Am 26. März 2026 entdeckte die Bundespartei Die Linke eine schwerwiegende Kompromittierung ihrer IT-Infrastruktur. Einen Tag später bestätigte die Partei öffentlich den Angriff. Am 1. April 2026 beanspruchte die russischsprachige Ransomware-Gruppe Qilin die Tat für sich, veröffentlichte Die Linke auf ihrer Tor-basierten Datenleckseite und drohte mit der Veröffentlichung gestohlener interner Dokumente und persönlicher Daten von Mitarbeiterinnen und Mitarbeitern der Bundesgeschäftsstelle. Schätzungen zufolge wurden bis zu 1,5 Terabyte Daten exfiltriert, obwohl Die Linke betonte, dass die Mitgliederdatenbank mit 123.000 registrierten Mitgliedern nicht betroffen sei.
Der Angriff ist nicht isoliert. Er reiht sich ein in eine Serie gezielter Cyberangriffe auf deutsche Parteien, die Sicherheitsexperten als Teil einer breiteren Destabilisierungsstrategie gegen demokratische Institutionen einordnen. Die Linke selbst erklärte, der Angriff erscheine in diesem Kontext nicht zufällig.
Chronologie des Angriffs: Was am 26. März 2026 geschah
Die Zeitachse des Angriffs zeigt ein für Qilin typisches Vorgehen: Zunächst erfolgte eine unauffällige Infiltration, dann Datenexfiltration, schließlich die öffentliche Enthüllung mit maximaler Druckwirkung.
26. März 2026: IT-Sicherheitsteams der Bundespartei entdecken ungewöhnliche Aktivitäten im Netzwerk. Die Partei schaltet Teile ihrer IT-Systeme sofort ab, um eine weitere Ausbreitung zu verhindern. Gleichzeitig werden unabhängige IT-Experten hinzugezogen und eine Strafanzeige bei der Polizei erstattet.
27. März 2026: Die Linke gibt eine offizielle Pressemitteilung heraus und bestätigt einen schwerwiegenden Cyberangriff. In der Mitteilung heißt es: “Den Angreifern ist es nach aktuellem Kenntnisstand nicht gelungen, Mitgliederdaten zu stehlen. Die Mitgliederdatenbank der Partei war nicht betroffen.” Gleichzeitig warnt die Partei, dass interne Dokumente und persönliche Daten von Beschäftigten der Bundesgeschäftsstelle möglicherweise kompromittiert wurden.
1. April 2026: Die Ransomware-Gruppe Qilin veröffentlicht Die Linke offiziell auf ihrer Darknet-Datenleckseite. Die Gruppe fügt die Partei ihrer Opferliste hinzu, ohne zu diesem Zeitpunkt konkrete Daten als Beweis hochzuladen, und setzt eine implizite Frist für Verhandlungen.
Laut Sicherheitsforschern von Neuracyb Intelligence könnten die Angreifer bis zu 1,5 Terabyte interne Daten exfiltriert haben. Diese Zahl ist bislang offiziell nicht bestätigt. Betroffen könnten strategische Planungsdokumente, interne Kommunikation, administrative Unterlagen und persönliche Daten von Beschäftigten am Hauptsitz sein. Über Lösegeldforderungen oder -zahlungen machte die Partei keine Angaben.
Qilin Ransomware: Profil der aktivsten RaaS-Gruppe in Europa
Qilin, auch bekannt unter dem Namen Agenda, ist seit Juli 2022 aktiv und hat sich bis Mitte 2026 zu einer der produktivsten Ransomware-Gruppen weltweit entwickelt. Das Besondere an Qilin ist sein technisches Fundament: Die Malware ist in den Programmiersprachen Rust und Go geschrieben. Beide Sprachen machen die Analyse und Erkennung durch herkömmliche Sicherheitssoftware deutlich schwieriger und ermöglichen gleichzeitig Angriffe auf Windows, Linux und VMware ESXi-Systeme mit einem einzigen Codebasis-Ansatz.
