Es ist Mittwochabend, 19:47 Uhr. Thomas Brenner, IT-Leiter der Westronic GmbH – einem mittelständischen Elektronikzulieferer mit 280 Mitarbeitenden im Raum Stuttgart – bemerkt auf seinem Monitoring-Dashboard eine ungewöhnliche Aktivität. Der Fileserver im Produktionsnetz zeigt eine CPU-Auslastung von 98 Prozent. Gleichzeitig melden drei Mitarbeitende, dass sie nicht mehr auf ihre Dateien zugreifen können. Als Brenner den Server per Remote-Zugriff überprüfen will, sieht er nur noch eine Textdatei auf dem Desktop: „README-RECOVER-YOUR-FILES.txt".

Die Westronic GmbH ist fiktiv. Aber das Szenario ist es nicht. Hunderte deutscher Unternehmen haben in den vergangenen Monaten exakt diese Erfahrung gemacht – und hinter einem erschreckend großen Anteil dieser Angriffe steht eine einzige Gruppe: Qilin.

Qilin: Vom Newcomer zur dominanten Ransomware-Macht

Die Geschichte von Qilin – auch unter dem früheren Namen „Agenda" bekannt – ist die Geschichte einer rasanten Professionalisierung im Cybercrime-Ökosystem. Erstmals 2022 auf der Bildfläche erschienen, hat sich Qilin innerhalb von nur vier Jahren zur weltweit aktivsten Ransomware-Gruppe entwickelt. Im Januar 2026 war die Gruppe für fast ein Fünftel aller weltweit beobachteten Ransomware-Angriffe verantwortlich – eine Dominanz, die in dieser Form beispiellos ist.

Was Qilin von vielen Wettbewerbern unterscheidet, ist die Kombination aus technischer Exzellenz und operativer Disziplin. Die Gruppe betreibt ein klassisches Ransomware-as-a-Service-Modell (RaaS), bei dem sogenannte Affiliates – eigenständige Angreifergruppen – die Infrastruktur und Schadsoftware von Qilin nutzen und im Gegenzug einen Teil des erpressten Lösegelds abgeben. Dieses Modell ermöglicht eine enorme Skalierung: Während die Kernentwickler sich auf die Weiterentwicklung der Malware konzentrieren, führen dutzende Affiliates parallel Angriffe in unterschiedlichen Regionen und Branchen durch.

Die Kill Chain: So läuft ein typischer Qilin-Angriff ab

Um zu verstehen, wie sich Organisationen schützen können, muss man verstehen, wie Qilin operiert. Ein typischer Angriff folgt einem strukturierten Ablauf, der sich in mehrere Phasen unterteilen lässt.

Phase 1: Initialer Zugang (Tag 0)

Der häufigste Einstiegspunkt ist nach wie vor erschreckend banal: eine gut gemachte Phishing-Mail. Die Qilin-Affiliates haben sich auf gezielte Spear-Phishing-Kampagnen spezialisiert, die auf spezifische Unternehmen oder Branchen zugeschnitten sind. Ein typisches Szenario: Eine E-Mail, die vorgibt, von einem bekannten Lieferanten zu stammen, enthält einen Link zu einem vermeintlichen Rechnungsportal. Hinter dem Link wartet eine täuschend echte Login-Seite, die Zugangsdaten abfängt.

Alternativ nutzen Qilin-Affiliates bekannte Schwachstellen in öffentlich erreichbaren Systemen. Dokumentiert sind Angriffe über ungepatchte FortiGate-Firewalls (CVE-2024-21762, CVE-2024-55591), SAP NetWeaver Visual Composer (CVE-2025-31324) und exponierte RDP-Zugänge (Remote Desktop Protocol), die entweder mit schwachen Passwörtern oder gestohlenen Credentials kompromittiert werden.

