量子computer wann in der Lage sein, bestehende Verschlüsselungstechnologien zu knacken? a16z Forschungsmitglieder analysieren die reale Zeitlinie der quantenbedingten Bedrohung, klären die unterschiedlichen Risiken für Verschlüsselung und Signaturen auf und geben sieben Empfehlungen für die Blockchain-Branche. Dieser Artikel basiert auf Justin Thaler / a16z Forschungsbericht, übersetzt und redaktionell bearbeitet von 動區.
(Frühere Zusammenfassung: Physiker: Gebt der Quantencomputer noch fünf Jahre, dann können sie Bitcoin-Privatschlüssel knacken. Muss das BTC-Upgrade komplett stillgelegt werden?)
(Hintergrund: Bitcoin vor 2030 geknackt? Google Willow „Quanten Echo“ entfacht Expertenstreit: Die meisten öffentlichen Schlüssel sind frühzeitig offen)

Inhaltsverzeichnis

• Zeitlinie: Wie weit ist es noch bis zur Entwicklung eines Quantencomputers, der Verschlüsselung knacken kann?
• „Jetzt stehlen, später entschlüsseln“ Angriff: Für wen geeignet? Für wen nicht?
• Was bedeutet das für die Blockchain?
• Das spezielle Problem bei Bitcoin: Governance-Blockaden und „Schlafende Coins“
• Kosten und Risiken post-quantum Signaturen
• Einzigartige Herausforderungen bei Blockchain vs. Internet-Infrastruktur
• Wie sollten wir reagieren? Sieben Empfehlungen

Wie weit ist es noch bis zur Marktreife eines Quantencomputers, der Bitcoin knacken kann?

Wann wird ein Quantencomputer in der Lage sein, aktuelle Kryptographie zu brechen? Diese Frage wird oft übertrieben dargestellt, was zu Forderungen nach „sofortiger und umfassender Umstellung auf post-quantische Kryptographie“ führt.

Doch diese Forderungen ignorieren häufig die Kosten und Risiken einer zu frühen Umstellung und erkennen nicht, dass die Bedrohung durch verschiedene kryptographische Werkzeuge unterschiedlich ist:

• Post-quantische Verschlüsselung muss sofort eingesetzt werden, egal zu welchem Preis. Denn die „Jetzt stehlen, später entschlüsseln“ (HNDL) Angriffsmethode existiert bereits. Sensible Daten, die heute verschlüsselt sind, behalten auch nach Jahrzehnten noch ihren Wert, selbst wenn Quantencomputer erst später kommen. Zwar kann die Post-quantische Verschlüsselung Leistungseinbußen und Implementierungsrisiken mit sich bringen, doch für langfristig vertrauliche Daten ist keine Alternative vorhanden.
• Bei post-quantischen digitalen Signaturen ist die Lage anders. Sie sind weniger anfällig für die oben genannten „Stehlen, Speichern, Entschlüsseln“-Angriffe. Ihre Kosten und Risiken (größeres Volumen, Performance-Last, unreife Lösungen, potenzielle Schwachstellen) erfordern eine vorsichtige Planung, nicht sofortiges Handeln.

Diese Unterscheidung ist entscheidend. Falsche Annahmen verzerren die Kosten-Nutzen-Analyse und lassen Teams Sicherheitsrisiken wie Softwarefehler übersehen.

Der eigentliche Herausforderung bei der erfolgreichen Transition zu post-quantischer Kryptographie liegt darin, das Dringlichkeitsniveau der Maßnahmen an die tatsächliche Bedrohungslage anzupassen. Im Folgenden werden häufige Missverständnisse über die Bedrohung durch Quantencomputer für Kryptographie, inklusive Verschlüsselung, Signaturen und Zero-Kenntnis-Beweise, geklärt – mit besonderem Fokus auf deren Bedeutung für die Blockchain.

Zeitlinie: Wie weit ist es noch bis zur Entwicklung eines Quantencomputers, der Verschlüsselung knacken kann?

Trotz aller übertriebenen Ankündigungen ist die Wahrscheinlichkeit, dass im Jahrzehnt 20XX ein „quantenrelevanter“ Kryptographie-Quantencomputer erscheint, äußerst gering.