Qilin operiert als Ransomware-as-a-Service (RaaS). Das bedeutet: Ein Kernteam entwickelt und pflegt die Malware sowie die Infrastruktur, während externe Affiliates die eigentlichen Angriffe durchführen. Die Einnahmenteilung ist dabei besonders attraktiv gestaltet: Affiliates erhalten 80 Prozent aller Lösegeldzahlungen bis zu drei Millionen US-Dollar sowie 85 Prozent aller Zahlungen über dieser Grenze. Dieses Modell macht Qilin zu einem der finanziell attraktivsten Angebote im kriminellen Untergrund.
Sicherheitsforscher des Unternehmens MoxFive dokumentierten in ihrem Qilin-Bericht von Juni 2026, dass die Gruppe seit ihrem Start insgesamt mehr als 1.500 Opfer beanspruchte, davon über 500 allein im Jahr 2026. Damit ist Qilin die nach eigenen Angaben aktivste Ransomware-Operation im aktuellen Datensatz des Unternehmens. Im Jahr 2025 gehörte Qilin laut mehreren Bedrohungsanalysten zu den fünf aktivsten Ransomware-Gruppen weltweit, mit monatlichen Opferzahlen, die zeitweise mit der Gruppe Akira mithalten konnten.
Sicherheitsforscher von The Record gelang es, die Qilin-Infrastruktur verdeckt zu infiltrieren und dabei einen direkten Blick auf das Betriebsmodell der Gruppe zu gewinnen. Der Administrator des RaaS-Programms bestätigte dabei persönlich die Einnahmenteilung und beschrieb die technischen Fähigkeiten der Malware. Für die Verteidiger besonders beunruhigend: Es gibt bis heute keinen öffentlich verfügbaren Entschlüsseler für Qilin-Angriffe.
Was gestohlen wurde: Gestohlene Daten und ihr Schadenspotenzial
Die Linke kommunizierte zum Angriff bewusst differenziert: Die Mitgliederdatenbank mit den Daten der 123.000 registrierten Parteimitglieder blieb unberührt. Das ist eine bedeutende Einschränkung des Schadens, da Mitgliederdaten besonders schützenswert sind und im politischen Kontext für gezielte Einschüchterungen oder Desinformationskampagnen missbraucht werden könnten.
Betroffen waren jedoch offenbar andere Bereiche der Parteiinfrastruktur. Die offizielle Mitteilung der Partei nannte ausdrücklich sensible Daten aus internen Parteibereichen sowie persönliche Informationen von Beschäftigten der Bundesgeschäftsstelle. Dazu könnten Gehaltsabrechnungen, interne E-Mail-Kommunikation, strategische Dokumente zur Parteiführung, Vertragsdaten und möglicherweise Informationen über Spendengeberinnen und Spendengeber gehören.
Qilin verwendet standardmäßig ein Zweistufenmodell der Erpressung. In der ersten Stufe verschlüsseln die Angreifer die Daten und verlangen ein Lösegeld für den Entschlüsselungsschlüssel. In der zweiten Stufe drohen sie mit der Veröffentlichung der exfiltrierten Daten auf ihrer Darknet-Plattform, wenn kein Lösegeld gezahlt wird oder Verhandlungen scheitern. Darüber hinaus sind Qilin-Affiliates dafür bekannt, Druck zu verstärken, indem sie direkt Führungskräfte aus den gestohlenen Daten kontaktieren oder Geschäftspartner der Opferorganisation informieren.
Für eine politische Partei bedeutet das eine besondere Risikodimension: Selbst wenn kein Lösegeld gezahlt wird, könnten veröffentlichte interne Kommunikationen politische Enthüllungen erzeugen, strategische Planungsdokumente Einblicke in kommende Kampagnen geben oder persönliche Daten von Mitarbeiterinnen und Mitarbeitern für zielgerichtete Folgeangriffe genutzt werden.
Hybridkrieg oder Kriminalität? Die Frage der Attribution
Die Linke bezog in ihrer Stellungnahme eine klare Haltung: Die Angreifer seien russischsprachige Cyberkriminelle mit sowohl finanziellen als auch politischen Motiven, und der Angriff erscheine “in diesem Kontext nicht zufällig.” Die Partei sprach explizit von hybrider Kriegsführung und stellte eine Verbindung zu den breiteren geopolitischen Zielen Moskaus her.
