Gefährdet der Q-Day unsere Identität?

Da es für manch einen nicht ganz greifbar sein mag, warum dieses Thema schon jetzt von Relevanz ist, möchte ich die Brisanz an einem Beispiel beschreiben, das garantiert jeden Leser tangiert.

Der „neue“ deutsche Personalausweis gilt seit seiner Einführung im Jahr 2010 nicht nur als eines der sichersten hoheitlichen Dokumente der Welt, sondern beinhaltet auch eine integrierte Online-Ausweisfunktion. Diese Funktion dient zum digitalen Identitätsnachweis und kann zum Beispiel für digitale Signaturen genutzt werden. Hier besteht nun die Gefahr, dass die Verschlüsselungen, die aktuell für diese digitalen Funktionen genutzt werden, mit dem Q-Day unsicher werden. Identitätsgebende Informationen könnten ausgelesen, kopiert und verändert werden. Somit wäre der digitale Identitätsnachweis durch Fälschungen und Manipulationen gefährdet.

Warum PQC schon jetzt relevant ist

Vor wenigen Wochen hat sich die Bundesdruckerei (BDR) mit einer Pressemitteilung bezüglich PQC in Zusammenhang mit dem deutschen Personalausweis gemeldet. In ihrer Mitteilung betont die BDR die Bedeutung von PQC für den deutschen Personalausweis und präsentiert gleichzeitig eine der weltweit ersten funktionalen Proof-of-Concept-Umsetzungen eines Personalausweises, dessen Kryptografie den aktuellen Empfehlungen für quantensichere Algorithmen entspricht [1]. BSI-Präsidentin Claudia Plattner betont, es müsse damit gerechnet werden, dass Quantencomputer ab 2030 leistungsfähig genug sind, um kryptografische Verfahren zu brechen. Hier wird die Notwendigkeit deutlich, möglichst bald alle neu ausgestellten Ausweisdokumente mit quantensicheren Algorithmen auszustatten. Ausweise, die 10 Jahre gültig sind, werden den Q-Day höchstwahrscheinlich miterleben und sind somit akut gefährdet. Eine weitere Gefahr, die eine zeitnahe Implementierung von quantensicheren Algorithmen erfordert, ist der „store now, decrypt later“-Ansatz. Hier können schon heute verschlüsselte Kommunikationen abgefangen werden und, sobald der Zugang zu Quantencomputern möglich ist, entschlüsselt werden.

Der deutsche Personalausweis

Um die Relevanz nachvollziehen zu können, sollte zunächst einmal verstanden werden, wie der deutsche Personalausweis funktioniert und was für Daten der integrierte Chip zur Verfügung stellt. Im November 2010 wurde der Personalausweis mit integriertem Chip eingeführt. Dieser Chip sollte das sichere Übermitteln identitätsgebender Informationen im Internet ermöglichen. 2020 warb der damalige Bundesinnenminister Horst Seehofer mit Anwendungsfällen wie Elterngeld, BAföG, Kfz-Zulassung etc. All das und noch vieles mehr kann man mithilfe des elektronischen Ausweises beantragen [2].

Der Ausweis-Chip stellt dabei folgende Informationen für die Online-Ausweisfunktion bereit [3]:

• Familienname und Vorname(n)
• Geburtsdatum und -ort
• Anschrift und Postleitzahl
• Wenn angegeben: Geburtsname
• Wenn angegeben: Ordens- bzw. Künstlername
• Wenn angegeben: Doktorgrad

Außerdem können für die hoheitliche Identitätskontrolle folgende Informationen abgerufen werden:

• Digitales Lichtbild
• Digitale Fingerabdrücke
• Seriennummer des Ausweises

Das Personalausweisportal betont, dass sich die verwendeten Protokolle und Mechanismen gegen alle Angriffsversuche bewährt haben. Weiterhin werden alle Daten vom Ausweis bis zum Diensteanbieter Ende-zu-Ende-verschlüsselt übertragen. Alle Komponenten des Chips werden nach Vorgaben und technischen Richtlinien des BSI [4] entwickelt.

Die persönlichen Daten auf dem Chip können lediglich mit einem gültigen Berechtigungszertifikat ausgelesen werden. Dies mache ein unbemerktes Auslesen unmöglich. Was allerdings mit dem Q-Day möglich sein wird, ist das Mitlesen und Entschlüsseln von eID-Verkehr sowie das Kompromittieren digitaler Signaturen und der Online-Autorisierungen.

Der Weg zum PQC-Personalausweis

Die Gefahr des Q-Days hat die Bundesdruckerei bereits früh erkannt. Sie hat 2015 in Zusammenarbeit mit renommierten Universitäten das Projekt „PQCRYPTO“ ins Leben gerufen. Innerhalb dieses Projekts wurden Verschlüsselungsbausteine entwickelt, die ihre Robustheit gegenüber quantengestützten Attacken belegen konnten. Das Ergebnis dieser Arbeit diente 2020 als Grundlage für das Projekt „PoQuID – Postquantum-Kryptographie für hoheitliche Dokumente“. Bis 2022 wurde in Zusammenarbeit mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit AISEC und der Infineon Technologies AG der weltweit erste Demonstrator entwickelt, der die hohen Sicherheitsanforderungen für die Ära des Quantencomputings erfüllt [5]. Um dies zu erreichen, wurde der Demonstrator mit einer quantencomputerresistenten Version des Extended Access Control Protocol (EAC) ausgestattet.

