{"id":293,"date":"2026-06-21T20:14:23","date_gmt":"2026-06-21T20:14:23","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/21\/qilin-ransomware-die-linke-angriff-2026\/"},"modified":"2026-06-21T20:15:42","modified_gmt":"2026-06-21T20:15:42","slug":"qilin-ransomware-die-linke-angriff-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/21\/qilin-ransomware-die-linke-angriff-2026\/","title":{"rendered":"Die Linke gehackt: Qilin klaut 1,5 TB Daten [2026]"},"content":{"rendered":"\n

Am 26. M\u00e4rz 2026 entdeckte die Bundespartei Die Linke eine schwerwiegende Kompromittierung ihrer IT-Infrastruktur. Einen Tag sp\u00e4ter best\u00e4tigte die Partei \u00f6ffentlich den Angriff. Am 1. April 2026 beanspruchte die russischsprachige Ransomware-Gruppe Qilin die Tat f\u00fcr sich, ver\u00f6ffentlichte Die Linke auf ihrer Tor-basierten Datenleckseite und drohte mit der Ver\u00f6ffentlichung gestohlener interner Dokumente und pers\u00f6nlicher Daten von Mitarbeiterinnen und Mitarbeitern der Bundesgesch\u00e4ftsstelle. Sch\u00e4tzungen zufolge wurden bis zu 1,5 Terabyte Daten exfiltriert, obwohl Die Linke betonte, dass die Mitgliederdatenbank mit 123.000 registrierten Mitgliedern nicht betroffen sei.<\/p>\n\n\n\n

Der Angriff ist nicht isoliert. Er reiht sich ein in eine Serie gezielter Cyberangriffe auf deutsche Parteien, die Sicherheitsexperten als Teil einer breiteren Destabilisierungsstrategie gegen demokratische Institutionen einordnen. Die Linke selbst erkl\u00e4rte, der Angriff erscheine in diesem Kontext nicht zuf\u00e4llig.<\/p>\n\n\n\n

Chronologie des Angriffs: Was am 26. M\u00e4rz 2026 geschah<\/h2>\n\n\n\n

Die Zeitachse des Angriffs zeigt ein f\u00fcr Qilin typisches Vorgehen: Zun\u00e4chst erfolgte eine unauff\u00e4llige Infiltration, dann Datenexfiltration, schlie\u00dflich die \u00f6ffentliche Enth\u00fcllung mit maximaler Druckwirkung.<\/p>\n\n\n\n

26. M\u00e4rz 2026:<\/strong> IT-Sicherheitsteams der Bundespartei entdecken ungew\u00f6hnliche Aktivit\u00e4ten im Netzwerk. Die Partei schaltet Teile ihrer IT-Systeme sofort ab, um eine weitere Ausbreitung zu verhindern. Gleichzeitig werden unabh\u00e4ngige IT-Experten hinzugezogen und eine Strafanzeige bei der Polizei erstattet.<\/p>\n\n\n\n

27. M\u00e4rz 2026:<\/strong> Die Linke gibt eine offizielle Pressemitteilung heraus und best\u00e4tigt einen schwerwiegenden Cyberangriff. In der Mitteilung hei\u00dft es: “Den Angreifern ist es nach aktuellem Kenntnisstand nicht gelungen, Mitgliederdaten zu stehlen. Die Mitgliederdatenbank der Partei war nicht betroffen.” Gleichzeitig warnt die Partei, dass interne Dokumente und pers\u00f6nliche Daten von Besch\u00e4ftigten der Bundesgesch\u00e4ftsstelle m\u00f6glicherweise kompromittiert wurden.<\/p>\n\n\n\n

1. April 2026:<\/strong> Die Ransomware-Gruppe Qilin ver\u00f6ffentlicht Die Linke offiziell auf ihrer Darknet-Datenleckseite. Die Gruppe f\u00fcgt die Partei ihrer Opferliste hinzu, ohne zu diesem Zeitpunkt konkrete Daten als Beweis hochzuladen, und setzt eine implizite Frist f\u00fcr Verhandlungen.<\/p>\n\n\n\n

Laut Sicherheitsforschern von Neuracyb Intelligence k\u00f6nnten die Angreifer bis zu 1,5 Terabyte interne Daten exfiltriert haben. Diese Zahl ist bislang offiziell nicht best\u00e4tigt. Betroffen k\u00f6nnten strategische Planungsdokumente, interne Kommunikation, administrative Unterlagen und pers\u00f6nliche Daten von Besch\u00e4ftigten am Hauptsitz sein. \u00dcber L\u00f6segeldforderungen oder -zahlungen machte die Partei keine Angaben.<\/p>\n\n\n\n