Ein „quantenrelevanter“ Kryptographie-Quantencomputer ist eine fehlerkorrigierende, fehlertolerante Maschine, die Shor-Algorithmen ausführen kann und groß genug ist, um in einem vernünftigen Zeitraum (z.B. weniger als einen Monat Dauerbetrieb) elliptische Kurven (z.B. secp256k1) oder RSA (z.B. RSA-2048) zu brechen.

Basierend auf öffentlich verfügbaren technischen Meilensteinen und Ressourcenabschätzungen sind wir noch sehr weit von einem solchen Computer entfernt. Obwohl einige Firmen behaupten, dies bereits bis 2030 oder 2035 zu erreichen, stützen die bekannten Fortschritte diese Aussagen nicht.

Derzeit können keine Quantensysteme mit Ionenfallen, supraleitenden Qubits oder neutralen Atomen in der Größenordnung von Hunderttausenden bis Millionen Qubits (benötigt für RSA-2048 oder secp256k1) realisiert werden. Die Engpässe liegen nicht nur bei der Anzahl der Qubits, sondern auch bei der Güte der Quanten-Gatter, der Verbindungsqualität zwischen Qubits und der Tiefe der Fehlerkorrektur-Schaltungen, die für komplexe Shor-Algorithmen notwendig sind. Aktuelle Systeme haben zwar mehr als 1000 physische Qubits, doch diese Zahl ist irreführend, da sie die erforderliche Konnektivität und Güte für kryptographische Berechnungen nicht widerspiegelt.

Obwohl neuere Systeme sich allmählich der erforderlichen physikalischen Fehlerquote nähern, ist es bisher niemandem gelungen, stabile logische Qubits mit mehr als wenigen Einheiten zu betreiben – geschweige denn die Tausende, die für Shor-Algorithmen notwendig sind. Der Unterschied zwischen der theoretischen Machbarkeit und der praktischen Umsetzung ist enorm.

Kurz gesagt: Solange die Anzahl und Güte der Qubits nicht um mehrere Größenordnungen steigen, sind kryptographische Quantencomputer noch unerreichbar.

Allerdings sorgen Medienberichte und Pressemitteilungen oft für Verwirrung. Die wichtigsten Missverständnisse sind:

2. „Quantenüberlegenheit“-Demonstrationen: Die aktuellen Beispiele sind meist speziell konstruierte Tests, die auf vorhandener Hardware laufen und „schnell erscheinen“. Diese werden in der Werbung oft heruntergespielt.
3. Die Behauptung von „Tausenden physischer Qubits“: Das bezieht sich meist auf Quantenannealing-Systeme, nicht auf gate-basierte Quantencomputer, die für Shor-Algorithmen notwendig sind.
4. Missbrauch des Begriffs „logische Qubits“: Physische Qubits sind fehlerbehaftet. Für praktische Algorithmen braucht man durch Fehlerkorrektur gebildete „logische Qubits“. Für Shor-Algorithmen sind Tausende logische Qubits notwendig, die aus Hunderten bis Tausenden physischer Qubits bestehen. Manche Firmen übertreiben hier stark, z.B. mit Behauptungen, dass „zwei physische Qubits“ für ein logisches Qubit ausreichen, was sinnlos ist.
5. Irreführende Roadmaps: Viele Pläne nennen „logische Qubits“, die nur Clifford-Operationen unterstützen – diese sind effizient simuliert und reichen nicht für Shor-Algorithmen, die viele Nicht-Clifford-Operationen benötigen. Selbst wenn eine Roadmap „Tausende logische Qubits“ verspricht, bedeutet das nicht, dass sie in absehbarer Zeit RSA knacken können.

Diese Praktiken verzerren das öffentliche Verständnis des Fortschritts in der Quantencomputing-Forschung.

Natürlich ist die Entwicklung spannend. Scott Aaronson schrieb kürzlich, angesichts der rasanten Hardware-Entwicklung, dass es „realistisch ist, vor der nächsten US-Wahl einen fehlerkorrigierenden Quantencomputer zu haben, der Shor-Algorithmen ausführen kann.“ Er klärte jedoch sofort, dass er damit keine kryptographisch relevanten Quantencomputer meint – selbst das Zerlegen von 15=3×5, was mit Papier und Bleistift schneller geht, zählt für ihn. Das ist nur eine kleine Demonstration, meist auf 15 beschränkt, weil größere Zahlen wie 21 deutlich schwieriger sind.