Für das eingangs erwähnte Proof-of-Concept hat die Bundesdruckerei in Zusammenarbeit mit dem internationalen Sicherheitstechnologieunternehmen Giesecke+Devrient (G+D), dem BSI und dem Halbleiterhersteller Infineon nachgewiesen, dass quantenresistente Kryptografie wie Verschlüsselung und Authentisierung auf Ausweischips möglich ist. Dr. Kim Nguyen, Senior Vice President Innovations bei der Bundesdruckerei, beschreibt dies als „[…] einen entscheidenden Schritt für die Zukunftssicherheit digitaler Identitäten“.

Die Komplexität der Umsetzung liegt darin, den Rechenaufwand ressourcenintensiver PQC-Algorithmen zu minimieren und gleichzeitig die neuen Sicherheitsanforderungen zu erfüllen. Infineon stellt hierfür Chips bereit, deren neues Design eine schnelle, seitenkanalresistente Software-Implementierung von PQC-Algorithmen unterstützt. Sobald die Weichen für eine Umstellung gestellt sind, soll die Migration des deutschen Personalausweises in zwei Phasen stattfinden [6]:

1. Personenbezogene Daten werden mithilfe eines quantenresistenten digitalen Signatursystems vor Fälschungen geschützt
2. Vollständige Umstellung auf quantensichere Technologie

Fazit

Betrachtet man die Kommentarspalte des LinkedIn-Beitrags der Bundesdruckerei bezüglich der neuen Entwicklung [7], wird deutlich, dass die Ergebnisse gemischte Gefühle auslösen. Nach dem Motto „There is no glory in prevention“ wird die Arbeit der Bundesdruckerei teils als „schlecht investiertes Geld“ in „nicht vorhandene Probleme“ bezeichnet. Andere Nutzer kommentieren die Arbeit jedoch als „starkes Signal aus Deutschland“ und fordern, dass das Prinzip der Quantensicherheit nun „auch auf Unternehmen übertragen“ werden müsse.

Die Relevanz der Forschung und Entwicklung bezüglich quantensicherer Chipkarten wird vermutlich erst im Laufe des Jahrzehnts sichtbar. Es ist dennoch wichtig, PQC zeitnah zu implementieren, um den oben erwähnten „store now, decrypt later“-Angriffen möglichst schnell den Wind aus den Segeln zu nehmen und genug Zeit für eine strukturierte Migration zu gewähren.

Wer an dieser Stelle tiefer in Quantencomputing und in die Gefahren des Q-Days einsteigen möchte, sollte einen Blick auf das Seminar “Quantum Computing und Post-Quanten-Kryptographie“ werfen. Hier wird Dr. Philipp Rüßmann detailliert darauf eingehen, was Quantencomputer von klassischen Rechnern unterscheidet und welche Herausforderungen durch Qubits gelöst werden können. Außerdem werden die Gefahren des Q-Day diskutiert und Gegenmaßnahmen wie Post-Quanten-Kryptografie und kryptografische Agilität vorgestellt.

Verweise

[1] M. Thylmann, „bundesdruckerei.de,“ 10 11 2025. [Online]. Available: https://www.bundesdruckerei.de/de/newsroom/pressemitteilungen/deutschland-setzt-massstaebe-fuer-sichere-ausweisdokumente-im-zeitalter-der-quantencomputer.
[2] „bmi.bund.de,“ 29 10 2020. [Online]. Available: https://www.bmi.bund.de/SharedDocs/pressemitteilungen/DE/2020/10/10-jahre-personalausweis.html.
[3] „personalausweisportal.de,“ 21 11 2025. [Online]. Available: https://www.personalausweisportal.de/Webs/PA/DE/buergerinnen-und-buerger/der-personalausweis/daten-im-chip/daten-im-chip-node.html.
[4] „bsi.bund.de,“ 21 11 2025. [Online]. Available: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Elektronische-Identitaeten/Technische-Richtlinien/technische-richtlinien_node.html.
[5] „bundesdruckerei.de,“ 02 09 2024. [Online]. Available: https://www.bundesdruckerei.de/de/innovation-hub/technologien-fuer-die-aera-der-quantencomputer.
[6] „gi-de.com,“ 10 11 2025. [Online]. Available: https://www.gi-de.com/en/about-us/press/press-releases/germany-sets-new-standards-for-secure-id-documents-in-the-quantum-computing-era?utm_source=chatgpt.com.
[7] Bundesdruckerei-Gruppe, „linkedin.com,“ 11 2025. [Online]. Available: https://de.linkedin.com/posts/bundesdruckerei_prototyp-pqc-im-personalausweis-activity-7393982383299035136-tyS8. [Zugriff am 26 11 2025].