Diese Einschätzung ist nachvollziehbar, wenn man die jüngsten Entwicklungen betrachtet. Deutschland ist mit seinem Engagement für die Ukraine zu einem bevorzugten Ziel russischsprachiger Bedrohungsakteure geworden. Gleichzeitig operiert Qilin als RaaS-Gruppe, bei der die technischen Operatoren nicht zwingend staatlich gesteuert sind, aber dennoch politisch motiviert agieren können oder deren Dienste von staatlichen Stellen in Auftrag gegeben werden.
Thomas Boele, Regional Director Sales Engineering DACH bei Check Point Software, kommentierte im Frühjahr 2026 den allgemeinen Kontext der Angriffswelle: “In Deutschland haben wir uns mittlerweile an einen zweistelligen monatlichen Anstieg der Angriffszahlen gewöhnt. Die Attacken zielen weiterhin verstärkt auf kritische Infrastruktur und öffentliche Institutionen.” Politische Parteien fallen in Deutschland unter die kritische gesellschaftliche Infrastruktur, die besonders schützenswert ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) registrierte im Berichtszeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Sicherheitslücken pro Tag, ein Anstieg von 24 Prozent. Diese Lücken bieten Qilin-Affiliates und anderen Bedrohungsgruppen kontinuierlich neue Angriffsvektoren.
Das Muster: CDU, SPD, Die Linke
Der Angriff auf Die Linke steht nicht allein. Alle großen deutschen Parteien sind in den vergangenen Jahren Ziel schwerwiegender Cyberangriffe geworden, was Sicherheitsanalysten zu der Einschätzung veranlasst, dass es sich nicht um opportunistische Angriffe, sondern um eine systematische Destabilisierungsstrategie handelt.
Die SPD wurde in einem früheren Angriff Opfer des russischen Staatshackers APT28, einer Gruppe, die dem russischen Militärgeheimdienst GRU zugeordnet wird. Dieser Angriff wurde offiziell der russischen Regierung zugeschrieben und führte zu diplomatischen Reaktionen. Die CDU, als führende Oppositionspartei, berichtete Anfang 2026 ebenfalls von einem schwerwiegenden Cybervorfall. Nun folgte Die Linke.
Sicherheitsanalysten, die den Fall für verschiedene Bedrohungsforschungsunternehmen untersuchten, betonten, dass das übergeordnete Ziel dieser Angriffe nicht in der Unterstützung einer bestimmten politischen Richtung liege. Das Ziel sei vielmehr, das Vertrauen der Öffentlichkeit in demokratische Institutionen generell zu erschüttern und systemisches Chaos zu erzeugen. In diesem Sinne sind alle Parteien gleichermaßen Ziele, unabhängig von ihrer politischen Ausrichtung.
Die Häufung dieser Angriffe im Jahr 2026 korreliert mit einem Anstieg der gesamten Cyberangriffe auf Deutschland um 124 Prozent im Jahr 2025, den Check Point Software Technologies in seinem DACH-Bericht vom Mai 2026 dokumentierte. Deutschland allein machte dabei über 80 Prozent aller Vorfälle in der DACH-Region aus.
Qilins Angriffstechnik: Wie die Gruppe vorgeht
Qilin-Affiliates nutzen eine bewährte Kombination aus mehreren Angriffsvektoren, um in Zielnetzwerke einzudringen. Die häufigsten Methoden umfassen Phishing und gezieltes Spear-Phishing, gestohlene VPN-Zugangsdaten, die über Initial Access Broker (IABs) oder Infostealer beschafft wurden, sowie die Ausnutzung exponierter Remote-Access-Dienste wie RDP (Remote Desktop Protocol) und Citrix-Schnittstellen.
Besonders bemerkenswert ist ein im Sommer 2025 dokumentierter neuer Angriffsvektor: Qilin-Affiliates begannen, Google Chrome-Anmeldedaten gezielt zu stehlen und dabei erhebliche Mengen gespeicherter Passwörter aus den Browserprofilen zu exfiltrieren. Diese Methode liefert Zugangsdaten zu weiteren Unternehmenssystemen und Cloud-Diensten, die dann für Folgeattacken genutzt werden.
Seit Mai 2026 wurde zusätzlich CVE-2026-50751, eine kritische Schwachstelle in Check Point Remote Access VPN, als erster Angriffsvektor bei Qilin-Angriffen bestätigt. Diese Schwachstelle mit einem CVSS-Score von 9.3 erlaubt einen Authentifizierungsbypass und wurde aktiv ausgenutzt, bevor ein Patch verfügbar war.
Nach dem initialen Zugang bewegen sich Qilin-Affiliates lateral durch das Netzwerk, nutzen dabei eingebaute Windows-Administrationswerkzeuge, um nicht erkannt zu werden, und exfiltrieren sensible Daten über einen längeren Zeitraum, bevor die eigentliche Ransomware-Verschlüsselung aktiviert wird. Dieser Ansatz maximiert den Schaden: Selbst wenn die Verschlüsselung rechtzeitig entdeckt und gestoppt wird, sind die Daten bereits gestohlen und können zur Erpressung genutzt werden.
Im Sommer 2025 wurden außerdem neue Techniken für WSL-basierte Evasion (Windows Subsystem for Linux) dokumentiert, die es Qilin-Affiliates ermöglichen, herkömmliche Windows-Endpoint-Sicherheitslösungen zu umgehen. Organisationen, die keine Linux-Schicht-Erkennung in ihrer Endpoint-Sicherheit einsetzen, sind dadurch besonders gefährdet.
Qilin in Zahlen: Globale Reichweite und Opferstatistik
Die Skalierung von Qilin seit 2022 ist beeindruckend und besorgniserregend zugleich. Das RaaS-Modell mit seinen attraktiven Einnahmeteilungsvereinbarungen zieht erfahrene Affiliates aus dem gesamten kriminellen Spektrum an und ermöglicht eine Angriffskapazität, die ein geschlossenes kriminelles Kollektiv niemals erreichen könnte.
| Ransomware-Gruppe | Aktiv seit | Modell | Affiliate-Anteil | Plattformen | Besonderheit |
|---|---|---|---|---|---|
| Qilin (Agenda) | Juli 2022 | RaaS | 80-85 % | Windows, Linux, ESXi | In Rust und Go geschrieben; plattformübergreifend |
| Akira | 2023 | RaaS | ca. 80 % | Windows, Linux | Fokus auf Unternehmen; C++ basiert |
| Black Basta | 2022 | Geschlossene Gruppe | intern | Windows, Linux | Keine öffentlichen Affiliates |
| LockBit 3.0 | 2019 | RaaS | ca. 80 % | Windows, Linux, ESXi | Größtes Affiliate-Netzwerk historisch |
| Cl0p | 2019 | Selektives RaaS | variabel | Windows | Massenausnutzung von MFT-Schwachstellen |
Qilin hat Opfer in zahlreichen Branchen gemacht: Gesundheitswesen, Finanzdienstleistungen, Fertigung, Technologie, Luftfahrt, Regierung, Bildung und Energie. Diese sektorübergreifende Ausrichtung spiegelt das RaaS-Modell wider, bei dem Affiliates Ziele nach Opportunismus und Ertragspotenzial auswählen, nicht nach einer zentralen Strategie des Kernteams.
Der bislang bekannteste Qilin-Angriff traf im Juni 2024 das britische Pathologiedienstleistungsunternehmen Synnovis, ein Gemeinschaftsunternehmen zwischen SYNLAB und dem britischen National Health Service. Die Gruppe forderte ein Lösegeld von 50 Millionen US-Dollar und drohte mit der Veröffentlichung von rund 400 Gigabyte Gesundheitsdaten. Der Angriff legte Labordienste für mehrere Londoner NHS-Krankenhäuser lahm und führte zu Operationsverschiebungen und einem nationalen Blutspende-Notfallaufruf.
