{"id":73,"date":"2026-06-12T08:13:33","date_gmt":"2026-06-12T08:13:33","guid":{"rendered":"https:\/\/shattered.io\/de\/2026\/06\/12\/qilin-ransomware-deutschland-2026\/"},"modified":"2026-06-12T08:14:58","modified_gmt":"2026-06-12T08:14:58","slug":"qilin-ransomware-deutschland-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/de\/2026\/06\/12\/qilin-ransomware-deutschland-2026\/","title":{"rendered":"Qilin Ransomware: 500+ Opfer, Die Linke gehackt [2026]"},"content":{"rendered":"\n

Im M\u00e4rz 2026 verschwanden bei der Partei Die Linke Teile der IT-Infrastruktur vom Netz. Hinter dem Angriff steht eine Gruppe, die Sicherheitsforscher seit Monaten an die Spitze der globalen Ransomware-Statistik setzen: Qilin. Die russischsprachige Bande arbeitet als Ransomware-as-a-Service-Plattform, hat 2025 laut mehreren Trackern \u00fcber 1.000 Opfer beansprucht und allein in den ersten zwei Januarwochen 2026 mehr als 55 neue Gesch\u00e4digte auf ihrer Leak-Seite ver\u00f6ffentlicht. Mit den Attacken auf Die Linke und den Modehersteller Marc Cain ist Qilin Ransomware endg\u00fcltig in Deutschland angekommen.<\/p>\n\n\n\n

Dieser Beitrag ordnet ein, wer hinter Qilin steckt, wie das Erpressungsmodell funktioniert, welche deutschen Ziele betroffen sind und was die Welle f\u00fcr Unternehmen, Versicherer und Beh\u00f6rden im DACH-Raum bedeutet. Die Analyse st\u00fctzt sich auf Daten von Check Point, MoxFive, CybelAngel, BlackFog, Ransomware.live sowie auf die Wirtschaftsschutz-Zahlen des Branchenverbands Bitkom.<\/p>\n\n\n\n

Der Angriff auf Die Linke: Was im M\u00e4rz 2026 geschah<\/h2>\n\n\n\n

Im M\u00e4rz 2026 reklamierte die Qilin-Gruppe einen Cyberangriff auf Die Linke f\u00fcr sich. Die Partei best\u00e4tigte einen IT-Sicherheitsvorfall und nahm Teile ihrer Systeme vorsorglich offline. Nach Parteiangaben blieb die zentrale Mitgliederdatenbank unber\u00fchrt, ein vollst\u00e4ndiger Datenabfluss wurde nicht best\u00e4tigt. Qilin ver\u00f6ffentlichte auf seiner Tor-basierten Leak-Seite Screenshots angeblich gestohlener Dokumente und drohte mit der Offenlegung, falls kein L\u00f6segeld flie\u00dft.<\/p>\n\n\n\n

Der Fall reiht sich in ein Muster politisch sichtbarer Ziele ein. Bereits im Juni 2024 traf ein Cyberangriff die CDU kurz vor der Europawahl. Parteien sind attraktive Opfer, weil sie sensible Personendaten verwalten, oft mit d\u00fcnner IT-Mannschaft arbeiten und unter hohem \u00f6ffentlichem Druck stehen. Genau diese Mischung aus Datenwert und Reputationsrisiko nutzt das doppelte Erpressungsmodell von Qilin aus: Selbst wenn die Verschl\u00fcsselung abgewehrt wird, bleibt die Drohung mit der Ver\u00f6ffentlichung als Hebel bestehen.<\/p>\n\n\n\n

Anders als bei einem klassischen Datenleck, das oft unbemerkt bleibt, inszeniert Qilin den Vorfall \u00f6ffentlich. Der Countdown auf der Leak-Seite, die Screenshots und die direkte Ansprache der Verhandlungsf\u00fchrer geh\u00f6ren zur Taktik. Wer verstehen will, wie aus einem technischen Einbruch ein wirtschaftlicher und politischer Schaden wird, findet im Fall Die Linke eine Blaupause f\u00fcr die gesamte Bedrohungslage 2026.<\/p>\n\n\n\n

