Am Donnerstag, dem 26. März 2026, traf es eine Organisation, die viele nicht auf der typischen Liste potenzieller Ransomware-Opfer vermuten würden: Die Partei Die Linke bestätigte einen schwerwiegenden Cyberangriff auf ihr zentrales IT-Netzwerk. Hinter der Attacke steht die berüchtigte Hackergruppe Qilin – eine mutmaßlich russischsprachige Cybercrime-Organisation, die seit Jahren zu den aktivsten Ransomware-Akteuren weltweit zählt.
Was passiert ist: Die Fakten
Die Partei reagierte nach eigenen Angaben sofort auf die Erkennung des Angriffs. Teile der IT-Infrastruktur wurden vorsorglich vom Netz genommen, um eine weitere Ausbreitung der Schadsoftware zu verhindern. Parallel wurde Strafanzeige erstattet und die zuständigen Behörden eingeschaltet.
Nach derzeitigem Ermittlungsstand zielen die Angreifer darauf ab, sensible Daten aus dem inneren Bereich der Parteiorganisation zu exfiltrieren und zu veröffentlichen. Betroffen sind potenziell auch personenbezogene Informationen von Mitarbeitenden der Parteizentrale. Die Mitgliederdatenbank sei nach aktuellem Kenntnisstand nicht kompromittiert worden – eine Einschätzung, die im Laufe der forensischen Aufarbeitung noch korrigiert werden könnte.
Qilin: Kein gewöhnlicher Ransomware-Akteur
Die Gruppe Qilin – auch unter dem Namen „Agenda" bekannt – ist keineswegs ein Newcomer. Im Januar 2026 war Qilin für fast ein Fünftel aller weltweit beobachteten Ransomware-Angriffe verantwortlich und damit die aktivste Ransomware-Gruppe überhaupt. Ihre Opferliste liest sich wie ein Who's-Who sensibler Ziele: Vom britischen NHS-Zulieferer Synnovis über Krankenhäuser bis hin zu Fertigungsunternehmen und nun eben einer politischen Partei in Deutschland.
Was Qilin besonders gefährlich macht, ist die technische Raffinesse. Die Gruppe setzt seit 2025 auf AES-256-CTR-Verschlüsselung mit 256-Bit-Schlüsseln, optimiert durch AES-NI-Hardwarebeschleunigung und parallelisierte Verschlüsselungsprozesse. In der Praxis bedeutet das: Ganze Netzwerke können innerhalb weniger Minuten vollständig verschlüsselt werden. Hinzu kommt eine konsequente Doppel-Erpressungsstrategie – Daten werden vor der Verschlüsselung exfiltriert und mit Veröffentlichung auf Leak-Seiten gedroht.
Politische Dimension: Hybride Kriegsführung oder Cybercrime?
Der Angriff auf eine deutsche Partei wirft Fragen auf, die über die übliche Cybercrime-Analyse hinausgehen. Qilin wird als „mutmaßlich russischsprachig" eingestuft, und die Aktivitäten der Gruppe können nach Einschätzung von Sicherheitsexperten sowohl finanziell als auch politisch motiviert sein. Die Linke selbst ordnet den Angriff in den Kontext hybrider Kriegsführung ein – digitale Attacken als Instrument politischer Destabilisierung.
Diese Einschätzung ist nicht aus der Luft gegriffen. Deutschland ist laut dem aktuellen Darktrace Threat Report 2026 das meistangegriffene Land in Europa. Deutsche Organisationen sind durchschnittlich 1.345 Cyberangriffen pro Woche ausgesetzt – Tendenz steigend. Im Februar 2026 verzeichnete Deutschland einen Anstieg der Angriffe um 11 Prozent gegenüber dem Vormonat.
