Der 11. Februar 2026 wird als historisches Datum in die Geschichte der digitalen Sicherheit eingehen. Mit einer dringlichen Warnmeldung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den „Status Quo“ der globalen Datensicherheit für beendet erklärt. Die Ära der Post-Quanten-Kryptografie ist nicht mehr Zukunftsmusik – sie ist ab sofort regulatorische Notwendigkeit.
Sicherheit ist die härteste Währung im Bankgeschäft. Vertrauen entsteht dort, wo Diskretion technisch und rechtlich garantiert werden kann. Doch genau dieses Fundament wankt. Wer sich heute mit Fragen der Haftung, Compliance und digitalen Souveränität auseinandersetzt, kommt an den neuen Realitäten der Physik nicht vorbei. Während ein Bankrecht Ratgeber unverzichtbare Orientierung im juristischen Dschungel bietet, zwingt die neueste Meldung aus Bonn die IT-Vorstände und Chefjuristen der Republik dazu, die technische Basis ihrer Institute komplett neu zu bewerten.
Der Paukenschlag aus Bonn
Lange wurde darüber spekuliert, wann der „Q-Day“ – der Tag, an dem Quantencomputer herkömmliche Verschlüsselung brechen können – eintreten würde. Nun hat die deutsche Cybersicherheitsbehörde Fakten geschaffen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichtet, sind die klassischen asymmetrischen Kryptoverfahren, auf denen praktisch der gesamte globale Zahlungsverkehr, E-Mail-Kommunikation und digitale Signaturen basieren, nicht mehr als „langfristig sicher“ einzustufen.
In der Pressemitteilung vom 11. Februar 2026 stellt das Amt klar: Aufgrund der rasanten Fortschritte in der Entwicklung fehlerkorrigierter Qubits müssen Migrationspläne auf Post-Quanten-Kryptografie (PQC) nicht nur erstellt, sondern jetzt exekutiert werden. Die Übergangsfristen sind verstrichen.
Warum RSA und ECC nicht mehr reichen
Um die Tragweite zu verstehen, muss man einen Blick in den Maschinenraum der Banken werfen. Bisher basierte Sicherheit auf mathematischen Problemen, die für klassische Supercomputer unlösbar waren – etwa die Faktorisierung großer Primzahlen (RSA) oder die Berechnung diskreter Logarithmen auf elliptischen Kurven (ECC).
Quantencomputer hebeln diese Logik aus. Mit dem Shor-Algorithmus können diese Aufgaben theoretisch in Sekundenbruchteilen gelöst werden. Was bis 2025 noch als „theoretische Bedrohung für das nächste Jahrzehnt“ galt, ist durch Durchbrüche bei der Hardware-Skalierung im späten 2025 zur akuten Gefahr geworden. Das BSI reagiert damit proaktiv auf eine technologische Disruption, die das Potenzial hat, das Bankgeheimnis faktisch abzuschaffen.
„Store Now, Decrypt Later“: Die unterschätzte Gefahr
Ein zentraler Punkt der BSI-Warnung betrifft ein Szenario, das Juristen und Risikomanager gleichermaßen alarmieren muss: „Harvest Now, Decrypt Later“ (HNDL).
Angreifer – seien es staatliche Akteure oder hochspezialisierte kriminelle Syndikate – speichern schon heute und seit Jahren verschlüsselte Datenmassen. Sie können diese noch nicht lesen. Doch sobald ein ausreichend leistungsfähiger Quantencomputer verfügbar ist (und das BSI impliziert, dass wir diesem Punkt gefährlich nahe sind), können diese alten Datenbestände entschlüsselt werden.
Für Banken bedeutet dies:
- Kreditverträge mit Laufzeiten von 10-30 Jahren: Die darin enthaltenen Daten sind heute schon gefährdet.
- Gesundheitsdaten bei Versicherungen: Diese müssen oft lebenslang geschützt bleiben.
- Staatsgeheimnisse und M&A-Strategien: Auch Jahre später noch brisant.
Wenn das BSI nun klassische Verfahren für „beendet“ erklärt, bedeutet das im Umkehrschluss: Daten, die heute noch mit altem Standard verschlüsselt und übertragen werden, müssen als potenziell kompromittiert betrachtet werden, wenn sie eine langfristige Geheimhaltung erfordern.
Rechtliche Implikationen für den Finanzsektor
Die technische Warnung des BSI entfaltet sofortige juristische Wirkung. Im Bankrecht gilt der Grundsatz, dass Sicherheitsmaßnahmen dem „Stand der Technik“ entsprechen müssen.
1. Haftungsrisiken für die Geschäftsleitung
Ignoriert ein Vorstand die BSI-Warnung und kommt es zu einem Datenleck durch einen Quanten-Angriff (oder die spätere Entschlüsselung abgefangener Daten), droht die persönliche Haftung. Der „Stand der Technik“ hat sich am 11. Februar 2026 offiziell verschoben. Wer jetzt noch in Systeme investiert, die nur klassisches RSA unterstützen, handelt potenziell fahrlässig.