Wer ist Qilin? Herkunft und Aufstieg der Ransomware-Gruppe<\/h2>\n\n\n\n

Qilin wurde erstmals im Juli 2022 beobachtet und firmierte anfangs unter dem Namen Agenda. Sicherheitsforscher ordnen die Gruppe dem russischsprachigen Cyberkriminellen-Milieu zu. CybelAngel beschreibt, dass Qilin “unter einem Ransomware-as-a-Service-Modell operiert” und “offenbar mit Russland verbunden” ist. Der Name Qilin verweist auf ein Fabelwesen aus der chinesischen Mythologie, was bei der Zuordnung zun\u00e4chst f\u00fcr Verwirrung sorgte, an der russischsprachigen Ausrichtung der Betreiber aber nichts \u00e4ndert.<\/p>\n\n\n\n

Der eigentliche Aufstieg kam 2025. Check Point h\u00e4lt fest, dass Qilin “2025 einen weiteren Anstieg erlebte, weil popul\u00e4re RaaS-Gruppen zerschlagen wurden, insbesondere RansomHub”. Als Strafverfolger und interne Streitigkeiten andere Plattformen schw\u00e4chten, wechselten erfahrene Affiliates zu Qilin. Das Resultat: Im November 2024 entfielen laut dem Check-Point-Bericht “State of Cyber Security” rund 5 Prozent aller auf Leak-Seiten gelisteten Opfer auf Qilin. Bis 2025 z\u00e4hlte die Gruppe je nach Datenquelle \u00fcber 1.000 Gesch\u00e4digte, mit einem Monatshoch von etwa 100 neuen Opfern im Juni 2025.<\/p>\n\n\n\n

2026 setzte sich der Trend fort. MoxFive beziffert die von Qilin beanspruchten Opfer f\u00fcr 2026 auf \u00fcber 500. BlackFog f\u00fchrte die Gruppe im M\u00e4rz 2026 mit acht \u00f6ffentlich dokumentierten Attacken als aktivste Ransomware-Operation des Monats. Damit hat sich Qilin von einem Nachz\u00fcgler zu einem der dominierenden Akteure im RaaS-\u00d6kosystem entwickelt.<\/p>\n\n\n\n

Das Gesch\u00e4ftsmodell: Ransomware-as-a-Service erkl\u00e4rt<\/h2>\n\n\n\n

Qilin verkauft keine Software an Endkunden, sondern vermietet eine komplette Erpressungsinfrastruktur an Partner, sogenannte Affiliates. Check Point formuliert es so: “Qilin Ransomware, auch bekannt als Agenda Ransomware, ist eine popul\u00e4re RaaS-Operation, die ihre Technologie an Affiliates verkauft.” Die Kernbande pflegt die Schadsoftware, betreibt die Leak-Seite, stellt Verhandlungswerkzeuge bereit und kassiert eine Provision. Die Affiliates \u00fcbernehmen den eigentlichen Einbruch.<\/p>\n\n\n\n

Wie die Beute aufgeteilt wird<\/h3>\n\n\n\n

Die Aufteilung ist gro\u00dfz\u00fcgig f\u00fcr die T\u00e4ter im Feld. Laut CybelAngel “lockt Qilin Affiliates mit 80 bis 85 Prozent L\u00f6segeldanteil”. Die Kernbetreiber behalten also nur 15 bis 20 Prozent. Diese Quote liegt \u00fcber dem Marktdurchschnitt und erkl\u00e4rt, warum erfahrene Eindringlinge nach der Zerschlagung anderer Plattformen gezielt zu Qilin abwanderten. Wer pro erfolgreichem Angriff mehr verdient, bringt seine Werkzeuge und seine Zug\u00e4nge mit.<\/p>\n\n\n\n