Qilin-Angriffe in Europa: Bekannte Opfer im Überblick
| Datum | Opfer | Land | Branche | Bekannte Details |
|---|---|---|---|---|
| 2023 | Yanfeng Automotive | Multinational | Automobilindustrie | Angriff auf Zulieferer; interne Daten betroffen |
| 2023 | The Big Issue | Vereinigtes Königreich | Medien | Datenpublikation auf Qilin-Leaksite |
| 2023 | County Court Victoria | Australien | Justiz | Gerichtsaufzeichnungen kompromittiert |
| Juni 2024 | Synnovis (NHS) | Vereinigtes Königreich | Gesundheitswesen | 400 GB; 50 Mio. $ Forderung; NHS-Notfallruf |
| März 2026 | Die Linke | Deutschland | Politik | Bis zu 1,5 TB (unbestätigt); 123.000 Mitglieder unbetroffen |
Die Zahl der Qilin-Angriffe auf europäische Ziele nahm in den ersten Monaten des Jahres 2026 spürbar zu. Darktrace, das Sicherheitsunternehmen, dokumentierte in seiner Analyse von Februar und März 2026 ähnliche anomale Aktivitätsmuster in mehreren Kundenumgebungen gleichzeitig. Dies deutet auf eine koordinierte Kampagne hin, bei der mehrere Affiliates gleichzeitig aktiv waren.
Reaktion und Konsequenzen: Was Die Linke unternimmt
Die Reaktion der Partei folgte unmittelbar nach der Entdeckung und war vergleichsweise schnell und transparent. Die Abschaltung betroffener IT-Systeme diente der Eingrenzung des Schadens und verhinderte eine weitere Ausbreitung der Ransomware innerhalb des Netzwerks. Die Einschaltung unabhängiger IT-Forensiker ermöglichte eine professionelle Untersuchung des Vorfalls und die schrittweise, sichere Wiederherstellung der Systeme.
Die Strafanzeige bei der Polizei leitet eine offizielle Strafverfolgung ein, die in Deutschland unter Koordination des Bundeskriminalamts (BKA) erfolgt. Das BKA hat in den vergangenen Jahren erhebliche Kapazitäten für die Verfolgung von Ransomware-Gruppen aufgebaut, unter anderem durch die internationale Kooperation im Rahmen von Operationen wie Operation Endgame im Jahr 2024.
Susanne Dehmel, Mitglied der Geschäftsführung beim Digitalverband Bitkom, ordnete den Angriff im Kontext des neuen Cybersicherheitsgesetzes ein: “Genau solche Fälle zeigen, warum Deutschland jetzt die Handlungsfähigkeit von BSI, BKA und Bundespolizei stärken muss. Mobile Incident Response Teams und erweiterte Eingriffsbefugnisse sind keine Optionen mehr, sondern Notwendigkeiten.”
Das Bundeskabinett hatte am 27. Mai 2026, also nur wenige Wochen nach dem Angriff, den Gesetzentwurf zur Stärkung der Cybersicherheit beschlossen. Dieser gibt BSI, BKA und Bundespolizei bislang nie dagewesene Befugnisse zur Abwehr von Cyberangriffen, darunter faktische Hackback-Möglichkeiten. Am 26. Juni 2026 erfolgte die erste Lesung im Bundestag.
DSGVO und rechtliche Konsequenzen für Die Linke
Der Angriff löst für Die Linke als Datenverantwortliche mehrere Pflichten nach der Datenschutz-Grundverordnung (DSGVO) aus. Zunächst besteht eine 72-Stunden-Meldefrist gegenüber der zuständigen Datenschutzaufsichtsbehörde, dem Berliner Beauftragten für Datenschutz und Informationsfreiheit, nachdem die Partei von der Verletzung personenbezogener Daten Kenntnis erlangt hat.
Sind Personen einem hohen Risiko ausgesetzt, weil ihre Daten gestohlen wurden, müssen die Betroffenen ebenfalls individuell benachrichtigt werden. Im Fall der Linken-Mitarbeiterinnen und Mitarbeiter, deren Personaldaten möglicherweise kompromittiert wurden, dürfte diese Schwelle überschritten sein. Die Mitgliederdatenbank blieb nach aktuellem Kenntnisstand unbetroffen, sodass für die 123.000 Mitglieder zunächst keine Benachrichtigungspflicht besteht.