Wichtiges Fazit: Es gibt derzeit keine öffentlichen Fortschritte, die in den nächsten 5 Jahren einen Quantencomputer erwarten lassen, der RSA-2048 oder secp256k1 knacken kann – das ist für die tatsächliche Kryptographie entscheidend. Selbst 10 Jahre erscheinen ambitioniert.

Daher ist die Begeisterung über Fortschritte und die Einschätzung, dass es noch „zehn Jahre dauert“, nicht widersprüchlich.

Was ist mit der amerikanischen Regierung, die 2035 als Frist für die vollständige post-quantische Migration ihrer Systeme gesetzt hat? Ich halte das für eine realistische Planung, aber keine Vorhersage, dass bis dahin ein kryptographischer Quantencomputer tatsächlich existiert.

„Jetzt stehlen, später entschlüsseln“ Angriff: Für wen geeignet? Für wen nicht?

„Jetzt stehlen, später entschlüsseln“ bedeutet: Angreifer speichern heute verschlüsselte Kommunikation und entschlüsseln sie erst, wenn ein Quantencomputer verfügbar ist. Nationale Akteure haben wahrscheinlich bereits große Mengen an US-Regierungsdaten archiviert, um sie später zu entschlüsseln.

Deshalb muss die Verschlüsselung sofort auf post-quantische Verfahren umgestellt werden, mindestens bei Daten mit einer Vertraulichkeitspflicht von 10-50 Jahren.

Bei digitalen Signaturen (die Grundlage aller Blockchains) ist die Lage anders: Sie benötigen keine vertrauliche Nachverfolgung. Selbst wenn in Zukunft Quantencomputer existieren, können Signaturen nur gefälscht werden, nicht aber „entschlüsselt“. Solange man nachweisen kann, dass eine Signatur vor dem Auftauchen eines Quantencomputers erstellt wurde, ist sie unverfälschbar.

Das macht den Übergang zu post-quantischen Signaturen weniger dringend als bei Verschlüsselung.

Viele Mainstream-Plattformen setzen bereits auf diese Weise um:

• Chrome und Cloudflare haben hybride X25519+ML-KEM Lösungen für TLS. „Hybrid“ bedeutet, dass sowohl post-quantische (ML-KEM) als auch klassische (X25519) Verfahren genutzt werden, um beide Sicherheitsniveaus zu gewährleisten – Schutz vor HNDL und Sicherheit bei Problemen mit post-quantischen Lösungen.
• Apple’s iMessage (PQ3-Protokoll) und Signal (PQXDH und SPQR-Protokolle) verwenden ebenfalls hybride post-quantische Verschlüsselung.

Im Gegensatz dazu sind die Implementierungen post-quantischer Signaturen in kritischer Infrastruktur noch verzögert, da die derzeitigen Lösungen Performance-Einbußen mit sich bringen (siehe unten).

Zero-Knowledge-Beweise (zkSNARKs) sind ähnlich betroffen. Auch wenn einige zkSNARKs (z.B. auf elliptischer Kurve basierend) nicht post-quantensicher sind, ist die „Zero-Knowledge“-Eigenschaft selbst post-quantensicher. Sie garantiert, dass keine Geheiminformationen preisgegeben werden – auch Quantencomputer können hier nichts ausrichten. Es gibt also keinen „jetzt stehlen“-Angriff auf zkSNARKs. Beweise, die vor dem Auftauchen eines Quantencomputers erstellt wurden, sind vertrauenswürdig. Nach dem Auftauchen könnten Angreifer gefälschte Beweise erzeugen.

Was bedeutet das für die Blockchain?

Die meisten Blockchains sind nicht leicht durch HNDL-Angriffe bedroht.

Beispielsweise sind Bitcoin und Ethereum (nicht-privatsphärisch) hauptsächlich auf digitale Signaturen angewiesen, nicht auf Verschlüsselung. Diese Signaturen stellen kein unmittelbares HNDL-Risiko dar. Bei Bitcoin ist die Gefahr, dass Signaturen gefälscht werden, um Gelder zu stehlen – nicht, dass öffentlich sichtbare Transaktionen entschlüsselt werden. Das reduziert die unmittelbare kryptographische Dringlichkeit.

Leider haben auch Analysen von Institutionen wie der Federal Reserve fälschlicherweise behauptet, Bitcoin sei anfällig für HNDL, was die Dringlichkeit der Transition übertrieben darstellt.

