Standpunkt: Die Bitcoin-Community nähert sich einer Roadmap für Quanten-Bedrohungen an – und diese deutet auf eine Ära von Post-Quanten-Soft-Forks hin

4. Mai 2026

Standpunkt: Die Bitcoin-Community nähert sich einer Roadmap für Quanten-Bedrohungen an – und diese deutet auf eine Ära von Post-Quanten-Soft-Forks hin

Quantencomputing galt lange Zeit unter Bitcoin-Nutzern als "interessant, aber noch weit entfernt". Dieses Fass wird nun kleiner.

Was sich im Jahr 2026 ändert, ist nicht, dass Quantencomputer Bitcoin heute bereits knacken können, sondern dass die Diskussionen in der Community sich von vereinzelten Debatten hin zu einem umsetzbaren Upgrade-Pfad verschieben: Post-Quanten-Kryptographie (PQC) soll schrittweise über Soft Forks eingeführt werden, während gleichzeitig eine lange Migrationsfrist für Nutzer und Unternehmen geschaffen wird, um ihre Guthaben in quantenresistente Adresstypen zu verschieben. Ein detaillierter Überblick über aktuelle Vorschläge und Zeitpläne findet sich in dieser aktuellen Forschungsarbeit von Galaxy Research zur Quantenbereitschaft von Bitcoin.

Im Folgenden wird eine praktische, auf das Ökosystem ausgerichtete Sicht auf den entstehenden Konsens dargestellt, warum dies für Anleger wichtig ist und wie "Bitcoin gegen Quanten sichern" in der Praxis aussehen dürfte.

1) Warum Quantenrisiko von einem "schwarzen Schwan" zu einer technischen Rückstandsliste wird

Bitcoin hat sich bereits zuvor unter Unsicherheiten weiterentwickelt: von SegWit zu Taproot, von alten Skriptmustern zu ausdrucksstärkeren Elementen, von einem Nischenexperiment zu kritischer Infrastruktur.

Quantenrisiko wird nun ähnlich behandelt – weniger als ein einmaliger Weltuntergangsmoment, sondern mehr als ein mehrjähriges Migrationsproblem mit zwei Charakteristiken:

  • Koordination dauert Jahre in einem dezentralen System (Wallets, Börsen, Verwahrstellen, Miner, Node-Betreiber und Nutzer).
  • Kryptographie-Übergänge geschehen bereits außerhalb von Krypto, insbesondere nachdem die PQC-Standards stabilisiert wurden.

Insbesondere die Veröffentlichung von PQ-Standards durch NIST gibt der breiteren Sicherheitsbranche eine konkrete Grundlage. Für Signaturen ist NIST FIPS 204 (ML-DSA, abgeleitet von CRYSTALS-Dilithium) mittlerweile eine weithin referenzierte Basis, und der breitere Kontext wird in der Ankündigung von NIST zu finalisierten Post-Quanten-Standards zusammengefasst.

Dies ist für Bitcoin wichtig, denn "wir werden später eine PQ-Signatur wählen" ist keine zufriedenstellende Antwort mehr. Die Branche standardisiert sich jetzt, und die langfristige Glaubwürdigkeit von Bitcoin als Wertspeicher hängt zunehmend davon ab, eine glaubwürdige Roadmap zu haben.

2) Was Quantencomputing bei Bitcoin bedroht (und was nicht)

Das Kernrisiko von Bitcoin ist die Signaturfälschung, nicht der Zusammenbruch des Minings.

  • Bedroht: Elliptische-Kurven-Signaturen (ECDSA und Schnorr) basieren auf der Schwierigkeit des diskreten Logarithmusproblems. Ein ausreichend leistungsfähiger fehlertoleranter Quantencomputer, der den Algorithmus von Shor ausführt, könnte prinzipiell einen privaten Schlüssel aus einem bekannten öffentlichen Schlüssel ableiten. Siehe Shors ursprüngliche Arbeit, "Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer".
  • Relativ widerstandsfähiger: Hash-Funktionen wie SHA-256 sind nicht auf dieselbe Weise von Shor betroffen. Sie sind einer anderen Art von Quantenbeschleunigung ausgesetzt (oft diskutiert im Rahmen des Grover-Algorithmus), die Sicherheitsmargen verändert, anstatt den oben beschriebenen "private Schlüssel aus öffentlichem Schlüssel wiederherstellen"-Angriff zu ermöglichen. Der Bericht von Galaxy bietet in seinen technischen Abschnitten eine klare, Bitcoin-spezifische Aufschlüsselung dieser Unterschiede: Bitcoin Is Rising to the Challenge of Quantum Readiness.

