Unter den Zuschriften, in denen sich Leser über schlechten Service, ungerechte Behandlung durch Provider oder Verkäufer beschweren, suchen wir häufig Fälle heraus, die beispielhaft bestimmte Muster von Abzocke oder unrechtmäßigem Verhalten gegenüber Kunden zeigen. Dabei fallen regelmäßig Fälle auf, in denen diese länger an bestimmte Vertragsbedingungen gebunden werden sollen, als rechtlich zulässig ist. Das ist besonders ärgerlich, wenn es auf dem Markt bereits deutlich günstigere Angebote gibt – oft sogar vom selben Anbieter.

Im hier geschilderten Fall fragte unser Protagonist bei seinem Provider nach günstigeren Konditionen für seinen DSL-Anschluss. Die Mindestlaufzeit seines aktuellen Tarifs sollte in wenigen Monaten enden. Er erhielt daraufhin ein „Treuangebot“, das jedoch einen ziemlichen Haken hatte, wie sich nachträglich herausstellte. Denn der neue Tarif sollte nun für etwa 27 Monate gelten, also über die gesetzlich maximal zulässigen 24 Monate hinaus.

Für Kunden stellt sich die entscheidende Frage: Müssen sie eine solche Verlängerung akzeptieren? Wir klären, was erlaubt ist – und wie man sich gegen unzulässige Laufzeiten zur Wehr setzt.

Das war die Leseprobe unseres heise-Plus-Artikels „Vorsicht, Kunde: 1&1-Tarifwechsel mit Nebenwirkung“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Ein supraleitender Quantencomputer mit 1.200 fehlerkorrigierten Qubits – in echter Hardware entspricht das weniger als 500.000 physischen Qubits – und 90 Millionen Rechenschritten könnte den privaten Schlüssel eines Bitcoin-Nutzers berechnen – also die kryptografische Grundlage der Bitcoin-Sicherheit brechen. Bitcoins durchschnittliche „Blockzeit“ – also der Abstand zwischen zwei dauerhaft gespeicherten Transaktionsbündeln – beträgt zehn Minuten.

Laut dem Whitepaper von Google Quantum AI ließe sich die Verschlüsselung jedoch im günstigsten Fall in neun Minuten aushebeln. Den zugehörigen Zero-Knowledge-Beweis nebst Quellcode liefern die Forscher gleich mit.

Wie der Angriff funktioniert

Die Sicherheit von Bitcoin beruht auf einem mathematischen Versprechen: Jeder Nutzer hat zwei zusammengehörige Schlüssel – einen öffentlichen, den jeder sehen darf, und einen privaten, den nur der Besitzer kennt. Wer Coins ausgeben will, muss mit einer digitalen Signatur beweisen, dass er den privaten Schlüssel kennt. Den privaten Schlüssel aus dem öffentlichen zurückzurechnen, gilt für klassische Computer als praktisch unmöglich.

Quantencomputer brechen diese Einbahnstraße mit dem sogenannten Shor-Algorithmus – entwickelt 1994 vom Mathematiker Peter Shor. Er kann bestimmte mathematische Strukturen, die klassischer Kryptografie zugrunde liegen, direkt erkennen und ausnutzen. Was für normale Computer eine schier unendliche Suchaufgabe ist, wird für einen ausreichend großen Quantencomputer zu einer lösbaren Rechenaufgabe.

Wenn ein Bitcoin-Nutzer eine Transaktion sendet, landet sie zunächst im sogenannten Mempool – einem öffentlich einsehbaren Wartespeicher aller noch nicht bestätigten Transaktionen. Dort ist der öffentliche Schlüssel des Absenders für jeden sichtbar. Erst nach durchschnittlich zehn Minuten wird die Transaktion von einem Miner – einem am Netzwerk beteiligten Rechner – in einem Block dauerhaft gespeichert. Genau in diesem Fenster setzt der beschriebene Angriff an: Ein Quantencomputer liest den öffentlichen Schlüssel aus, berechnet daraus den privaten Schlüssel und sendet eine gefälschte Transaktion mit höherer Gebühr ab – die Miner bevorzugen sie, die Originaltransaktion wird verdrängt.

Die effektive Angriffsdauer lässt sich dabei auf etwa neun Minuten halbieren, weil ein Teil der Berechnung bereits im Voraus durchgeführt werden kann – der Quantencomputer wartet dann vorbereitet auf den öffentlichen Schlüssel des Opfers.