Doppelte Erpressung als Standard<\/h3>\n\n\n\n

Qilin setzt durchg\u00e4ngig auf doppelte Erpressung. Die Daten werden zun\u00e4chst exfiltriert, dann verschl\u00fcsselt. Zahlt das Opfer nicht, droht die Ver\u00f6ffentlichung auf der Tor-Leak-Seite. Die Schadsoftware ist in Go und Rust geschrieben, was Angriffe auf Windows- und Linux-Umgebungen sowie auf VMware-ESXi-Hypervisoren erlaubt. Dieser plattform\u00fcbergreifende Ansatz macht Qilin besonders gef\u00e4hrlich f\u00fcr moderne Rechenzentren, in denen virtualisierte Server das R\u00fcckgrat bilden.<\/p>\n\n\n\n

Marc Cain und die deutsche Opferliste 2026<\/h2>\n\n\n\n

Am 24. April 2026 reklamierte Qilin \u00f6ffentlich einen Angriff auf den deutschen Modehersteller Marc Cain. Die Gruppe drohte mit der Ver\u00f6ffentlichung von Daten, falls keine Verhandlungen aufgenommen w\u00fcrden. Marc Cain mit Sitz in Bodelshausen in Baden-W\u00fcrttemberg steht exemplarisch f\u00fcr das bevorzugte Beuteschema von Qilin: mittelst\u00e4ndische Unternehmen mit wertvollem geistigem Eigentum, internationaler Lieferkette und begrenzten Sicherheitsbudgets.<\/p>\n\n\n\n

Beide deutschen F\u00e4lle, Die Linke und Marc Cain, fielen in ein Quartal, in dem Sicherheitsforscher eine Verlagerung des Qilin-Fokus nach Mitteleuropa beobachteten. Der deutsche Mittelstand gilt als lukratives Ziel, weil viele Betriebe Marktf\u00fchrer in ihrer Nische sind, gleichzeitig aber selten \u00fcber ein eigenes Security Operations Center verf\u00fcgen. Ein erpresster Hidden Champion zahlt eher, als wochenlangen Produktionsausfall zu riskieren.<\/p>\n\n\n\n

International hatte Qilin bereits 2024 gezeigt, wie hoch die Forderungen ausfallen k\u00f6nnen. Beim Angriff auf den britischen Labordienstleister Synnovis, der Londoner Krankenh\u00e4user versorgt, verlangte die Gruppe 50 Millionen US-Dollar, um rund 400 GB an Gesundheitsdaten nicht zu ver\u00f6ffentlichen. Der Vorfall f\u00fchrte zu abgesagten Operationen und verschobenen Bluttests und zeigte, dass Ransomware l\u00e4ngst Menschenleben gef\u00e4hrden kann.<\/p>\n\n\n\n

Qilin in Zahlen: Opferstatistik 2024 bis 2026<\/h2>\n\n\n\n

Die folgende Tabelle fasst die belegten Kennzahlen zur Qilin-Aktivit\u00e4t zusammen. Die Werte stammen aus Trackern wie Ransomware.live, Berichten von Check Point, MoxFive, OSIbeyond und BlackFog. Wo Quellen abweichen, ist die konservativere Zahl genannt.<\/p>\n\n\n\n

Zeitraum<\/th>Kennzahl<\/th>Wert<\/th>Quelle<\/th><\/tr><\/thead>
November 2024<\/td>Anteil an allen Leak-Seiten-Opfern<\/td>rund 5 %<\/td>Check Point<\/td><\/tr>
Juni 2024<\/td>L\u00f6segeldforderung Synnovis (UK)<\/td>50 Mio. USD<\/td>Check Point<\/td><\/tr>
Gesamtjahr 2025<\/td>Beanspruchte Opfer<\/td>\u00fcber 1.000<\/td>BlackFog \/ Tracker<\/td><\/tr>
Juni 2025<\/td>Monatshoch neuer Opfer<\/td>rund 100<\/td>Branchen-Tracker<\/td><\/tr>
1.\u201314. Januar 2026<\/td>Neue Opfer auf Leak-Seite<\/td>\u00fcber 55<\/td>OSIbeyond<\/td><\/tr>
Gesamtjahr 2026<\/td>Beanspruchte Opfer<\/td>\u00fcber 500<\/td>MoxFive<\/td><\/tr>
M\u00e4rz 2026<\/td>Dokumentierte Attacken im Monat<\/td>8 (Platz 1)<\/td>BlackFog<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Auff\u00e4llig ist die Geschwindigkeit. 55 neue Opfer in vierzehn Tagen entsprechen einem Tempo, das den Rekordwert von 2025 noch \u00fcbertrifft. Die Zahl der f\u00fcr 2026 beanspruchten Opfer liegt mit \u00fcber 500 zwar unter dem Vorjahr, doch 2026 ist zur Ver\u00f6ffentlichung dieses Beitrags erst zur H\u00e4lfte vor\u00fcber. Bei gleichbleibendem Tempo droht ein neuer Jahresrekord.<\/p>\n\n\n\n

Der DACH-Raum unter Beschuss: plus 124 Prozent<\/h2>\n\n\n\n

Die Qilin-Welle trifft auf eine ohnehin angespannte Lage. Eine am 22. Mai 2026 ver\u00f6ffentlichte Auswertung von Check Point stellte fest, dass Cyberangriffe auf Organisationen in Deutschland, \u00d6sterreich und der Schweiz im Jahr 2025 um 124 Prozent zugenommen haben. Ransomware machte dabei rund 30 Prozent der finanziell motivierten Vorf\u00e4lle aus und war damit die wirtschaftlich schwerwiegendste Bedrohung der Region. Defacement, also das Verunstalten von Webseiten durch Hacktivisten, stellte mit 66 Prozent den gr\u00f6\u00dften Anteil aller Vorf\u00e4lle.<\/p>\n\n\n\n

Diese Verdopplung der Angriffszahlen liefert den N\u00e4hrboden, auf dem Gruppen wie Qilin gedeihen. Eine ausf\u00fchrliche Analyse der DACH-Welle haben wir in unserem Beitrag zum Cyberangriff auf Deutschland mit plus 124 Prozent<\/a> dokumentiert. Der Qilin-Fall ist die personifizierte Variante dieses Trends: Wo die Statistik abstrakt bleibt, zeigt der Name einer konkreten Bande, wer hinter den Zahlen steht.<\/p>\n\n\n\n

Die geopolitische Dimension versch\u00e4rft die Lage. Der Anwaltsleitfaden Chambers Cybersecurity 2026 f\u00fcr Deutschland nennt geopolitische Spannungen und die Sicherheit von Lieferketten als pr\u00e4gende Themen des Jahres. Ransomware mit russischsprachigem Hintergrund verschwimmt zunehmend mit staatsnaher Aktivit\u00e4t, was die Abwehr und die strafrechtliche Verfolgung erschwert.<\/p>\n\n\n\n

Was Cyberangriffe die deutsche Wirtschaft kosten<\/h2>\n\n\n\n

Die wirtschaftliche Dimension ist gewaltig. Die Bitkom-Studie Wirtschaftsschutz 2025 beziffert den j\u00e4hrlichen Gesamtschaden f\u00fcr die deutsche Wirtschaft durch analoge und digitale Angriffe auf 289,2 Milliarden Euro, nach 266,6 Milliarden Euro im Jahr 2024. 87 Prozent der befragten Unternehmen waren in den vergangenen zw\u00f6lf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen, gegen\u00fcber 81 Prozent im Vorjahr. Die Angriffe werden zunehmend Russland und China zugeschrieben.<\/p>\n\n\n\n