Die Quantengeschichte dreht sich also hauptsächlich darum, wann öffentliche Schlüssel exponiert werden und wie schnell ein Angreifer nach der Exposition handeln könnte.

3) Die tatsächliche Exposition: "Sichtbarkeit des öffentlichen Schlüssels" und alte Outputs

Bitcoin ist in einer wichtigen Hinsicht strukturell besser positioniert als Account-basierte Ketten: Viele Adresstypen offenbaren nur einen Hash eines öffentlichen Schlüssels, bis die Coins ausgegeben werden. Dies schafft unterschiedliche Risikostufen:

Coins mit langer Exposition (öffentlicher Schlüssel bereits auf der Kette)

Diese werden am häufigsten diskutiert, da ein Angreifer sie "jetzt sammeln, später entschlüsseln" könnte, falls es jemals krypto-relevanten Quantencomputing geben sollte.

Zwei weit verbreitete Quellen für lange Exposition sind:

  • Sehr frühe Skripttypen, die öffentliche Schlüssel direkt einbetten (häufig als P2PK-Outputs bezeichnet).
  • Schlechte Hygiene / Adresswiederverwendung, bei der öffentliche Schlüssel nach der ersten Ausgabe permanent sichtbar werden und mit verbleibenden Guthaben verknüpft bleiben.

Schätzungen variieren dramatisch je nach Definition. Galaxy zitiert eine Obergrenze von rund ~7 Millionen BTC, die unter bestimmten "Langzeitexpositions"-Klassifizierungen gefährdet sind, betont aber gleichzeitig Unsicherheit und Methodenabhängigkeit (Galaxy Research). Andere Analysen konzentrieren sich auf engere Teile des "marktrelevanten" Risikos.

Eine separate Darstellung stammt aus einem Whitepaper von Ark / Unchained, das von Cointelegraph zusammengefasst wurde und etwa 1,7 Millionen BTC in frühen P2PK-Outputs als eine eigene, permanent exponierte Kategorie hervorhebt (Cointelegraph Zusammenfassung).

Coins mit kurzer Exposition (öffentlicher Schlüssel wird bei Ausgabe enthüllt)

Hier ist das Angriffsfenster durch die Mempool-Dynamik und Bestätigungszeiten begrenzt: Der Gegner müsste den privaten Schlüssel ableiten und die Ausgabe schnell genug überholen, um die transferierten Mittel zu stehlen. Dies ist ein anderes technisches Ziel als das "Sweeping" von lang exponierten Mitteln.

4) Die aufkommende technische Richtung: Soft Forks zuerst, PQC-Signaturen Schritt für Schritt

Ein bemerkenswerter Aspekt des neuen Konsenses ist der Prozess: Der glaubwürdigste Weg ist nicht ein plötzlicher "Flag-Day"-Signaturaustausch. Es ist eine Reihe von inkrementellen, überprüfbaren Schritten, die über Soft Forks implementiert werden.

Schritt A: Exposition durch neue Output-Typen reduzieren (auch vor vollständigen PQC-Signaturen)

Ein bemerkenswerter Meilenstein ist BIP 360, das Pay-to-Merkle-Root (P2MR) vorschlägt, um bestimmte Muster mit langer Exposition zu reduzieren, indem der Key-Path-Spend von Taproot entfernt und auf Script-Tree-Commitments gesetzt wird. Der kanonische Entwurf befindet sich im Bitcoin BIPs-Repository: BIP 360 (bip-0360.mediawiki).

