
Post-Quanten-VPNs erklärt: Was „Harvest now, decrypt later" für Ihren verschlüsselten Datenverkehr bedeutet
Post-Quanten-VPNs erklärt: Was „Harvest now, decrypt later\" für Ihren verschlüsselten Datenverkehr bedeutet
Irgendwo im Backbone des Internets kopiert ein Angreifer gerade Ihren VPN-Datenverkehr und speichert ihn auf einer Festplatte. Nicht, um ihn heute zu lesen – heute ist er nur Rauschen, verpackt in AES-256. Er hebt ihn für den Tag auf, an dem ein großer Quantencomputer rückwirkend den Handshake aufbrechen kann, der ihn geschützt hat. Diese Strategie hat einen Namen, harvest now, decrypt later (HNDL, „jetzt sammeln, später entschlüsseln"), und sie ist der wichtigste Grund, warum der Begriff Post-Quanten-VPN 2024 und 2025 auf Produktseiten aufzutauchen begann.
Hier gleich das Fazit vorweg: Ein Quantencomputer ist kurzfristig keine Bedrohung für Ihre symmetrische Verschlüsselung, wohl aber langfristig eine echte Gefahr für den Schlüsselaustausch, der jeden VPN-Tunnel aufbaut. Die Lösung – ein hybrider Post-Quanten-Schlüsselaustausch auf Basis des neu standardisierten ML-KEM von NIST – ist bereits in gängigen VPNs verfügbar. Dieser Artikel erklärt genau, was auf dem Spiel steht, was Sie tatsächlich schützt, und liefert Ihnen eine herstellerneutrale Checkliste, mit der Sie ein echtes quantensicheres VPN von einem reinen Marketing-Siegel unterscheiden.
Was „harvest now, decrypt later" wirklich bedeutet
Jede VPN-Sitzung beginnt mit einem Handshake. Bevor auch nur ein Byte Ihrer Daten fließt, führen Client und Server einen Schlüsselaustausch durch, um sich auf ein gemeinsames Geheimnis zu einigen, aus dem dann die symmetrischen Schlüssel abgeleitet werden, die den Tunnel verschlüsseln. Bei WireGuard nutzt dieser Austausch Curve25519 (ein Elliptic-Curve-Diffie-Hellman, kurz ECDH). Bei OpenVPN und IKEv2/IPsec kommen typischerweise ECDH oder RSA zum Einsatz. All dies sind asymmetrische Verfahren, deren Sicherheit auf mathematischen Problemen beruht – der Primfaktorzerlegung und dem diskreten Logarithmus –, die klassische Computer nicht in großem Maßstab lösen können.
Ein hinreichend großer, fehlertoleranter Quantencomputer, der Shors Algorithmus ausführt, kann genau diese Probleme effizient lösen. Eine solche Maschine existiert noch nicht, und glaubwürdige Schätzungen verorten sie Jahre bis weit über ein Jahrzehnt in der Zukunft. HNDL ist gerade deshalb so gefährlich, weil die Maschine dafür heute noch gar nicht existieren muss. Ein Angreifer mit den Mitteln, Glasfaserleitungen anzuzapfen oder an einem Internetknoten zu lauschen, kann Ihre verschlüsselten Sitzungen schon jetzt aufzeichnen, sie kostengünstig archivieren und sie entschlüsseln, sobald die Hardware reif ist. Fängt er Ihren Handshake ab, kann er später die Sitzungsschlüssel rekonstruieren und alles Nachfolgende mitlesen.
Der Angriff ist passiv und bereits im Gange. Die Uhr, auf die es ankommt, tickt nicht bei der Frage „Wann kommen die Quantencomputer", sondern bei „Wie lange müssen die Daten, die ich heute sende, geheim bleiben".
Genau diese Umdeutung ist der springende Punkt. Krankenakten, anwaltliche Korrespondenz, Quellcode-Repositories, journalistische Kontakte und Staatsgeheimnisse müssen oft 10, 20 oder 30 Jahre vertraulich bleiben. Jedes dieser Daten, das heute durch einen klassisch verschlüsselten Tunnel läuft, ist bereits jetzt einem gut finanzierten Sammler ausgeliefert – ganz gleich, wann die Entschlüsselung tatsächlich stattfindet.
