Wenn Schloss und Schlüssel gleichzeitig fallen

Wenn Schloss und Schlüssel gleichzeitig fallen

In English lesen →

Sicherheitsdebatten laufen meist in zwei getrennten Sälen. Im einen redet man über KI und Cyberangriffe, im anderen über Quantencomputer und Verschlüsselung. Ich halte diese Trennung für den zentralen Denkfehler. Denn das eine entwertet den Angriff auf unsere Systeme, das andere die Verteidigung selbst. Wer beides zusammen liest, sieht ein Zeitfenster, das sich schließt.

Das Angreifen wird zur Massenware

Fangen wir mit dem an, was messbar ist. Im Februar 2026 ließ Anthropic sein Modell Claude Opus 4.6 gemeinsam mit Mozilla auf rund 6.000 C++-Dateien des Firefox-Codes los. Ergebnis: 112 eigenständige Fehlerberichte, aus denen Mozilla 22 CVEs vergab, davon 14 mit hoher Kritikalität — behoben in Firefox 148. Das war die Stufe „finden“. Bemerkenswert, aber Menschen finden auch Lücken.

Der qualitative Sprung kam einen Monat später. Am 7. April 2026 kündigte Anthropic „Claude Mythos Preview“ an — und veröffentlichte es bewusst nicht. Dieses Modell findet Zero-Days nicht nur, es schreibt dazu lauffähige Exploits. Der Vergleich ist die aussagekräftigste Zahl der ganzen Geschichte: Dieselben Firefox-Lücken, die Opus 4.6 in mehreren hundert Versuchen nur zweimal in einen funktionierenden Exploit verwandeln konnte, verwandelte Mythos 181-mal. Bei einem Test gegen den Linux-Kernel filterte das Modell aus einer Liste bekannter Schwachstellen 40 potenziell ausnutzbare heraus und schrieb für mehr als die Hälfte einen Privilege-Escalation-Exploit. Der älteste Fund war ein 27 Jahre alter Bug in OpenBSD. In einem Fall verkettete das Modell selbständig vier Schwachstellen zu einem Browser-Ausbruch durch sämtliche Schutzschichten.

Die für mich unheimlichste Passage ist keine Zahl, sondern ein Satz aus Anthropics eigenem Bericht: Ingenieure ohne Sicherheitsausbildung baten das Modell abends, eine Remote-Code-Execution-Lücke zu finden — und wachten am Morgen mit einem fertigen, funktionierenden Exploit auf. Das ist der Kipppunkt. Die Fähigkeit, ein System zu übernehmen, war jahrzehntelang durch teures, seltenes Spezialwissen rationiert. Diese Rationierung entfällt. Anthropic spricht selbst von „Tausenden“ weiterer hoch- und kritisch eingestufter Lücken, die man verantwortungsvoll offenlege — über 99 % davon seien noch ungepatcht. Genau das ist die Begründung für die Zurückhaltung des Modells.

Um Angriff und Verteidigung zu synchronisieren, gründete Anthropic „Project Glasswing“ — ein Verteidigungsbündnis mit zwölf Gründungspartnern (darunter AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA und die Linux Foundation) und Nutzungskrediten von bis zu 100 Mio. US-Dollar, damit Verteidiger die wichtigsten Systeme absichern können, bevor vergleichbare Fähigkeiten breit verfügbar werden.

Und hier gehört die Skepsis dazu. Der Kryptograf Bruce Schneier nennt die Inszenierung „very much a PR play by Anthropic“ und kritisiert Reporter, die die Firmen-Talking-Points atemlos nachbeteten. Wichtiger noch: Die Sicherheitsfirma Aisle konnte die von Anthropic gefundenen Lücken mit älteren, billigeren, öffentlich verfügbaren Modellen reproduzieren. Schneier selbst zieht dabei die entscheidende Grenze: Eine Schwachstelle zu finden sei etwas anderes, als sie in einen funktionierenden Angriff zu verwandeln — und genau dieser Unterschied verschaffe der Verteidigung derzeit noch einen Vorteil. Meine Lesart: Ob es exakt dieses eine Modell ist, spielt kaum eine Rolle. Die Ökonomie des Angreifens kippt so oder so — und ein einzelnes Konsortium aus einem Dutzend Firmen kann die verteilte Expertise der gesamten Forschungsgemeinschaft nicht ersetzen.

Und das Schloss selbst wird wertlos

Die zweite Kurve betrifft nicht den Einbruch, sondern das Schloss. Peter Shor beschrieb bereits 1994 einen Algorithmus, der große Zahlen exponentiell schneller faktorisiert als jedes klassische Verfahren — und damit RSA und die elliptische-Kurven-Kryptografie bricht, das Rückgrat von HTTPS, digitalen Signaturen und Schlüsselaustausch. Die Anleitung liegt seit über dreißig Jahren offen. Es fehlte nur die Maschine.

Diese Maschine gibt es noch nicht — und dieser Punkt muss nüchtern bleiben, sonst wird die Geschichte falsch. Googles Willow-Chip führte Ende 2024 einen Benchmark in unter fünf Minuten aus, für den ein Supercomputer rechnerisch 10 Quadrillionen (10²⁵) Jahre bräuchte. Das klingt nach dem Ende der Verschlüsselung, ist es aber nicht: Der Test (Random Circuit Sampling) ist ein künstlicher Vergleich ohne praktischen Nutzen, und Googles Ankündigung erwähnt Kryptografie mit keinem Wort. Der eigentliche Durchbruch war ein anderer — Fehlerkorrektur, die mit der Qubit-Zahl besser statt schlechter wird. Willow hat 105 physische Qubits.