Diese Art von Änderung macht Bitcoin nicht magisch "quantensicher", aber sie steht im Einklang mit einer ingenieurorientierten Philosophie: Angriffsfläche jetzt verkleinern, Kompatibilität wahren und Schienen für zukünftige Kryptographie schaffen.

Schritt B: PQC konservativ einführen (oft: Dual-Signatur)

Wo es um vollständige PQC-Signaturen geht, konvergieren viele Vorschläge auf einen pragmatischen Kompromiss:

  • Redundanz während der Übergangsphase nutzen (z. B. sowohl eine klassische als auch eine PQ-Signatur verlangen), damit das Netzwerk sicher bleibt, selbst wenn ein Schema später in Frage gestellt wird.
  • Vermeiden, dass jeder Teilnehmer sofort wechseln muss.

Hier wird "Dilithium" oft in Community-Diskussionen erwähnt – obwohl es in standardisierter Form allgemein über ML-DSA unter der Nomenklatur von NIST (NIST FIPS 204) referenziert wird. In der Praxis würde die endgültige Auswahl für Bitcoin auch Signaturgrößen, Verifizierungskosten, Bandbreite, Hardwarebeschränkungen und langfristiges Vertrauen berücksichtigen.

5) Der harte Teil der Governance: Ein "Migrationsfenster" und was mit nicht migrierten Coins passiert

Die Bereitstellung eines neuen quantenresistenten Adresstyps ist der einfache Teil. Der schwierige Teil ist die Entscheidung, wie das Netzwerk mit Coins umgeht, die nicht migriert werden können oder werden – insbesondere Outputs mit langer Exposition, deren öffentliche Schlüssel bereits öffentlich sind, und Coins, die möglicherweise für immer verloren gehen.

Hier tendiert die Diskussion in der Community oft zu einem zeitlich begrenzten Migrationsfenster:

  1. Neue Adresstypen und Signaturregeln einführen.
  2. Nutzern und Institutionen Jahre geben, um zu migrieren.
  3. Nach einer langen Gnadenfrist Richtlinien für verbleibende Guthaben durchsetzen (von "abraten" über "beschränken" bis hin zu "einfrieren" oder "verbrennen" in einigen Vorschlägen).

Warum sollte Bitcoin jemals solche drastischen Maßnahmen in Erwägung ziehen? Weil die Alternative in einem Extremfall schlimmer ist: Wenn ein quantenfähiger Akteur große Mengen exponierter Coins aufkehren und abladen kann, könnte dies einen einmaligen Marktschock und eine tiefe Glaubwürdigkeitskrise verursachen.

Ein Versuch, einen Mittelweg zu finden, ist in der "Hourglass" (Sanduhr) -Familie von Vorschlägen enthalten, die sich auf die Ratenbegrenzung der Extraktion konzentriert, anstatt sofort zu konfiszieren oder nichts zu tun. Beispielsweise diskutiert ein aktualisiertes Design die Begrenzung der pro Block extrahierbaren Menge; siehe Hourglass V2 Update on Delving Bitcoin.

Darüber hinaus wird die Idee einer schrittweisen Migration und Ausmusterung in Vorschlägen wie BIP 361: Post Quantum Migration and Legacy Signature Sunset formalisiert, was widerspiegelt, wie schnell sich die Konversation von abstraktem Risiko zu konkretem Protokolldesign bewegt.

6) "Kryptographische Agilität" wird zu einer Hauptanforderung

Wenn es eine Lektion aus der modernen Sicherheitstechnik gibt, dann ist es, dass Kryptographie nicht statisch ist.

Das Bitcoin-Ökosystem diskutiert zunehmend Algorithmus-Agilität: Die Entwicklung von Upgrade-Mechanismen, damit Bitcoin Signaturschemata austauschen oder hinzufügen kann, ohne das Netzwerk zu destabilisieren. Das bedeutet nicht "jährlich Kryptographie ändern". Es bedeutet, eine Protokollhaltung zu entwickeln, bei der zukünftige Änderungen möglich sind.