Ransomware steht dabei an der Spitze der Schadensarten. In der Bitkom-Erhebung 2024 nannten 31 Prozent der betroffenen Unternehmen Ransomware als Schadensursache, vor Phishing (26 Prozent), Passwortangriffen (24 Prozent), Malware-Infektionen (21 Prozent) und DDoS-Attacken (18 Prozent). Die Ausgaben f\u00fcr IT-Sicherheit in Deutschland erreichten 2024 laut Bitkom rund 11,1 Milliarden Euro, ein Wachstum im zweistelligen Bereich, das mit der Bedrohung jedoch kaum Schritt h\u00e4lt.<\/p>\n\n\n\n

Kennzahl<\/th>2024<\/th>2025<\/th>Quelle<\/th><\/tr><\/thead>
Gesamtschaden deutsche Wirtschaft<\/td>266,6 Mrd. \u20ac<\/td>289,2 Mrd. \u20ac<\/td>Bitkom Wirtschaftsschutz<\/td><\/tr>
Betroffene Unternehmen<\/td>81 %<\/td>87 %<\/td>Bitkom Wirtschaftsschutz<\/td><\/tr>
Ransomware als Schadensursache<\/td>31 %<\/td>weiterhin f\u00fchrend<\/td>Bitkom<\/td><\/tr>
Anstieg Cyberangriffe DACH<\/td>Basis<\/td>+124 %<\/td>Check Point<\/td><\/tr>
Ransomware-Anteil DACH-Vorf\u00e4lle<\/td>\u2013<\/td>rund 30 %<\/td>Check Point<\/td><\/tr>
IT-Sicherheitsausgaben Deutschland<\/td>11,1 Mrd. \u20ac<\/td>steigend<\/td>Bitkom<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Die Schere zwischen Schaden und Abwehrbudget \u00f6ffnet sich weiter. 289 Milliarden Euro Schaden stehen 11,1 Milliarden Euro Sicherheitsausgaben gegen\u00fcber, ein Verh\u00e4ltnis von rund 26 zu 1. Solange diese L\u00fccke bleibt, bleibt Erpressung ein profitables Gesch\u00e4ft.<\/p>\n\n\n\n

Qilin im Vergleich: LockBit, ALPHV, RansomHub, Akira und Play<\/h2>\n\n\n\n

Qilins Aufstieg l\u00e4sst sich nur im Kontext des gesamten RaaS-Marktes verstehen. Die Zerschlagung und der R\u00fcckzug etablierter Marken haben ein Vakuum geschaffen, das Qilin f\u00fcllte. Die folgende \u00dcbersicht vergleicht die wichtigsten Gruppen anhand \u00f6ffentlich belegter Merkmale. Wo keine verl\u00e4ssliche Zahl vorliegt, ist dies vermerkt, statt zu sch\u00e4tzen.<\/p>\n\n\n\n

