{"id":85,"date":"2026-06-14T04:19:26","date_gmt":"2026-06-14T04:19:26","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/14\/qilin-ransomware-die-linke-2026\/"},"modified":"2026-06-14T12:22:59","modified_gmt":"2026-06-14T12:22:59","slug":"qilin-ransomware-die-linke-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/qilin-ransomware-die-linke-2026\/","title":{"rendered":"Qilin Ransomware: 131 Opfer, Die Linke gehackt [2026]"},"content":{"rendered":"\n

Im M\u00e4rz 2026 meldete sich die russischsprachige Ransomware-Gruppe Qilin<\/strong> mit einem politisch heiklen Coup zur\u00fcck: Die Angreifer behaupteten, die deutsche Partei Die Linke gehackt und rund 72 Gigabyte an Daten erbeutet zu haben. Die Partei best\u00e4tigte einen “schwerwiegenden Cyberangriff” auf ihre IT-Infrastruktur, dementierte aber einen vollst\u00e4ndigen Datenabfluss. Der Vorfall war kein Einzelfall, sondern Teil einer Rekordserie: Qilin verzeichnete im selben Monat 131 mutma\u00dfliche Opfer weltweit, den h\u00f6chsten Wert in der Geschichte der Gruppe. F\u00fcr Unternehmen in \u00d6sterreich und im gesamten DACH-Raum ist das ein Warnsignal, das weit \u00fcber die deutsche Parteipolitik hinausreicht.<\/p>\n\n\n\n

Dieser Artikel analysiert den Qilin-Ransomware-Angriff auf Die Linke, ordnet ihn in die globale Bedrohungslage 2026 ein und zeigt, was \u00d6sterreichs Wirtschaft daraus lernen muss. Die Zahlen sind eindeutig: Cyberkriminalit\u00e4t verursacht in Deutschland laut Bitkom-Studie “Wirtschaftsschutz 2025” inzwischen 289,2 Milliarden Euro Schaden pro Jahr. Ransomware ist dabei der h\u00e4ufigste Schadensverursacher.<\/p>\n\n\n\n

Qilin-Ransomware attackiert Die Linke: Der Ablauf des Angriffs<\/h2>\n\n\n\n

Ende M\u00e4rz 2026 best\u00e4tigte Die Linke \u00f6ffentlich, dass ihre IT-Systeme Ziel eines Angriffs geworden waren. Wenige Tage sp\u00e4ter tauchte die Partei auf der Darknet-Leak-Seite von Qilin auf. Die Gruppe ver\u00f6ffentlichte dort Belegdokumente und drohte mit der vollst\u00e4ndigen Ver\u00f6ffentlichung der angeblich gestohlenen 72 Gigabyte, sollte kein L\u00f6segeld flie\u00dfen. Das ist das klassische Muster der doppelten Erpressung: erst verschl\u00fcsseln und stehlen, dann mit Ver\u00f6ffentlichung drohen.<\/p>\n\n\n\n

Bemerkenswert ist die Diskrepanz in der Darstellung. W\u00e4hrend Qilin von einem erfolgreichen Datendiebstahl sprach, best\u00e4tigte die Partei zwar den Angriff auf ihre Infrastruktur, nicht aber den Abfluss aller Daten. Diese L\u00fccke ist typisch f\u00fcr Ransomware-Vorf\u00e4lle: Angreifer \u00fcbertreiben das Ausma\u00df, um den Druck auf das Opfer zu erh\u00f6hen, w\u00e4hrend Betroffene aus rechtlichen und reputationsbezogenen Gr\u00fcnden zur\u00fcckhaltend kommunizieren. Sicherheitsforscher von BlackFog, die den Fall dokumentierten, beziffern die abgegriffene Datenmenge auf rund 72 GB samt hinterlegter Nachweisdokumente.<\/p>\n\n\n\n