Warum symmetrische Verschlüsselung (weitgehend) unbedenklich ist – der Schlüsselaustausch aber nicht
Ein weit verbreitetes Missverständnis lautet, Quantencomputing breche „Verschlüsselung" pauschal auf. Das tut es nicht. Die eigentlichen Nutzdaten in Ihrem Tunnel werden durch symmetrische Verfahren geschützt – AES-256 oder ChaCha20 –, und diese halten Quantenangriffen bemerkenswert gut stand. Der beste bekannte Quantenalgorithmus gegen sie, Grovers Algorithmus, liefert lediglich eine quadratische Beschleunigung der Brute-Force-Suche. Praktisch gesehen halbiert das in etwa das effektive Sicherheitsniveau.
AES-256 sinkt unter Grover auf rund 128 Bit effektive Sicherheit – nach wie vor bequem außer Reichweite. Es bleibt sicher.
AES-128 sinkt theoretisch auf etwa 64 Bit, weshalb AES-256 die konservative Wahl ist – auch wenn Grover bekanntermaßen nur schwer zu parallelisieren ist.
Der asymmetrische Schlüsselaustausch (ECDH, RSA) ist das eigentliche Opfer. Shors Algorithmus halbiert seine Stärke nicht – er lässt sie vollständig zusammenbrechen.
Das schwache Glied ist also nicht das Verfahren, das Ihre Daten bewacht, sondern der Handshake, der sich auf den Schlüssel geeinigt hat. Deshalb konzentriert sich die Post-Quanten-Arbeit bei VPNs fast ausschließlich auf die Schlüsselaustausch-Ebene, und deshalb genügt es, diese eine Komponente zu ersetzen – während AES-256 exakt an seinem Platz bleibt –, um das HNDL-Zeitfenster zu schließen.
NISTs Antwort: ML-KEM, FIPS 203 und ein Backup namens HQC
Nach einem mehrjährigen öffentlichen Wettbewerb finalisierte das U.S. National Institute of Standards and Technology (NIST) im August 2024 seine ersten Post-Quanten-Standards. Der für VPNs entscheidende ist ML-KEM – der Module-Lattice-based Key-Encapsulation Mechanism, veröffentlicht als **FIPS 203**. Es ist die standardisierte Form des zuvor als CRYSTALS-Kyber bekannten Algorithmus und ein direkter Ersatz für den verwundbaren Diffie-Hellman-Schlüsselaustausch.
FIPS 203 – ML-KEM: der Key-Encapsulation-Mechanismus zur Etablierung gemeinsamer Geheimnisse. Die Parametersätze sind ML-KEM-512, ML-KEM-768 und ML-KEM-1024; VPNs setzen ganz überwiegend auf ML-KEM-768.
FIPS 204 – ML-DSA und FIPS 205 – SLH-DSA: die begleitenden Standards für digitale Signaturen (aus Dilithium und SPHINCS+), die der Authentifizierung dienen – nicht dem Vertraulichkeitsproblem, auf das HNDL abzielt.
HQC: Im März 2025 wählte NIST Hamming Quasi-Cyclic als Backup-KEM. Entscheidend ist, dass seine Sicherheit auf fehlerkorrigierenden Codes beruht – einer völlig anderen Mathematik als die Gitter (Lattices) von ML-KEM. Sollte ein künftiger Durchbruch die gitterbasierten Verfahren untergraben, steht damit bereits eine codebasierte Alternative als Standard bereit. Der vollständige Standard wird um 2027 erwartet.
Das Fazit: ML-KEM ist heute das Arbeitspferd, HQC die Versicherungspolice. Zwei KEMs auf unabhängigen mathematischen Fundamenten zu standardisieren ist eine bewusste Absicherung gegen das Risiko, dass sich eine einzelne Familie schwerer Probleme als weniger schwer entpuppt als angenommen.
Hybrider Schlüsselaustausch: Warum klassisch + PQC die verantwortungsvolle Standardwahl ist
Post-Quanten-Algorithmen sind neu. ML-KEM hat intensiver öffentlicher Prüfung standgehalten, verfügt aber über weit weniger praktische Bewährung als ECDH, das den Datenverkehr seit Jahrzehnten schützt. Den gesamten Tunnel allein auf einen jungen Algorithmus zu setzen, würde ein Risiko gegen ein anderes eintauschen. Die Antwort der Branche lautet hybrider Schlüsselaustausch: einen klassischen und einen Post-Quanten-Austausch parallel laufen lassen und beide gemeinsamen Geheimnisse zum Sitzungsschlüssel verbinden.
