Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Quantum Encryptiebedreiging: Dringende waarschuwing van Google over SNDL-aanvallen
Quantum Encryptiebedreiging: Dringende waarschuwing van Google over SNDL-aanvallen

Quantum Encryptiebedreiging: Dringende waarschuwing van Google over SNDL-aanvallen

by Patrick Spencer updated februari 10, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 9 minutes

Google heeft misschien wel de meest ingrijpende cybersecuritywaarschuwing van het jaar afgegeven. Kent Walker, President Global Affairs bij Alphabet en Google, was duidelijk: huidige encryptiesystemen zijn kwetsbaar voor quantumcomputers en tegenstanders maken daar nu al misbruik van — alleen niet op de manier die je misschien verwacht.

De kernboodschap? Stop met quantumdreigingen als een toekomstig probleem te zien. Ze zijn er nu al.

Belangrijkste inzichten

  1. “Store Now, Decrypt Later”-aanvallen zijn al aan de gang. Google bevestigde dat tegenstanders actief versleutelde data verzamelen — financiële gegevens, bedrijfsgeheimen, geclassificeerde communicatie — in de hoop dat toekomstige quantumcomputers de huidige encryptie kunnen kraken. Dit is geen theoretisch risico meer; het is een lopende inlichtingenverzamelingscampagne die zich nu al op organisaties richt.
  2. Google heeft zijn post-quantum migratie al afgerond. Google heeft de sleuteluitwisseling voor intern verkeer gemigreerd naar ML-KEM, de post-quantum standaard die NIST in augustus 2024 heeft vastgesteld, en alle Google-diensten gebruiken nu standaard quantum-resistente sleuteluitwisseling. De afgeronde migratie van het bedrijf haalt het argument “het is nog niet haalbaar” onderuit en zet druk op andere ondernemingen om te volgen.
  3. Het Quantum Executive Order van het Witte Huis heeft een groot blinde vlek. Het conceptbesluit over quantumtechnologie verplicht federale instanties om de National Quantum Strategy te updaten, maar laat naar verluidt bepalingen over post-quantum cryptografie achterwege. De beleidsaanbevelingen van Google lijken bedoeld om dat gat te vullen, met een oproep tot PQC-adoptie in kritieke infrastructuur, cloud-first modernisering en wereldwijde standaardisatie.
  4. 91 procent van de organisaties heeft geen post-quantum stappenplan. Onderzoek aangehaald door Google Cloud toont aan dat slechts 9 procent van de organisaties een plan heeft om over te stappen op quantum-resistente encryptie. Omdat overheidscontracten naar verwachting vanaf 2026 PQC-naleving zullen vereisen en analisten een venster van 12 tot 24 maanden inschatten om überhaupt te beginnen met migreren, is de kloof in paraatheid enorm.
  5. Bestaande compliance frameworks zullen PQC afdwingen zonder nieuwe regels. Regelgeving zoals HIPAA, PCI DSS en SOX vereist nu al “redelijke” beveiligingsmaatregelen, en de definitie van redelijk zal verschuiven zodra post-quantum standaarden breed beschikbaar zijn. Organisaties die blijven vertrouwen op klassieke encryptie lopen risico op non-compliance onder bestaande kaders — hetzelfde patroon als bij het uitfaseren van TLS 1.0 en 1.1.

“Store Now, Decrypt Later” gebeurt nu al

Laten we beginnen met het meest verontrustende deel van Google’s aankondiging, want dat verdient directe aandacht. Kwaadwillenden verzamelen op dit moment actief versleutelde data. Financiële gegevens, bedrijfsgeheimen, geclassificeerde overheidscommunicatie — alles wordt opgezogen en opgeslagen, in de verwachting dat quantumcomputers die de huidige encryptie kunnen breken uiteindelijk beschikbaar komen.

Deze aanvalsmethode heeft een naam binnen de cybersecuritywereld: “store now, decrypt later” (SNDL). En het is geen hypothetisch scenario. Google bevestigde dat deze campagnes al plaatsvinden.