Der politische Kontext macht den Fall brisant. Eine im Bundestag vertretene Partei zu treffen, ist mehr als ein gew\u00f6hnlicher Wirtschaftsangriff. Es ber\u00fchrt Fragen der demokratischen Resilienz, des Schutzes von Mitglieds- und Spenderdaten sowie der nationalen Sicherheit. Die Attacke reiht sich in eine Serie von Vorf\u00e4llen ein, bei denen russischsprachige Akteure deutsche Institutionen ins Visier nehmen, eine Entwicklung, die deutsche Sicherheitsbeh\u00f6rden seit 2024 mit wachsender Sorge beobachten.<\/p>\n\n\n\n

Wer ist die Qilin-Ransomware-Gruppe?<\/h2>\n\n\n\n

Qilin (chinesisch f\u00fcr ein mythisches Fabelwesen) ist seit 2022 aktiv und hat sich bis 2026 zu einer der schlagkr\u00e4ftigsten Ransomware-Operationen der Welt entwickelt. Die Gruppe arbeitet nach dem Modell Ransomware-as-a-Service (RaaS): Die Kernentwickler stellen die Schadsoftware, die Verschl\u00fcsselungstechnik und die Verhandlungsinfrastruktur bereit, w\u00e4hrend sogenannte Affiliates die eigentlichen Einbr\u00fcche durchf\u00fchren. Das eingenommene L\u00f6segeld wird zwischen Betreibern und Partnern aufgeteilt.<\/p>\n\n\n\n

Dieses Gesch\u00e4ftsmodell erkl\u00e4rt die hohe Schlagzahl. Im Jahr 2025 geh\u00f6rte Qilin zu den aktivsten RaaS-Gruppen und meldete in Spitzenmonaten weit \u00fcber 40 Opfer, mit einem H\u00f6hepunkt von rund 100 Opfern im Juni 2025. Im M\u00e4rz 2026 \u00fcbertraf die Gruppe diese Marke deutlich: 131 mutma\u00dfliche Opfer auf der Leak-Seite bedeuteten den absoluten Rekord seit Bestehen. Drei aufeinanderfolgende Monate jenseits der 100-Opfer-Grenze machten Qilin laut den Analysten von Breachsense zur konstantesten Hochvolumen-Operation im gesamten Ransomware-\u00d6kosystem.<\/p>\n\n\n\n

Qilins Opferspektrum ist breit. Neben der Linken traf die Gruppe 2026 unter anderem Fertigungsbetriebe wie den Kunststoffhersteller Pro-Plastics. Diese Mischung aus politischen Zielen, Industrieunternehmen und Gesundheitsorganisationen zeigt: Affiliates greifen opportunistisch dort an, wo Schwachstellen klaffen, unabh\u00e4ngig von Branche oder Land. F\u00fcr \u00f6sterreichische Mittelst\u00e4ndler bedeutet das, dass geografische oder thematische “Unauff\u00e4lligkeit” keinen Schutz bietet.<\/p>\n\n\n\n

131 Opfer im M\u00e4rz: Qilins Rekordmonat in Zahlen<\/h2>\n\n\n\n

Die Dimension des Problems wird erst im Aggregat sichtbar. Im M\u00e4rz 2026 erfassten Sicherheitsdienstleister insgesamt 808 mutma\u00dfliche Ransomware-Opfer auf den einschl\u00e4gigen Leak-Seiten, verteilt auf rund 65 aktive Gruppen. Das lag etwa 33 Prozent \u00fcber dem Monatsdurchschnitt des Jahres 2025 von 609 Opfern. Wichtig: Es handelt sich um von den T\u00e4tern beanspruchte Opfer, nicht um best\u00e4tigte Datenpannen. Dennoch zeichnen die Zahlen einen klaren Aufw\u00e4rtstrend.<\/p>\n\n\n\n

