Im März 2026 verschwanden bei der Partei Die Linke Teile der IT-Infrastruktur vom Netz. Hinter dem Angriff steht eine Gruppe, die Sicherheitsforscher seit Monaten an die Spitze der globalen Ransomware-Statistik setzen: Qilin. Die russischsprachige Bande arbeitet als Ransomware-as-a-Service-Plattform, hat 2025 laut mehreren Trackern über 1.000 Opfer beansprucht und allein in den ersten zwei Januarwochen 2026 mehr als 55 neue Geschädigte auf ihrer Leak-Seite veröffentlicht. Mit den Attacken auf Die Linke und den Modehersteller Marc Cain ist Qilin Ransomware endgültig in Deutschland angekommen.
Dieser Beitrag ordnet ein, wer hinter Qilin steckt, wie das Erpressungsmodell funktioniert, welche deutschen Ziele betroffen sind und was die Welle für Unternehmen, Versicherer und Behörden im DACH-Raum bedeutet. Die Analyse stützt sich auf Daten von Check Point, MoxFive, CybelAngel, BlackFog, Ransomware.live sowie auf die Wirtschaftsschutz-Zahlen des Branchenverbands Bitkom.
Der Angriff auf Die Linke: Was im März 2026 geschah
Im März 2026 reklamierte die Qilin-Gruppe einen Cyberangriff auf Die Linke für sich. Die Partei bestätigte einen IT-Sicherheitsvorfall und nahm Teile ihrer Systeme vorsorglich offline. Nach Parteiangaben blieb die zentrale Mitgliederdatenbank unberührt, ein vollständiger Datenabfluss wurde nicht bestätigt. Qilin veröffentlichte auf seiner Tor-basierten Leak-Seite Screenshots angeblich gestohlener Dokumente und drohte mit der Offenlegung, falls kein Lösegeld fließt.
Der Fall reiht sich in ein Muster politisch sichtbarer Ziele ein. Bereits im Juni 2024 traf ein Cyberangriff die CDU kurz vor der Europawahl. Parteien sind attraktive Opfer, weil sie sensible Personendaten verwalten, oft mit dünner IT-Mannschaft arbeiten und unter hohem öffentlichem Druck stehen. Genau diese Mischung aus Datenwert und Reputationsrisiko nutzt das doppelte Erpressungsmodell von Qilin aus: Selbst wenn die Verschlüsselung abgewehrt wird, bleibt die Drohung mit der Veröffentlichung als Hebel bestehen.
Anders als bei einem klassischen Datenleck, das oft unbemerkt bleibt, inszeniert Qilin den Vorfall öffentlich. Der Countdown auf der Leak-Seite, die Screenshots und die direkte Ansprache der Verhandlungsführer gehören zur Taktik. Wer verstehen will, wie aus einem technischen Einbruch ein wirtschaftlicher und politischer Schaden wird, findet im Fall Die Linke eine Blaupause für die gesamte Bedrohungslage 2026.
Wer ist Qilin? Herkunft und Aufstieg der Ransomware-Gruppe
Qilin wurde erstmals im Juli 2022 beobachtet und firmierte anfangs unter dem Namen Agenda. Sicherheitsforscher ordnen die Gruppe dem russischsprachigen Cyberkriminellen-Milieu zu. CybelAngel beschreibt, dass Qilin “unter einem Ransomware-as-a-Service-Modell operiert” und “offenbar mit Russland verbunden” ist. Der Name Qilin verweist auf ein Fabelwesen aus der chinesischen Mythologie, was bei der Zuordnung zunächst für Verwirrung sorgte, an der russischsprachigen Ausrichtung der Betreiber aber nichts ändert.
Der eigentliche Aufstieg kam 2025. Check Point hält fest, dass Qilin “2025 einen weiteren Anstieg erlebte, weil populäre RaaS-Gruppen zerschlagen wurden, insbesondere RansomHub”. Als Strafverfolger und interne Streitigkeiten andere Plattformen schwächten, wechselten erfahrene Affiliates zu Qilin. Das Resultat: Im November 2024 entfielen laut dem Check-Point-Bericht “State of Cyber Security” rund 5 Prozent aller auf Leak-Seiten gelisteten Opfer auf Qilin. Bis 2025 zählte die Gruppe je nach Datenquelle über 1.000 Geschädigte, mit einem Monatshoch von etwa 100 neuen Opfern im Juni 2025.