Die DSGVO sieht bei schweren Verstößen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. Für eine politische Partei, die keine gewerbliche Organisation ist, gelten besondere Erwägungen. Datenschutzbehörden berücksichtigen bei der Bußgeldberechnung jedoch auch das Ausmaß der getroffenen technischen und organisatorischen Maßnahmen sowie die Kooperationsbereitschaft mit den Behörden. Die schnelle Reaktion der Partei, einschließlich der unmittelbaren Systemabschaltung und der Einschaltung von Behörden, dürfte sich mildernd auswirken.
Hinzu kommen mögliche zivilrechtliche Ansprüche betroffener Beschäftigter, wenn ihre Daten durch die Verletzung missbraucht werden. Der Europäische Gerichtshof hat in mehreren Urteilen klargestellt, dass der bloße Kontrollverlust über personenbezogene Daten einen immateriellen Schaden darstellen kann, der Entschädigungsansprüche begründet.
Wie Qilin Druck ausübt: Eskalationstaktiken jenseits der Datenverschlüsselung
Qilin ist bekannt dafür, über die reine Datenverschlüsselung hinauszugehen, um maximalen Druck auf Opfer auszuüben. Die Gruppe und ihre Affiliates haben eine Reihe von Eskalationstaktiken entwickelt, die besonders für politische oder öffentliche Organisationen gefährlich sind.
Erstens betreiben Qilin-Affiliates aktive Verhandlungsführung, bei der sie direkt Führungspersonen kontaktieren, deren Namen in den gestohlenen Daten auftauchen. Für eine politische Partei bedeutet das: Führungspersönlichkeiten könnten persönlich angesprochen werden, um Druck auf die Parteiführung auszuüben.
Zweitens drohen Qilin-Affiliates damit, Datenschutzbehörden direkt über den Vorfall zu informieren, wenn das Opfer nicht zahlt. Dieses Vorgehen erzeugt zusätzlichen regulatorischen Druck und kann Ermittlungen auslösen, die unabhängig von der Ransomware-Situation belastend sind.
Drittens informieren die Angreifer in einigen Fällen Geschäftspartner, Kunden oder, im Fall politischer Parteien, Medienvertreter über die gestohlenen Daten, um Reputationsschäden zu erzeugen. Besonders brisant ist dabei die von Qilin 2025 eingeführte “Call Lawyer”-Funktion in ihrem RaaS-Panel, die Affiliates Zugang zu juristischen Beratern für Verhandlungen verschafft und die Professionalität der kriminellen Operation unterstreicht.
KI-generierte Inhalte fließen laut Analysen von Sicherheitsforschern ebenfalls zunehmend in Qilin-Operationen ein. Phishing-Kampagnen und soziale Manipulationsversuche werden durch KI-Werkzeuge personalisierter und überzeugender gestaltet. KnowBe4 zufolge sind 82,6 Prozent aller Phishing-E-Mails in den Jahren 2025 und 2026 KI-generiert.
Fünf Prognosen: Wie sich die Bedrohungslage entwickelt
Der Angriff auf Die Linke ist kein Endpunkt, sondern ein Datenpunkt in einem sich beschleunigenden Trend. Auf Basis der verfügbaren Bedrohungsintelligenz zeichnen sich fünf Entwicklungen ab:
1. Weitere Angriffe auf deutsche Parteien vor der nächsten Wahl: Die systematische Targeting-Strategie gegen alle großen Parteien legt nahe, dass keine Partei immun ist. Wahlkampfphasen erhöhen die Angriffsfläche, da Kommunikationsvolumen und Zeitdruck interne Sicherheitskontrollen aufweichen.
2. Qilin wird 2026 zur aktivsten Ransomware-Gruppe in Europa: Mit über 500 Opfern allein im ersten Halbjahr 2026 und einem attraktiven Affiliate-Modell ist Qilin auf dem Weg, LockBit als dominante europäische Bedrohung abzulösen. Das Fehlen eines öffentlichen Entschlüsselers verstärkt den Erpressungsdruck.