Denk daar eens over na. Elk stukje gevoelige data dat jouw organisatie vandaag verstuurt, versleuteld met huidige standaarden, kan ergens in de opslag van een tegenstander liggen te wachten. De encryptie is nog niet gekraakt — maar men gokt erop dat dit wel gaat gebeuren, en mogelijk sneller dan velen denken.

Walker was duidelijk: “Een cryptografisch relevante quantumcomputer is niet altijd nog tien jaar weg.” Die formulering is bewust gekozen. Jarenlang was de tijdlijn van quantumdreiging een bewegend doelwit, telkens ver genoeg in de toekomst om niets te hoeven doen. Google zegt nu dat die houding niet langer acceptabel is.

Dit is een duidelijke verandering van toon van een van ’s werelds grootste technologiebedrijven. En het zou moeten veranderen hoe elke CISO en compliance officer naar hun encryptiestappenplan kijkt.

Wat Google daadwerkelijk heeft gedaan

Het is belangrijk om te benadrukken dat Google niet alleen waarschuwt — ze nemen ook zelf actie. Het bedrijf kondigde aan op schema te liggen om zijn post-quantum cryptografie (PQC) migratie af te ronden binnen de door NIST aanbevolen richtlijnen. Concreet heeft Google de sleuteluitwisseling voor intern verkeer al gemigreerd naar ML-KEM, de belangrijkste post-quantum standaard die NIST in augustus 2024 heeft vastgesteld.

Alle Google-diensten en geselecteerde Google Cloud-native diensten gebruiken nu standaard quantum-resistente sleuteluitwisseling. Dat is een enorme infrastructuurwijziging, en het feit dat ze deze migratie hebben afgerond, geeft hun waarschuwing extra gewicht. Wanneer een bedrijf dat een enorm percentage van het wereldwijde internetverkeer verwerkt zegt “wij hebben dit gedaan, en jij moet dat ook”, heeft dat meer geloofwaardigheid dan een leverancier die een product probeert te verkopen.

ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism), voor wie niet diep in de cryptografische details zit, is een van de algoritmen die NIST heeft geselecteerd als onderdeel van het jarenlange standaardisatieproces voor post-quantum cryptografie. Het is ontworpen om bestand te zijn tegen aanvallen van zowel klassieke als quantumcomputers, waardoor het in theorie een directe vervanging is voor huidige sleuteluitwisselingsmechanismen. In de praktijk is het migreren van bedrijfsinfrastructuur naar nieuwe cryptografische standaarden zelden eenvoudig, en precies daarom zijn de tijdlijnen van Google zo ambitieus.

Het beleidsgat waar niemand over praat

Hier wordt het interessant vanuit het perspectief van naleving van regelgeving. Het Witte Huis werkt momenteel aan een executive order over quantumtechnologie met de titel “Ushering In The Next Frontier Of Quantum Innovation.” Op papier klinkt dat allesomvattend. Het conceptbesluit vraagt meerdere federale instanties om de National Quantum Strategy te updaten en nieuwe quantumcomputercapaciteiten te ontwikkelen voor wetenschappelijke toepassingen.

Maar er is een opvallende omissie: het concept zou geen bepalingen bevatten die specifiek gericht zijn op post-quantum cryptografie. Dat is een behoorlijk grote blinde vlek. Je zou verwachten dat een executive order over quantuminnovatie het meest urgente beveiligingsprobleem van die technologie zou adresseren, maar dat gebeurt blijkbaar niet — althans nog niet.

De beleidsinzet van Google lijkt er juist op gericht dat gat te vullen. Walker schetste vijf aanbevelingen voor beleidsmakers die eerder lezen als een stappenplan dan als suggesties voor het executive order. Onder andere: het stimuleren van brede PQC-adoptie (vooral voor kritieke infrastructuur zoals energienetten en zorgprocessen), cloud-first modernisering om snellere cryptografische updates mogelijk te maken, AI-systemen vanaf het begin bouwen met post-quantum cryptografie, en wereldwijde fragmentatie in standaardisatie voorkomen.