Was die Frist verschiebt, ist die Ressourcenschätzung. Der Google-Forscher Craig Gidney zeigte 2025, dass sich RSA-2048 mit weniger als einer Million verrauschter Qubits in unter einer Woche brechen ließe — rund zwanzigmal weniger Qubits als die Schätzung von 2019. Wichtig: Die „20-fach“-Reduktion betrifft die Qubit-Zahl, nicht die Laufzeit, und einen fehlertoleranten Millionen-Qubit-Rechner gibt es heute nicht. Zwischen 105 Qubits und dieser Maschine liegen viele Jahre. Aber der Abstand schrumpft schneller als gedacht — und genau deshalb warnen CISA, NSA und NIST seit August 2023 gemeinsam vor „harvest now, decrypt later“: Angreifer fangen verschlüsselte Daten heute ab, um sie später zu entschlüsseln. Für alles, was länger als ein paar Jahre schützenswert bleibt, ist der Q-Day bereits jetzt relevant.

Dass staatliche Akteure die Fähigkeiten und die finanzielle Motivation für großangelegte, gut finanzierte Cyber-Operationen mitbringen, ist keine Theorie. Nordkoreanische Akteure stahlen 2025 laut den Forensikfirmen Elliptic und Chainalysis Kryptowerte von über 2 Mrd. US-Dollar; allein der Bybit-Hack vom Februar 2025 — vom FBI Nordkorea zugeschrieben — umfasste rund 1,5 Mrd. US-Dollar und ist der größte Einzeldiebstahl der Geschichte. Diese Fälle sind direkter Asset-Diebstahl, nicht das leise Abfangen von Daten — aber sie zeigen, dass Ressourcen, Ausdauer und Motivation für Cyber-Operationen in genau der Größenordnung existieren, die „harvest now, decrypt later“ voraussetzt.

Die konstruktive Auflösung

Die naheliegende Antwort ist rechnerisch: neue Mathematik, die auch ein Quantencomputer nicht knackt. NIST hat dafür im August 2024 die ersten drei Standards finalisiert — ML-KEM (aus CRYSTALS-Kyber) für den Schlüsselaustausch, ML-DSA und als Reserve SLH-DSA für Signaturen — und fordert Organisationen auf, sofort mit der Integration zu beginnen. Google zieht seinen internen Migrationszeitplan auf 2029 vor, aggressiver als die NSA-Endfrist für nationale Sicherheitssysteme (Ende 2031) und die US-Regierungsvorgabe (2035). Post-Quanten-Kryptografie (PQC) läuft auf konventioneller Hardware; ihre größeren Schlüssel kosten etwas Rechenleistung, aber das ist beherrschbar. Sie ist der Hauptweg — darin sind sich NSA, BSI, das französische ANSSI und das britische NCSC einig.

Es gibt aber einen zweiten, physikbasierten Weg — und hier lohnt Ehrlichkeit statt Enthusiasmus. Quantenschlüsselverteilung (QKD) sichert nicht durch mathematische Härte, sondern durch Naturgesetze: Jeder Abhörversuch stört den Quantenzustand der Photonen messbar. Kein Rechner der Welt umgeht das. Nur: QKD verteilt lediglich Schlüssel, nicht die Daten; die eigentliche Verschlüsselung bleibt klassisch. Über Glasfaser reicht es kommerziell nur etwa 100 Kilometer, weil sich Quantensignale nicht wie klassische verstärken lassen; darüber hinaus braucht es Ketten „vertrauenswürdiger Knoten“, die den Schlüssel im Klartext umschlüsseln — ein eingebautes Sicherheitsloch. Es kostet Spezialhardware und dedizierte Fasern. Deshalb ist das BSI klar: QKD sei „aus Sicherheitssicht derzeit nicht einsatzreif“ und tauge nur für „sehr spezielle Anwendungen“; die Priorität liege auf PQC. Wer QKD pauschal als die Antwort auf die Quantenbedrohung verkauft — wie ich es selbst gelegentlich zugespitzt gelesen habe —, überzieht. Und die These, QKD brauche „einfachere“ Hardware als PQC, ist schlicht falsch: Genau umgekehrt läuft PQC auf Standard-Chips, während QKD Einzelphotonen-Detektoren und Dark Fibre verlangt.

Wo QKD dennoch Sinn ergibt, zeigt sich in Jena. Die Quantum Optics Jena GmbH, eine Ausgründung des Fraunhofer IOF, setzt auf verschränkte Photonenpaare und sicherte 2023 gemeinsam mit ADVA/Adtran eine 60-Kilometer-Strecke zwischen Rechenzentren des Thüringer Landesrechenzentrums — über 46.000 sichere 256-Bit-Schlüssel, „made in Germany“. Eingebettet ist das in die staatlich geförderte Initiative QuNET (geplant 125 Mio. Euro über rund sieben Jahre), die hochsichere Quantenkommunikation für Behörden aufbaut. Genau in dieser Bescheidenheit liegt der Wert: nicht als flächendeckender Internet-Ersatz, sondern als physikalischer Vertrauensanker für einzelne, besonders kritische Strecken — und, nicht nebensächlich, als europäische Souveränität in einer Schlüsseltechnologie, die wir sonst importieren müssten.


Was mich an dieser Geschichte umtreibt, ist nicht die einzelne Sensationszahl, sondern die Gleichzeitigkeit. Wir haben uns daran gewöhnt, dass Angriff und Verteidigung sich die Waage halten. Beide Fundamente wackeln gerade zugleich — und die einzige ehrliche Antwort ist unbequem: anfangen, jetzt, mit der Migration, ohne auf die perfekte Lösung zu warten.


Quellen (Auswahl):