2026 setzte sich der Trend fort. MoxFive beziffert die von Qilin beanspruchten Opfer für 2026 auf über 500. BlackFog führte die Gruppe im März 2026 mit acht öffentlich dokumentierten Attacken als aktivste Ransomware-Operation des Monats. Damit hat sich Qilin von einem Nachzügler zu einem der dominierenden Akteure im RaaS-Ökosystem entwickelt.
Das Geschäftsmodell: Ransomware-as-a-Service erklärt
Qilin verkauft keine Software an Endkunden, sondern vermietet eine komplette Erpressungsinfrastruktur an Partner, sogenannte Affiliates. Check Point formuliert es so: “Qilin Ransomware, auch bekannt als Agenda Ransomware, ist eine populäre RaaS-Operation, die ihre Technologie an Affiliates verkauft.” Die Kernbande pflegt die Schadsoftware, betreibt die Leak-Seite, stellt Verhandlungswerkzeuge bereit und kassiert eine Provision. Die Affiliates übernehmen den eigentlichen Einbruch.
Wie die Beute aufgeteilt wird
Die Aufteilung ist großzügig für die Täter im Feld. Laut CybelAngel “lockt Qilin Affiliates mit 80 bis 85 Prozent Lösegeldanteil”. Die Kernbetreiber behalten also nur 15 bis 20 Prozent. Diese Quote liegt über dem Marktdurchschnitt und erklärt, warum erfahrene Eindringlinge nach der Zerschlagung anderer Plattformen gezielt zu Qilin abwanderten. Wer pro erfolgreichem Angriff mehr verdient, bringt seine Werkzeuge und seine Zugänge mit.
Doppelte Erpressung als Standard
Qilin setzt durchgängig auf doppelte Erpressung. Die Daten werden zunächst exfiltriert, dann verschlüsselt. Zahlt das Opfer nicht, droht die Veröffentlichung auf der Tor-Leak-Seite. Die Schadsoftware ist in Go und Rust geschrieben, was Angriffe auf Windows- und Linux-Umgebungen sowie auf VMware-ESXi-Hypervisoren erlaubt. Dieser plattformübergreifende Ansatz macht Qilin besonders gefährlich für moderne Rechenzentren, in denen virtualisierte Server das Rückgrat bilden.
Marc Cain und die deutsche Opferliste 2026
Am 24. April 2026 reklamierte Qilin öffentlich einen Angriff auf den deutschen Modehersteller Marc Cain. Die Gruppe drohte mit der Veröffentlichung von Daten, falls keine Verhandlungen aufgenommen würden. Marc Cain mit Sitz in Bodelshausen in Baden-Württemberg steht exemplarisch für das bevorzugte Beuteschema von Qilin: mittelständische Unternehmen mit wertvollem geistigem Eigentum, internationaler Lieferkette und begrenzten Sicherheitsbudgets.
Beide deutschen Fälle, Die Linke und Marc Cain, fielen in ein Quartal, in dem Sicherheitsforscher eine Verlagerung des Qilin-Fokus nach Mitteleuropa beobachteten. Der deutsche Mittelstand gilt als lukratives Ziel, weil viele Betriebe Marktführer in ihrer Nische sind, gleichzeitig aber selten über ein eigenes Security Operations Center verfügen. Ein erpresster Hidden Champion zahlt eher, als wochenlangen Produktionsausfall zu riskieren.
International hatte Qilin bereits 2024 gezeigt, wie hoch die Forderungen ausfallen können. Beim Angriff auf den britischen Labordienstleister Synnovis, der Londoner Krankenhäuser versorgt, verlangte die Gruppe 50 Millionen US-Dollar, um rund 400 GB an Gesundheitsdaten nicht zu veröffentlichen. Der Vorfall führte zu abgesagten Operationen und verschobenen Bluttests und zeigte, dass Ransomware längst Menschenleben gefährden kann.