Dat laatste punt over fragmentatie verdient extra aandacht. Als verschillende landen incompatibele post-quantum standaarden invoeren, ontstaat er enorme frictie voor wereldwijde handel en data-uitwisseling. We hebben dit al gezien bij privacywetgeving — GDPR, CCPA, China’s PIPL en tientallen andere wetten zorgen voor een complex en duur compliance-landschap. Als dat patroon zich herhaalt bij cryptografische standaarden, is dat nog veel problematischer, omdat encryptie nog fundamenteler is voor digitale systemen.

Slechts 9 procent heeft een plan

Misschien wel het meest alarmerende cijfer uit Google’s aankondiging: volgens onderzoek aangehaald door Google Cloud heeft slechts 9 procent van de organisaties momenteel een post-quantum stappenplan.

Negen procent.

Dat cijfer zou iedereen die verantwoordelijk is voor bedrijfsbeveiliging of naleving van regelgeving moeten verontrusten. Analisten schatten het migratievenster op ongeveer 12 tot 24 maanden om te starten met de transitie. Niet afronden — starten. En toch is de overgrote meerderheid van de organisaties nog niet eens begonnen met plannen.

Jennifer Fernick, Senior Staff Security Engineer bij Google Cloud, benadrukte de urgentie rondom digitale handtekeningen: “Hoe sneller we deze handtekeningen kunnen beveiligen, hoe veerkrachtiger het fundament van vertrouwen in de digitale wereld wordt.” Ze heeft gelijk. Digitale handtekeningen vormen de basis van alles: van software-updates tot financiële transacties en identificatiebewijzen. Als die handtekeningen vervalst kunnen worden door een quantum-capabele tegenstander, valt de hele keten van digitaal vertrouwen uiteen.

Vanuit compliance-perspectief levert dit een lastige dynamiek op. CISA heeft al federale richtlijnen uitgevaardigd waarin technologiecategorieën worden aangewezen waar post-quantum cryptografie breed beschikbaar is, en overheidscontracten zullen naar verwachting vanaf 2026 PQC-naleving verplicht stellen. Als jouw organisatie zaken doet met de federale overheid — of onder kaders als FedRAMP, CMMC of ITAR valt — is de boodschap duidelijk. PQC-vereisten komen eraan, waarschijnlijk sneller dan de meeste inkoop- en IT-teams verwachten.

Waarom dit verder gaat dan overheidscontracten

Maar de gevolgen voor compliance reiken veel verder dan alleen federale contracten. Kijk naar de regelgevingskaders die nu al “redelijke” of “passende” beveiligingsmaatregelen vereisen — HIPAA, PCI DSS, SOX, diverse staatsprivacywetten. De definitie van wat “redelijk” is, zal verschuiven zodra post-quantum standaarden beschikbaar en breed geadopteerd zijn.

Het idee is als volgt: zodra NIST de PQC-standaarden heeft vastgesteld (wat nu het geval is) en grote technologieaanbieders ze hebben geïmplementeerd (zoals Google nu heeft gedaan), wordt het steeds moeilijker om vol te houden dat uitsluitend vertrouwen op klassieke encryptie een redelijke beveiligingsstatus is. Toezichthouders hoeven geen nieuwe regels te schrijven; ze zullen bestaande regels gewoon anders interpreteren.

Precies zo zijn encryptievereisten eerder geëvolueerd. Toen TLS 1.0 en 1.1 werden uitgefaseerd, raakten organisaties die ze bleven gebruiken buiten de PCI DSS-naleving — niet omdat er een nieuwe regel kwam, maar omdat de standaard voor “sterke cryptografie” veranderde. Verwacht hetzelfde patroon bij post-quantum cryptografie.

Voor organisaties die gevoelige data beheren met lange bewaartermijnen — denk aan zorgdossiers, financiële data, intellectueel eigendom, juridische documenten — voegt de SNDL-dreiging een extra dimensie toe. Data die vandaag versleuteld wordt, moet mogelijk 10, 20 of 30 jaar vertrouwelijk blijven. Als er binnen dat tijdsbestek een quantumcomputer komt die huidige encryptie kan breken, heb je te maken met een retroactief datalek. De data was al gestolen; je wist alleen niet dat deze blootlag.

Wat moeten organisaties nu doen?