Qilin Ransomware: Profil der aktivsten RaaS-Gruppe in Europa<\/h2>\n\n\n\n

Qilin, auch bekannt unter dem Namen Agenda, ist seit Juli 2022 aktiv und hat sich bis Mitte 2026 zu einer der produktivsten Ransomware-Gruppen weltweit entwickelt. Das Besondere an Qilin ist sein technisches Fundament: Die Malware ist in den Programmiersprachen Rust und Go geschrieben. Beide Sprachen machen die Analyse und Erkennung durch herk\u00f6mmliche Sicherheitssoftware deutlich schwieriger und erm\u00f6glichen gleichzeitig Angriffe auf Windows, Linux und VMware ESXi-Systeme mit einem einzigen Codebasis-Ansatz.<\/p>\n\n\n\n

Qilin operiert als Ransomware-as-a-Service (RaaS). Das bedeutet: Ein Kernteam entwickelt und pflegt die Malware sowie die Infrastruktur, w\u00e4hrend externe Affiliates die eigentlichen Angriffe durchf\u00fchren. Die Einnahmenteilung ist dabei besonders attraktiv gestaltet: Affiliates erhalten 80 Prozent aller L\u00f6segeldzahlungen bis zu drei Millionen US-Dollar sowie 85 Prozent aller Zahlungen \u00fcber dieser Grenze. Dieses Modell macht Qilin zu einem der finanziell attraktivsten Angebote im kriminellen Untergrund.<\/p>\n\n\n\n

Sicherheitsforscher des Unternehmens MoxFive dokumentierten in ihrem Qilin-Bericht von Juni 2026, dass die Gruppe seit ihrem Start insgesamt mehr als 1.500 Opfer beanspruchte, davon \u00fcber 500 allein im Jahr 2026. Damit ist Qilin die nach eigenen Angaben aktivste Ransomware-Operation im aktuellen Datensatz des Unternehmens. Im Jahr 2025 geh\u00f6rte Qilin laut mehreren Bedrohungsanalysten zu den f\u00fcnf aktivsten Ransomware-Gruppen weltweit, mit monatlichen Opferzahlen, die zeitweise mit der Gruppe Akira mithalten konnten.<\/p>\n\n\n\n

Sicherheitsforscher von The Record gelang es, die Qilin-Infrastruktur verdeckt zu infiltrieren und dabei einen direkten Blick auf das Betriebsmodell der Gruppe zu gewinnen. Der Administrator des RaaS-Programms best\u00e4tigte dabei pers\u00f6nlich die Einnahmenteilung und beschrieb die technischen F\u00e4higkeiten der Malware. F\u00fcr die Verteidiger besonders beunruhigend: Es gibt bis heute keinen \u00f6ffentlich verf\u00fcgbaren Entschl\u00fcsseler f\u00fcr Qilin-Angriffe.<\/p>\n\n\n\n

Was gestohlen wurde: Gestohlene Daten und ihr Schadenspotenzial<\/h2>\n\n\n\n

Die Linke kommunizierte zum Angriff bewusst differenziert: Die Mitgliederdatenbank mit den Daten der 123.000 registrierten Parteimitglieder blieb unber\u00fchrt. Das ist eine bedeutende Einschr\u00e4nkung des Schadens, da Mitgliederdaten besonders sch\u00fctzenswert sind und im politischen Kontext f\u00fcr gezielte Einsch\u00fcchterungen oder Desinformationskampagnen missbraucht werden k\u00f6nnten.<\/p>\n\n\n\n

Betroffen waren jedoch offenbar andere Bereiche der Parteiinfrastruktur. Die offizielle Mitteilung der Partei nannte ausdr\u00fccklich sensible Daten aus internen Parteibereichen sowie pers\u00f6nliche Informationen von Besch\u00e4ftigten der Bundesgesch\u00e4ftsstelle. Dazu k\u00f6nnten Gehaltsabrechnungen, interne E-Mail-Kommunikation, strategische Dokumente zur Parteif\u00fchrung, Vertragsdaten und m\u00f6glicherweise Informationen \u00fcber Spendengeberinnen und Spendengeber geh\u00f6ren.<\/p>\n\n\n\n

