Laut einem Bericht des Citi Institute vom 16. Mai 2026 sind zwischen 4,5 und 6,7 Millionen Bitcoin bereits heute einem strukturellen Quantenrisiko ausgesetzt. Das entspricht 25 Prozent des gesamten BTC-Umlaufangebots, mit einem geschätzten Gegenwert von 350 bis 500 Milliarden US-Dollar. Der Q-Day, an dem ein kryptografisch relevanter Quantencomputer die elliptische Kurvenentschlüsselung knacken könnte, hat laut Citi eine Eintrittswahrscheinlichkeit von 34 Prozent bis 2034. Die Zeit läuft.
Der Report, betitelt „Quantum Threat: The Trillion-Dollar Security Race“, warnt ausdrücklich: Die Fortschritte im Quantencomputing beschleunigen sich schneller, als frühere Modelle vorhergesagt hatten. Für BaFin-regulierte Institute und DACH-Investoren mit Bitcoin-Positionen ist das keine abstrakte Zukunftsfrage mehr.
Kerndaten: Quantenrisiko bei Bitcoin
- BTC mit bereits on-chain exponiertem Public Key 4,5-6,7 Mio. (25% Supply)
- Geschätztes gefährdetes Kapital 350-500 Mrd. USD
- CRQC-Wahrscheinlichkeit bis 2034 34%
- Globales Bankrisiko (Citi Institute) 3 Billionen USD
- Vorgeschlagene Bitcoin-Upgrades BIP-360, BIP-361
- Migrationsfrist Hochrisikosysteme EU 2030 (G7 Cyber Expert Group)
Quelle: Citi Institute „Quantum Threat: The Trillion-Dollar Security Race“ · Stand 16. Mai 2026 · Project Eleven
Quelle: Citi Institute „Quantum Threat: The Trillion-Dollar Security Race“ · Stand 16. Mai 2026 · Project Eleven
Wie die Exposition funktioniert: nicht alle Bitcoin sind gleich
Das Problem liegt in der Art, wie Bitcoin Adressen verwaltet. In den ersten Jahren des Netzwerks hinterließen Pay-to-Public-Key-Adressen (P2PK) den öffentlichen Schlüssel dauerhaft und direkt on-chain sichtbar. Wer jemals eine Transaktion von einer P2PK-Adresse gesendet hat, hat seinen Public Key unwiderruflich offengelegt. Ein ausreichend leistungsfähiger Quantencomputer könnte mithilfe des Shor-Algorithmus daraus den privaten Schlüssel berechnen. Die Wallet-Mittel wären damit zugänglich, ohne dass der Eigentümer irgendeinen Fehler gemacht hätte.
Project Eleven schätzt laut seinem Forschungsbericht, dass sich rund 6,9 Millionen BTC in dieser Kategorie befinden, darunter wahrscheinlich Teile der Satoshi-Nakamoto-Wallets. Auch moderne P2PKH-Adressen sind nicht vollständig sicher: Beim Signieren einer Transaktion wird der öffentliche Schlüssel kurzzeitig sichtbar. Ein hinreichend schneller Quantencomputer könnte dieses Zeitfenster theoretisch ausnutzen und vor der Blockbestätigung eine alternative Transaktion einschleusen.
Citi bezeichnet dieses Szenario als „bereits relevant im Kontext der Sicherheits-Governance von Unternehmen und Banken“. Für Privatanleger mit Bitcoin auf einem Hardware-Wallet ist das unmittelbare Risiko gering. Bei Fonds in jahrelang ungenutzten P2PK-Adressen ist das Risiko hingegen struktureller Natur.
Kann Quantencomputing Bitcoin wirklich hacken?
Die ehrliche Antwort lautet: heute nein, in zehn Jahren möglicherweise. Das Citi Institute beziffert die Wahrscheinlichkeit, dass ein kryptografisch relevanter Quantencomputer (CRQC) bis 2034 existiert, auf 34 Prozent. Vitalik Buterin hatte seinerzeit 20 Prozent bis 2030 geschätzt. Diese Einschätzung gilt laut den Citi-Analysten inzwischen als zu optimistisch. Fortschritte bei Google, IBM und in chinesischen Militärprogrammen haben die erwarteten Zeiträume spürbar verkürzt.
Das unmittelbarste Risiko ist jedoch kein direkter Wallet-Angriff. Es ist das, was Citi als „Jetzt sammeln, später entschlüsseln“ bezeichnet. Staatliche Akteure können bereits heute verschlüsselte Daten, Transaktionen und Nachrichten kopieren und archivieren und auf den Tag warten, an dem Quantenrechenleistung die Entschlüsselung ermöglicht. Für Banken und Institutionen, die langfristig sensible Finanzdaten verwalten, ist die Bedrohung bereits real. Das Citi Institute schätzt die Gesamtexposition des globalen Bankensystems gegenüber diesem Risiko auf drei Billionen US-Dollar.
BIP-360, BIP-361 und das Governance-Problem von Bitcoin
Citi stuft Bitcoin als anfälliger ein als Ethereum, und der entscheidende Grund ist die Governance. Bitcoin ändert sich langsam. Dabei Absichtlich. Jede Protokolländerung erfordert einen breiten Konsens unter Minern, Entwicklern und Node-Betreibern. BIP-360 (QuBit) und BIP-361 sind die derzeit diskutierten Vorschläge, um post-quantenkompatible Signaturen in Bitcoin einzuführen. Keiner der beiden hat bislang das nötige Adoptionsniveau erreicht, um als Soft Fork umgesetzt zu werden. Ethereum hat zum Vergleich bereits tiefgreifende Upgrades wie The Merge und Dencun mit relativer Geschwindigkeit durchgeführt.
Ripple kündigte im März 2026 einen vierstufigen Plan an, XRPL bis 2028 quantensicher zu machen, mit Project Eleven als technischem Partner. Die NSA veröffentlichte im Mai 2025 die Commercial National Security Algorithm Suite 2.0 (CNSA 2.0), eine Sammlung post-quantenempfohlener Algorithmen für kritische Systeme.
Der G7 Cyber Expert Group fordert die Migration von Hochrisikosystemen in europäischen Ländern bis 2030. Bitcoin unterliegt jedoch keiner staatlichen oder institutionellen Kontrolle. Die Transition hängt von der Community ab. Und diese Community bewegt sich historisch gesehen lieber spät, dafür aber zuverlässig.
Das konkreteste Datum ist 2030, nicht 2034. Die G7-Frist für Hochrisikosysteme gilt bereits, und europäische Banken, die Bitcoin halten oder als Sicherheit einsetzen, müssen den Aufsichtsbehörden einen aktiven Post-Quantum-Migrationsplan nachweisen. Für BaFin-regulierte Institute ist das eine operative Anforderung, keine theoretische Überlegung. Sollte BIP-360 in den nächsten 24 bis 36 Monaten keinen Konsens finden, vergrößert sich die Lücke zwischen Bitcoins Upgrade-Geschwindigkeit und der seiner potenziellen Angreifer weiter.
Das Risiko besteht nicht darin, dass der Q-Day morgen eintrifft. Das Risiko besteht darin, dass Bitcoin nicht bereit ist, wenn er kommt.