Qilin in Zahlen: Opferstatistik 2024 bis 2026
Die folgende Tabelle fasst die belegten Kennzahlen zur Qilin-Aktivität zusammen. Die Werte stammen aus Trackern wie Ransomware.live, Berichten von Check Point, MoxFive, OSIbeyond und BlackFog. Wo Quellen abweichen, ist die konservativere Zahl genannt.
| Zeitraum | Kennzahl | Wert | Quelle |
|---|---|---|---|
| November 2024 | Anteil an allen Leak-Seiten-Opfern | rund 5 % | Check Point |
| Juni 2024 | Lösegeldforderung Synnovis (UK) | 50 Mio. USD | Check Point |
| Gesamtjahr 2025 | Beanspruchte Opfer | über 1.000 | BlackFog / Tracker |
| Juni 2025 | Monatshoch neuer Opfer | rund 100 | Branchen-Tracker |
| 1.–14. Januar 2026 | Neue Opfer auf Leak-Seite | über 55 | OSIbeyond |
| Gesamtjahr 2026 | Beanspruchte Opfer | über 500 | MoxFive |
| März 2026 | Dokumentierte Attacken im Monat | 8 (Platz 1) | BlackFog |
Auffällig ist die Geschwindigkeit. 55 neue Opfer in vierzehn Tagen entsprechen einem Tempo, das den Rekordwert von 2025 noch übertrifft. Die Zahl der für 2026 beanspruchten Opfer liegt mit über 500 zwar unter dem Vorjahr, doch 2026 ist zur Veröffentlichung dieses Beitrags erst zur Hälfte vorüber. Bei gleichbleibendem Tempo droht ein neuer Jahresrekord.
Der DACH-Raum unter Beschuss: plus 124 Prozent
Die Qilin-Welle trifft auf eine ohnehin angespannte Lage. Eine am 22. Mai 2026 veröffentlichte Auswertung von Check Point stellte fest, dass Cyberangriffe auf Organisationen in Deutschland, Österreich und der Schweiz im Jahr 2025 um 124 Prozent zugenommen haben. Ransomware machte dabei rund 30 Prozent der finanziell motivierten Vorfälle aus und war damit die wirtschaftlich schwerwiegendste Bedrohung der Region. Defacement, also das Verunstalten von Webseiten durch Hacktivisten, stellte mit 66 Prozent den größten Anteil aller Vorfälle.
Diese Verdopplung der Angriffszahlen liefert den Nährboden, auf dem Gruppen wie Qilin gedeihen. Eine ausführliche Analyse der DACH-Welle haben wir in unserem Beitrag zum Cyberangriff auf Deutschland mit plus 124 Prozent dokumentiert. Der Qilin-Fall ist die personifizierte Variante dieses Trends: Wo die Statistik abstrakt bleibt, zeigt der Name einer konkreten Bande, wer hinter den Zahlen steht.
Die geopolitische Dimension verschärft die Lage. Der Anwaltsleitfaden Chambers Cybersecurity 2026 für Deutschland nennt geopolitische Spannungen und die Sicherheit von Lieferketten als prägende Themen des Jahres. Ransomware mit russischsprachigem Hintergrund verschwimmt zunehmend mit staatsnaher Aktivität, was die Abwehr und die strafrechtliche Verfolgung erschwert.
Was Cyberangriffe die deutsche Wirtschaft kosten
Die wirtschaftliche Dimension ist gewaltig. Die Bitkom-Studie Wirtschaftsschutz 2025 beziffert den jährlichen Gesamtschaden für die deutsche Wirtschaft durch analoge und digitale Angriffe auf 289,2 Milliarden Euro, nach 266,6 Milliarden Euro im Jahr 2024. 87 Prozent der befragten Unternehmen waren in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen, gegenüber 81 Prozent im Vorjahr. Die Angriffe werden zunehmend Russland und China zugeschrieben.