Het praktische advies is niet ingewikkeld, al is de uitvoering dat vaak wel. Begin met een cryptografische inventarisatie. Je moet weten welke encryptie-algoritmen je systemen nu gebruiken, waar ze worden toegepast en hoe diep ze zijn ingebed. Dit is lastiger dan het lijkt — de meeste organisaties hebben encryptie verspreid over applicaties, databases, API’s, VPN-tunnels, e-mailsystemen en opslaglagen zonder centraal overzicht.

Ten tweede: begin met het evalueren van post-quantum oplossingen van je bestaande leveranciers. Veel grote cloudproviders en beveiligingsleveranciers bieden al PQC-ondersteuning of hebben het op hun korte termijn roadmap staan. Als je infrastructuur grotendeels cloudgebaseerd is, profiteer je mogelijk van upgrades die je provider doorvoert — maar je moet dat verifiëren, niet aannemen.

Ten derde: geef prioriteit aan je meest gevoelige en langstlevende data. Niet alles hoeft tegelijk gemigreerd te worden. Data die decennia vertrouwelijk moet blijven (patiëntendossiers, defensiegerelateerde informatie, bedrijfsgeheimen) moet vooraan staan, juist vanwege de SNDL-dreiging.

En ten vierde: betrek je compliance- en juridische teams nu al. Wacht niet op een expliciet regelgevend vereiste. Organisaties die proactief starten met hun PQC-migratie staan straks veel sterker dan partijen die pas na een compliance-deadline in actie komen.

Het grotere plaatje

De waarschuwing van Google maakt deel uit van een bredere verschuiving die de afgelopen twee jaar in gang is gezet. NIST heeft in augustus 2024 zijn eerste post-quantum standaarden vastgesteld. De NSA heeft eigen tijdlijnen gepubliceerd voor de overgang van nationale veiligheidssystemen naar quantum-resistente cryptografie. CISA geeft richtlijnen uit. En nu verklaart het grootste technologiebedrijf ter wereld publiekelijk dat de dreiging niet theoretisch is, maar op handen is.

Het gesprek over quantumcomputing en beveiliging is verschoven van academische conferenties en specialistische werkgroepen naar bestuurskamers en toezichthoudende instanties. Die overgang ging sneller dan velen verwachtten, en de kloof tussen bewustzijn en actie blijft enorm.

Of je nu een CISO bent die een businesscase voor PQC-investeringen bouwt, een compliance officer die toekomstige regelgevingsrisico’s in kaart brengt, of een IT-leider die je cryptografische infrastructuur evalueert — de tijd van afwachten is voorbij. Google heeft dat nu duidelijk gemaakt. En met slechts 9 procent van de organisaties die überhaupt een stappenplan hebben, is het competitieve en regelgevende voordeel van vroeg handelen aanzienlijk.

De quantumklok tikt. De vraag is of jouw organisatie klaar is als hij afloopt.

Veelgestelde vragen

Op 7 februari 2026 gaf Google een dringende waarschuwing af dat huidige encryptiesystemen kwetsbaar zijn voor quantumcomputingdreigingen en dat tegenstanders nu al versleutelde data verzamelen via “store now, decrypt later”-aanvallen. Kent Walker, President Global Affairs bij Alphabet en Google, riep overheden en het bedrijfsleven op om de adoptie van post-quantum cryptografie te versnellen en stelde dat een cryptografisch relevante quantumcomputer niet langer altijd nog tien jaar weg is. Google maakte ook bekend dat het zijn eigen diensten al heeft gemigreerd naar quantum-resistente sleuteluitwisseling met ML-KEM, de post-quantum standaard die NIST in augustus 2024 heeft vastgesteld.

Een store now, decrypt later-aanval is een strategie waarbij tegenstanders nu versleutelde data verzamelen en opslaan, met de bedoeling deze te ontsleutelen zodra quantumcomputers krachtig genoeg zijn om huidige encryptie-algoritmen te kraken. Google bevestigde dat deze aanvallen nu al plaatsvinden, waarbij dreigingsactoren versleutelde financiële gegevens, bedrijfsgeheimen en geclassificeerde communicatie verzamelen. Het gevaar is vooral groot voor data die jarenlang of zelfs decennia vertrouwelijk moet blijven, zoals zorgdossiers, defensiegerelateerd intellectueel eigendom en financiële data, omdat een quantumdoorbraak binnen dat vertrouwelijkheidsvenster alles wat is verzameld alsnog zou blootleggen.