Kennzahl<\/th>Wert<\/th>Quelle \/ Zeitraum<\/th><\/tr><\/thead>
Ransomware-Opfer gesamt (Leak-Seiten)<\/td>808<\/td>M\u00e4rz 2026<\/td><\/tr>
Monatsdurchschnitt 2025<\/td>609<\/td>Jahr 2025<\/td><\/tr>
Anstieg gegen\u00fcber 2025-Schnitt<\/td>+33 %<\/td>M\u00e4rz 2026<\/td><\/tr>
Beanspruchte Opfer gesamt 2025<\/td>7.307<\/td>Jahr 2025<\/td><\/tr>
Aktive Ransomware-Gruppen<\/td>rund 65<\/td>M\u00e4rz 2026<\/td><\/tr>
Qilin-Opfer im Rekordmonat<\/td>131<\/td>M\u00e4rz 2026<\/td><\/tr>
Qilin-Spitze 2025<\/td>rund 100<\/td>Juni 2025<\/td><\/tr>
Bei Die Linke erbeutete Datenmenge<\/td>rund 72 GB<\/td>M\u00e4rz 2026 (laut T\u00e4ter)<\/td><\/tr><\/tbody><\/table>
Ransomware-Lage M\u00e4rz 2026 nach Auswertung von Leak-Seiten. Zahlen bezeichnen von T\u00e4tern beanspruchte Opfer.<\/figcaption><\/figure>\n\n\n\n

Der Trend zur Konzentration ist auff\u00e4llig. Im Februar 2026 waren allein Qilin und die Gruppe Akira f\u00fcr nahezu die H\u00e4lfte aller registrierten Ransomware-Vorf\u00e4lle verantwortlich, so die Auswertung des Incident-Response-Dienstleisters Arete. Eine kleine Zahl extrem produktiver Operationen treibt also den Gro\u00dfteil des Schadens. Das hat eine wichtige Implikation f\u00fcr die Verteidigung: Wer die Taktiken der drei oder vier aktivsten Gruppen kennt und gezielt abwehrt, deckt einen \u00fcberproportionalen Anteil der realen Bedrohung ab.<\/p>\n\n\n\n

Doppelte Erpressung: Das Gesch\u00e4ftsmodell hinter dem Schaden<\/h2>\n\n\n\n

Moderne Ransomware ist l\u00e4ngst kein reines Verschl\u00fcsselungsproblem mehr. Das von Qilin praktizierte Modell der doppelten Erpressung kombiniert zwei Druckmittel. Zuerst werden Daten exfiltriert, also kopiert und abgezogen. Erst danach werden die Systeme des Opfers verschl\u00fcsselt. Selbst wer \u00fcber funktionierende Backups verf\u00fcgt und seine Systeme wiederherstellen kann, steht weiter unter Druck, weil die T\u00e4ter mit der Ver\u00f6ffentlichung sensibler Daten drohen.<\/p>\n\n\n\n

F\u00fcr \u00d6sterreichs Unternehmen verschiebt das die Risikorechnung erheblich. Eine reine Backup-Strategie sch\u00fctzt vor Betriebsunterbrechung, nicht aber vor Reputationssch\u00e4den, DSGVO-Bu\u00dfgeldern oder dem Verlust von Gesch\u00e4ftsgeheimnissen. Genau hier setzen Ransomware-Gruppen an: Sie wissen, dass die Ver\u00f6ffentlichung von Kundendaten in der EU automatisch teuer wird, weil meldepflichtige Datenpannen Aufsichtsbeh\u00f6rden und Betroffene auf den Plan rufen.<\/p>\n\n\n\n

Die Zahlungsbereitschaft ist entsprechend hoch. Laut Bitkom-Studie “Wirtschaftsschutz 2025” hat “jedes dritte Unternehmen nach Ransomware-Attacken L\u00f6segeld gezahlt”. 34 Prozent der befragten Betriebe waren \u00fcberhaupt von Ransomware betroffen. Jede Zahlung finanziert die n\u00e4chste Angriffswelle, weshalb Beh\u00f6rden wie das deutsche BSI und Europol grunds\u00e4tzlich von L\u00f6segeldzahlungen abraten. Wer mehr \u00fcber die Mechanik solcher Vorf\u00e4lle wissen will, findet in unserem \u00dcberblick zu Datenlecks und wie sie entstehen<\/a> die Grundlagen.<\/p>\n\n\n\n

