Quantenrisiko für Behördennetze: Der Wettlauf vor dem Q-Day

Wenn auf der Public IT Security 2026 (PITS) über sichere öffentliche Netze diskutiert wird, geht es nicht nur um aktuelle Cyberangriffe. Im Panel „Doctor Quantum – Neue Technologien für sichere öffentliche Netze“ steht eine Bedrohung im Mittelpunkt, die viele Systeme erst in einigen Jahren treffen könnte, auf die sich Unternehmen und Verwaltungen aber bereits heute vorbereiten müssen: leistungsfähige Quantencomputer.

Die Agentur für Innovation in der Cybersicherheit GmbH (Cyberagentur) bringt dazu Dr. Daniel Reiche ein. Der promovierte theoretische Physiker leitet seit dem 1. Februar 2026 das Referat Quantentechnologie in der Abteilung Schlüsseltechnologie der Cyberagentur. Gemeinsam mit Experten des Bundesamts für Sicherheit in der Informationstechnik (BSI), des cyberintelligence.institute und von Palo Alto Networks diskutiert er, wie Staat und Verwaltung ihre Netze rechtzeitig quantensicher machen können.

Das Risiko liegt in der Zukunft, der Angriff beginnt heute

Die zentrale Gefahr ist als „Harvest now, decrypt later“ bekannt: Angreifer sammeln heute verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln. Gerade bei staatlichen Informationen mit langer Schutzdauer kann das gravierende Folgen haben. Reiche sieht deshalb keinen Grund zur Entwarnung: Die Gefahr sei „groß genug, um zu handeln“.

Zugleich warnt er vor überzogenen Erwartungen. Die Cyberagentur arbeite daran, „Marketing von Realität zu trennen“. Entscheidend sei nicht nur die Vorbereitung auf den sogenannten Q-Day, also den Zeitpunkt, an dem Quantencomputer heutige Verschlüsselung praktisch brechen können. Ebenso wichtig sei ein nüchterner Blick auf konkrete Anwendungsszenarien: Wann wird welche Technologie relevant, für welche Systeme und mit welchen Folgen?

Damit wird Post-Quanten-Sicherheit zu einer Planungsaufgabe für Jahre. Mit einbezogen werden müssen nicht nur kryptografische Verfahren, sondern auch Bestandsaufnahmen, Standards, Beschaffungsprozesse, Alt-Systeme, Schutzbedarfe und Migrationspfade.

Verwaltung muss IT als Kernaufgabe begreifen

Die größte Schwachstelle im öffentlichen Sektor sieht Reiche weniger in einer einzelnen Technologie als in einem Grundverständnis. Möglicherweise liege sie „im Missverständnis, dass IT kein notwendiges Übel ist, sondern der Kern der modernen Verwaltung“. Genau hier wird das Thema politisch und organisatorisch anspruchsvoll.

Denn quantensichere Behördennetze entstehen nicht durch den Austausch einzelner Algorithmen. Sie erfordern übergreifende Konzepte, belastbares Inventar, abgestimmte Standards und ein klares Verständnis dafür, welche Daten auch in zehn oder 20 Jahren vertraulich bleiben müssen. Post-Quanten-Kryptografie ist dabei ein wesentlicher Baustein, aber nicht die vollständige Antwort.

Forschung zu Quantencomputern und Quantensensorik

Die Cyberagentur verknüpft die Debatte mit eigenen Forschungsprogrammen. Das Programm „Mobiler Quantencomputer – Quantenprozessoren für den mobilen Einsatz in Verteidigungs- und Sicherheitsanwendungen“ (MQC) untersucht, wie Quantenprozessoren künftig außerhalb hochspezialisierter Labore nutzbar werden könnten. Das Programm „Seitenkanalangriffe mit Quantensensorik“ (SCA-QS) richtet den Blick auf physikalische Begleitinformationen technischer Systeme, etwa elektromagnetische Abstrahlung, Stromverbrauch oder zeitliche Muster.

Solche Angriffe zeigen, dass künftige Risiken nicht nur in Rechenleistung liegen. Quantensensorik könnte Messungen präziser machen und damit neue Anforderungen an Hardware-Sicherheit, Abschirmung und Risikobewertung schaffen. Für Reiche folgt daraus vor allem eines: „Es reicht nicht, breite Programme zur Transformation staatlicher IT aufzusetzen. Insbesondere im Schutz vor Angriffen muss noch so jede technische Kleinigkeit verfolgt werden.“

Auf der PITS 2026 will die Cyberagentur außerdem auf den Ideenwettbewerb „HAL2027: Cybersicherer Verwaltungsarbeitsplatz der Zukunft“ aufmerksam machen. Das passt zur Botschaft des Panels: Die Verwaltung von morgen braucht nicht nur neue Technologien, sondern ein neues Sicherheitsverständnis. Der Q-Day mag noch vor uns liegen. Die Vorbereitung darauf duldet keinen Aufschub.

Weitere Informationen zum Thema von der Cyberagentur gibt es hier.