Post-quantum cryptografie verwijst naar cryptografische algoritmen die zijn ontworpen om bestand te zijn tegen aanvallen van zowel klassieke als toekomstige quantumcomputers. In augustus 2024 heeft het National Institute of Standards and Technology (NIST) zijn eerste set post-quantum cryptografische standaarden vastgesteld, waaronder ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) voor sleuteluitwisseling en ML-DSA voor digitale handtekeningen. Deze standaarden zijn bedoeld als vervanging voor huidige encryptiemethoden die kwetsbaar zouden zijn voor quantumaanvallen, en vormen de basis voor de wereldwijde overgang naar quantum-resistente beveiligingsinfrastructuur.

Overheidscontracten zullen naar verwachting vanaf 2026 PQC-naleving verplicht stellen, en CISA heeft al federale richtlijnen gepubliceerd waarin productcategorieën worden aangewezen waar post-quantum cryptografie breed beschikbaar is. Organisaties die onder kaders als FedRAMP, CMMC en ITAR vallen, moeten op korte termijn expliciete PQC-vereisten verwachten. Buiten overheidscontracten zullen bestaande regelgevingskaders zoals HIPAA, PCI DSS en SOX, die “redelijke” of “passende” beveiligingsmaatregelen vereisen, waarschijnlijk worden herijkt om post-quantum bescherming te omvatten zodra PQC commercieel beschikbaar is — net zoals PCI DSS-naleving veranderde toen TLS 1.0 en 1.1 werden uitgefaseerd.

Google heeft de sleuteluitwisseling voor al het interne verkeer gemigreerd naar ML-KEM en meldt dat alle Google-diensten en geselecteerde Google Cloud-native diensten nu standaard beschermd zijn met quantum-resistente sleuteluitwisseling. Het bedrijf geeft aan op schema te liggen om de volledige post-quantum cryptografie-migratie af te ronden binnen de door NIST aanbevolen richtlijnen. De afgeronde migratie van Google is belangrijk omdat het aantoont dat grootschalige PQC-inzet technisch haalbaar is en het argument wegneemt dat de standaarden te nieuw of ongetest zijn voor adoptie door ondernemingen.

Organisaties moeten beginnen met een cryptografische inventarisatie om elk encryptie-algoritme in kaart te brengen dat wordt gebruikt in applicaties, databases, API’s, VPN-tunnels, e-mailsystemen en opslaginfrastructuur. Vervolgens moeten ze PQC-ondersteuning van bestaande cloudproviders en beveiligingsleveranciers evalueren, prioriteit geven aan migratie van de meest gevoelige en langstlevende data (die het hoogste SNDL-risico dragen), en direct compliance- en juridische teams betrekken in plaats van te wachten op expliciete regelgeving. Analisten schatten een venster van 12 tot 24 maanden om te starten met de transitie, en met slechts 9 procent van de organisaties die een post-quantum stappenplan hebben, zullen vroege beslissers een aanzienlijk regelgevend en competitief voordeel hebben.

De beleidsaanbevelingen van Google lijken een opvallend gat te adresseren in het concept quantum executive order van het Witte Huis, dat zich richt op het updaten van de National Quantum Strategy en het bouwen van quantumcomputercapaciteiten, maar naar verluidt geen bepalingen bevat over post-quantum cryptografie. Walker schetste vijf aanbevelingen voor beleidsmakers, waaronder het stimuleren van PQC-adoptie voor kritieke infrastructuur zoals energienetten en zorgprocessen, het bevorderen van cloud-first modernisering voor cryptografische flexibiliteit, zorgen dat AI-systemen vanaf het begin post-quantum bescherming krijgen en het voorkomen van wereldwijde fragmentatie in PQC-standaarden. Hoewel Google het executive order niet expliciet bekritiseerde, suggereren de timing en inhoud van de aanbevelingen sterk dat het bedrijf het huidige beleid als onvolledig beschouwt.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks