Qilin Ransomware: 131 Opfer, Die Linke gehackt [2026]

Im März 2026 meldete sich die russischsprachige Ransomware-Gruppe Qilin mit einem politisch heiklen Coup zurück: Die Angreifer behaupteten, die deutsche Partei Die Linke gehackt und rund 72 Gigabyte an Daten erbeutet zu haben. Die Partei bestätigte einen “schwerwiegenden Cyberangriff” auf ihre IT-Infrastruktur, dementierte aber einen vollständigen Datenabfluss. Der Vorfall war kein Einzelfall, sondern Teil einer Rekordserie: Qilin verzeichnete im selben Monat 131 mutmaßliche Opfer weltweit, den höchsten Wert in der Geschichte der Gruppe. Für Unternehmen in Österreich und im gesamten DACH-Raum ist das ein Warnsignal, das weit über die deutsche Parteipolitik hinausreicht.

Dieser Artikel analysiert den Qilin-Ransomware-Angriff auf Die Linke, ordnet ihn in die globale Bedrohungslage 2026 ein und zeigt, was Österreichs Wirtschaft daraus lernen muss. Die Zahlen sind eindeutig: Cyberkriminalität verursacht in Deutschland laut Bitkom-Studie “Wirtschaftsschutz 2025” inzwischen 289,2 Milliarden Euro Schaden pro Jahr. Ransomware ist dabei der häufigste Schadensverursacher.

Qilin-Ransomware attackiert Die Linke: Der Ablauf des Angriffs

Ende März 2026 bestätigte Die Linke öffentlich, dass ihre IT-Systeme Ziel eines Angriffs geworden waren. Wenige Tage später tauchte die Partei auf der Darknet-Leak-Seite von Qilin auf. Die Gruppe veröffentlichte dort Belegdokumente und drohte mit der vollständigen Veröffentlichung der angeblich gestohlenen 72 Gigabyte, sollte kein Lösegeld fließen. Das ist das klassische Muster der doppelten Erpressung: erst verschlüsseln und stehlen, dann mit Veröffentlichung drohen.

Bemerkenswert ist die Diskrepanz in der Darstellung. Während Qilin von einem erfolgreichen Datendiebstahl sprach, bestätigte die Partei zwar den Angriff auf ihre Infrastruktur, nicht aber den Abfluss aller Daten. Diese Lücke ist typisch für Ransomware-Vorfälle: Angreifer übertreiben das Ausmaß, um den Druck auf das Opfer zu erhöhen, während Betroffene aus rechtlichen und reputationsbezogenen Gründen zurückhaltend kommunizieren. Sicherheitsforscher von BlackFog, die den Fall dokumentierten, beziffern die abgegriffene Datenmenge auf rund 72 GB samt hinterlegter Nachweisdokumente.

Der politische Kontext macht den Fall brisant. Eine im Bundestag vertretene Partei zu treffen, ist mehr als ein gewöhnlicher Wirtschaftsangriff. Es berührt Fragen der demokratischen Resilienz, des Schutzes von Mitglieds- und Spenderdaten sowie der nationalen Sicherheit. Die Attacke reiht sich in eine Serie von Vorfällen ein, bei denen russischsprachige Akteure deutsche Institutionen ins Visier nehmen, eine Entwicklung, die deutsche Sicherheitsbehörden seit 2024 mit wachsender Sorge beobachten.

Wer ist die Qilin-Ransomware-Gruppe?

Qilin (chinesisch für ein mythisches Fabelwesen) ist seit 2022 aktiv und hat sich bis 2026 zu einer der schlagkräftigsten Ransomware-Operationen der Welt entwickelt. Die Gruppe arbeitet nach dem Modell Ransomware-as-a-Service (RaaS): Die Kernentwickler stellen die Schadsoftware, die Verschlüsselungstechnik und die Verhandlungsinfrastruktur bereit, während sogenannte Affiliates die eigentlichen Einbrüche durchführen. Das eingenommene Lösegeld wird zwischen Betreibern und Partnern aufgeteilt.

Dieses Geschäftsmodell erklärt die hohe Schlagzahl. Im Jahr 2025 gehörte Qilin zu den aktivsten RaaS-Gruppen und meldete in Spitzenmonaten weit über 40 Opfer, mit einem Höhepunkt von rund 100 Opfern im Juni 2025. Im März 2026 übertraf die Gruppe diese Marke deutlich: 131 mutmaßliche Opfer auf der Leak-Seite bedeuteten den absoluten Rekord seit Bestehen. Drei aufeinanderfolgende Monate jenseits der 100-Opfer-Grenze machten Qilin laut den Analysten von Breachsense zur konstantesten Hochvolumen-Operation im gesamten Ransomware-Ökosystem.

Qilins Opferspektrum ist breit. Neben der Linken traf die Gruppe 2026 unter anderem Fertigungsbetriebe wie den Kunststoffhersteller Pro-Plastics. Diese Mischung aus politischen Zielen, Industrieunternehmen und Gesundheitsorganisationen zeigt: Affiliates greifen opportunistisch dort an, wo Schwachstellen klaffen, unabhängig von Branche oder Land. Für österreichische Mittelständler bedeutet das, dass geografische oder thematische “Unauffälligkeit” keinen Schutz bietet.

131 Opfer im März: Qilins Rekordmonat in Zahlen

Die Dimension des Problems wird erst im Aggregat sichtbar. Im März 2026 erfassten Sicherheitsdienstleister insgesamt 808 mutmaßliche Ransomware-Opfer auf den einschlägigen Leak-Seiten, verteilt auf rund 65 aktive Gruppen. Das lag etwa 33 Prozent über dem Monatsdurchschnitt des Jahres 2025 von 609 Opfern. Wichtig: Es handelt sich um von den Tätern beanspruchte Opfer, nicht um bestätigte Datenpannen. Dennoch zeichnen die Zahlen einen klaren Aufwärtstrend.

Kennzahl	Wert	Quelle / Zeitraum
Ransomware-Opfer gesamt (Leak-Seiten)	808	März 2026
Monatsdurchschnitt 2025	609	Jahr 2025
Anstieg gegenüber 2025-Schnitt	+33 %	März 2026
Beanspruchte Opfer gesamt 2025	7.307	Jahr 2025
Aktive Ransomware-Gruppen	rund 65	März 2026
Qilin-Opfer im Rekordmonat	131	März 2026
Qilin-Spitze 2025	rund 100	Juni 2025
Bei Die Linke erbeutete Datenmenge	rund 72 GB	März 2026 (laut Täter)

Der Trend zur Konzentration ist auffällig. Im Februar 2026 waren allein Qilin und die Gruppe Akira für nahezu die Hälfte aller registrierten Ransomware-Vorfälle verantwortlich, so die Auswertung des Incident-Response-Dienstleisters Arete. Eine kleine Zahl extrem produktiver Operationen treibt also den Großteil des Schadens. Das hat eine wichtige Implikation für die Verteidigung: Wer die Taktiken der drei oder vier aktivsten Gruppen kennt und gezielt abwehrt, deckt einen überproportionalen Anteil der realen Bedrohung ab.

Doppelte Erpressung: Das Geschäftsmodell hinter dem Schaden

Moderne Ransomware ist längst kein reines Verschlüsselungsproblem mehr. Das von Qilin praktizierte Modell der doppelten Erpressung kombiniert zwei Druckmittel. Zuerst werden Daten exfiltriert, also kopiert und abgezogen. Erst danach werden die Systeme des Opfers verschlüsselt. Selbst wer über funktionierende Backups verfügt und seine Systeme wiederherstellen kann, steht weiter unter Druck, weil die Täter mit der Veröffentlichung sensibler Daten drohen.

Für Österreichs Unternehmen verschiebt das die Risikorechnung erheblich. Eine reine Backup-Strategie schützt vor Betriebsunterbrechung, nicht aber vor Reputationsschäden, DSGVO-Bußgeldern oder dem Verlust von Geschäftsgeheimnissen. Genau hier setzen Ransomware-Gruppen an: Sie wissen, dass die Veröffentlichung von Kundendaten in der EU automatisch teuer wird, weil meldepflichtige Datenpannen Aufsichtsbehörden und Betroffene auf den Plan rufen.

Die Zahlungsbereitschaft ist entsprechend hoch. Laut Bitkom-Studie “Wirtschaftsschutz 2025” hat “jedes dritte Unternehmen nach Ransomware-Attacken Lösegeld gezahlt”. 34 Prozent der befragten Betriebe waren überhaupt von Ransomware betroffen. Jede Zahlung finanziert die nächste Angriffswelle, weshalb Behörden wie das deutsche BSI und Europol grundsätzlich von Lösegeldzahlungen abraten. Wer mehr über die Mechanik solcher Vorfälle wissen will, findet in unserem Überblick zu Datenlecks und wie sie entstehen die Grundlagen.

289 Milliarden Euro: Was Cyberkriminalität Deutschland kostet

Der Qilin-Angriff ist ein Datenpunkt in einer teuren Statistik. Die Bitkom-Studie “Wirtschaftsschutz 2025”, vorgestellt im September 2025 gemeinsam mit dem Verfassungsschutz, beziffert den jährlichen Schaden durch Diebstahl, Spionage und Sabotage für die deutsche Wirtschaft auf 289,2 Milliarden Euro. Das ist ein Anstieg von rund 8 Prozent gegenüber dem Vorjahreswert. Ransomware ist dabei laut Bitkom der häufigste Schadensverursacher.

Bitkom Wirtschaftsschutz	Jährlicher Schaden	Veränderung
Erhebung 2021	223,0 Mrd. €	Rekordwert (damals)
Frühere Vergleichsbasis	205,9 Mrd. €	Ausgangswert
Vorjahresstudie	266,6 Mrd. €	rund +29 %
Wirtschaftsschutz 2025	289,2 Mrd. €	rund +8 %
Unternehmen mit Ransomware-Betroffenheit	34 %	2025
Unternehmen, die Lösegeld zahlten	jedes dritte	2025

Bitkom-Präsident Ralf Wintergerst ordnet die Lage als strategisches Risiko ein, nicht als bloßes IT-Problem. Nach Darstellung des Verbands führen die meisten Angriffe nach Russland und China zurück, und die Professionalisierung der Täter nimmt weiter zu. Diese Einschätzung deckt sich mit Berichten der Deutschen Welle, wonach 2025 ein Viertel aller bekannten staatlich gestützten Hackergruppen Deutschland aktiv im Visier hatte. Nur die USA, Indien und Japan lagen bei diesem Maß noch davor.

Die Parallelen zum österreichischen Markt liegen auf der Hand. Die deutschsprachige Wirtschaft ist eng verflochten, viele österreichische Firmen sind Zulieferer deutscher Konzerne oder Teil grenzüberschreitender Lieferketten. Ein Angriff auf einen deutschen Partner kann sich unmittelbar auf österreichische Betriebe auswirken. Eine detaillierte Aufschlüsselung der regionalen Schäden bietet unsere Analyse zu Cyberangriffen im DACH-Raum 2026.

Österreich im Visier: Was der Fall für heimische Unternehmen bedeutet

Österreich ist von derselben Bedrohungslage betroffen wie Deutschland, oft mit weniger Schlagzeilen, aber nicht mit weniger Risiko. Ransomware-Gruppen wie Qilin arbeiten sprach- und grenzunabhängig. Ihre Affiliates scannen das Internet nach verwundbaren VPN-Zugängen, ungepatchten Servern und schwachen Fernwartungszugängen, gleichgültig ob das Ziel in Wien, München oder Graz steht. Österreichische Krankenhäuser, Gemeinden und Industriebetriebe wurden in den vergangenen Jahren wiederholt Opfer von Verschlüsselungsangriffen.

Auf institutioneller Ebene koordiniert in Österreich unter anderem GovCERT Austria die Reaktion auf Cybervorfälle, während das Innenministerium und das Bundesamt für Verfassungsschutz die strafrechtliche und nachrichtendienstliche Seite abdecken. Mit der Umsetzung der EU-Richtlinie NIS2 verschärfen sich zudem die Pflichten für Betreiber kritischer und wichtiger Einrichtungen erheblich. Was das konkret für die Meldepflichten und den Geltungsbereich bedeutet, behandeln wir ausführlich in unserem Beitrag zu NIS2 in Österreich und dem NISG 2026.

Die nationale Kriminalstatistik liefert den nüchternen Hintergrund. Die Zahl der angezeigten Cyberkriminalitätsfälle in Österreich bewegt sich im Bereich von über 60.000 pro Jahr, und die Angriffsfrequenz pro Unternehmen liegt im internationalen Vergleich hoch. Die Details und die Entwicklung der Fallzahlen haben wir in der Auswertung zu Cyberkriminalität in Österreich zusammengetragen. Klar ist: Der Qilin-Angriff auf eine deutsche Partei ist kein fernes Ereignis, sondern die sichtbare Spitze eines Trends, der auch heimische Organisationen täglich trifft.

Marktauswirkungen: Cyberversicherung, IT-Budgets und Lieferketten

Die Rekordzahlen von Qilin und Co. haben handfeste wirtschaftliche Folgen jenseits der unmittelbaren Opfer. Der Markt für Cyberversicherungen reagiert mit steigenden Prämien und strengeren Anforderungen. Versicherer verlangen heute den Nachweis von Multi-Faktor-Authentifizierung, getesteten Backups und Notfallplänen, bevor sie überhaupt eine Police anbieten. Wer diese Mindeststandards nicht erfüllt, erhält entweder keinen Schutz oder zahlt deutlich erhöhte Beiträge.

Auch die IT-Budgets verschieben sich. Deutsche Unternehmen haben ihre Cybersicherheitsinvestitionen gegenüber 2022 laut Branchenberichten verdoppelt. In Österreich folgt der Trend mit etwas Verzögerung, getrieben durch NIS2-Compliance-Kosten und gestiegenes Risikobewusstsein in den Vorständen. Sicherheit wandert damit von der IT-Abteilung in die Chefetage, wo sie als Frage der Geschäftsfähigkeit und des Marktzugangs verhandelt wird.

Der dritte Hebel ist die Lieferkette. Ein einziger kompromittierter Zulieferer kann Dutzende Abnehmer infizieren. Genau deshalb gilt Supply-Chain-Sicherheit als eines der definierenden Themen des Jahres 2026. Große Auftraggeber verlangen von ihren Partnern zunehmend Sicherheitsnachweise, Audits und vertragliche Garantien. Für kleine österreichische Zulieferer wird ein belastbares Sicherheitsniveau damit zur Voraussetzung, überhaupt Geschäfte mit größeren Kunden machen zu dürfen.

Qilin im Vergleich: Akira, LockBit und der RaaS-Markt

Qilin operiert nicht im luftleeren Raum. Der Ransomware-Markt 2026 ist ein dynamisches Ökosystem konkurrierender Gruppen, die um Affiliates, Schlagzeilen und Lösegelder wetteifern. Akira zählt neben Qilin zu den produktivsten Operationen und teilte sich im Februar 2026 mit Qilin fast die Hälfte aller registrierten Vorfälle. LockBit, jahrelang der dominante Akteur, wurde durch internationale Strafverfolgung geschwächt, was Platz für Nachfolger wie Qilin schuf.

Diese Fluktuation ist charakteristisch für den RaaS-Markt. Wenn eine Gruppe durch Festnahmen, Infrastruktur-Beschlagnahmen oder internen Verrat zerfällt, wandern ihre Affiliates einfach zur nächsten Plattform. Das erklärt, warum die Gesamtzahl der Angriffe trotz einzelner Strafverfolgungserfolge weiter steigt: Die Köpfe wechseln, das Geschäftsmodell bleibt. Für Verteidiger heißt das, dass die Jagd auf einzelne Marken weniger bringt als die Härtung gegen die gemeinsamen Taktiken aller Gruppen.

Die folgende Übersicht fasst die wichtigsten Merkmale der aktuell relevanten Gruppen zusammen, soweit sie sich aus öffentlichen Auswertungen belegen lassen.

Gruppe	Aktiv seit	Modell	Status 2026
Qilin	2022	Ransomware-as-a-Service	Rekordvolumen, 131 Opfer im März
Akira	2023	Ransomware-as-a-Service	Sehr hohe Aktivität, Top-Gruppe
LockBit	2019	Ransomware-as-a-Service	Durch Strafverfolgung geschwächt
REvil / GandCrab	2018-2019	Ransomware-as-a-Service	Mutmaßliche Köpfe 2026 identifiziert
Fancy Bear	staatsnah	Spionage / Sabotage	Router-Angriffe Anfang 2026

Historischer Kontext: Von REvil bis Qilin

Die heutige Ransomware-Welle hat eine klare Vorgeschichte. Gruppen wie GandCrab (ab 2018) und REvil (ab 2019) pionierten das RaaS-Modell und zeigten, dass sich Erpressung industriell skalieren lässt. REvil erlangte mit dem Angriff auf den IT-Dienstleister Kaseya 2021 traurige Berühmtheit, bei dem über die Lieferkette Tausende Unternehmen gleichzeitig getroffen wurden. 2026 meldeten deutsche Behörden, dass mutmaßliche Drahtzieher von REvil und GandCrab identifiziert worden seien, ein später, aber wichtiger Strafverfolgungserfolg.

Auf REvil folgte die Ära von LockBit, das jahrelang die Statistiken dominierte, bis internationale Operationen die Infrastruktur störten. Jeder dieser Zyklen verlief ähnlich: Aufstieg, Dominanz, Strafverfolgung, Zerfall, gefolgt vom Aufstieg eines Nachfolgers. Qilin ist die aktuelle Stufe dieser Entwicklung. Die Gruppe hat aus den Fehlern der Vorgänger gelernt, etwa beim Schutz ihrer Infrastruktur und der Anwerbung erfahrener Affiliates.

Diese Geschichte lehrt eine unbequeme Wahrheit: Das Zerschlagen einzelner Gruppen bringt nur temporäre Entlastung. Solange Erpressung profitabel bleibt und Lösegeld fließt, entsteht aus jeder zerschlagenen Operation eine neue. Nachhaltige Wirkung haben nur strukturelle Maßnahmen: bessere Grundhygiene bei den potenziellen Opfern, konsequente Strafverfolgung der Hintermänner und das Austrocknen der Geldflüsse über Kryptowährungen.

Staatsnahe Bedrohungen: Die geopolitische Dimension

Neben kriminellen RaaS-Gruppen wächst eine zweite Bedrohungsebene: staatlich gestützte Akteure. Anfang 2026 warnten Behörden in Deutschland und den USA vor einer mit dem russischen Militärgeheimdienst verbundenen Gruppe, die verwundbare Internet-Router in Deutschland ausnutzte. Die als Fancy Bear bekannte Gruppe infiltrierte laut Berichten Router, um an sensible Daten aus Militär, politischen Institutionen und Infrastruktur zu gelangen.

Die Grenze zwischen kriminell und staatlich verschwimmt dabei zunehmend. Russischsprachige Ransomware-Gruppen operieren oft mit stillschweigender Duldung, solange sie keine heimischen Ziele angreifen. Der Angriff auf eine deutsche Partei fügt sich in dieses Bild: Er kann finanziell motiviert sein, entfaltet aber zugleich eine destabilisierende politische Wirkung. Deutsche Sicherheitsberichte sprechen 2026 von Cyberoperationen als permanentem Element der Bedrohungslandschaft, geprägt von geopolitischen Spannungen.

Für Österreich, das traditionell eine neutrale Position einnimmt, ist diese Entwicklung doppelt heikel. Neutralität schützt nicht vor opportunistischen Angriffen, und die enge wirtschaftliche Verflechtung mit Deutschland macht heimische Unternehmen zu potenziellen Kollateralzielen. Phishing bleibt dabei der häufigste Erstzugang. Wie man die typischen Maschen erkennt, erklären wir im Ratgeber zu Phishing-Angriffen.