Die häufigste Konstruktion kombiniert X25519 mit ML-KEM-768, oft geschrieben als X25519MLKEM768. Ein Angreifer muss beide brechen, um an den Schlüssel zu gelangen. Klassische Kryptoanalyse kann der ML-KEM-Hälfte nichts anhaben, und ein Quantencomputer kann der klassischen Hälfte nichts anhaben – keiner der beiden Teile bleibt ungeschützt. Die klassische Hälfte sichert gegen einen unentdeckten Fehler im neuen Algorithmus ab, die PQC-Hälfte gegen Shor. Dieses doppelt abgesicherte Design ist der Grund, warum hybrid – nicht reines PQC – für 2025 und 2026 die verantwortungsvolle Standardwahl ist, und es ist der Modus, für den sich praktisch jede ernsthafte Implementierung entschieden hat.
Was tatsächlich ausgeliefert wurde: die VPN-Landschaft 2025–2026
Das ist längst keine Theorie mehr. Konkrete Produkte werden hier ausschließlich als neutraler Marktbeleg genannt – nicht als Empfehlung –, denn die Migration ist bei Verbraucher-VPNs und ihren zugrunde liegenden Protokollen bereits in vollem Gange:
Cloudflare WARP hat den Post-Quanten-Schlüsselaustausch in seinen Verbraucher-VPN-Client gebracht – Teil von Cloudflares breiterem Vorstoß, hybrides PQC netzwerkweit zum Standard zu machen.
NordVPN hat Post-Quanten-Unterstützung in NordLynx (sein WireGuard-basiertes Protokoll) integriert und den Rollout über seine Apps bis Mai 2025 abgeschlossen.
ExpressVPN hat ML-KEM im Januar 2025 zu seinem Lightway-Protokoll hinzugefügt.
Surfshark hat den Post-Quanten-Schutz für seine WireGuard-Verbindungen aktiviert.
Zwei Muster verdienen Beachtung. Erstens: Der Wandel vollzieht sich auf der Protokollebene – bei WireGuard-abgeleiteten Tunneln und eigenen Protokollen wie Lightway – und nicht in einem separaten Zusatzmodul. Zweitens: Mehrere Anbieter boten PQC zunächst als optionalen Schalter an, bevor sie es zum Standard machten – genau die Art von Detail, die Sie laut der folgenden Checkliste überprüfen sollten.
Auch das weitere Ökosystem ist in Bewegung
VPNs migrieren nicht im luftleeren Raum; sie reiten auf einer breiten Umstellung quer durch die Internetinfrastruktur. Im November 2025 aktivierte AWS den hybriden Post-Quanten-Schlüsselaustausch für TLS über eine Reihe seiner Dienste hinweg und weitete den PQC-Schutz damit auf den Verkehr aus, der auf seine APIs trifft. Webbrowser und Server haben für einen wachsenden Anteil der HTTPS-Verbindungen klammheimlich auf X25519MLKEM768 umgestellt. Und Regulierungsbehörden setzen harte Fristen: Australiens Signals Directorate (ASD) hat signalisiert, dass klassische asymmetrische Verfahren wie RSA und ECDH bis 2030 aus seinem freigegebenen Katalog auslaufen werden – ein ambitionierter Zeitplan, der dem Horizont von rund 2035 vorgreift, den viele andere Stellen nennen. Die Richtung ist unmissverständlich: Für rein klassischen Schlüsselaustausch läuft der Countdown.
Ist mein VPN wirklich quantensicher? Eine herstellerneutrale Checkliste
„Quantensicher" und „post-quantum-ready" sind unregulierte Marketingfloskeln. Ein Siegel auf einer Landingpage sagt nichts aus. So trennen Sie eine echte Implementierung von einer bloßen Behauptung – mit Fragen, die Sie an die Dokumentation oder den Support jedes Anbieters richten können:
Ist es ein hybrider Handshake? Achten Sie auf konkret benannte Algorithmen – ML-KEM-768 kombiniert mit einem klassischen Austausch wie X25519 (
X25519MLKEM768). Ein Anbieter, der den Algorithmus nicht benennen kann, betreibt ihn wahrscheinlich auch nicht.Welches Protokoll und welche Plattformen? PQC wird pro Protokoll ergänzt. Stellen Sie sicher, dass es das Protokoll abdeckt, das Sie tatsächlich nutzen (WireGuard/NordLynx, Lightway, OpenVPN, IKEv2) und dass es auf Ihrem Betriebssystem aktiv ist – Windows, macOS, Linux, iOS und Android erscheinen oft nach unterschiedlichen Zeitplänen.