3. Das neue Cybersicherheitsgesetz schafft erstmals Hackback-Fähigkeiten: Wenn der Gesetzentwurf verabschiedet wird, erhalten BKA und Bundespolizei Befugnisse, Datenverkehr umzuleiten, zu blockieren und Daten auf Angreifersystemen zu erheben, zu löschen oder zu verändern. Das könnte zukünftige Qilin-Infrastruktur direkt treffen.
4. Die 375 neuen Stellen bei BSI, BKA und Bundespolizei werden nicht ausreichen: Das Cybersicherheitsgesetz sieht 375 neue Stellen vor. Angesichts von 1.345 wöchentlichen Cyberangriffen auf deutsche Unternehmen allein im Februar 2026 (Check Point Research) ist das ein erster Schritt, der aber den strukturellen Rückstand in der Cybersicherheitspersonaldecke nicht schnell schließen wird.
5. Ransomware-Gruppen werden zunehmend hybride Akteure: Die Grenzen zwischen rein kriminellen RaaS-Operationen und staatlich geduldeten oder beauftragten Cyberoperationen verschwimmen weiter. Qilins angebliche russischsprachige Struktur und die geopolitisch sensiblen Zielselektion deuten auf mindestens eine implizite staatliche Tolerierung hin.
Schutzmaßnahmen: So schützen sich Organisationen vor Qilin
Die technischen Empfehlungen zur Abwehr von Qilin-Angriffen decken sich weitgehend mit den allgemeinen Best Practices für Ransomware-Prävention, haben aber aufgrund der spezifischen Qilin-Taktiken besondere Schwerpunkte.
Der primäre Angriffsvektor, gestohlene VPN-Zugangsdaten und kompromittierte Remote-Access-Dienste, lässt sich durch Multi-Faktor-Authentifizierung (MFA) auf allen Remote-Zugangspunkten erheblich schwächen. Qilin-Affiliates verlassen sich häufig auf gestohlene Passwörter, die durch Infostealer oder Phishing beschafft wurden. MFA macht diese Zugangsdaten allein nutzlos.
Netzwerksegmentierung verhindert die laterale Bewegung nach einem erfolgreichen initialen Zugang. Wenn ein Angreifer in ein Segment eindringt, sollte er nicht in der Lage sein, sich ungehindert durch das gesamte Netzwerk zu bewegen und alle Daten zu exfiltrieren. Die Trennung kritischer Systeme, Mitgliederdatenbanken und Kommunikationsinfrastruktur in separate Netzwerksegmente mit strikten Zugriffskontrollen ist essenziell.
Endpoint Detection and Response (EDR) mit Linux-Abdeckung ist angesichts der WSL-basierten Evasionstechniken von Qilin unerlässlich. Herkömmliche Windows-Endpoint-Sicherheit erkennt Aktivitäten im Windows Subsystem for Linux nicht oder nur eingeschränkt. Organisationen sollten prüfen, ob ihre Sicherheitslösung explizit WSL-Prozesse und Linux-Aktivitäten auf Windows-Systemen überwacht.
Regelmäßige, offline gespeicherte Backups sind die letzte Verteidigungslinie gegen Ransomware. Die Backups müssen getrennt vom Hauptnetzwerk gespeichert sein und regelmäßig auf ihre Wiederherstellbarkeit getestet werden. Für politische Parteien und Behörden empfiehlt das BSI dabei die 3-2-1-Backup-Regel: drei Kopien, auf zwei verschiedenen Medientypen, davon eine außer Haus.
Weiterführende Artikel
Für einen tieferen Einblick in die Bedrohungslandschaft empfehlen wir folgende Artikel:
- BKA Cybercrime-Lagebericht 2025: 333.922 Fälle, 202 Mrd. € Schaden
- CrowdStrike 2026: Angriff in 27 Sekunden, KI-Attacken +89 %
- APT28 hackt TP-Link-Router in Deutschland: 30 Geräte kompromittiert
- Deutschland: Cyberangriffe steigen 2025 um 124 %
- ClickFix: 47 % aller Cyberangriffe, 631 % Anstieg in 6 Monaten
Quellen
- BleepingComputer: Die Linke German political party confirms data stolen by Qilin ransomware
- Security Affairs: Qilin ransomware group claims the hack of German political party Die Linke
- The Record: Hackers threaten to leak data after cyberattack on German party Die Linke
- MoxFive: Qilin Ransomware 2026: TTPs, Victims and Defense Guide
- ProvenData: Qilin Ransomware: Operating Model, Attack Chain, and Technical Profile
Häufig gestellte Fragen (FAQ)
Was ist Qilin Ransomware?