Nicht alle Quantencomputer wären dabei gleich gefährlich. Während Google weiterhin auf supraleitende Systeme setzt, werden nun auch alternative Architekturen für Angriffe relevant. Photonische Quantencomputer und siliziumbasierte Architekturen hätten die nötige Geschwindigkeit für Echtzeit-Angriffe auf laufende Transaktionen. Langsamere Systeme wie Ionenfallen-Quantencomputer, die einzelne Atome als Qubits nutzen, könnten hingegen nur Adressen angreifen, deren öffentlicher Schlüssel bereits dauerhaft auf der Blockchain sichtbar ist – also etwa alte, nie bewegte Wallets, bei denen der Angreifer Tage oder Wochen Zeit hat.

Eine Größenordnung effizienter als bisher bekannt

Der entscheidende Fortschritt des Papers liegt nicht im Algorithmus selbst, sondern in seiner Effizienz. Frühere Schätzungen gingen von rund 200 Millionen Rechenschritten und neun Millionen physischen Qubits aus. Google kommt auf 70 Millionen Rechenschritte und weniger als 500.000 Qubits. Das Gesamtprodukt aus benötigten Rechenschritten und Qubits – das sogenannte Raumzeit-Volumen, das den eigentlichen Hardwareaufwand bestimmt – verbessert sich damit um etwa eine Größenordnung.

Erreicht wird das durch zwei zentrale Hebel, die zusammenwirken.

Der Erste ist Windowed Arithmetic. Der Kern des Angriffs ist die wiederholte Addition von Punkten auf einer elliptischen Kurve – der speziellen geometrischen Struktur, auf der Bitcoins Kryptografie beruht. Naiv ausgeführt erfordert das 512 einzelne kontrollierte Operationen. Die Forscher fassen je 16 Schritte zu einem „Fenster“ zusammen und berechnen die möglichen Ergebnisse vorab klassisch. Das reduziert die Zahl der nötigen Quantenoperationen auf 28 – also auf etwa ein Achtzehntel.

Der zweite Hebel betrifft die Fehlerkorrektur. Qubits sind fehleranfällig – ein einzelner logischer Qubit, der zuverlässig funktioniert, erfordert viele physische Qubits als Absicherung. Wie viele hängt stark von der Anordnung der Fehlerkorrektur ab. Google nutzt hier sogenannte Yoked Surface Codes – eine besonders dichte Packung der Korrekturschaltkreise –, die den Bedarf an physischen Qubits von neun Millionen auf unter 500.000 senkt. Dabei gilt: Die 1.200 logischen Qubits des Algorithmus sind fehlerkorrigierte, zuverlässige Recheneinheiten. In echter Hardware benötigt man für jeden davon etwa 400 fehleranfällige physische Qubits als Absicherung – woraus sich der Gesamtbedarf von unter 500.000 physischen Qubits ergibt.

Hinzu kommen kleinere, aber wirksame Optimierungen. Eine Technik namens Measurement-Based Uncomputation ersetzt aufwendige Rückrechnungsschritte durch gezielte Messungen und halbiert damit einen Teil der Rechenschritte. Und durch geschicktes Recycling eines einzelnen kleinen Quantenregisters – statt zwei großer Register, wie Shors Algorithmus es naiv erfordern würde – lässt sich der Qubit-Bedarf weiter senken.

Diese Tricks sind nicht neu – einige wurden in früheren Arbeiten bereits beschrieben. Was das Paper neu macht, ist ihre konsequente Kombination in einer gemeinsamen Schaltkreisarchitektur. Das Ergebnis soll laut Google ein Quantenschaltkreis sein, der kompakter, schneller und mit weniger Hardware auskommt als alles bisher Veröffentlichte.

Wie weit sind heutige Quantencomputer?

Den beschriebenen Angriff kann heute kein existierender Quantencomputer durchführen. IBMs aktueller Nighthawk-Prozessor arbeitet mit 120 physischen Qubits, das finnische Unternehmen IQM hat mit seinem Halocene-System einen 150-Qubit-Chip angekündigt. Googles Willow-Prozessor bewegt sich in ähnlichen Größenordnungen. Für einen Bitcoin-Angriff wären 500.000 physische Qubits nötig – also etwa das Dreitausend- bis Viertausendfache der leistungsfähigsten heute verfügbaren Systeme. Einen detaillierten Überblick über den aktuellen Stand der verschiedenen Architekturen bietet der Hintergrundartikel „Status quo: Wie weit Quantenhardware im Jahr 2026 ist“.