Ransomware steht dabei an der Spitze der Schadensarten. In der Bitkom-Erhebung 2024 nannten 31 Prozent der betroffenen Unternehmen Ransomware als Schadensursache, vor Phishing (26 Prozent), Passwortangriffen (24 Prozent), Malware-Infektionen (21 Prozent) und DDoS-Attacken (18 Prozent). Die Ausgaben für IT-Sicherheit in Deutschland erreichten 2024 laut Bitkom rund 11,1 Milliarden Euro, ein Wachstum im zweistelligen Bereich, das mit der Bedrohung jedoch kaum Schritt hält.
| Kennzahl | 2024 | 2025 | Quelle |
|---|---|---|---|
| Gesamtschaden deutsche Wirtschaft | 266,6 Mrd. € | 289,2 Mrd. € | Bitkom Wirtschaftsschutz |
| Betroffene Unternehmen | 81 % | 87 % | Bitkom Wirtschaftsschutz |
| Ransomware als Schadensursache | 31 % | weiterhin führend | Bitkom |
| Anstieg Cyberangriffe DACH | Basis | +124 % | Check Point |
| Ransomware-Anteil DACH-Vorfälle | – | rund 30 % | Check Point |
| IT-Sicherheitsausgaben Deutschland | 11,1 Mrd. € | steigend | Bitkom |
Die Schere zwischen Schaden und Abwehrbudget öffnet sich weiter. 289 Milliarden Euro Schaden stehen 11,1 Milliarden Euro Sicherheitsausgaben gegenüber, ein Verhältnis von rund 26 zu 1. Solange diese Lücke bleibt, bleibt Erpressung ein profitables Geschäft.
Qilin im Vergleich: LockBit, ALPHV, RansomHub, Akira und Play
Qilins Aufstieg lässt sich nur im Kontext des gesamten RaaS-Marktes verstehen. Die Zerschlagung und der Rückzug etablierter Marken haben ein Vakuum geschaffen, das Qilin füllte. Die folgende Übersicht vergleicht die wichtigsten Gruppen anhand öffentlich belegter Merkmale. Wo keine verlässliche Zahl vorliegt, ist dies vermerkt, statt zu schätzen.
| Gruppe | Erstmals aktiv | Status 2025/2026 | Modell | Besonderheit |
|---|---|---|---|---|
| Qilin (Agenda) | Juli 2022 | führend, über 500 Opfer 2026 | RaaS, doppelte Erpressung | Affiliate-Anteil 80–85 %, Go/Rust |
| RansomHub | 2024 | zerschlagen/geschwächt | RaaS | Zerfall trieb Affiliates zu Qilin |
| LockBit | 2019 | nach Strafverfolgung geschwächt | RaaS | einst Marktführer, Infrastruktur gestört |
| BlackCat/ALPHV | 2021 | nach Exit-Scam inaktiv | RaaS, Rust | verschwand nach Healthcare-Großfall |
| Akira | 2023 | aktiv | RaaS, doppelte Erpressung | Fokus auf VPN-Schwachstellen |
| Play | 2022 | aktiv | geschlossene Gruppe | kein klassisches Affiliate-Modell |
Das Muster ist deutlich: Während die alten Schwergewichte LockBit und ALPHV durch Strafverfolgung und interne Betrügereien zerfielen, wuchs Qilin. Die hohe Affiliate-Provision wirkte dabei wie ein Magnet für freigewordene Eindringlinge. Wer die Geschichte solcher Strafverfolgungserfolge nachverfolgen will, findet im Fall REvil und die Enttarnung durch das BKA ein lehrreiches Beispiel dafür, dass auch dominante Gruppen verwundbar sind.
Wie Qilin technisch vorgeht: die Angriffskette
Die TTPs von Qilin, also Taktiken, Techniken und Prozeduren, folgen dem inzwischen üblichen mehrstufigen Muster moderner Ransomware. Der Erstzugang erfolgt häufig über Phishing-Mails, gestohlene Zugangsdaten oder die Ausnutzung ungepatchter, ins Internet exponierter Systeme. Gerade Schwachstellen in VPN-Gateways, Fernzugangslösungen und Edge-Geräten sind ein bevorzugter Eintrittspunkt.