Zurück zur Westronic GmbH: Der Angriff begann zwei Wochen vor dem Verschlüsselungsereignis. Ein Mitarbeiter im Vertrieb erhielt eine E-Mail, die aussah wie eine Bestellbestätigung eines Großkunden. Der beigefügte Link führte zu einer gefälschten SharePoint-Seite, auf der er seine Microsoft-365-Zugangsdaten eingab. Da für den externen E-Mail-Zugang kein Multi-Faktor-Authentifizierung konfiguriert war, hatten die Angreifer damit sofort Zugriff auf das E-Mail-Konto und über eine verknüpfte VPN-Verbindung ins interne Netzwerk.

Phase 2: Erkundung und laterale Bewegung (Tag 1–7)

Nach dem initialen Zugang beginnt eine Phase, die oft Tage oder Wochen dauert und von außen nahezu unsichtbar verläuft. Die Angreifer erkunden systematisch das Netzwerk, identifizieren wertvolle Systeme und bauen ihre Präsenz aus. Qilin-Affiliates setzen dabei auf eine Mischung aus legitimen Windows-Tools und spezialisierten Angreifer-Werkzeugen.

Typischerweise kommt in dieser Phase Cobalt Strike zum Einsatz – ein ursprünglich für Penetrationstests entwickeltes Framework, das von Angreifergruppen weltweit zweckentfremdet wird. Ergänzt wird es durch Tools wie PsExec und NetExec für die laterale Bewegung zwischen Systemen sowie WinRM (Windows Remote Management) für die Remote-Verwaltung kompromittierter Rechner. Zusätzlich werden .NET-basierte Loader wie NETXLOADER und SmokeLoader eingesetzt, um weitere Schadsoftware nachzuladen.

Bei der Westronic GmbH nutzten die Angreifer den kompromittierten VPN-Zugang, um zunächst den Active-Directory-Server zu erreichen. Dort extrahierten sie die Kerberos-Tickets aller Domain-Nutzer – ein sogenanntes „Kerberoasting", das es ermöglicht, Passwort-Hashes offline zu knacken. Innerhalb von drei Tagen hatten sie Domain-Admin-Rechte und damit praktisch uneingeschränkten Zugriff auf das gesamte Netzwerk.

Phase 3: Datenexfiltration (Tag 7–12)

Dies ist der Schritt, der Qilin-Angriffe von reiner Verschlüsselungs-Ransomware unterscheidet: Bevor auch nur eine einzige Datei verschlüsselt wird, kopieren die Angreifer systematisch wertvolle Daten aus dem Netzwerk. Qilin-Affiliates haben in dokumentierten Fällen bis zu 500 Gigabyte an Daten exfiltriert – darunter personenbezogene Informationen, Finanzdaten, geistiges Eigentum und vertrauliche Geschäftskorrespondenz.

Für die Exfiltration nutzt Qilin bevorzugt das Open-Source-Tool Cyberduck, das Dateiübertragungen zu Cloud-Speicherdiensten ermöglicht. Die Daten werden zunächst mit WinRAR komprimiert und dann über Dienste wie easyupload.io aus dem Netzwerk geschleust – oft außerhalb der normalen Geschäftszeiten, um nicht aufzufallen.

Thomas Brenner von der Westronic GmbH hätte diesen Datenabfluss theoretisch bemerken können: In den Netzwerk-Logs waren über mehrere Nächte hinweg ungewöhnlich große ausgehende Datenströme zu erkennen. Doch das Monitoring des Unternehmens konzentrierte sich auf eingehenden Traffic und bekannte Bedrohungssignaturen – ausgehende Anomalien wurden nicht überwacht.

Phase 4: Verschlüsselung und Erpressung (Tag 12–14)

Erst wenn die Exfiltration abgeschlossen ist, beginnt der sichtbare Teil des Angriffs. Die Verschlüsselungs-Engine von Qilin gehört zum Technisch ausgereiftesten, was die Ransomware-Landschaft zu bieten hat. Seit den Upgrades von 2025 setzt die Gruppe auf AES-256-CTR-Verschlüsselung mit OAEP-gesichertem RSA-Key-Wrapping. Die Verschlüsselung nutzt AES-NI-Hardwarebeschleunigung und läuft parallelisiert über alle verfügbaren CPU-Kerne. In der Praxis bedeutet das: Ein durchschnittlicher Fileserver mit mehreren Terabyte an Daten kann in unter 15 Minuten vollständig verschlüsselt werden.