289 Milliarden Euro: Was Cyberkriminalit\u00e4t Deutschland kostet<\/h2>\n\n\n\n

Der Qilin-Angriff ist ein Datenpunkt in einer teuren Statistik. Die Bitkom-Studie “Wirtschaftsschutz 2025”, vorgestellt im September 2025 gemeinsam mit dem Verfassungsschutz, beziffert den j\u00e4hrlichen Schaden durch Diebstahl, Spionage und Sabotage f\u00fcr die deutsche Wirtschaft auf 289,2 Milliarden Euro. Das ist ein Anstieg von rund 8 Prozent gegen\u00fcber dem Vorjahreswert. Ransomware ist dabei laut Bitkom der h\u00e4ufigste Schadensverursacher.<\/p>\n\n\n\n

Bitkom Wirtschaftsschutz<\/th>J\u00e4hrlicher Schaden<\/th>Ver\u00e4nderung<\/th><\/tr><\/thead>
Erhebung 2021<\/td>223,0 Mrd. \u20ac<\/td>Rekordwert (damals)<\/td><\/tr>
Fr\u00fchere Vergleichsbasis<\/td>205,9 Mrd. \u20ac<\/td>Ausgangswert<\/td><\/tr>
Vorjahresstudie<\/td>266,6 Mrd. \u20ac<\/td>rund +29 %<\/td><\/tr>
Wirtschaftsschutz 2025<\/td>289,2 Mrd. \u20ac<\/td>rund +8 %<\/td><\/tr>
Unternehmen mit Ransomware-Betroffenheit<\/td>34 %<\/td>2025<\/td><\/tr>
Unternehmen, die L\u00f6segeld zahlten<\/td>jedes dritte<\/td>2025<\/td><\/tr><\/tbody><\/table>
Schadensentwicklung laut Bitkom-Studien zur Wirtschaftssicherheit. Werte gerundet.<\/figcaption><\/figure>\n\n\n\n

Bitkom-Pr\u00e4sident Ralf Wintergerst ordnet die Lage als strategisches Risiko ein, nicht als blo\u00dfes IT-Problem. Nach Darstellung des Verbands f\u00fchren die meisten Angriffe nach Russland und China zur\u00fcck, und die Professionalisierung der T\u00e4ter nimmt weiter zu. Diese Einsch\u00e4tzung deckt sich mit Berichten der Deutschen Welle, wonach 2025 ein Viertel aller bekannten staatlich gest\u00fctzten Hackergruppen Deutschland aktiv im Visier hatte. Nur die USA, Indien und Japan lagen bei diesem Ma\u00df noch davor.<\/p>\n\n\n\n

Die Parallelen zum \u00f6sterreichischen Markt liegen auf der Hand. Die deutschsprachige Wirtschaft ist eng verflochten, viele \u00f6sterreichische Firmen sind Zulieferer deutscher Konzerne oder Teil grenz\u00fcberschreitender Lieferketten. Ein Angriff auf einen deutschen Partner kann sich unmittelbar auf \u00f6sterreichische Betriebe auswirken. Eine detaillierte Aufschl\u00fcsselung der regionalen Sch\u00e4den bietet unsere Analyse zu Cyberangriffen im DACH-Raum 2026<\/a>.<\/p>\n\n\n\n

\u00d6sterreich im Visier: Was der Fall f\u00fcr heimische Unternehmen bedeutet<\/h2>\n\n\n\n

\u00d6sterreich ist von derselben Bedrohungslage betroffen wie Deutschland, oft mit weniger Schlagzeilen, aber nicht mit weniger Risiko. Ransomware-Gruppen wie Qilin arbeiten sprach- und grenzunabh\u00e4ngig. Ihre Affiliates scannen das Internet nach verwundbaren VPN-Zug\u00e4ngen, ungepatchten Servern und schwachen Fernwartungszug\u00e4ngen, gleichg\u00fcltig ob das Ziel in Wien, M\u00fcnchen oder Graz steht. \u00d6sterreichische Krankenh\u00e4user, Gemeinden und Industriebetriebe wurden in den vergangenen Jahren wiederholt Opfer von Verschl\u00fcsselungsangriffen.<\/p>\n\n\n\n