Vom Erstzugang zur Verschlüsselung
Nach dem Eindringen bewegt sich der Angreifer seitlich durch das Netzwerk, erhöht Privilegien, deaktiviert Sicherheitssoftware und identifiziert wertvolle Datenbestände. Erst dann werden Daten exfiltriert und die Verschlüsselung ausgelöst. Die in Rust verfasste Variante erlaubt das gezielte Lahmlegen von VMware-ESXi-Servern, wodurch ganze virtualisierte Rechenzentren in Minuten unbrauchbar werden. Wie wichtig schnelles Patchen exponierter Systeme ist, zeigt die im selben Zeitraum gemeldete Citrix-NetScaler-Lücke mit CVSS 9.3, die binnen Tagen aktiv ausgenutzt wurde.
Der entscheidende Hebel bleibt der Datenabfluss vor der Verschlüsselung. Selbst Unternehmen mit funktionierenden Backups können nicht ruhig schlafen, weil die gestohlenen Informationen weiterhin als Druckmittel dienen. Wer verstehen will, wie aus exfiltrierten Daten ein dauerhaftes Risiko wird, findet in unserem Überblick zu Datenlecks und ihren Folgen die nötigen Grundlagen.
Stimmen aus der Sicherheitsbranche
Die Einschätzungen der Analysefirmen zeichnen ein konsistentes Bild. Check Point ordnet den Aufstieg klar dem Zerfall der Konkurrenz zu: Qilin habe “2025 einen weiteren Anstieg erlebt, weil populäre RaaS-Gruppen zerschlagen wurden, insbesondere RansomHub”. Damit benennt der Hersteller den zentralen Marktmechanismus: Strafverfolgung verschiebt das Problem, statt es zu beseitigen.
CybelAngel betont das ökonomische Anreizsystem. Die Gruppe “lockt Affiliates mit 80 bis 85 Prozent Lösegeldanteil” und operiere “unter einem Ransomware-as-a-Service-Modell”. Diese Großzügigkeit ist kein Zufall, sondern Wettbewerbsstrategie in einem Markt, in dem qualifizierte Eindringlinge die knappe Ressource sind.
MoxFive verweist in seinem Lagebericht 2026 auf die schiere Schlagzahl: über 500 beanspruchte Opfer im laufenden Jahr und ein Werkzeugkasten, der gezielt Sicherheitskontrollen aushebelt. Die Analysten von BlackFog wiederum führen Qilin in ihrem März-2026-Bericht als aktivste Gruppe des Monats. Aus deutscher Behördensicht gilt, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Jahren wiederholt: Ransomware ist die größte Bedrohung für die Cybersicherheit von Wirtschaft und Verwaltung. Die Details dieser amtlichen Einschätzung haben wir im BSI-Lagebericht mit 280.000 Schadprogrammen pro Tag aufbereitet.
Marktauswirkungen: Versicherer, Mittelstand und Lieferketten
Die Qilin-Welle verändert den Markt für Cyberversicherungen. Versicherer reagieren auf steigende Schadensquoten mit höheren Prämien, strengeren Auflagen und niedrigeren Deckungssummen. Wer keine Multi-Faktor-Authentifizierung, kein getestetes Backup-Konzept und keine Endpoint-Detection nachweisen kann, erhält entweder keine Police mehr oder zahlt ein Vielfaches. Cybersicherheit wandelt sich damit von einer IT-Frage zu einer Voraussetzung für Geschäftsfähigkeit.
Besonders betroffen ist der deutsche Mittelstand. Hidden Champions mit wenigen hundert Mitarbeitern, hohem Exportanteil und wertvollem Know-how sind ideale Ziele. Sie verfügen über zahlungsfähige Bilanzen, aber selten über eigene Sicherheitsteams. Ein mehrtägiger Produktionsstopp kann Lieferketten von Automobilzulieferern bis Maschinenbau ins Wanken bringen, was den Druck zur Zahlung erhöht.