Natürlich bedeutet geringere Dringlichkeit nicht, dass Bitcoin sicher ist. Es besteht weiterhin die Herausforderung, Änderungen im Protokoll durchzusetzen, was viel gesellschaftliche Koordination erfordert (siehe unten).

Ausnahmen bilden derzeit Privacy-Blockchains: Viele verschlüsseln Empfängeradressen und Beträge. Diese Geheimnisse könnten heute gestohlen werden und nach der Entwicklung eines Quantencomputers, der elliptische Kurven knackt, rückwirkend de-anonymisiert werden. Das Risiko hängt vom Design ab (z.B. Monero mit Ring-Signaturen und Schlüsselabbildungen kann Transaktionen vollständig rekonstruieren). Nutzer, die nicht möchten, dass ihre Transaktionen in Zukunft offenliegen, sollten auf post-quantische oder hybride Lösungen umstellen oder auf Architekturen setzen, die keine entschlüsselbaren Geheimnisse auf die Chain schreiben.

Das spezielle Problem bei Bitcoin: Governance-Blockaden und „Schlafende Coins“

Zwei praktische Faktoren treiben die Dringlichkeit, post-quantische Signaturen für Bitcoin zu planen, unabhängig von der tatsächlichen Quantencomputer-Entwicklung:

• Langsame Governance: Änderungen bei Bitcoin sind schwer umzusetzen, Streitigkeiten können zu harten Forks führen.
• Keine passive Migration: Nutzer müssen aktiv ihre Coins umziehen. Das bedeutet, dass „schlafende“, anfällige Coins nicht geschützt werden. Schätzungen gehen von mehreren Millionen „schlafenden“ BTC im Wert von mehreren hundert Milliarden US-Dollar aus.

Doch die Bedrohung durch Quantencomputer ist kein plötzliches Ende, sondern ein schrittweiser Prozess. Frühzeitige Angriffe wären teuer und langsam, Angreifer würden gezielt hochpreisige Wallets ins Visier nehmen.

Wer Adressen nicht wiederverwendet und keine Taproot-Adressen nutzt (bei denen der öffentliche Schlüssel erst bei der Transaktion sichtbar wird), ist auch ohne Protokoll-Upgrade relativ sicher: Der öffentliche Schlüssel bleibt verborgen, solange keine Transaktion ausgegeben wird. Erst bei der Transaktion wird der Schlüssel sichtbar, was eine kurze Frist für den Angriff schafft: Der ehrliche Nutzer sollte die Transaktion schnell bestätigen, während der Quantenangreifer versucht, den privaten Schlüssel vorher zu berechnen.

Gefährdet sind vor allem Coins, bei denen der öffentliche Schlüssel bereits offenliegt: Frühere P2PK-Ausgänge, mehrfach verwendete Adressen und Taproot-Assets.

Für verwaiste, anfällige Coins ist die Lösung schwierig: Entweder setzt die Community eine Frist, nach der nicht umgezogene Coins als verloren gelten, oder man lässt sie von zukünftigen Quantencomputern stehlen. Letzteres bringt rechtliche und Sicherheitsprobleme mit sich.

Ein weiteres Problem ist die geringe Transaktionskapazität von Bitcoin. Selbst bei einem geplanten Upgrade würde die Migration aller anfälligen Coins Monate dauern.

Diese Herausforderungen machen deutlich, dass Bitcoin bereits jetzt mit der Planung für den post-quantischen Übergang beginnen sollte – nicht, weil Quantencomputer vor 2030 erscheinen, sondern weil die Koordination, Governance und technische Umsetzung Jahre braucht, um Vermögenswerte im Wert von Billionen US-Dollar zu schützen.

Die Bedrohung durch Quantencomputer ist real, der Zeitdruck resultiert vor allem aus den eigenen Limitierungen, nicht aus einer unmittelbar bevorstehenden Entwicklung.

Hinweis: Die genannten Schwachstellen bei Signaturen beeinträchtigen nicht die ökonomische Sicherheit von Bitcoin (Proof-of-Work). PoW basiert auf Hash-Algorithmen, die nur durch Grover’s Algorithmus beschleunigt werden, was enormen Rechenaufwand bedeutet und kaum zu einer signifikanten Beschleunigung führt. Selbst wenn, würde das nur den Vorteil der Miner erhöhen, nicht das Sicherheitsmodell grundsätzlich zerstören.