Auf institutioneller Ebene koordiniert in \u00d6sterreich unter anderem GovCERT Austria die Reaktion auf Cybervorf\u00e4lle, w\u00e4hrend das Innenministerium und das Bundesamt f\u00fcr Verfassungsschutz die strafrechtliche und nachrichtendienstliche Seite abdecken. Mit der Umsetzung der EU-Richtlinie NIS2 versch\u00e4rfen sich zudem die Pflichten f\u00fcr Betreiber kritischer und wichtiger Einrichtungen erheblich. Was das konkret f\u00fcr die Meldepflichten und den Geltungsbereich bedeutet, behandeln wir ausf\u00fchrlich in unserem Beitrag zu NIS2 in \u00d6sterreich und dem NISG 2026<\/a>.<\/p>\n\n\n\n

Die nationale Kriminalstatistik liefert den n\u00fcchternen Hintergrund. Die Zahl der angezeigten Cyberkriminalit\u00e4tsf\u00e4lle in \u00d6sterreich bewegt sich im Bereich von \u00fcber 60.000 pro Jahr, und die Angriffsfrequenz pro Unternehmen liegt im internationalen Vergleich hoch. Die Details und die Entwicklung der Fallzahlen haben wir in der Auswertung zu Cyberkriminalit\u00e4t in \u00d6sterreich<\/a> zusammengetragen. Klar ist: Der Qilin-Angriff auf eine deutsche Partei ist kein fernes Ereignis, sondern die sichtbare Spitze eines Trends, der auch heimische Organisationen t\u00e4glich trifft.<\/p>\n\n\n\n

Marktauswirkungen: Cyberversicherung, IT-Budgets und Lieferketten<\/h2>\n\n\n\n

Die Rekordzahlen von Qilin und Co. haben handfeste wirtschaftliche Folgen jenseits der unmittelbaren Opfer. Der Markt f\u00fcr Cyberversicherungen reagiert mit steigenden Pr\u00e4mien und strengeren Anforderungen. Versicherer verlangen heute den Nachweis von Multi-Faktor-Authentifizierung, getesteten Backups und Notfallpl\u00e4nen, bevor sie \u00fcberhaupt eine Police anbieten. Wer diese Mindeststandards nicht erf\u00fcllt, erh\u00e4lt entweder keinen Schutz oder zahlt deutlich erh\u00f6hte Beitr\u00e4ge.<\/p>\n\n\n\n

Auch die IT-Budgets verschieben sich. Deutsche Unternehmen haben ihre Cybersicherheitsinvestitionen gegen\u00fcber 2022 laut Branchenberichten verdoppelt. In \u00d6sterreich folgt der Trend mit etwas Verz\u00f6gerung, getrieben durch NIS2-Compliance-Kosten und gestiegenes Risikobewusstsein in den Vorst\u00e4nden. Sicherheit wandert damit von der IT-Abteilung in die Chefetage, wo sie als Frage der Gesch\u00e4ftsf\u00e4higkeit und des Marktzugangs verhandelt wird.<\/p>\n\n\n\n

Der dritte Hebel ist die Lieferkette. Ein einziger kompromittierter Zulieferer kann Dutzende Abnehmer infizieren. Genau deshalb gilt Supply-Chain-Sicherheit als eines der definierenden Themen des Jahres 2026. Gro\u00dfe Auftraggeber verlangen von ihren Partnern zunehmend Sicherheitsnachweise, Audits und vertragliche Garantien. F\u00fcr kleine \u00f6sterreichische Zulieferer wird ein belastbares Sicherheitsniveau damit zur Voraussetzung, \u00fcberhaupt Gesch\u00e4fte mit gr\u00f6\u00dferen Kunden machen zu d\u00fcrfen.<\/p>\n\n\n\n