Stimmen aus der Sicherheitsbranche

Die Einordnung durch Fachleute zeichnet ein konsistentes Bild. Bitkom-Präsident Ralf Wintergerst betont, dass Cybersicherheit zur Chefsache geworden ist und über Wettbewerbsfähigkeit, Reputation und Marktzugang entscheidet. Der Verband fasst das Kernproblem in einem Satz zusammen: “Jedes dritte Unternehmen hat nach Ransomware-Attacken Lösegeld gezahlt.” Jede dieser Zahlungen, so die Mahnung, finanziert die nächste Angriffswelle.

BSI-Präsidentin Claudia Plattner ordnet Ransomware seit Jahren als eine der größten Bedrohungen für Wirtschaft und Verwaltung ein und wirbt für ein höheres Grundschutzniveau über alle Organisationsgrößen hinweg. Aus der Forschungsperspektive ergänzen die Analysten von Breachsense, dass Qilin mit drei aufeinanderfolgenden Monaten über der 100-Opfer-Marke zur konstantesten Hochvolumen-Operation aufgestiegen ist. Der Incident-Response-Dienstleister Arete weist darauf hin, dass sich die Aktivität stark auf wenige Spitzengruppen konzentriert.

Die gemeinsame Botschaft dieser Stimmen: Ransomware ist kein technisches Randthema, sondern ein systemisches Risiko für Volkswirtschaften. Die Verteidigung muss sich von reaktivem Krisenmanagement zu proaktiver Resilienz wandeln, mit getesteten Backups, Netzwerksegmentierung und der Annahme, dass ein Einbruch früher oder später erfolgt.

Fünf Prognosen für die Ransomware-Lage 2026 und 2027

Erstens: Die Opferzahlen steigen weiter. Mit über 7.300 beanspruchten Opfern 2025 und einem März 2026, der 33 Prozent über dem Vorjahresschnitt lag, deutet alles auf neue Rekorde hin. Die Kombination aus RaaS-Skalierung und automatisierter Schwachstellensuche treibt das Volumen.

Zweitens: KI beschleunigt beide Seiten. Angreifer nutzen generative KI für überzeugendere Phishing-Mails und schnellere Schwachstellenausnutzung. Verteidiger setzen KI zur Anomalieerkennung ein. Das Rennen wird sich 2026 verschärfen, ohne dass eine Seite dauerhaft die Oberhand gewinnt.

Drittens: Politische Ziele rücken stärker in den Fokus. Der Angriff auf Die Linke ist ein Vorbote. Parteien, Behörden und kritische Infrastruktur werden 2026 und 2027 häufiger Ziel, weil sich finanzielle Motive und destabilisierende Wirkung dort verbinden lassen.

Viertens: NIS2 erhöht das Schutzniveau, aber langsam. Die verschärften Pflichten werden in Österreich und der EU mittelfristig die Grundhygiene verbessern. Kurzfristig dominieren jedoch Umsetzungslücken und Verzögerungen, die Angreifer weiter ausnutzen.

Fünftens: Lösegeldzahlungen geraten unter Druck. Strengere Regulierung und Versicherungsbedingungen werden Zahlungen erschweren. Das könnte das Geschäftsmodell langfristig schwächen, treibt kurzfristig aber den Übergang zu reinen Datendiebstahl-Erpressungen ohne Verschlüsselung voran.

So schützen sich Unternehmen vor Qilin und anderer Ransomware

Die gute Nachricht: Die meisten Ransomware-Angriffe nutzen bekannte, vermeidbare Schwachstellen. Eine konsequente Grundhygiene blockt einen Großteil der Affiliate-getriebenen Einbrüche. Die folgenden Maßnahmen gelten als Mindeststandard und werden zunehmend auch von Cyberversicherern verlangt.

• Multi-Faktor-Authentifizierung für alle Fernzugänge, VPNs und Cloud-Dienste, ohne Ausnahmen.
• Getestete Offline-Backups nach der 3-2-1-Regel, regelmäßig auf Wiederherstellbarkeit geprüft.
• Schnelles Patchen internetexponierter Systeme, besonders VPN-Gateways und Fernwartung.
• Netzwerksegmentierung, damit ein kompromittiertes System nicht das gesamte Netz erreicht.
• Mitarbeiterschulung gegen Phishing als häufigsten Erstzugang.
• Notfallplan mit klaren Rollen, Meldewegen und einem geprobten Ablauf für den Ernstfall.