Kosten und Risiken post-quantischer Signaturen

Warum sollte die Blockchain nicht vorschnell auf post-quantische Signaturen umstellen? Wir müssen die Performance-Kosten verstehen und Vertrauen in die Weiterentwicklung der neuen Lösungen haben.

Post-quantische Kryptographie basiert hauptsächlich auf fünf mathematischen Problemen: Hashing, Codierung, Gitter, multivariate Gleichungssysteme, elliptische Kurven. Die Vielfalt ergibt sich aus dem Zusammenhang zwischen Effizienz und der „Struktur“ der zugrunde liegenden Probleme: Mehr Struktur bedeutet meist höhere Effizienz, aber auch mehr Angriffsmöglichkeiten.

• Hash-basierte Signaturen sind am konservativsten (höchster Sicherheitsglaube), aber ineffizient. NIST-Standardisierte Hash-Signaturen sind mindestens 7-8 KB groß, während elliptische Kurven nur 64 Byte benötigen – ein Faktor von etwa 100.
• Gitterbasierte Lösungen sind derzeit im Fokus. NIST hat das ML-KEM (Lattice-based Key Encapsulation Mechanism) und zwei der drei Signaturverfahren (ML-DSA, Falcon) ausgewählt, die auf Gittern basieren.
• ML-DSA Signaturen sind etwa 2,4-4,6 KB groß, das ist 40-70 mal größer als aktuelle Signaturen.
• Falcon Signaturen sind kleiner (0,7-1,3 KB), aber sehr komplex in der Implementierung, mit konstanten Laufzeiten und Side-Channel-Schwachstellen. Einer der Entwickler bezeichnete es als „die komplexeste Kryptographie, die ich je umgesetzt habe“.
• Die Implementierungssicherheit ist eine Herausforderung: Gitterbasierte Signaturen haben mehr sensible Zwischenwerte und komplexe Ablehnungs- und Sampling-Logik, was stärkeren Schutz gegen Side-Channel- und Fault-Attacks erfordert.

Diese Risiken sind viel greifbarer als die ferne Gefahr eines Quantencomputers.

Die Lehren der Geschichte mahnen zur Vorsicht: Frühere NIST-Standards wie Rainbow (MQ-basierte Signaturen) oder SIKE/SIDH (isogeniebasierte Kryptographie) wurden durch klassische Angriffe gebrochen. Das zeigt, dass eine zu frühe Standardisierung und Implementierung riskant ist.

Das Internet setzt auf vorsichtige Signatur-Übergänge, da die Kryptographie-Transition langwierig ist (z.B. der Übergang von MD5/SHA-1 dauerte Jahre und ist noch nicht vollständig abgeschlossen).

Blockchain vs. Internet-Infrastruktur: Einzigartige Herausforderungen

Vorteil: Open-Source-Communities wie Ethereum oder Solana können schneller upgraden als klassische Infrastruktur. Nachteil: Traditionelle Systeme können durch häufige Schlüsselrotation die Angriffsfläche verkleinern, während bei Blockchains Vermögenswerte und Schlüssel langfristig exponiert bleiben.

Dennoch sollte die Blockchain eine vorsichtige Signatur-Transition wie das Internet anstreben. Beide sind vor HNDL-Angriffen geschützt, eine zu frühe Migration ist riskant.

Besondere Herausforderungen bei Blockchains:

• Signaturaggregation: Viele Blockchains (z.B. mit BLS) benötigen schnelle Aggregation großer Mengen an Signaturen. BLS ist effizient, aber nicht post-quantensicher. SNARK-basierte post-quantische Signaturaggregation ist vielversprechend, aber noch in der Frühphase.
• Zukunft von SNARKs: Derzeit favorisiert die Community Hash-basierte Lösungen. In den kommenden Monaten/Jahren werden wahrscheinlich Gitter-basierte Alternativen entstehen, die in Bezug auf Beweisgröße und Effizienz besser sind.

Das größere Problem ist die Implementierungssicherheit.

In den nächsten Jahren werden Implementierungsfehler eine größere Sicherheitslücke darstellen als Quantencomputer. Bei SNARKs sind vor allem Software-Fehler relevant. Signaturen und Verschlüsselung sind bereits herausfordernd, SNARKs noch mehr. Praktisch sind Signaturen eine Art vereinfachtes zkSNARK.