Qilin, auch bekannt als Agenda, ist eine Ransomware-as-a-Service (RaaS)-Gruppe, die seit Juli 2022 aktiv ist. Die Malware ist in Rust und Go geschrieben, was plattformübergreifende Angriffe auf Windows, Linux und VMware ESXi ermöglicht. Qilin nutzt doppelte Erpressung: Daten werden verschlüsselt und gleichzeitig exfiltriert, um die Veröffentlichung als zusätzlichen Druckhebel zu nutzen.
Wann wurde Die Linke von Qilin angegriffen?
Der Angriff auf Die Linke wurde am 26. März 2026 entdeckt. Die Partei informierte die Öffentlichkeit einen Tag später, am 27. März 2026. Am 1. April 2026 beanspruchte die Qilin-Gruppe den Angriff öffentlich auf ihrer Darknet-Datenleckseite.
Wurden Mitgliederdaten der Linken gestohlen?
Nein. Die Linke bestätigte ausdrücklich, dass die Mitgliederdatenbank mit 123.000 registrierten Mitgliedern nicht betroffen war. Es wurden jedoch Daten aus internen Parteibereichen sowie persönliche Informationen von Beschäftigten der Bundesgeschäftsstelle möglicherweise gestohlen. Berichte schätzen bis zu 1,5 Terabyte exfiltrierter Daten, was die Partei bislang offiziell nicht bestätigt hat.
Ist Qilin eine staatlich gesteuerte Gruppe?
Qilin operiert formal als kriminelle RaaS-Gruppe ohne bestätigte direkte staatliche Steuerung. Die Gruppe gilt als russischsprachig, und Die Linke selbst bezeichnete die Angreifer als russischsprachige Cyberkriminelle mit sowohl finanziellen als auch politischen Motiven. Die Grenzen zwischen kriminellen Gruppen und staatlich geduldeten oder beauftragten Akteuren sind im russischsprachigen Cyberraum oft fließend.
Wie viele Lösegeldzahlungen verlangen Qilin-Angriffe typischerweise?
Qilin-Angriffe sind auf “Big Game Hunting” ausgerichtet, also die Erpressung großer Organisationen mit hohen Lösegeldforderungen. Der bekannteste Fall, der Angriff auf Synnovis im Juni 2024, beinhaltete eine Forderung von 50 Millionen US-Dollar. Für den Angriff auf Die Linke wurden keine öffentlichen Angaben zu Lösegeldforderungen gemacht.
Wie können sich Organisationen vor Qilin schützen?
Die wichtigsten Schutzmaßnahmen sind: Multi-Faktor-Authentifizierung (MFA) auf allen VPN- und Remote-Zugangspunkten, Netzwerksegmentierung zur Eindämmung lateraler Bewegung, EDR-Lösungen mit Linux- und WSL-Abdeckung, regelmäßige und offline gespeicherte Backups nach der 3-2-1-Regel sowie Phishing-Awareness-Training für Mitarbeitende. Das BSI empfiehlt zudem die zeitnahe Implementierung von Patches für bekannte Schwachstellen, insbesondere in VPN- und Remote-Access-Produkten.
Welche deutschen Parteien wurden bereits gehackt?
Alle großen deutschen Parteien wurden in den vergangenen Jahren Opfer schwerwiegender Cyberangriffe. Die SPD wurde von APT28, einer dem russischen Militärgeheimdienst GRU zugeordneten Gruppe, angegriffen. Die CDU berichtete Anfang 2026 von einem weiteren schwerwiegenden Cybervorfall. Nun kam Die Linke als Opfer von Qilin hinzu. Sicherheitsexperten bewerten diese Angriffe als Teil einer Strategie zur Destabilisierung demokratischer Institutionen.