Manche Hersteller streben Systeme mit zwei Millionen physischen Qubits bereits für 2030 an. Sollten diese Pläne auch nur annähernd eingehalten werden, wäre die für einen Bitcoin-Angriff nötige Schwelle theoretisch in der zweiten Hälfte der 2030er-Jahre erreichbar – vorausgesetzt, die Fehlerkorrektur hält mit dem Qubit-Wachstum Schritt, was keineswegs garantiert ist. Die Google-Forscher warnen jedoch ausdrücklich davor, aus dem heutigen Rückstand Entwarnung abzuleiten: Algorithmusverbesserungen wie die im Paper beschriebenen haben die Anforderungen in den vergangenen Jahren kontinuierlich gesenkt. Gleichzeitig ist nicht auszuschließen, dass entscheidende Fortschritte zunächst nicht öffentlich bekannt werden.

Millionen Bitcoin als dauerhaftes Angriffsziel

Unabhängig von der Frage der Transaktionsgeschwindigkeit gibt es eine zweite, strukturelle Bedrohung, die keine Echtzeit-Fähigkeit erfordert: Adressen, deren öffentlicher Schlüssel bereits dauerhaft sichtbar ist. Laut Paper sind derzeit rund 6,9 Millionen Bitcoin durch exponierte öffentliche Schlüssel gefährdet – darunter rund 1,7 Millionen BTC in sogenannten P2PK-Adressen, einem veralteten Adressformat aus der Frühzeit von Bitcoin, bei dem der öffentliche Schlüssel direkt auf der Blockchain gespeichert ist. Darunter befinden sich auch Coins, die Satoshi Nakamoto, dem anonymen Bitcoin-Erfinder, zugeschrieben werden.

Rund 2,3 Millionen dieser gefährdeten BTC wurden seit mindestens fünf Jahren nicht bewegt. Diese „schlafenden“ Coins können nicht auf sichere Adressen migriert werden – ihre Besitzer sind nicht erreichbar oder die privaten Schlüssel sind verloren. Sie bleiben damit ein dauerhaftes Angriffsziel mit einem Gegenwert im dreistelligen Milliardenbereich.

Ethereum: Strukturell breiter gefährdet

Während Bitcoin primär durch exponierte Schlüssel gefährdet ist, hat Ethereum ein strukturell breiteres Angriffsprofil. Auch Ethereum verwendet wie Bitcoin digitale Signaturen auf Basis des Elliptic Curve Digital Signature Algorithm (ECDSA) und ist damit grundsätzlich durch Quantenangriffe gefährdet – die größere Angriffsfläche ergibt sich jedoch aus der Systemarchitektur. Die Plattform führt nicht nur Transaktionen durch, sondern auch komplexe Programme – sogenannte Smart Contracts –, die Vermögenswerte verwalten und Regeln durchsetzen, ohne dass ein Mittelsmann nötig ist.

Ethereum-Konten legen nach der ersten Transaktion ihren öffentlichen Schlüssel dauerhaft offen – rund 20,5 Millionen ETH in den tausend wertvollsten Konten sind dadurch gefährdet. Besonders heikel ist die Lage bei Smart Contracts, die oft von wenigen privilegierten Konten verwaltet werden: Wer deren privaten Schlüssel kennt, kontrolliert den gesamten Vertrag – und damit laut Paper rund 200 Milliarden US-Dollar in Stablecoins und tokenisierten realen Vermögenswerten wie Anleihen oder Immobilienfonds. Hinzu kommen rund 37 Millionen ETH im sogenannten Staking – Coins, die Nutzer als Sicherheit hinterlegen, um am Validierungsprozess des Netzwerks teilzunehmen –, die durch angreifbare Signaturen gefährdet sind. Besonders kritisch: Beim Datenverfügbarkeitsmechanismus von Ethereum würde ein einmaliger Quantenangriff ausreichen, um eine dauerhaft nutzbare Hintertür zu erzeugen, die danach ohne Quantencomputer funktioniert.