Für die Westronic GmbH war diese Phase verheerend: Innerhalb von 23 Minuten waren der zentrale Fileserver, die ERP-Datenbank, das Dokumentenmanagement und drei Produktionssteuerungssysteme verschlüsselt. Die Lösegeldforderung: 2,3 Millionen Euro in Bitcoin, zu zahlen innerhalb von 72 Stunden. Andernfalls würden die exfiltrierten Daten – darunter Kundenlisten, Konstruktionszeichnungen und Mitarbeiterdaten – auf der Qilin-Leak-Seite im Darknet veröffentlicht.

Warum Deutschland besonders im Visier steht

Der Darktrace Threat Report 2026 dokumentiert eine beunruhigende Entwicklung: Deutschland ist das meistangegriffene Land in Europa. Deutsche Unternehmen sind durchschnittlich 1.345 Cyberangriffen pro Woche ausgesetzt. Im Februar 2026 stiegen die Angriffszahlen um weitere 11 Prozent.

Die Gründe für diese Fokussierung sind vielschichtig. Der deutsche Mittelstand – das Rückgrat der Volkswirtschaft – ist für Ransomware-Gruppen ein besonders attraktives Ziel. Die Kombination aus hoher Wertschöpfung, wertvollem geistigem Eigentum und oft noch unterentwickelter IT-Sicherheit macht mittelständische Unternehmen zu lohnenden Zielen. Hinzu kommt: Deutsche Unternehmen zahlen statistisch gesehen häufiger Lösegeld als ihre Pendants in anderen europäischen Ländern – ein Umstand, der sich in der Cybercrime-Szene herumgesprochen hat.

Der aktuelle Angriff auf die Partei Die Linke vom 26. März 2026 durch genau diese Qilin-Gruppe verdeutlicht zusätzlich: Nicht nur Unternehmen, auch politische Organisationen, Verbände und öffentliche Einrichtungen stehen im Fadenkreuz. Die Grenzen zwischen finanziell motivierter Cyberkriminalität und politisch motivierter hybrider Kriegsführung verschwimmen zunehmend.

Die User Story: Wie die Westronic GmbH den Angriff überlebte

Zurück zu Thomas Brenner und seinem Team. Die erste Stunde nach der Entdeckung war chaotisch. Brenner rief den Geschäftsführer an, der wiederum den externen IT-Dienstleister alarmierte. Gleichzeitig versuchte ein Mitarbeiter eigenmächtig, den Fileserver herunterzufahren – und löste damit unbeabsichtigt die Verschlüsselung auf zwei weiteren Systemen aus, die noch nicht betroffen waren.

Erst als der externe Incident-Response-Dienstleister gegen 22:30 Uhr vor Ort eintraf, wurde die Situation systematisch angegangen. Die ersten Maßnahmen: alle betroffenen Systeme vom Netz isolieren, alle Active-Directory-Passwörter zurücksetzen, alle VPN-Zugänge deaktivieren und den externen Netzwerkverkehr auf bekannte Command-and-Control-Server der Qilin-Infrastruktur untersuchen.

Die gute Nachricht: Die Westronic GmbH hatte drei Monate zuvor – auf Empfehlung ihres Informationssicherheits-Beraters – eine Air-Gapped-Backup-Lösung implementiert. Die Backups waren maximal 24 Stunden alt und nicht kompromittiert. Die schlechte Nachricht: Die Wiederherstellung der gesamten IT-Infrastruktur dauerte dennoch elf Arbeitstage. Die Produktion stand in dieser Zeit weitgehend still, der geschätzte Gesamtschaden belief sich auf rund 1,8 Millionen Euro – Lösegeld wurde nicht gezahlt.

Die Datenexfiltration ließ sich nicht mehr rückgängig machen. Sechs Wochen nach dem Angriff tauchten tatsächlich Teile der gestohlenen Daten auf der Qilin-Leak-Seite auf. Die Westronic GmbH musste ihre Kunden und Mitarbeitenden über den Datenverlust informieren und sah sich mit mehreren DSGVO-Meldungen konfrontiert.