Gruppe<\/th>Erstmals aktiv<\/th>Status 2025\/2026<\/th>Modell<\/th>Besonderheit<\/th><\/tr><\/thead>
Qilin (Agenda)<\/td>Juli 2022<\/td>f\u00fchrend, \u00fcber 500 Opfer 2026<\/td>RaaS, doppelte Erpressung<\/td>Affiliate-Anteil 80\u201385 %, Go\/Rust<\/td><\/tr>
RansomHub<\/td>2024<\/td>zerschlagen\/geschw\u00e4cht<\/td>RaaS<\/td>Zerfall trieb Affiliates zu Qilin<\/td><\/tr>
LockBit<\/td>2019<\/td>nach Strafverfolgung geschw\u00e4cht<\/td>RaaS<\/td>einst Marktf\u00fchrer, Infrastruktur gest\u00f6rt<\/td><\/tr>
BlackCat\/ALPHV<\/td>2021<\/td>nach Exit-Scam inaktiv<\/td>RaaS, Rust<\/td>verschwand nach Healthcare-Gro\u00dffall<\/td><\/tr>
Akira<\/td>2023<\/td>aktiv<\/td>RaaS, doppelte Erpressung<\/td>Fokus auf VPN-Schwachstellen<\/td><\/tr>
Play<\/td>2022<\/td>aktiv<\/td>geschlossene Gruppe<\/td>kein klassisches Affiliate-Modell<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Das Muster ist deutlich: W\u00e4hrend die alten Schwergewichte LockBit und ALPHV durch Strafverfolgung und interne Betr\u00fcgereien zerfielen, wuchs Qilin. Die hohe Affiliate-Provision wirkte dabei wie ein Magnet f\u00fcr freigewordene Eindringlinge. Wer die Geschichte solcher Strafverfolgungserfolge nachverfolgen will, findet im Fall REvil und die Enttarnung durch das BKA<\/a> ein lehrreiches Beispiel daf\u00fcr, dass auch dominante Gruppen verwundbar sind.<\/p>\n\n\n\n

Wie Qilin technisch vorgeht: die Angriffskette<\/h2>\n\n\n\n

Die TTPs von Qilin, also Taktiken, Techniken und Prozeduren, folgen dem inzwischen \u00fcblichen mehrstufigen Muster moderner Ransomware. Der Erstzugang erfolgt h\u00e4ufig \u00fcber Phishing-Mails, gestohlene Zugangsdaten oder die Ausnutzung ungepatchter, ins Internet exponierter Systeme. Gerade Schwachstellen in VPN-Gateways, Fernzugangsl\u00f6sungen und Edge-Ger\u00e4ten sind ein bevorzugter Eintrittspunkt.<\/p>\n\n\n\n

Vom Erstzugang zur Verschl\u00fcsselung<\/h3>\n\n\n\n

Nach dem Eindringen bewegt sich der Angreifer seitlich durch das Netzwerk, erh\u00f6ht Privilegien, deaktiviert Sicherheitssoftware und identifiziert wertvolle Datenbest\u00e4nde. Erst dann werden Daten exfiltriert und die Verschl\u00fcsselung ausgel\u00f6st. Die in Rust verfasste Variante erlaubt das gezielte Lahmlegen von VMware-ESXi-Servern, wodurch ganze virtualisierte Rechenzentren in Minuten unbrauchbar werden. Wie wichtig schnelles Patchen exponierter Systeme ist, zeigt die im selben Zeitraum gemeldete Citrix-NetScaler-L\u00fccke mit CVSS 9.3<\/a>, die binnen Tagen aktiv ausgenutzt wurde.<\/p>\n\n\n\n

Der entscheidende Hebel bleibt der Datenabfluss vor der Verschl\u00fcsselung. Selbst Unternehmen mit funktionierenden Backups k\u00f6nnen nicht ruhig schlafen, weil die gestohlenen Informationen weiterhin als Druckmittel dienen. Wer verstehen will, wie aus exfiltrierten Daten ein dauerhaftes Risiko wird, findet in unserem \u00dcberblick zu Datenlecks und ihren Folgen<\/a> die n\u00f6tigen Grundlagen.<\/p>\n\n\n\n

Stimmen aus der Sicherheitsbranche<\/h2>\n\n\n\n

Die Einsch\u00e4tzungen der Analysefirmen zeichnen ein konsistentes Bild. Check Point ordnet den Aufstieg klar dem Zerfall der Konkurrenz zu: Qilin habe “2025 einen weiteren Anstieg erlebt, weil popul\u00e4re RaaS-Gruppen zerschlagen wurden, insbesondere RansomHub”. Damit benennt der Hersteller den zentralen Marktmechanismus: Strafverfolgung verschiebt das Problem, statt es zu beseitigen.<\/p>\n\n\n\n