Die Entwicklerdiskussion ist aktiv und umfasst fokussierte Diskussionen auf der Bitcoin-Dev-Mailingliste, wie z. B. Algorithm Agility for Bitcoin. Für langfristige Vermögenswerte ist Agilität kein Luxus – sie ist Teil dessen, was "Wertspeicher" über Jahrzehnte hinweg glaubwürdig macht.

7) Was Nutzer jetzt tun können (bevor PQ-Adressen existieren)

Auch wenn Quantencomputing ein langfristiges Risiko bleibt, gibt es praktische Schritte, die mit der Richtung übereinstimmen:

  • Adresswiederverwendung vermeiden. Adresswiederverwendung erhöht die langfristige Exposition, da einmal aufgedeckte öffentliche Schlüssel jegliche verbleibenden Guthaben damit zu einem Ziel mit "langer Exposition" machen können.
  • Altbestände inventarisieren. Wenn Sie sehr alte UTXOs oder historische Wallets haben, identifizieren Sie, ob sie mit frühen Skriptmustern oder wiederholtem Adressverhalten verbunden sind.
  • Migration als normalen Lebenszyklusereignis planen. Die realistischste Post-Quanten-Zukunft beinhaltet die Verschiebung von Coins in neue Output-Typen innerhalb eines mehrjährigen Fensters – ähnlich im Geiste (nicht technisch identisch) wie Nutzer schrittweise SegWit und später Taproot angenommen haben.
  • Upgrade-bereit bleiben. PQ-Übergänge werden wahrscheinlich Wallet-Software-Updates, neue Adressformate und neue Signaturflüsse erfordern. Operative Bereitschaft wird ebenso wichtig sein wie Kryptographie.

Wo Hardware-Wallets passen

Ein Hardware-Wallet stoppt Shor's Algorithmus nicht. Aber es schützt das Wichtigste, was wir heute haben: Ihre privaten Schlüssel und Signaturfreigaben.

In einem zukünftigen Migrationsfenster müssen Nutzer kontrollierte Überweisungen von alten zu neuen quantenresistenten Adressen signieren. Eine Selbstverwahrungsumgebung – bei der die Schlüssel niemals eine internetverbindungsfähige Umgebung berühren – reduziert das Kompromittierungsrisiko genau in dem Moment, in dem Nutzer aufgefordert werden, risikoreiche Migrationen durchzuführen.

Hier können Produkte wie OneKey auch ein praktischer Teil eines Plans zur Post-Quanten-Bereitschaft sein: Schlüssel isoliert halten, gute Adresshygiene erleichtern und eine sichere Signaturumgebung bieten, während sich die Adress- und Signaturstandards von Bitcoin weiterentwickeln.

Fazit: Ein langer Korridor, eine klarere Roadmap

Die wichtigste Veränderung ist psychologisch und sozial: Quanten wird nicht mehr rein als Meme oder existenzielle Unbekannte behandelt. Es wird zu einer handhabbaren Protokoll-Upgrade-Sequenz geformt:

  • Exposition wo möglich reduzieren (z.B. neue Output-Konstruktionen),
  • PQ-Signaturen konservativ einführen (oft über Redundanz),
  • einen langen Migrationskorridor durchsetzen,
  • und kryptographische Agilität aufbauen, damit Bitcoin bei Bedarf erneut weiterentwickelt werden kann.

Diese Kombination verwandelt die "Quantenbedrohung" von einer lähmenden Erzählung in eine konkrete Rückstandsliste – eine, die Bitcoin mit ausreichend Zeit und Koordination realistisch umsetzen kann.

Wenn Sie BTC langfristig halten, ist die beste Haltung weder Panik noch Leugnung: Bleiben Sie informiert, bewahren Sie Ihre Coins in einer gut verwalteten Selbstverwahrungsumgebung auf und seien Sie bereit zu migrieren, wenn das Netzwerk quantenresistente Adresstypen standardisiert.

Schützen Sie Ihre Kryptojourney mit OneKey

View details for OneKeyOneKey

OneKey

Die fortschrittlichste Hardware-Wallet der Welt.

View details for App herunterladenApp herunterladen

App herunterladen

Betrugsalarme. Alle Coins unterstützt.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Krypto-Klarheit – Eine Anruf entfernt.