Qilin im Vergleich: Akira, LockBit und der RaaS-Markt<\/h2>\n\n\n\n

Qilin operiert nicht im luftleeren Raum. Der Ransomware-Markt 2026 ist ein dynamisches \u00d6kosystem konkurrierender Gruppen, die um Affiliates, Schlagzeilen und L\u00f6segelder wetteifern. Akira z\u00e4hlt neben Qilin zu den produktivsten Operationen und teilte sich im Februar 2026 mit Qilin fast die H\u00e4lfte aller registrierten Vorf\u00e4lle. LockBit, jahrelang der dominante Akteur, wurde durch internationale Strafverfolgung geschw\u00e4cht, was Platz f\u00fcr Nachfolger wie Qilin schuf.<\/p>\n\n\n\n

Diese Fluktuation ist charakteristisch f\u00fcr den RaaS-Markt. Wenn eine Gruppe durch Festnahmen, Infrastruktur-Beschlagnahmen oder internen Verrat zerf\u00e4llt, wandern ihre Affiliates einfach zur n\u00e4chsten Plattform. Das erkl\u00e4rt, warum die Gesamtzahl der Angriffe trotz einzelner Strafverfolgungserfolge weiter steigt: Die K\u00f6pfe wechseln, das Gesch\u00e4ftsmodell bleibt. F\u00fcr Verteidiger hei\u00dft das, dass die Jagd auf einzelne Marken weniger bringt als die H\u00e4rtung gegen die gemeinsamen Taktiken aller Gruppen.<\/p>\n\n\n\n

Die folgende \u00dcbersicht fasst die wichtigsten Merkmale der aktuell relevanten Gruppen zusammen, soweit sie sich aus \u00f6ffentlichen Auswertungen belegen lassen.<\/p>\n\n\n\n

Gruppe<\/th>Aktiv seit<\/th>Modell<\/th>Status 2026<\/th><\/tr><\/thead>
Qilin<\/td>2022<\/td>Ransomware-as-a-Service<\/td>Rekordvolumen, 131 Opfer im M\u00e4rz<\/td><\/tr>
Akira<\/td>2023<\/td>Ransomware-as-a-Service<\/td>Sehr hohe Aktivit\u00e4t, Top-Gruppe<\/td><\/tr>
LockBit<\/td>2019<\/td>Ransomware-as-a-Service<\/td>Durch Strafverfolgung geschw\u00e4cht<\/td><\/tr>
REvil \/ GandCrab<\/td>2018-2019<\/td>Ransomware-as-a-Service<\/td>Mutma\u00dfliche K\u00f6pfe 2026 identifiziert<\/td><\/tr>
Fancy Bear<\/td>staatsnah<\/td>Spionage \/ Sabotage<\/td>Router-Angriffe Anfang 2026<\/td><\/tr><\/tbody><\/table>
Vergleich relevanter Ransomware- und Bedrohungsgruppen 2026 nach \u00f6ffentlichen Quellen.<\/figcaption><\/figure>\n\n\n\n

Historischer Kontext: Von REvil bis Qilin<\/h2>\n\n\n\n

Die heutige Ransomware-Welle hat eine klare Vorgeschichte. Gruppen wie GandCrab (ab 2018) und REvil (ab 2019) pionierten das RaaS-Modell und zeigten, dass sich Erpressung industriell skalieren l\u00e4sst. REvil erlangte mit dem Angriff auf den IT-Dienstleister Kaseya 2021 traurige Ber\u00fchmtheit, bei dem \u00fcber die Lieferkette Tausende Unternehmen gleichzeitig getroffen wurden. 2026 meldeten deutsche Beh\u00f6rden, dass mutma\u00dfliche Drahtzieher von REvil und GandCrab identifiziert worden seien, ein sp\u00e4ter, aber wichtiger Strafverfolgungserfolg.<\/p>\n\n\n\n