Offenlegung ohne Angriffsblaupause

Die Forscher veröffentlichen die konkreten Quantenschaltkreise bewusst nicht, um potenziellen Angreifern keine Blaupause zu liefern. Stattdessen nutzen sie einen sogenannten Zero-Knowledge-Beweis – eine mathematische Methode, mit der man beweisen kann, dass man etwas weiß, ohne das Wissen selbst preiszugeben. Unabhängige Prüfer können damit verifizieren, dass die beschriebenen Schaltkreise existieren und die behaupteten Ressourcen einhalten – ohne die sicherheitskritischen Details zu erhalten.

Migration zur Quantensicherheit – aber wie?

Die Forscher empfehlen eine sofortige Migration zu sogenannter Post-Quantum-Kryptografie, bei der Google bereits auf einen deutlich strafferen Zeitplan setzt als staatliche Stellen – Verschlüsselungsverfahren, die auch Quantencomputern widerstehen. Das US-Standardisierungsinstitut NIST hat dafür bereits erste Standards verabschiedet, darunter das gitterbasierte Signaturverfahren Dilithium und das hashbasierte SPHINCS+. Beide nutzen mathematische Probleme, für die kein effizienter Quantenalgorithmus bekannt ist. Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, klassische asymmetrische Verschlüsselungsverfahren ab 2032 nur noch in Kombination mit Post-Quantum-Kryptografie einzusetzen.

Für Kryptowährungen ist das leichter gesagt als getan. Die Migration erfordert Protokolländerungen, die in dezentralen Netzwerken einen breiten Konsens benötigen – ein langwieriger Prozess. Auf der Bitcoin-Blockchain würde allein die Übertragung aller Coins auf neue, quantensichere Adressen bei aktuellem Transaktionsdurchsatz mehrere Monate dauern. Als kurzfristige Schutzmaßnahmen empfehlen die Autoren außerdem, öffentliche Schlüssel nicht wiederzuverwenden und private Mempools zu nutzen, bei denen Transaktionen nicht öffentlich einsehbar sind.

(vza)

Die meisten Kinder, die ihn im Kino sehen, werden gar nicht wissen, wie unfassbar gut die Vorlage war. Und dieser Film wird daran nichts ändern. „Super Mario Galaxy“ war 2007 eines dieser Nintendo-Spiele, das nach langer Zeit und einem weniger brillanten Vorgänger erschien, um all den Krümelspielen zu zeigen, wer der Kuchen ist. Und der Kuchen trug einen Schnurrbart.

„Super Mario Galaxy“ landete wie eine Offenbarung auf der Wii. Es war eines dieser Nintendo-Spiele, die großen technischen Aufwand verstecken, um etwas Komplexes einfach aussehen zu lassen. In einer Zeit, in der viele 3D-Spiele ihre umständliche Kamerasteuerung noch zur Herausforderung für echte Gamer verklärten, schaute Nintendos Spiel fast immer aus der richtigen Perspektive auf Mario, obwohl er knubbelige und krumme Himmelskörper erkundete. Auf jedem Planeten konnte sich eine neue Idee verstecken. Mario Galaxy 1 steht zwischen anderen Jump’n’Runs wie ein schwarzer Monolith voller Sterne. Und Mario Galaxy 2 hatte Yoshi. Auf jeden Fall sollte man also den Galaxy-Re-Release für die Nintendo Switch spielen. Das Geld ist gut angelegt.

Und der Kinofilm?

Ob man den Super Mario Galaxy Film schauen sollte, ist dagegen eine offene Frage. Man kann ihn schauen. Es tut nicht weh! Der Film ist kurzweilig. Er zündet ein Feuerwerk der Nintendo-Zitate und Easter Eggs, das über die volle Dauer anhält. Wer in einem Kino voller Fans sitzt, hört mehrmals pro Minute entzücktes Raunen. Einige rufen jede Referenz unweigerlich in den Kinosaal, so als wollten sie beweisen, dass sie den Nebencharakter aus einem alten Spiel zuerst erkannt haben.

Bild 1 von 9

So ein Film ist vielleicht die geeignete Zutat, um spielfaule Kinder für Nintendo zu begeistern. Aber er wirkt wie ein Nebenprodukt. Er ist eine Einladung in eine Markenwelt, Werbung für Videospiele und eine kostengünstigere Alternative zum Besuch eines Super-Nintendo-World-Themenparks. Vielleicht wird dort demnächst in den Warteschlangen der Film gezeigt?

Doch zwingend nötig war der Super Mario Galaxy Film eher aus wirtschaftlichen Gründen. Wenn sich in dem Feuerwerk irgendwo eine kreative Vision versteckt, dann ist sie leicht zu übersehen.