Qilin verwendet standardm\u00e4\u00dfig ein Zweistufenmodell der Erpressung. In der ersten Stufe verschl\u00fcsseln die Angreifer die Daten und verlangen ein L\u00f6segeld f\u00fcr den Entschl\u00fcsselungsschl\u00fcssel. In der zweiten Stufe drohen sie mit der Ver\u00f6ffentlichung der exfiltrierten Daten auf ihrer Darknet-Plattform, wenn kein L\u00f6segeld gezahlt wird oder Verhandlungen scheitern. Dar\u00fcber hinaus sind Qilin-Affiliates daf\u00fcr bekannt, Druck zu verst\u00e4rken, indem sie direkt F\u00fchrungskr\u00e4fte aus den gestohlenen Daten kontaktieren oder Gesch\u00e4ftspartner der Opferorganisation informieren.<\/p>\n\n\n\n

F\u00fcr eine politische Partei bedeutet das eine besondere Risikodimension: Selbst wenn kein L\u00f6segeld gezahlt wird, k\u00f6nnten ver\u00f6ffentlichte interne Kommunikationen politische Enth\u00fcllungen erzeugen, strategische Planungsdokumente Einblicke in kommende Kampagnen geben oder pers\u00f6nliche Daten von Mitarbeiterinnen und Mitarbeitern f\u00fcr zielgerichtete Folgeangriffe genutzt werden.<\/p>\n\n\n\n

Hybridkrieg oder Kriminalit\u00e4t? Die Frage der Attribution<\/h2>\n\n\n\n

Die Linke bezog in ihrer Stellungnahme eine klare Haltung: Die Angreifer seien russischsprachige Cyberkriminelle mit sowohl finanziellen als auch politischen Motiven, und der Angriff erscheine “in diesem Kontext nicht zuf\u00e4llig.” Die Partei sprach explizit von hybrider Kriegsf\u00fchrung und stellte eine Verbindung zu den breiteren geopolitischen Zielen Moskaus her.<\/p>\n\n\n\n

Diese Einsch\u00e4tzung ist nachvollziehbar, wenn man die j\u00fcngsten Entwicklungen betrachtet. Deutschland ist mit seinem Engagement f\u00fcr die Ukraine zu einem bevorzugten Ziel russischsprachiger Bedrohungsakteure geworden. Gleichzeitig operiert Qilin als RaaS-Gruppe, bei der die technischen Operatoren nicht zwingend staatlich gesteuert sind, aber dennoch politisch motiviert agieren k\u00f6nnen oder deren Dienste von staatlichen Stellen in Auftrag gegeben werden.<\/p>\n\n\n\n

Thomas Boele, Regional Director Sales Engineering DACH bei Check Point Software, kommentierte im Fr\u00fchjahr 2026 den allgemeinen Kontext der Angriffswelle: “In Deutschland haben wir uns mittlerweile an einen zweistelligen monatlichen Anstieg der Angriffszahlen gew\u00f6hnt. Die Attacken zielen weiterhin verst\u00e4rkt auf kritische Infrastruktur und \u00f6ffentliche Institutionen.” Politische Parteien fallen in Deutschland unter die kritische gesellschaftliche Infrastruktur, die besonders sch\u00fctzenswert ist.<\/p>\n\n\n\n

Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) registrierte im Berichtszeitraum Juli 2024 bis Juni 2025 durchschnittlich 119 neue Sicherheitsl\u00fccken pro Tag, ein Anstieg von 24 Prozent. Diese L\u00fccken bieten Qilin-Affiliates und anderen Bedrohungsgruppen kontinuierlich neue Angriffsvektoren.<\/p>\n\n\n\n

Das Muster: CDU, SPD, Die Linke<\/h2>\n\n\n\n

Der Angriff auf Die Linke steht nicht allein. Alle gro\u00dfen deutschen Parteien sind in den vergangenen Jahren Ziel schwerwiegender Cyberangriffe geworden, was Sicherheitsanalysten zu der Einsch\u00e4tzung veranlasst, dass es sich nicht um opportunistische Angriffe, sondern um eine systematische Destabilisierungsstrategie handelt.<\/p>\n\n\n\n

Die SPD wurde in einem fr\u00fcheren Angriff Opfer des russischen Staatshackers APT28, einer Gruppe, die dem russischen Milit\u00e4rgeheimdienst GRU zugeordnet wird. Dieser Angriff wurde offiziell der russischen Regierung zugeschrieben und f\u00fchrte zu diplomatischen Reaktionen. Die CDU, als f\u00fchrende Oppositionspartei, berichtete Anfang 2026 ebenfalls von einem schwerwiegenden Cybervorfall. Nun folgte Die Linke.<\/p>\n\n\n\n