Bei post-quantischen Signaturen sind Side-Channel- und Fault-Attacks die drängendsten Bedrohungen. Die Community braucht Jahre, um diese zu sichern.

Frühzeitige Transitionen vor Abschluss der Standardisierung könnten dazu führen, dass man sich in suboptimale Lösungen verrennt oder später erneut migrieren muss.

Wie sollten wir reagieren? Sieben Empfehlungen

Aufgrund der genannten Realitäten schlage ich folgende Maßnahmen vor (von Entwicklern bis Entscheidungsträgern). Grundsatz: Die Bedrohung durch Quanten ernst nehmen, aber nicht voreilig auf 2030 oder früher setzen. Es gibt Dinge, die wir jetzt tun können und sollten:

2. Sofort hybride Verschlüsselung einsetzen: Besonders bei Daten mit langer Vertraulichkeitsdauer (10-50 Jahre). Viele Browser, CDNs und Messaging-Apps (z.B. iMessage, Signal) setzen bereits auf hybride Lösungen. Diese schützen vor HNDL und vermeiden Risiken der post-quantischen Lösungen.
3. Für Szenarien mit geringer Datenmenge sofort Hash-basierte Signaturen verwenden: z.B. Firmware-Updates, seltene Transaktionen. Jetzt hybride Hash-Signaturen einsetzen, um auf Nummer sicher zu gehen. Das ist eine konservative „Rettungsboje“ gegen vorzeitiges Auftauchen eines Quantencomputers.
4. Blockchain sollte nicht vorschnell auf post-quantische Signaturen umstellen, aber sofort mit der Planung beginnen:
5. Entwickler sollten wie das PKI-Community vorsichtig vorgehen, um Lösungen reifen zu lassen.
6. Bitcoin & Co. müssen Migrationspfade und Policies für „schlafende“ anfällige Coins definieren. Besonders bei Bitcoin ist jetzt Planung notwendig, da die Herausforderungen vor allem gesellschaftlich und governancebezogen sind.
7. Für reife Forschung bei zkSNARKs und aggregierbaren Signaturen (vielleicht noch Jahre entfernt) sollte Raum geschaffen werden, um suboptimale Lösungen zu vermeiden.
8. Bei Ethereum-Accounts: Upgradable Smart Contracts könnten einen reibungsloseren Übergang bieten, aber der Unterschied ist gering. Wichtiger ist, dass die Community die Forschung zu post-quantischen Primitives vorantreibt und Notfallpläne entwickelt. Ein breiteres Designprinzip ist die Entkopplung von Konten und Signaturverfahren (z.B. Account-Abstract), um Flexibilität zu erhöhen – das erleichtert die Post-Quantum-Transition und unterstützt Funktionen wie Sponsoring oder Social Recovery.
9. Privacy-Blockchains sollten bei akzeptabler Performance möglichst früh auf post-quantische oder hybride Lösungen umstellen, da ihre Geheimnisse heute schon Angriffen ausgesetzt sind.
10. Kurzfristig sollte die Sicherheit der Implementierungen im Vordergrund stehen, nicht die Angst vor Quantencomputern: Bei zkSNARKs und post-quantischen Signaturen sind Fehler und Implementierungsangriffe die größeren Risiken. Jetzt in Audits, Fuzzing, formale Verifikation und Defense-in-Depth investieren, um Sicherheitslücken zu schließen, bevor Quantencomputer kommen.
11. Kontinuierliche Förderung der Quantenforschung: Für die nationale Sicherheit ist es essenziell, in Forschung und Talente zu investieren. Gegner, die frühzeitig kryptographische Quantencomputer entwickeln, stellen ein erhebliches Risiko dar.
12. Realistische Einschätzung der Quantenforschung: Es wird weitere Meilensteine geben, aber jeder zeigt auch, wie weit wir noch sind. Pressemitteilungen sollten kritisch bewertet werden, nicht als Signal für sofortige Maßnahmen.

Technologische Durchbrüche könnten beschleunigen, Engpässe auch die Prognosen verlängern. Ich behaupte nicht, dass es in fünf Jahren unmöglich ist, nur dass die Wahrscheinlichkeit sehr gering ist. Die genannten Empfehlungen helfen, Risiken wie Implementierungsfehler, voreilige Migration und Standardisierungsfehler zu vermeiden.