Auf REvil folgte die \u00c4ra von LockBit, das jahrelang die Statistiken dominierte, bis internationale Operationen die Infrastruktur st\u00f6rten. Jeder dieser Zyklen verlief \u00e4hnlich: Aufstieg, Dominanz, Strafverfolgung, Zerfall, gefolgt vom Aufstieg eines Nachfolgers. Qilin ist die aktuelle Stufe dieser Entwicklung. Die Gruppe hat aus den Fehlern der Vorg\u00e4nger gelernt, etwa beim Schutz ihrer Infrastruktur und der Anwerbung erfahrener Affiliates.<\/p>\n\n\n\n

Diese Geschichte lehrt eine unbequeme Wahrheit: Das Zerschlagen einzelner Gruppen bringt nur tempor\u00e4re Entlastung. Solange Erpressung profitabel bleibt und L\u00f6segeld flie\u00dft, entsteht aus jeder zerschlagenen Operation eine neue. Nachhaltige Wirkung haben nur strukturelle Ma\u00dfnahmen: bessere Grundhygiene bei den potenziellen Opfern, konsequente Strafverfolgung der Hinterm\u00e4nner und das Austrocknen der Geldfl\u00fcsse \u00fcber Kryptow\u00e4hrungen.<\/p>\n\n\n\n

Staatsnahe Bedrohungen: Die geopolitische Dimension<\/h2>\n\n\n\n

Neben kriminellen RaaS-Gruppen w\u00e4chst eine zweite Bedrohungsebene: staatlich gest\u00fctzte Akteure. Anfang 2026 warnten Beh\u00f6rden in Deutschland und den USA vor einer mit dem russischen Milit\u00e4rgeheimdienst verbundenen Gruppe, die verwundbare Internet-Router in Deutschland ausnutzte. Die als Fancy Bear bekannte Gruppe infiltrierte laut Berichten Router, um an sensible Daten aus Milit\u00e4r, politischen Institutionen und Infrastruktur zu gelangen.<\/p>\n\n\n\n

Die Grenze zwischen kriminell und staatlich verschwimmt dabei zunehmend. Russischsprachige Ransomware-Gruppen operieren oft mit stillschweigender Duldung, solange sie keine heimischen Ziele angreifen. Der Angriff auf eine deutsche Partei f\u00fcgt sich in dieses Bild: Er kann finanziell motiviert sein, entfaltet aber zugleich eine destabilisierende politische Wirkung. Deutsche Sicherheitsberichte sprechen 2026 von Cyberoperationen als permanentem Element der Bedrohungslandschaft, gepr\u00e4gt von geopolitischen Spannungen.<\/p>\n\n\n\n

F\u00fcr \u00d6sterreich, das traditionell eine neutrale Position einnimmt, ist diese Entwicklung doppelt heikel. Neutralit\u00e4t sch\u00fctzt nicht vor opportunistischen Angriffen, und die enge wirtschaftliche Verflechtung mit Deutschland macht heimische Unternehmen zu potenziellen Kollateralzielen. Phishing bleibt dabei der h\u00e4ufigste Erstzugang. Wie man die typischen Maschen erkennt, erkl\u00e4ren wir im Ratgeber zu Phishing-Angriffen<\/a>.<\/p>\n\n\n\n

Stimmen aus der Sicherheitsbranche<\/h2>\n\n\n\n

Die Einordnung durch Fachleute zeichnet ein konsistentes Bild. Bitkom-Pr\u00e4sident Ralf Wintergerst betont, dass Cybersicherheit zur Chefsache geworden ist und \u00fcber Wettbewerbsf\u00e4higkeit, Reputation und Marktzugang entscheidet. Der Verband fasst das Kernproblem in einem Satz zusammen: “Jedes dritte Unternehmen hat nach Ransomware-Attacken L\u00f6segeld gezahlt.” Jede dieser Zahlungen, so die Mahnung, finanziert die n\u00e4chste Angriffswelle.<\/p>\n\n\n\n