Sicherheitsanalysten, die den Fall f\u00fcr verschiedene Bedrohungsforschungsunternehmen untersuchten, betonten, dass das \u00fcbergeordnete Ziel dieser Angriffe nicht in der Unterst\u00fctzung einer bestimmten politischen Richtung liege. Das Ziel sei vielmehr, das Vertrauen der \u00d6ffentlichkeit in demokratische Institutionen generell zu ersch\u00fcttern und systemisches Chaos zu erzeugen. In diesem Sinne sind alle Parteien gleicherma\u00dfen Ziele, unabh\u00e4ngig von ihrer politischen Ausrichtung.<\/p>\n\n\n\n

Die H\u00e4ufung dieser Angriffe im Jahr 2026 korreliert mit einem Anstieg der gesamten Cyberangriffe auf Deutschland um 124 Prozent im Jahr 2025, den Check Point Software Technologies in seinem DACH-Bericht vom Mai 2026 dokumentierte. Deutschland allein machte dabei \u00fcber 80 Prozent aller Vorf\u00e4lle in der DACH-Region aus.<\/p>\n\n\n\n

Qilins Angriffstechnik: Wie die Gruppe vorgeht<\/h2>\n\n\n\n

Qilin-Affiliates nutzen eine bew\u00e4hrte Kombination aus mehreren Angriffsvektoren, um in Zielnetzwerke einzudringen. Die h\u00e4ufigsten Methoden umfassen Phishing und gezieltes Spear-Phishing, gestohlene VPN-Zugangsdaten, die \u00fcber Initial Access Broker (IABs) oder Infostealer beschafft wurden, sowie die Ausnutzung exponierter Remote-Access-Dienste wie RDP (Remote Desktop Protocol) und Citrix-Schnittstellen.<\/p>\n\n\n\n

Besonders bemerkenswert ist ein im Sommer 2025 dokumentierter neuer Angriffsvektor: Qilin-Affiliates begannen, Google Chrome-Anmeldedaten gezielt zu stehlen und dabei erhebliche Mengen gespeicherter Passw\u00f6rter aus den Browserprofilen zu exfiltrieren. Diese Methode liefert Zugangsdaten zu weiteren Unternehmenssystemen und Cloud-Diensten, die dann f\u00fcr Folgeattacken genutzt werden.<\/p>\n\n\n\n

Seit Mai 2026 wurde zus\u00e4tzlich CVE-2026-50751, eine kritische Schwachstelle in Check Point Remote Access VPN, als erster Angriffsvektor bei Qilin-Angriffen best\u00e4tigt. Diese Schwachstelle mit einem CVSS-Score von 9.3 erlaubt einen Authentifizierungsbypass und wurde aktiv ausgenutzt, bevor ein Patch verf\u00fcgbar war.<\/p>\n\n\n\n

Nach dem initialen Zugang bewegen sich Qilin-Affiliates lateral durch das Netzwerk, nutzen dabei eingebaute Windows-Administrationswerkzeuge, um nicht erkannt zu werden, und exfiltrieren sensible Daten \u00fcber einen l\u00e4ngeren Zeitraum, bevor die eigentliche Ransomware-Verschl\u00fcsselung aktiviert wird. Dieser Ansatz maximiert den Schaden: Selbst wenn die Verschl\u00fcsselung rechtzeitig entdeckt und gestoppt wird, sind die Daten bereits gestohlen und k\u00f6nnen zur Erpressung genutzt werden.<\/p>\n\n\n\n

Im Sommer 2025 wurden au\u00dferdem neue Techniken f\u00fcr WSL-basierte Evasion (Windows Subsystem for Linux) dokumentiert, die es Qilin-Affiliates erm\u00f6glichen, herk\u00f6mmliche Windows-Endpoint-Sicherheitsl\u00f6sungen zu umgehen. Organisationen, die keine Linux-Schicht-Erkennung in ihrer Endpoint-Sicherheit einsetzen, sind dadurch besonders gef\u00e4hrdet.<\/p>\n\n\n\n

Qilin in Zahlen: Globale Reichweite und Opferstatistik<\/h2>\n\n\n\n

Die Skalierung von Qilin seit 2022 ist beeindruckend und besorgniserregend zugleich. Das RaaS-Modell mit seinen attraktiven Einnahmeteilungsvereinbarungen zieht erfahrene Affiliates aus dem gesamten kriminellen Spektrum an und erm\u00f6glicht eine Angriffskapazit\u00e4t, die ein geschlossenes kriminelles Kollektiv niemals erreichen k\u00f6nnte.<\/p>\n\n\n\n