Steckt es in der Datenebene oder nur im Marketing? Prüfen Sie, ob der Post-Quanten-Austausch den Tunnel schützt, der Ihren Datenverkehr trägt – und nicht bloß die Login-API oder das TLS-Zertifikat der Website. Die Vertraulichkeit Ihres Surfens hängt speziell am Tunnel-Handshake.
Standard oder optional? Wird PQC als standardmäßig deaktivierter Schalter ausgeliefert, sind Sie erst geschützt, sobald Sie ihn aktivieren. Prüfen Sie die Einstellung, statt es anzunehmen.
Wann wurde es ausgeliefert, und ist es hybrid? Ein Anbieter, der reines Post-Quanten ohne klassischen Rückfall verspricht, geht mehr Algorithmus-Risiko ein, nicht weniger. Hybrid ist heute die ausgereifte Wahl.
Was Post-Quanten-Kryptografie NICHT behebt
Selbst ein perfekt umgesetzter hybrider Handshake löst genau ein Problem: die künftige Vertraulichkeit von heute abgefangenem Datenverkehr. Er ist kein allgemeines Sicherheits-Upgrade, und ehrliche Erwartungen sind wichtig. PQC ändert nichts an:
Kompromittierung der Endgeräte. Ist Ihr Gerät oder der VPN-Server infiziert oder beschlagnahmt, liest der Angreifer Ihre Daten im Klartext – vor oder nach der Verschlüsselung. Kein Schlüsselaustausch hilft da.
Protokollierung und Vertrauen in den Anbieter. Ein VPN, das Ihre Aktivität aufzeichnet, bleibt ein Datenschutzrisiko. Ein quantensicherer Schlüsselaustausch ändert nichts daran, was der Anbieter selbst sehen oder speichern kann.
Metadaten. Zeitpunkte, Paketgrößen, Verbindungsendpunkte und DNS-Muster können viel verraten, selbst wenn die Nutzdaten unlesbar sind. PQC schützt die Geheimhaltung der Nutzdaten, nicht die Tatsache, dass eine Verbindung stattfand.
Schwächen bei der Authentifizierung. ML-KEM regelt die Schlüsseletablierung; es behebt keine gestohlenen Zugangsdaten, kein Phishing und keine schwache Server-Authentifizierung. Post-Quanten-Signaturen (ML-DSA, SLH-DSA) adressieren diese Ebene separat.
Das praktische Fazit
Der Post-Quanten-Schutz für VPNs hat den Sprung von der Forschung in ausgelieferte Produkte schneller geschafft als die meisten Sicherheitsumstellungen je – und der Grund ist HNDL, ein Angriff, der passiv, günstig und bereits im Gange ist. Wenn Ihr Datenverkehr über Jahre vertraulich bleiben muss, betrifft Sie die Migration jetzt und nicht erst an dem Tag, an dem ein Quantencomputer hochfährt.
Schalten Sie es ein. Bietet Ihr VPN eine Post-Quanten- oder Hybrid-Option, aktivieren Sie sie – der Leistungsaufwand ist vernachlässigbar und der Schutz ist real.
Prüfen Sie, vertrauen Sie nicht dem Siegel. Vergewissern Sie sich, dass ein konkret benannter hybrider Handshake (ML-KEM plus ein klassischer Austausch) auf Ihrem Protokoll und Ihrer Plattform läuft und den tatsächlichen Tunnel schützt.
Behalten Sie die Perspektive. PQC sichert den Schlüsselaustausch gegen die Quantenbedrohung von morgen. Endgeräte-Hygiene, ein vertrauenswürdiger No-Logs-Anbieter und ein Bewusstsein für Metadaten erledigen den Rest der Arbeit.
Behalten Sie die Fristen im Blick. Wenn Regulierungsbehörden wie Australiens ASD 2030 für den Ausstieg aus klassischer asymmetrischer Kryptografie ins Auge fassen, ist ein VPN ohne glaubwürdige Post-Quanten-Roadmap ein VPN auf geliehener Zeit.