CybelAngel betont das \u00f6konomische Anreizsystem. Die Gruppe “lockt Affiliates mit 80 bis 85 Prozent L\u00f6segeldanteil” und operiere “unter einem Ransomware-as-a-Service-Modell”. Diese Gro\u00dfz\u00fcgigkeit ist kein Zufall, sondern Wettbewerbsstrategie in einem Markt, in dem qualifizierte Eindringlinge die knappe Ressource sind.<\/p>\n\n\n\n

MoxFive verweist in seinem Lagebericht 2026 auf die schiere Schlagzahl: \u00fcber 500 beanspruchte Opfer im laufenden Jahr und ein Werkzeugkasten, der gezielt Sicherheitskontrollen aushebelt. Die Analysten von BlackFog wiederum f\u00fchren Qilin in ihrem M\u00e4rz-2026-Bericht als aktivste Gruppe des Monats. Aus deutscher Beh\u00f6rdensicht gilt, was das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) seit Jahren wiederholt: Ransomware ist die gr\u00f6\u00dfte Bedrohung f\u00fcr die Cybersicherheit von Wirtschaft und Verwaltung. Die Details dieser amtlichen Einsch\u00e4tzung haben wir im BSI-Lagebericht mit 280.000 Schadprogrammen pro Tag<\/a> aufbereitet.<\/p>\n\n\n\n

Marktauswirkungen: Versicherer, Mittelstand und Lieferketten<\/h2>\n\n\n\n

Die Qilin-Welle ver\u00e4ndert den Markt f\u00fcr Cyberversicherungen. Versicherer reagieren auf steigende Schadensquoten mit h\u00f6heren Pr\u00e4mien, strengeren Auflagen und niedrigeren Deckungssummen. Wer keine Multi-Faktor-Authentifizierung, kein getestetes Backup-Konzept und keine Endpoint-Detection nachweisen kann, erh\u00e4lt entweder keine Police mehr oder zahlt ein Vielfaches. Cybersicherheit wandelt sich damit von einer IT-Frage zu einer Voraussetzung f\u00fcr Gesch\u00e4ftsf\u00e4higkeit.<\/p>\n\n\n\n

Besonders betroffen ist der deutsche Mittelstand. Hidden Champions mit wenigen hundert Mitarbeitern, hohem Exportanteil und wertvollem Know-how sind ideale Ziele. Sie verf\u00fcgen \u00fcber zahlungsf\u00e4hige Bilanzen, aber selten \u00fcber eigene Sicherheitsteams. Ein mehrt\u00e4giger Produktionsstopp kann Lieferketten von Automobilzulieferern bis Maschinenbau ins Wanken bringen, was den Druck zur Zahlung erh\u00f6ht.<\/p>\n\n\n\n

Der regulatorische Rahmen versch\u00e4rft sich parallel. Die EU-Richtlinie NIS2 und ihre nationale Umsetzung weiten die Meldepflichten und Sorgfaltsanforderungen auf deutlich mehr Unternehmen aus. Wer ein L\u00f6segeld zahlt, ohne den Vorfall korrekt zu melden, riskiert zus\u00e4tzlich Bu\u00dfgelder. Die Kombination aus krimineller Erpressung und beh\u00f6rdlicher Pflicht macht das Incident-Management 2026 zu einer juristischen Gratwanderung.<\/p>\n\n\n\n

Historische Einordnung: vom WannaCry-Schock zum RaaS-Markt<\/h2>\n\n\n\n

Ransomware ist kein neues Ph\u00e4nomen, doch ihre Industrialisierung schon. Der WannaCry-Ausbruch 2017 traf wahllos und richtete weltweit Milliardensch\u00e4den an, war aber technisch unausgereift. Mit GandCrab und REvil professionalisierte sich das Gesch\u00e4ft ab 2018, das Affiliate-Modell entstand. LockBit perfektionierte ab 2019 die Skalierung, ALPHV\/BlackCat f\u00fchrte ab 2021 Rust als Programmiersprache ein.<\/p>\n\n\n\n