Ransomware-Gruppe<\/th>Aktiv seit<\/th>Modell<\/th>Affiliate-Anteil<\/th>Plattformen<\/th>Besonderheit<\/th><\/tr><\/thead>
Qilin (Agenda)<\/td>Juli 2022<\/td>RaaS<\/td>80-85 %<\/td>Windows, Linux, ESXi<\/td>In Rust und Go geschrieben; plattform\u00fcbergreifend<\/td><\/tr>
Akira<\/td>2023<\/td>RaaS<\/td>ca. 80 %<\/td>Windows, Linux<\/td>Fokus auf Unternehmen; C++ basiert<\/td><\/tr>
Black Basta<\/td>2022<\/td>Geschlossene Gruppe<\/td>intern<\/td>Windows, Linux<\/td>Keine \u00f6ffentlichen Affiliates<\/td><\/tr>
LockBit 3.0<\/td>2019<\/td>RaaS<\/td>ca. 80 %<\/td>Windows, Linux, ESXi<\/td>Gr\u00f6\u00dftes Affiliate-Netzwerk historisch<\/td><\/tr>
Cl0p<\/td>2019<\/td>Selektives RaaS<\/td>variabel<\/td>Windows<\/td>Massenausnutzung von MFT-Schwachstellen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Qilin hat Opfer in zahlreichen Branchen gemacht: Gesundheitswesen, Finanzdienstleistungen, Fertigung, Technologie, Luftfahrt, Regierung, Bildung und Energie. Diese sektor\u00fcbergreifende Ausrichtung spiegelt das RaaS-Modell wider, bei dem Affiliates Ziele nach Opportunismus und Ertragspotenzial ausw\u00e4hlen, nicht nach einer zentralen Strategie des Kernteams.<\/p>\n\n\n\n

Der bislang bekannteste Qilin-Angriff traf im Juni 2024 das britische Pathologiedienstleistungsunternehmen Synnovis, ein Gemeinschaftsunternehmen zwischen SYNLAB und dem britischen National Health Service. Die Gruppe forderte ein L\u00f6segeld von 50 Millionen US-Dollar und drohte mit der Ver\u00f6ffentlichung von rund 400 Gigabyte Gesundheitsdaten. Der Angriff legte Labordienste f\u00fcr mehrere Londoner NHS-Krankenh\u00e4user lahm und f\u00fchrte zu Operationsverschiebungen und einem nationalen Blutspende-Notfallaufruf.<\/p>\n\n\n\n

Qilin-Angriffe in Europa: Bekannte Opfer im \u00dcberblick<\/h2>\n\n\n\n
Datum<\/th>Opfer<\/th>Land<\/th>Branche<\/th>Bekannte Details<\/th><\/tr><\/thead>
2023<\/td>Yanfeng Automotive<\/td>Multinational<\/td>Automobilindustrie<\/td>Angriff auf Zulieferer; interne Daten betroffen<\/td><\/tr>
2023<\/td>The Big Issue<\/td>Vereinigtes K\u00f6nigreich<\/td>Medien<\/td>Datenpublikation auf Qilin-Leaksite<\/td><\/tr>
2023<\/td>County Court Victoria<\/td>Australien<\/td>Justiz<\/td>Gerichtsaufzeichnungen kompromittiert<\/td><\/tr>
Juni 2024<\/td>Synnovis (NHS)<\/td>Vereinigtes K\u00f6nigreich<\/td>Gesundheitswesen<\/td>400 GB; 50 Mio. $ Forderung; NHS-Notfallruf<\/td><\/tr>
M\u00e4rz 2026<\/td>Die Linke<\/td>Deutschland<\/td>Politik<\/td>Bis zu 1,5 TB (unbest\u00e4tigt); 123.000 Mitglieder unbetroffen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die Zahl der Qilin-Angriffe auf europ\u00e4ische Ziele nahm in den ersten Monaten des Jahres 2026 sp\u00fcrbar zu. Darktrace, das Sicherheitsunternehmen, dokumentierte in seiner Analyse von Februar und M\u00e4rz 2026 \u00e4hnliche anomale Aktivit\u00e4tsmuster in mehreren Kundenumgebungen gleichzeitig. Dies deutet auf eine koordinierte Kampagne hin, bei der mehrere Affiliates gleichzeitig aktiv waren.<\/p>\n\n\n\n

