanten-Perspektive aktuell die konservativere Wahl als Taproot – bis Bitcoin einen quantensicheren Output-Typ (z. B. BIP-360 / P2QRH) ausrollt.
  • Sehr alte UTXOs migrieren, wenn du große Bestände in P2PK- oder oft wiederverwendeten Adressen hältst.
  • Self-Custody sauber führen: Seed-Backup, aktuelle Firmware, vertrauenswürdige Hard- und Software.
  • Diskussion verfolgen: Wenn die Community einen quantensicheren Soft Fork ausrollt, zeitnah migrieren.

Fazit: Vorbereitet statt verängstigt

Quantencomputer sind langfristig ein ernstzunehmendes Thema für Bitcoin, aber kein akutes Risiko. Der Schwachpunkt ist nicht das Mining oder SHA-256, sondern ECDSA/Schnorr in Kombination mit exponierten Public Keys – und genau deshalb ist Taproot aus Quanten-Sicht kein Upgrade gegenüber gut genutzten Legacy-Adressen.

Die Lösung – Post-Quanten-Kryptografie und konkret Vorschläge wie BIP-360 – steht technisch auf stabilen Füßen. Bitcoin hat in seiner Geschichte mehrere Protokoll-Upgrades sauber über die Bühne gebracht (SegWit, Taproot). Es gibt gute Gründe anzunehmen, dass auch der Übergang ins Quantenzeitalter gelingt – nicht obwohl, sondern weil die Community früh darüber spricht.

FAQ

Kann ein Quantencomputer heute Bitcoin knacken?

Nein. Die verfügbare Hardware ist um Größenordnungen zu klein, um ECDSA/Schnorr oder SHA-256 praktisch zu brechen.

Ist Taproot quantensicherer als Legacy-Adressen?

Nein – im Gegenteil. Taproot-Outputs enthalten den Public Key direkt sichtbar auf der Blockchain. Legacy- (P2PKH) und Native-SegWit-Adressen (P2WPKH) speichern nur den Hash des Public Keys, solange die Adresse nicht wiederverwendet wurde und nie eine ausgehende Transaktion signiert hat. Für reines Long-Term-HODL ohne Ausgaben sind letztere derzeit quanten-robuster.

Welcher Algorithmus ist für Bitcoin gefährlicher – Shor oder Grover?

Shor. Er bedroht die Signatur (ECDSA/Schnorr). Grover schwächt SHA-256 nur quadratisch und bleibt damit beherrschbar.

Sind alte Satoshi-Coins durch Quantencomputer gefährdet?

Viele frühe Coins liegen in P2PK-Outputs mit exponierten Public Keys. Sie gelten als besonders exponiert – falls Quantencomputer jemals kryptografisch relevant werden.

Muss ich meine Bitcoin jetzt auf eine neue Adresse verschieben?

Noch nicht zwingend. Wer sehr alte, exponierte Adressen oder große Bestände in Taproot hält, kann präventiv auf frisch genutzte P2WPKH-Adressen migrieren und Wiederverwendung konsequent vermeiden.

Wie wird Bitcoin quantensicher gemacht?

Voraussichtlich per Soft Fork, der einen neuen, quantensicheren Adress- und Signaturtyp einführt (z. B. BIP-360 / P2QRH). Nutzer migrieren ihre UTXOs in einem Zeitfenster dorthin.

Wann kommt die Migration zu Post-Quanten-Kryptografie?

Ein konkretes Datum gibt es nicht. Entscheidend ist, dass sie vor einem kryptografisch relevanten Quantencomputer abgeschlossen ist – die Diskussion in der Bitcoin-Community läuft bereits aktiv (u. a. BIP-360).

Marketingmitteilung der FIOR Digital GmbH (21bitcoin). Investitionen in Bitcoin sind mit Risiken und Chancen verbunden. Vergangene Wertentwicklungen sind kein Indikator für zukünftige Entwicklungen.

Teile diesen Artikel
No items found.

Weitere Beiträge

Community
5
Min. Lesezeit

In Europa ist Bitcoin ein Preisschild – in Afrika ein Werkzeug zum Überleben

Bildung
7
Min. Lesezeit

Die Psychologie des HODLn

Bildung
4
Min. Lesezeit

Spread vs. Fee vs. Netzwerkgebühr: Das zahlst du wirklich beim Bitcoin-Kauf

Alle Beiträge