Häufig gestellte Fragen
Was ist ein Post-Quanten-VPN?
Ein Post-Quanten-VPN nutzt einen Schlüsselaustausch-Algorithmus, der Angriffen künftiger Quantencomputer standhält – am häufigsten NISTs ML-KEM, kombiniert mit einem klassischen Verfahren in einem hybriden Handshake. Es ersetzt den verwundbaren ECDH- oder RSA-Schritt beim Tunnelaufbau, behält aber symmetrische Verfahren wie AES-256 bei. Ziel ist es, den heutigen Datenverkehr gegen die Bedrohung „harvest now, decrypt later" zu schützen.
Was bedeutet „harvest now, decrypt later"?
Harvest now, decrypt later (HNDL) ist ein Angriff, bei dem ein Angreifer Ihren verschlüsselten Datenverkehr heute aufzeichnet und speichert und dann wartet, bis ein Quantencomputer den Handshake brechen und ihn Jahre später entschlüsseln kann. Er funktioniert, weil das Abfangen des klassischen Schlüsselaustauschs es dem Angreifer erlaubt, die Sitzungsschlüssel rückwirkend zu rekonstruieren. Für alle Daten, die ein Jahrzehnt oder länger vertraulich bleiben müssen, ist das ein akutes Problem.
Ist mein VPN quantensicher?
Prüfen Sie, ob Ihr Anbieter einen hybriden Handshake dokumentiert, der ML-KEM namentlich nennt (zum Beispiel X25519MLKEM768), vergewissern Sie sich, dass er auf Ihrem Protokoll und Betriebssystem aktiv ist, und stellen Sie sicher, dass er den Datentunnel schützt und nicht nur den Login oder die Website. Prüfen Sie außerdem, ob er standardmäßig aktiv oder ein optionaler Schalter ist. Kann der Anbieter den Algorithmus nicht benennen, behandeln Sie die Behauptung als Marketing.
Was ist ML-KEM und wie hängt es mit einem quantensicheren VPN zusammen?
ML-KEM (Module-Lattice-based Key-Encapsulation Mechanism) ist der Post-Quanten-Standard für den Schlüsselaustausch, den NIST im August 2024 als FIPS 203 veröffentlichte, abgeleitet von CRYSTALS-Kyber. Ein ML-KEM-VPN nutzt es – meist den Parametersatz ML-KEM-768 –, um das gemeinsame Geheimnis zu etablieren, aus dem die Verschlüsselung des Tunnels abgeleitet wird. Es ist die Komponente, die die HNDL-Schwachstelle schließt.
Bricht Quantencomputing die AES-256-Verschlüsselung?
Nein. Der beste Quantenangriff auf AES-256, Grovers Algorithmus, bietet nur eine quadratische Beschleunigung, die die effektive Stärke ungefähr auf rund 128 Bit halbiert – nach wie vor weit außer Reichweite. Die eigentliche Quantenschwäche liegt beim asymmetrischen Schlüsselaustausch (ECDH, RSA), nicht beim symmetrischen Verfahren, das Ihre Daten schützt.
Warum nutzen Post-Quanten-VPNs einen hybriden Schlüsselaustausch statt reinem ML-KEM?
Ein hybrider Schlüsselaustausch lässt einen klassischen Algorithmus wie X25519 parallel zu ML-KEM laufen und kombiniert beide Geheimnisse, sodass ein Angreifer beide brechen muss. Das schützt gegen Shors Algorithmus und sichert zugleich gegen einen unentdeckten Fehler im neueren Post-Quanten-Verfahren ab. Es ist 2025–2026 die verantwortungsvolle Standardwahl, weil ML-KEM weit weniger praktische Bewährung hat als das jahrzehntealte ECDH.
Welche VPNs unterstützen bereits Post-Quanten-Verschlüsselung?
Stand 2025–2026 ist der Post-Quanten-Schlüsselaustausch in gängigen Produkten verfügbar, darunter Cloudflare WARP, NordVPNs Protokoll NordLynx (abgeschlossen um Mai 2025), ExpressVPNs Lightway (seit Januar 2025) und Surfshark auf WireGuard. Die Unterstützung wird pro Protokoll und pro Plattform ergänzt, daher lohnt es sich zu prüfen, ob sie für Ihre konkrete Konfiguration aktiv ist.