Der regulatorische Rahmen verschärft sich parallel. Die EU-Richtlinie NIS2 und ihre nationale Umsetzung weiten die Meldepflichten und Sorgfaltsanforderungen auf deutlich mehr Unternehmen aus. Wer ein Lösegeld zahlt, ohne den Vorfall korrekt zu melden, riskiert zusätzlich Bußgelder. Die Kombination aus krimineller Erpressung und behördlicher Pflicht macht das Incident-Management 2026 zu einer juristischen Gratwanderung.
Historische Einordnung: vom WannaCry-Schock zum RaaS-Markt
Ransomware ist kein neues Phänomen, doch ihre Industrialisierung schon. Der WannaCry-Ausbruch 2017 traf wahllos und richtete weltweit Milliardenschäden an, war aber technisch unausgereift. Mit GandCrab und REvil professionalisierte sich das Geschäft ab 2018, das Affiliate-Modell entstand. LockBit perfektionierte ab 2019 die Skalierung, ALPHV/BlackCat führte ab 2021 Rust als Programmiersprache ein.
Qilin steht am vorläufigen Ende dieser Entwicklung. Die Gruppe vereint die Lehren der Vorgänger: plattformübergreifende Verschlüsselung in Go und Rust, doppelte Erpressung als Standard, eine professionelle Affiliate-Ökonomie mit überdurchschnittlicher Provision und eine Resilienz, die aus dem Scheitern der Konkurrenz erwächst. Jede Zerschlagung einer Gruppe verteilt deren Talente neu, statt sie zu eliminieren. Dieses Hydra-Prinzip ist die zentrale Lehre der Ransomware-Geschichte.
Auch der Kontext anderer Akteure 2026 zeigt, dass der Druck breit ist. Im Februar 2026 räumte die Europäische Kommission einen Einbruch über kritische Zero-Day-Schwachstellen in Ivanti Endpoint Manager Mobile ein, den sie nach eigenen Angaben binnen neun Stunden eindämmte. Im selben Vorfall waren die niederländische Datenschutzbehörde und der Justizrat betroffen. Im Januar 2026 erbeutete die Gruppe ShinyHunters bei Crunchbase über zwei Millionen Datensätze. Qilin agiert also nicht isoliert, sondern als Teil einer dichten Bedrohungslandschaft.
Fünf Prognosen zur Ransomware-Lage 2026 und 2027
Aus den belegten Trends lassen sich fünf begründete Vorhersagen ableiten. Sie sind Einschätzungen, keine Gewissheiten, aber sie folgen klar aus den Daten.
- Qilin knackt 2026 den Vorjahresrekord. Bei über 500 Opfern zur Jahresmitte und einem Januartempo von 55 Opfern in zwei Wochen ist ein neuer Höchstwert von über 1.000 Geschädigten wahrscheinlich.
- Der deutsche Mittelstand rückt stärker ins Visier. Nach Die Linke und Marc Cain dürften weitere DACH-Unternehmen folgen, weil Zahlungsfähigkeit und dünne Abwehr ein attraktives Profil ergeben.
- Cyberversicherungen werden teurer und selektiver. Höhere Prämien und strengere technische Auflagen werden zur Norm, einfache Policen ohne Nachweis von MFA und Backups verschwinden.
- Strafverfolgung erzeugt neue Splittergruppen. Selbst wenn Qilin zerschlagen würde, wandern die Affiliates zur nächsten Plattform. Das Hydra-Prinzip bleibt bestehen.
- KI beschleunigt beide Seiten. Angreifer nutzen generative Modelle für überzeugenderes Phishing, Verteidiger für schnellere Anomalieerkennung. Das Wettrüsten verschiebt sich, endet aber nicht.
So schützen sich Unternehmen vor Qilin
Die wirksamsten Maßnahmen sind nicht neu, werden aber zu selten konsequent umgesetzt. Der Erstzugang erfolgt fast immer über bekannte Wege, die sich schließen lassen.
- Multi-Faktor-Authentifizierung überall: Gestohlene Passwörter allein dürfen keinen Zugang ermöglichen. Eine starke Passwortsicherheit mit 2FA ist die erste Verteidigungslinie.