Qilin steht am vorl\u00e4ufigen Ende dieser Entwicklung. Die Gruppe vereint die Lehren der Vorg\u00e4nger: plattform\u00fcbergreifende Verschl\u00fcsselung in Go und Rust, doppelte Erpressung als Standard, eine professionelle Affiliate-\u00d6konomie mit \u00fcberdurchschnittlicher Provision und eine Resilienz, die aus dem Scheitern der Konkurrenz erw\u00e4chst. Jede Zerschlagung einer Gruppe verteilt deren Talente neu, statt sie zu eliminieren. Dieses Hydra-Prinzip ist die zentrale Lehre der Ransomware-Geschichte.<\/p>\n\n\n\n

Auch der Kontext anderer Akteure 2026 zeigt, dass der Druck breit ist. Im Februar 2026 r\u00e4umte die Europ\u00e4ische Kommission einen Einbruch \u00fcber kritische Zero-Day-Schwachstellen in Ivanti Endpoint Manager Mobile ein, den sie nach eigenen Angaben binnen neun Stunden eind\u00e4mmte. Im selben Vorfall waren die niederl\u00e4ndische Datenschutzbeh\u00f6rde und der Justizrat betroffen. Im Januar 2026 erbeutete die Gruppe ShinyHunters bei Crunchbase \u00fcber zwei Millionen Datens\u00e4tze. Qilin agiert also nicht isoliert, sondern als Teil einer dichten Bedrohungslandschaft.<\/p>\n\n\n\n

F\u00fcnf Prognosen zur Ransomware-Lage 2026 und 2027<\/h2>\n\n\n\n

Aus den belegten Trends lassen sich f\u00fcnf begr\u00fcndete Vorhersagen ableiten. Sie sind Einsch\u00e4tzungen, keine Gewissheiten, aber sie folgen klar aus den Daten.<\/p>\n\n\n\n

  1. Qilin knackt 2026 den Vorjahresrekord.<\/strong> Bei \u00fcber 500 Opfern zur Jahresmitte und einem Januartempo von 55 Opfern in zwei Wochen ist ein neuer H\u00f6chstwert von \u00fcber 1.000 Gesch\u00e4digten wahrscheinlich.<\/li>
  2. Der deutsche Mittelstand r\u00fcckt st\u00e4rker ins Visier.<\/strong> Nach Die Linke und Marc Cain d\u00fcrften weitere DACH-Unternehmen folgen, weil Zahlungsf\u00e4higkeit und d\u00fcnne Abwehr ein attraktives Profil ergeben.<\/li>
  3. Cyberversicherungen werden teurer und selektiver.<\/strong> H\u00f6here Pr\u00e4mien und strengere technische Auflagen werden zur Norm, einfache Policen ohne Nachweis von MFA und Backups verschwinden.<\/li>
  4. Strafverfolgung erzeugt neue Splittergruppen.<\/strong> Selbst wenn Qilin zerschlagen w\u00fcrde, wandern die Affiliates zur n\u00e4chsten Plattform. Das Hydra-Prinzip bleibt bestehen.<\/li>
  5. KI beschleunigt beide Seiten.<\/strong> Angreifer nutzen generative Modelle f\u00fcr \u00fcberzeugenderes Phishing, Verteidiger f\u00fcr schnellere Anomalieerkennung. Das Wettr\u00fcsten verschiebt sich, endet aber nicht.<\/li><\/ol>\n\n\n\n

    So sch\u00fctzen sich Unternehmen vor Qilin<\/h2>\n\n\n\n

    Die wirksamsten Ma\u00dfnahmen sind nicht neu, werden aber zu selten konsequent umgesetzt. Der Erstzugang erfolgt fast immer \u00fcber bekannte Wege, die sich schlie\u00dfen lassen.<\/p>\n\n\n\n