Reaktion und Konsequenzen: Was Die Linke unternimmt<\/h2>\n\n\n\n

Die Reaktion der Partei folgte unmittelbar nach der Entdeckung und war vergleichsweise schnell und transparent. Die Abschaltung betroffener IT-Systeme diente der Eingrenzung des Schadens und verhinderte eine weitere Ausbreitung der Ransomware innerhalb des Netzwerks. Die Einschaltung unabh\u00e4ngiger IT-Forensiker erm\u00f6glichte eine professionelle Untersuchung des Vorfalls und die schrittweise, sichere Wiederherstellung der Systeme.<\/p>\n\n\n\n

Die Strafanzeige bei der Polizei leitet eine offizielle Strafverfolgung ein, die in Deutschland unter Koordination des Bundeskriminalamts (BKA) erfolgt. Das BKA hat in den vergangenen Jahren erhebliche Kapazit\u00e4ten f\u00fcr die Verfolgung von Ransomware-Gruppen aufgebaut, unter anderem durch die internationale Kooperation im Rahmen von Operationen wie Operation Endgame im Jahr 2024.<\/p>\n\n\n\n

Susanne Dehmel, Mitglied der Gesch\u00e4ftsf\u00fchrung beim Digitalverband Bitkom, ordnete den Angriff im Kontext des neuen Cybersicherheitsgesetzes ein: “Genau solche F\u00e4lle zeigen, warum Deutschland jetzt die Handlungsf\u00e4higkeit von BSI, BKA und Bundespolizei st\u00e4rken muss. Mobile Incident Response Teams und erweiterte Eingriffsbefugnisse sind keine Optionen mehr, sondern Notwendigkeiten.”<\/p>\n\n\n\n

Das Bundeskabinett hatte am 27. Mai 2026, also nur wenige Wochen nach dem Angriff, den Gesetzentwurf zur St\u00e4rkung der Cybersicherheit beschlossen. Dieser gibt BSI, BKA und Bundespolizei bislang nie dagewesene Befugnisse zur Abwehr von Cyberangriffen, darunter faktische Hackback-M\u00f6glichkeiten. Am 26. Juni 2026 erfolgte die erste Lesung im Bundestag.<\/p>\n\n\n\n

DSGVO und rechtliche Konsequenzen f\u00fcr Die Linke<\/h2>\n\n\n\n

Der Angriff l\u00f6st f\u00fcr Die Linke als Datenverantwortliche mehrere Pflichten nach der Datenschutz-Grundverordnung (DSGVO) aus. Zun\u00e4chst besteht eine 72-Stunden-Meldefrist gegen\u00fcber der zust\u00e4ndigen Datenschutzaufsichtsbeh\u00f6rde, dem Berliner Beauftragten f\u00fcr Datenschutz und Informationsfreiheit, nachdem die Partei von der Verletzung personenbezogener Daten Kenntnis erlangt hat.<\/p>\n\n\n\n

Sind Personen einem hohen Risiko ausgesetzt, weil ihre Daten gestohlen wurden, m\u00fcssen die Betroffenen ebenfalls individuell benachrichtigt werden. Im Fall der Linken-Mitarbeiterinnen und Mitarbeiter, deren Personaldaten m\u00f6glicherweise kompromittiert wurden, d\u00fcrfte diese Schwelle \u00fcberschritten sein. Die Mitgliederdatenbank blieb nach aktuellem Kenntnisstand unbetroffen, sodass f\u00fcr die 123.000 Mitglieder zun\u00e4chst keine Benachrichtigungspflicht besteht.<\/p>\n\n\n\n

Die DSGVO sieht bei schweren Verst\u00f6\u00dfen Bu\u00dfgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. F\u00fcr eine politische Partei, die keine gewerbliche Organisation ist, gelten besondere Erw\u00e4gungen. Datenschutzbeh\u00f6rden ber\u00fccksichtigen bei der Bu\u00dfgeldberechnung jedoch auch das Ausma\u00df der getroffenen technischen und organisatorischen Ma\u00dfnahmen sowie die Kooperationsbereitschaft mit den Beh\u00f6rden. Die schnelle Reaktion der Partei, einschlie\u00dflich der unmittelbaren Systemabschaltung und der Einschaltung von Beh\u00f6rden, d\u00fcrfte sich mildernd auswirken.<\/p>\n\n\n\n