BSI-Pr\u00e4sidentin Claudia Plattner ordnet Ransomware seit Jahren als eine der gr\u00f6\u00dften Bedrohungen f\u00fcr Wirtschaft und Verwaltung ein und wirbt f\u00fcr ein h\u00f6heres Grundschutzniveau \u00fcber alle Organisationsgr\u00f6\u00dfen hinweg. Aus der Forschungsperspektive erg\u00e4nzen die Analysten von Breachsense, dass Qilin mit drei aufeinanderfolgenden Monaten \u00fcber der 100-Opfer-Marke zur konstantesten Hochvolumen-Operation aufgestiegen ist. Der Incident-Response-Dienstleister Arete weist darauf hin, dass sich die Aktivit\u00e4t stark auf wenige Spitzengruppen konzentriert.<\/p>\n\n\n\n

Die gemeinsame Botschaft dieser Stimmen: Ransomware ist kein technisches Randthema, sondern ein systemisches Risiko f\u00fcr Volkswirtschaften. Die Verteidigung muss sich von reaktivem Krisenmanagement zu proaktiver Resilienz wandeln, mit getesteten Backups, Netzwerksegmentierung und der Annahme, dass ein Einbruch fr\u00fcher oder sp\u00e4ter erfolgt.<\/p>\n\n\n\n

F\u00fcnf Prognosen f\u00fcr die Ransomware-Lage 2026 und 2027<\/h2>\n\n\n\n

Erstens: Die Opferzahlen steigen weiter.<\/strong> Mit \u00fcber 7.300 beanspruchten Opfern 2025 und einem M\u00e4rz 2026, der 33 Prozent \u00fcber dem Vorjahresschnitt lag, deutet alles auf neue Rekorde hin. Die Kombination aus RaaS-Skalierung und automatisierter Schwachstellensuche treibt das Volumen.<\/p>\n\n\n\n

Zweitens: KI beschleunigt beide Seiten.<\/strong> Angreifer nutzen generative KI f\u00fcr \u00fcberzeugendere Phishing-Mails und schnellere Schwachstellenausnutzung. Verteidiger setzen KI zur Anomalieerkennung ein. Das Rennen wird sich 2026 versch\u00e4rfen, ohne dass eine Seite dauerhaft die Oberhand gewinnt.<\/p>\n\n\n\n

Drittens: Politische Ziele r\u00fccken st\u00e4rker in den Fokus.<\/strong> Der Angriff auf Die Linke ist ein Vorbote. Parteien, Beh\u00f6rden und kritische Infrastruktur werden 2026 und 2027 h\u00e4ufiger Ziel, weil sich finanzielle Motive und destabilisierende Wirkung dort verbinden lassen.<\/p>\n\n\n\n

Viertens: NIS2 erh\u00f6ht das Schutzniveau, aber langsam.<\/strong> Die versch\u00e4rften Pflichten werden in \u00d6sterreich und der EU mittelfristig die Grundhygiene verbessern. Kurzfristig dominieren jedoch Umsetzungsl\u00fccken und Verz\u00f6gerungen, die Angreifer weiter ausnutzen.<\/p>\n\n\n\n

F\u00fcnftens: L\u00f6segeldzahlungen geraten unter Druck.<\/strong> Strengere Regulierung und Versicherungsbedingungen werden Zahlungen erschweren. Das k\u00f6nnte das Gesch\u00e4ftsmodell langfristig schw\u00e4chen, treibt kurzfristig aber den \u00dcbergang zu reinen Datendiebstahl-Erpressungen ohne Verschl\u00fcsselung voran.<\/p>\n\n\n\n

So sch\u00fctzen sich Unternehmen vor Qilin und anderer Ransomware<\/h2>\n\n\n\n

Die gute Nachricht: Die meisten Ransomware-Angriffe nutzen bekannte, vermeidbare Schwachstellen. Eine konsequente Grundhygiene blockt einen Gro\u00dfteil der Affiliate-getriebenen Einbr\u00fcche. Die folgenden Ma\u00dfnahmen gelten als Mindeststandard und werden zunehmend auch von Cyberversicherern verlangt.<\/p>\n\n\n\n