Ein einfaches Beispiel für eine grundlegende Härtungsmaßnahme ist das automatische Sperren wiederholter fehlgeschlagener Anmeldeversuche, etwa per Fail2ban auf Linux-Servern:

# /etc/fail2ban/jail.local
[sshd]
enabled  = true
maxretry = 3
findtime = 600
bantime  = 86400
# Sperrt eine IP nach 3 Fehlversuchen in 10 Minuten fuer 24 Stunden

Solche Basismaßnahmen ersetzen keine umfassende Sicherheitsstrategie, senken aber die Angriffsfläche deutlich. Entscheidend ist die Haltung: Nicht ob, sondern wann ein Angriffsversuch kommt, sollte die Planung leiten.

Häufige Fragen zur Qilin-Ransomware und zum Die-Linke-Hack

Wer steckt hinter der Qilin-Ransomware?

Qilin ist eine seit 2022 aktive, russischsprachige Ransomware-Gruppe, die nach dem Modell Ransomware-as-a-Service arbeitet. Die Kernentwickler stellen die Schadsoftware bereit, Partner (Affiliates) führen die Angriffe aus und teilen das Lösegeld. 2026 gehört Qilin zu den aktivsten Gruppen weltweit.

Was genau ist bei Die Linke passiert?

Ende März 2026 bestätigte die Partei einen schwerwiegenden Cyberangriff auf ihre IT-Infrastruktur. Qilin beanspruchte die Tat und behauptete, rund 72 GB Daten erbeutet zu haben, mit Drohung der Veröffentlichung. Die Partei bestätigte den Angriff, nicht aber den vollständigen Datenabfluss.

Ist Österreich von Qilin-Angriffen betroffen?

Ja. Ransomware-Gruppen wie Qilin arbeiten grenz- und sprachunabhängig und greifen opportunistisch verwundbare Systeme an, unabhängig vom Standort. Österreichische Unternehmen, Gemeinden und Gesundheitseinrichtungen sind genauso gefährdet wie deutsche Ziele.

Sollte man bei einem Ransomware-Angriff Lösegeld zahlen?

Behörden wie das BSI und Europol raten grundsätzlich ab. Zahlungen finanzieren weitere Angriffe und garantieren weder die Datenrückgabe noch das Ausbleiben einer Veröffentlichung. Besser sind getestete Backups, ein Notfallplan und die sofortige Einbindung von Behörden und Spezialisten.

Was ist doppelte Erpressung?

Bei der doppelten Erpressung stehlen Angreifer zuerst Daten und verschlüsseln dann die Systeme. Selbst mit funktionierenden Backups bleibt das Opfer unter Druck, weil mit der Veröffentlichung der gestohlenen Daten gedroht wird. Dieses Modell macht reine Backup-Strategien unzureichend.

Wie hoch ist der Schaden durch Cyberkriminalität insgesamt?

Laut Bitkom-Studie “Wirtschaftsschutz 2025” beträgt der jährliche Schaden für die deutsche Wirtschaft durch Diebstahl, Spionage und Sabotage 289,2 Milliarden Euro, ein Plus von rund 8 Prozent gegenüber dem Vorjahr. Ransomware ist dabei der häufigste Schadensverursacher.

Verwandte Beiträge

• Cyberangriffe DACH 2026: 289 Mrd. € Schaden
• Cyberkriminalität Österreich: 62.328 Fälle
• Cyberangriffe Österreich: 2.122 pro Woche
• NIS2 Österreich: NISG 2026 erklärt
• Datenlecks: Wie sie entstehen und wie Sie sich schützen
• Phishing-Angriffe erkennen und richtig reagieren

Quellen und weiterführende Links

• Bitkom: Studie Wirtschaftsschutz / Economic Security 2025
• Bundesamt für Sicherheit in der Informationstechnik (BSI)
• ENISA: Europäische Agentur für Cybersicherheit
• Security Affairs: Qilin beansprucht Die-Linke-Hack
• The Record: Drohung mit Datenveröffentlichung
• CM-Alliance: Cybervorfälle 2026 im Überblick