Hinzu kommen m\u00f6gliche zivilrechtliche Anspr\u00fcche betroffener Besch\u00e4ftigter, wenn ihre Daten durch die Verletzung missbraucht werden. Der Europ\u00e4ische Gerichtshof hat in mehreren Urteilen klargestellt, dass der blo\u00dfe Kontrollverlust \u00fcber personenbezogene Daten einen immateriellen Schaden darstellen kann, der Entsch\u00e4digungsanspr\u00fcche begr\u00fcndet.<\/p>\n\n\n\n

Wie Qilin Druck aus\u00fcbt: Eskalationstaktiken jenseits der Datenverschl\u00fcsselung<\/h2>\n\n\n\n

Qilin ist bekannt daf\u00fcr, \u00fcber die reine Datenverschl\u00fcsselung hinauszugehen, um maximalen Druck auf Opfer auszu\u00fcben. Die Gruppe und ihre Affiliates haben eine Reihe von Eskalationstaktiken entwickelt, die besonders f\u00fcr politische oder \u00f6ffentliche Organisationen gef\u00e4hrlich sind.<\/p>\n\n\n\n

Erstens betreiben Qilin-Affiliates aktive Verhandlungsf\u00fchrung, bei der sie direkt F\u00fchrungspersonen kontaktieren, deren Namen in den gestohlenen Daten auftauchen. F\u00fcr eine politische Partei bedeutet das: F\u00fchrungspers\u00f6nlichkeiten k\u00f6nnten pers\u00f6nlich angesprochen werden, um Druck auf die Parteif\u00fchrung auszu\u00fcben.<\/p>\n\n\n\n

Zweitens drohen Qilin-Affiliates damit, Datenschutzbeh\u00f6rden direkt \u00fcber den Vorfall zu informieren, wenn das Opfer nicht zahlt. Dieses Vorgehen erzeugt zus\u00e4tzlichen regulatorischen Druck und kann Ermittlungen ausl\u00f6sen, die unabh\u00e4ngig von der Ransomware-Situation belastend sind.<\/p>\n\n\n\n

Drittens informieren die Angreifer in einigen F\u00e4llen Gesch\u00e4ftspartner, Kunden oder, im Fall politischer Parteien, Medienvertreter \u00fcber die gestohlenen Daten, um Reputationssch\u00e4den zu erzeugen. Besonders brisant ist dabei die von Qilin 2025 eingef\u00fchrte “Call Lawyer”-Funktion in ihrem RaaS-Panel, die Affiliates Zugang zu juristischen Beratern f\u00fcr Verhandlungen verschafft und die Professionalit\u00e4t der kriminellen Operation unterstreicht.<\/p>\n\n\n\n

KI-generierte Inhalte flie\u00dfen laut Analysen von Sicherheitsforschern ebenfalls zunehmend in Qilin-Operationen ein. Phishing-Kampagnen und soziale Manipulationsversuche werden durch KI-Werkzeuge personalisierter und \u00fcberzeugender gestaltet. KnowBe4 zufolge sind 82,6 Prozent aller Phishing-E-Mails in den Jahren 2025 und 2026 KI-generiert.<\/p>\n\n\n\n

F\u00fcnf Prognosen: Wie sich die Bedrohungslage entwickelt<\/h2>\n\n\n\n

Der Angriff auf Die Linke ist kein Endpunkt, sondern ein Datenpunkt in einem sich beschleunigenden Trend. Auf Basis der verf\u00fcgbaren Bedrohungsintelligenz zeichnen sich f\u00fcnf Entwicklungen ab:<\/p>\n\n\n\n

1. Weitere Angriffe auf deutsche Parteien vor der n\u00e4chsten Wahl:<\/strong> Die systematische Targeting-Strategie gegen alle gro\u00dfen Parteien legt nahe, dass keine Partei immun ist. Wahlkampfphasen erh\u00f6hen die Angriffsfl\u00e4che, da Kommunikationsvolumen und Zeitdruck interne Sicherheitskontrollen aufweichen.<\/p>\n\n\n\n

2. Qilin wird 2026 zur aktivsten Ransomware-Gruppe in Europa:<\/strong> Mit \u00fcber 500 Opfern allein im ersten Halbjahr 2026 und einem attraktiven Affiliate-Modell ist Qilin auf dem Weg, LockBit als dominante europ\u00e4ische Bedrohung abzul\u00f6sen. Das Fehlen eines \u00f6ffentlichen Entschl\u00fcsselers verst\u00e4rkt den Erpressungsdruck.<\/p>\n\n\n\n