Mario sieht Sterne

Schon eine Inhaltsangabe gestaltet sich schwierig. Rosalia wird ganz zu Anfang von Bowser Jr. entführt, und muss dann leider recht lange auf ihre Rettung warten. Das ist zwar ein erkennbarer Handlungsstrang, doch statt einer sich zuspitzenden Spannung gibt’s einfach immer irgendwelche neuen Szenen, in denen Mario oder Peach lustige und verrückte Abenteuer erleben.

Auch früh im Film kommt es zur überraschenden Entdeckung Yoshis in einem Level aus „Super Mario Odyssey“. Danach ist er zwar immer dabei, man weiß aber nicht so recht warum. Überhaupt: Warum Charaktere einander doof finden oder mögen, warum sie ihre Meinung ändern, das wissen sie wahrscheinlich selbst nicht. Bowser liefert ein besonders deutliches Beispiel. Anfangs ist er noch wie am Ende des ersten Films geschrumpft und eingesperrt, dann taumelt er in einer Weise zwischen Gut und Böse, die sich nie besonders folgerichtig oder nachvollziehbar anfühlt. Für die Erläuterung solcher Hintergründe hat der Film leider keine Zeit. Erstens wäre das vielleicht langweilig, zweitens fahren Mario und Luigi gerade Dirt Bike! Sie machen total verrückte Stunts!

Die Galaxie ist nicht genug

Rosalia taucht auf, ihre fliegende Luma-Kindertagessternwarte ebenso, und in mehreren Szenen spielt die Kamera mit dem Horizont auf kleinen, runden Welten. Luma verwandeln sich sogar in sternförmige Katapulte, um Menschen wie im Wii-Klassiker in die Ferne zu schießen. Die Bezüge zum Original sind also zahlreich. Trotzdem gehen sie unter. Denn statt eines erkennbaren Settings hat der Film eher ein Marken-Multiversum. In seiner spielerischen Wahllosigkeit erinnert er eher an eine „Smash Bros.“-Kampagne. Viele Charaktere und Gegner kommen aus anderen Spielen.

Jederzeit können Dinosaurier oder Pikmin im Spiel abgesetzt werden. In jeder Kameraeinstellung versteckt sich ein Pinguin oder eine Propellerwanne oder ein vergessenes Zubehörteil, das man aus einem bestimmten Spiel wiedererkennen könnte. Das führt zu Überfrachtung, es wird ganz schön wahllos, aber für suchfreudige Fans ergibt sich ein Vergnügen wie bei einem Wimmelbild. Die Geschichte kann man ignorieren, wenn man das lustige Detail im Bildhintergrund entdeckt. Vielleicht ist das die angemessene Art, diesen Film zu schauen. Wer spielt schon „Super Mario“ wegen der Story?

Bananenstarkes Potenzial

Im Super Mario Galaxy Film nach einer Geschichte und Charakteren zu suchen, ist frustrierend. Unter diesen Gesichtspunkten ist er schlecht. Der erste Mario-Film war kein Meisterwerk, aber er funktionierte deutlich besser als die Geschichte eines Klempners, der erst in ein Wunderland stolpert, dann eine Peach bewundern darf, die nicht mehr viel mit der hilflos quietschenden Prinzessin zu tun hat, und schließlich selbst zum Helden reift.

Der zweite Film besitzt nominell auch eine Geschichte, interessiert sich aber selbst nicht dafür. Hier geht es einfach darum, dass jede Szene knallt. Urplötzlich kann jeder Charakter tollpatschig scheitern oder zum Actionheld werden, einfach damit man beim Zuschauen visuell etwas geboten bekommt.

Bei allen Überraschungen führt das auch zu einem Déjà-vu-Erlebnis beim Schauen, vor allem wenn man gelegentlich mit Kindern ins Kino geht. Der Super Mario Galaxy Film wurde von Illumination entwickelt, den Machern der Minions. Und mehr noch als Mario 1 ist auch Mario Galaxy ein Minions-Film. Auch da geht es weniger um eine Handlung, sondern um bedingungslose Unterhaltung mit Action und Witz in jeder einzelnen Szene. Bei dieser Logik ist nun auch Mario angekommen. Der Crossover-Film ist wahrscheinlich nicht mehr aufzuhalten.

(dahe)