- Patchen exponierter Systeme: VPN-Gateways, Fernzugänge und Edge-Geräte müssen innerhalb von Tagen aktualisiert werden, nicht Wochen.
- Getestete, offline gehaltene Backups: Nur unveränderliche Sicherungen, die der Angreifer nicht erreichen kann, garantieren die Wiederherstellung.
- Netzwerksegmentierung: Wer laterale Bewegung erschwert, begrenzt den Schaden eines einzelnen kompromittierten Kontos.
- Phishing-Awareness: Mitarbeitende bleiben das häufigste Einfallstor. Wie man Angriffe erkennt, erklärt unser Leitfaden zu Phishing-Angriffen.
- Endpoint Detection and Response: Verhaltensbasierte Erkennung schlägt Alarm, bevor die Verschlüsselung beginnt.
Entscheidend ist die Haltung. Ransomware ist kein technisches Restrisiko mehr, sondern ein wahrscheinliches Ereignis. Wer einen getesteten Notfallplan, klare Meldewege und definierte Verantwortlichkeiten hat, übersteht einen Vorfall mit deutlich geringerem Schaden als ein unvorbereitetes Unternehmen.
Häufige Fragen zu Qilin Ransomware
Was ist Qilin Ransomware?
Qilin, auch bekannt als Agenda, ist eine russischsprachige Ransomware-as-a-Service-Gruppe, die seit Juli 2022 aktiv ist. Sie vermietet ihre Schadsoftware an Affiliates, setzt auf doppelte Erpressung und gehört 2025 und 2026 zu den aktivsten Ransomware-Operationen weltweit.
Welche deutschen Ziele hat Qilin angegriffen?
Im März 2026 reklamierte Qilin einen Angriff auf die Partei Die Linke, im April 2026 auf den Modehersteller Marc Cain. In beiden Fällen drohte die Gruppe mit der Veröffentlichung gestohlener Daten.
Wie viel Lösegeld fordert Qilin?
Die Forderungen variieren stark je nach Opfer. Beim Angriff auf den britischen Labordienstleister Synnovis verlangte Qilin 2024 rund 50 Millionen US-Dollar. Affiliates behalten 80 bis 85 Prozent des erpressten Betrags.
Warum ist Qilin 2025 so stark gewachsen?
Laut Check Point profitierte Qilin von der Zerschlagung konkurrierender RaaS-Gruppen, insbesondere RansomHub. Freigewordene, erfahrene Affiliates wechselten zur Plattform mit der höchsten Provision.
Sollte man bei einem Ransomware-Angriff zahlen?
Behörden wie das BSI raten grundsätzlich von Zahlungen ab. Eine Zahlung garantiert weder die Entschlüsselung noch die Löschung gestohlener Daten und finanziert weitere Angriffe. Zudem bestehen Melde- und Dokumentationspflichten, deren Verletzung Bußgelder nach sich ziehen kann.
Wie schützt man sich am besten vor Qilin?
Die wirksamsten Maßnahmen sind Multi-Faktor-Authentifizierung, schnelles Patchen exponierter Systeme, unveränderliche Offline-Backups, Netzwerksegmentierung, Phishing-Schulungen und verhaltensbasierte Endpoint-Erkennung.
Related Coverage
- Cyberangriff Deutschland: +124 % Attacken im DACH-Raum
- REvil enttarnt: 130 Angriffe, 35 Mio. € Schaden
- BSI Lagebericht: 280.000 Schadprogramme pro Tag
- Citrix NetScaler Lücke: CVSS 9.3, KEV in 7 Tagen
- Datenlecks: Wie sie entstehen und wie Sie sich schützen
- Phishing-Angriffe erkennen und richtig reagieren
- Online-Sicherheit verständlich erklärt
Quellen und weiterführende Informationen: Security Affairs zum Die-Linke-Angriff, MoxFive Qilin-Lagebericht 2026, Ransomware.live Opfertracker, Bitkom Wirtschaftsschutz-Studie und Bundesamt für Sicherheit in der Informationstechnik.