3. Das neue Cybersicherheitsgesetz schafft erstmals Hackback-F\u00e4higkeiten:<\/strong> Wenn der Gesetzentwurf verabschiedet wird, erhalten BKA und Bundespolizei Befugnisse, Datenverkehr umzuleiten, zu blockieren und Daten auf Angreifersystemen zu erheben, zu l\u00f6schen oder zu ver\u00e4ndern. Das k\u00f6nnte zuk\u00fcnftige Qilin-Infrastruktur direkt treffen.<\/p>\n\n\n\n

4. Die 375 neuen Stellen bei BSI, BKA und Bundespolizei werden nicht ausreichen:<\/strong> Das Cybersicherheitsgesetz sieht 375 neue Stellen vor. Angesichts von 1.345 w\u00f6chentlichen Cyberangriffen auf deutsche Unternehmen allein im Februar 2026 (Check Point Research) ist das ein erster Schritt, der aber den strukturellen R\u00fcckstand in der Cybersicherheitspersonaldecke nicht schnell schlie\u00dfen wird.<\/p>\n\n\n\n

5. Ransomware-Gruppen werden zunehmend hybride Akteure:<\/strong> Die Grenzen zwischen rein kriminellen RaaS-Operationen und staatlich geduldeten oder beauftragten Cyberoperationen verschwimmen weiter. Qilins angebliche russischsprachige Struktur und die geopolitisch sensiblen Zielselektion deuten auf mindestens eine implizite staatliche Tolerierung hin.<\/p>\n\n\n\n

Schutzma\u00dfnahmen: So sch\u00fctzen sich Organisationen vor Qilin<\/h2>\n\n\n\n

Die technischen Empfehlungen zur Abwehr von Qilin-Angriffen decken sich weitgehend mit den allgemeinen Best Practices f\u00fcr Ransomware-Pr\u00e4vention, haben aber aufgrund der spezifischen Qilin-Taktiken besondere Schwerpunkte.<\/p>\n\n\n\n

Der prim\u00e4re Angriffsvektor, gestohlene VPN-Zugangsdaten und kompromittierte Remote-Access-Dienste, l\u00e4sst sich durch Multi-Faktor-Authentifizierung (MFA) auf allen Remote-Zugangspunkten erheblich schw\u00e4chen. Qilin-Affiliates verlassen sich h\u00e4ufig auf gestohlene Passw\u00f6rter, die durch Infostealer oder Phishing beschafft wurden. MFA macht diese Zugangsdaten allein nutzlos.<\/p>\n\n\n\n

Netzwerksegmentierung verhindert die laterale Bewegung nach einem erfolgreichen initialen Zugang. Wenn ein Angreifer in ein Segment eindringt, sollte er nicht in der Lage sein, sich ungehindert durch das gesamte Netzwerk zu bewegen und alle Daten zu exfiltrieren. Die Trennung kritischer Systeme, Mitgliederdatenbanken und Kommunikationsinfrastruktur in separate Netzwerksegmente mit strikten Zugriffskontrollen ist essenziell.<\/p>\n\n\n\n

Endpoint Detection and Response (EDR) mit Linux-Abdeckung ist angesichts der WSL-basierten Evasionstechniken von Qilin unerl\u00e4sslich. Herk\u00f6mmliche Windows-Endpoint-Sicherheit erkennt Aktivit\u00e4ten im Windows Subsystem for Linux nicht oder nur eingeschr\u00e4nkt. Organisationen sollten pr\u00fcfen, ob ihre Sicherheitsl\u00f6sung explizit WSL-Prozesse und Linux-Aktivit\u00e4ten auf Windows-Systemen \u00fcberwacht.<\/p>\n\n\n\n

Regelm\u00e4\u00dfige, offline gespeicherte Backups sind die letzte Verteidigungslinie gegen Ransomware. Die Backups m\u00fcssen getrennt vom Hauptnetzwerk gespeichert sein und regelm\u00e4\u00dfig auf ihre Wiederherstellbarkeit getestet werden. F\u00fcr politische Parteien und Beh\u00f6rden empfiehlt das BSI dabei die 3-2-1-Backup-Regel: drei Kopien, auf zwei verschiedenen Medientypen, davon eine au\u00dfer Haus.<\/p>\n\n\n\n

Weiterf\u00fchrende Artikel<\/h2>\n\n\n\n

F\u00fcr einen tieferen Einblick in die Bedrohungslandschaft empfehlen wir folgende Artikel:<\/p>\n\n\n\n