Was Organisationen jetzt tun sollten
Der Angriff auf Die Linke illustriert eine unbequeme Wahrheit: Kein Sektor ist immun. Politische Parteien, Vereine, NGOs, Verbände und Stiftungen verfügen oft über hochsensible Daten – personenbezogene Mitgliederdaten, interne Strategiepapiere, Kommunikationsverläufe – aber selten über IT-Sicherheitsbudgets, die mit denen großer Unternehmen vergleichbar sind.
Folgende Maßnahmen sollten Organisationen jeder Größe jetzt priorisieren:
1. Backup-Strategie überprüfen und testen
Gegen Ransomware ist eine funktionierende, regelmäßig getestete Offline-Backup-Strategie die wichtigste Verteidigungslinie. „Funktionierend" heißt: Nicht nur existierend, sondern tatsächlich in einem Wiederherstellungstest erprobt. Viele Organisationen stellen erst im Ernstfall fest, dass ihre Backups unvollständig, veraltet oder ebenfalls kompromittiert sind.
2. Initiale Angriffsvektoren absichern
Qilin-Affiliates nutzen typischerweise Phishing-Mails, exponierte RDP-Zugänge und Schwachstellen in öffentlich erreichbaren Anwendungen als Einstiegspunkte. Konkret bedeutet das: Multi-Faktor-Authentifizierung (MFA) für alle externen Zugänge durchsetzen, VPN-Appliances und Firewalls auf dem aktuellen Patchstand halten, und E-Mail-Sicherheit mit modernen Anti-Phishing-Lösungen verstärken.
3. Netzwerksegmentierung implementieren
Die Geschwindigkeit, mit der Qilin Netzwerke verschlüsselt, macht deutlich: Wenn ein Angreifer einmal im Netzwerk ist, zählt jede Sekunde. Netzwerksegmentierung begrenzt die laterale Bewegung und kann den Unterschied zwischen einem kompromittierten Segment und einem Totalausfall bedeuten.
4. Incident-Response-Plan aktualisieren
Die schnelle Reaktion der Linken – Systeme isolieren, Behörden einschalten, transparent kommunizieren – zeigt, dass ein vorbereiteter Notfallplan den Unterschied macht. Jede Organisation sollte einen dokumentierten Incident-Response-Plan haben, der mindestens einmal jährlich in einer Übung getestet wird.
5. Datenexfiltration frühzeitig erkennen
Da Qilin konsequent auf doppelte Erpressung setzt, reicht Verschlüsselungsschutz allein nicht aus. Monitoring-Lösungen, die ungewöhnliche Datenabflüsse erkennen – etwa große Uploads zu Cloud-Diensten oder verdächtige Netzwerkaktivitäten außerhalb der Geschäftszeiten – sind unverzichtbar geworden.
Der Blick nach vorn: Ransomware wird politischer
Der Angriff auf Die Linke ist kein Einzelfall, sondern Teil eines Trends. Ransomware-Gruppen wie Qilin bewegen sich zunehmend an der Schnittstelle zwischen organisierter Kriminalität und staatlich tolerierter – wenn nicht sogar geförderter – Cyberaktivität. Für deutsche Organisationen bedeutet das: Informationssicherheit ist längst kein reines IT-Thema mehr, sondern eine strategische Notwendigkeit auf Leitungsebene.
Insbesondere vor dem Hintergrund der verschärften regulatorischen Anforderungen durch NIS2 sollte jede Organisation ihre Cybersicherheitspostur kritisch hinterfragen. Wer heute noch ohne professionelles Schwachstellenmanagement, regelmäßige Penetrationstests und einen getesteten Incident-Response-Plan operiert, handelt fahrlässig – unabhängig davon, ob es sich um ein DAX-Unternehmen oder einen gemeinnützigen Verein handelt.
Sie sind unsicher, wie Ihre Organisation gegen Ransomware-Angriffe aufgestellt ist? Unsere Experten unterstützen Sie bei der Analyse und Härtung Ihrer Sicherheitsarchitektur – sprechen Sie uns an.