2. DORA und NIS-2
Die EU-Verordnungen zur digitalen operationalen Resilienz (DORA) und die NIS-2-Richtlinie fordern ein striktes Risikomanagement. Die BSI-Meldung triggert hier Meldepflichten und Anpassungsbedarfe. Banken müssen gegenüber der BaFin und der EZB nachweisen, wie sie den Übergang zur PQC gestalten. Ein „Weiter so“ ist regulatorisch nicht mehr deckbar.
3. Datenschutz (DSGVO)
Artikel 32 DSGVO schreibt vor, dass die Sicherheit der Verarbeitung das Risiko berücksichtigen muss. Wenn Verschlüsselung nicht mehr wirksam ist, liegt ein Verstoß gegen die DSGVO vor, sobald personenbezogene Daten übertragen werden. Die Bußgelder könnten astronomisch sein, da es sich um einen systemischen Verstoß handeln würde.
Der Weg zur Post-Quanten-Kryptografie (PQC)
Das BSI lässt die Wirtschaft jedoch nicht ohne Lösung zurück. Die Antwort liegt in der Post-Quanten-Kryptografie. Dabei handelt es sich um neuartige mathematische Verfahren (meist gitterbasierte Kryptografie), die so komplex sind, dass selbst Quantencomputer sie nicht effizient lösen können.
Die US-Behörde NIST hat bereits 24/25 die ersten Standards finalisiert (u.a. ML-KEM, früher Kyber, und ML-DSA, früher Dilithium). Das BSI empfiehlt nun dringend den Einsatz dieser standardisierten Verfahren im sogenannten „Hybrid-Modus“.
Was bedeutet Hybrid-Modus?
Da die neuen PQC-Algorithmen noch relativ jung sind und theoretisch noch unbekannte Schwachstellen haben könnten, empfiehlt das BSI eine Kombination:
- Ein klassisches Verfahren (z.B. ECC)
- PLUS ein Post-Quanten-Verfahren.
Nur wenn beide Schichten geknackt werden, liegen die Daten offen. Für Banken bedeutet dies jedoch einen enormen IT-Aufwand: Protokolle wie TLS (für Online-Banking) und VPN-Tunnel müssen aktualisiert, Chipkarten ausgetauscht und Hardware-Sicherheitsmodule (HSM) erneuert werden.
Krypto-Agilität als neue Kernkompetenz
Der Begriff, den Bank-ITler nun verinnerlichen müssen, lautet „Krypto-Agilität“. Es reicht nicht mehr, ein Verschlüsselungssystem zu installieren und 20 Jahre laufen zu lassen. Systeme müssen so gebaut sein, dass Algorithmen ausgetauscht werden können wie Reifen bei einem Formel-1-Wagen – schnell, ohne Betriebsunterbrechung und ohne dass das gesamte Auto neu gebaut werden muss.
Viele Legacy-Systeme in deutschen Banken – oft noch auf COBOL basierend oder tief in unflexiblen Kernbanksystemen vergraben – sind das Gegenteil von agil. Die Warnung des BSI ist somit auch ein Investitionsbefehl in die Modernisierung der IT-Architektur.
Die geopolitische Dimension
Man darf nicht vergessen, warum das BSI diesen Schritt gerade jetzt geht. Der Wettlauf um den Quantencomputer ist ein geopolitisches Rüstungswettrennen zwischen den USA, China und Europa. Wer zuerst einen stabilen, fehlerkorrigierten Quantencomputer besitzt, hat den „Dietrich für die digitale Welt“.
Dass das BSI nun die Reißleine zieht, deutet darauf hin, dass die Nachrichtendienste Erkenntnisse über den Fortschritt dieser Technologie haben, die der Öffentlichkeit vielleicht noch nicht in vollem Umfang bekannt sind. Für deutsche Banken, die im internationalen Wettbewerb stehen, ist der Schutz ihrer Transaktionsdaten auch eine Frage der nationalen Sicherheit.
Handlungsbedarf: Eine Checkliste für Entscheider
Was müssen Finanzinstitute nach der Meldung vom 11. Februar konkret tun?
- Inventur der Kryptografie: Wo überall wird Verschlüsselung eingesetzt? (Oft wissen Banken gar nicht, wo überall Zertifikate schlummern).
- Daten-Klassifizierung: Welche Daten müssen auch noch in 5, 10 oder 20 Jahren geheim sein? Diese haben Priorität bei der Migration.
- Lieferantengespräche: Unterstützen die Anbieter von Kernbanksystemen und Cloud-Diensten bereits PQC-Standards?
- Rechtliche Bewertung: Prüfung der AGB und Verträge auf Klauseln zur Datensicherheit im Licht der neuen BSI-Richtlinie.
Die Botschaft des BSI ist unmissverständlich: Die Zeit des Abwartens ist vorbei. Verschlüsselung ist kein technisches Detail mehr, das man der IT-Abteilung überlässt, sondern ein strategisches Risiko erster Ordnung. Wer die Migration jetzt verschläft, riskiert nicht nur Bußgelder, sondern seine Existenzgrundlage – das Vertrauen der Kunden. Die Post-Quanten-Ära hat begonnen, und sie wartet auf niemanden.