Technische Schutzstrategien: Was wirklich hilft

Die Erfahrung der fiktiven Westronic GmbH – und die realen Erfahrungen hunderter deutscher Unternehmen – lassen sich in konkrete Schutzstrategien übersetzen. Dabei geht es nicht um theoretische Best Practices, sondern um pragmatische Maßnahmen, die auch mit begrenzten Ressourcen umsetzbar sind.

Multi-Faktor-Authentifizierung: Die wichtigste Einzelmaßnahme

MFA für alle externen Zugänge – VPN, E-Mail, Cloud-Dienste, Remote-Desktop – ist die einzelne Maßnahme mit dem größten Schutzeffekt gegen Ransomware-Angriffe. In den meisten dokumentierten Qilin-Fällen hätte MFA den initialen Zugang verhindert oder zumindest erheblich erschwert. Wichtig dabei: SMS-basierte MFA gilt mittlerweile als unsicher; Hardware-Token (FIDO2/WebAuthn) oder Authenticator-Apps sind der aktuelle Standard.

Netzwerksegmentierung: Den Explosionsradius begrenzen

Selbst wenn ein Angreifer ins Netzwerk gelangt, muss der Schaden nicht total sein. Eine saubere Netzwerksegmentierung – mindestens eine Trennung zwischen Büro-IT, Produktions-OT, Backup-Systemen und Management-Netzwerk – begrenzt die laterale Bewegung. Micro-Segmentierung mit Zero-Trust-Prinzipien geht noch weiter: Jeder Netzwerkzugriff wird individuell authentifiziert und autorisiert, unabhängig davon, ob er von innerhalb oder außerhalb des Netzwerks erfolgt.

Endpoint Detection and Response (EDR): Angriffe in der Frühphase erkennen

Klassische Antivirenlösungen erkennen moderne Ransomware erst, wenn es zu spät ist – sie suchen nach bekannten Signaturen, während Qilin ständig neue Varianten einsetzt. EDR-Lösungen hingegen überwachen das Verhalten von Prozessen und können verdächtige Aktivitäten erkennen, bevor die Verschlüsselung beginnt: ungewöhnliche Prozessstarts, massive Dateizugriffe, laterale Bewegung über PsExec oder WMI. Für mittelständische Unternehmen, die kein eigenes Security Operations Center (SOC) betreiben können, bieten Managed-Detection-and-Response-Dienste (MDR) eine kosteneffiziente Alternative.

Backup-Strategie: Die 3-2-1-1-Regel

Die klassische 3-2-1-Backup-Regel (drei Kopien, zwei verschiedene Medien, eine extern) wird durch eine zusätzliche Anforderung ergänzt: mindestens eine Kopie muss offline oder in einem Air-Gapped-System vorliegen, das von Ransomware nicht erreichbar ist. Cloud-Backups allein reichen nicht – Qilin-Affiliates kompromittieren regelmäßig auch Cloud-Backup-Zugänge, wenn diese mit den gleichen Credentials gesichert sind wie das übrige Netzwerk. Kritisch ist außerdem: Backups müssen regelmäßig in Wiederherstellungstests erprobt werden. Ein Backup, dessen Integrität nie überprüft wurde, ist im Ernstfall wertlos.

Egress-Monitoring: Den Datendiebstahl erkennen

Die Doppel-Erpressungsstrategie von Qilin macht Egress-Monitoring – die Überwachung ausgehenden Netzwerkverkehrs – zu einer Schlüsselmaßnahme. Ungewöhnlich große Datenabflüsse, insbesondere zu Cloud-Speicherdiensten oder während Nachtstunden, sollten automatisiert Alarme auslösen. Data Loss Prevention (DLP)-Systeme können zusätzlich verhindern, dass sensible Daten das Netzwerk unkontrolliert verlassen. Diese Maßnahme hätte bei der Westronic GmbH den Unterschied gemacht: Die mehrtägige Exfiltration von mehreren hundert Gigabyte wäre bei funktionierendem Egress-Monitoring aufgefallen.

Regulatorischer Kontext: NIS2 und die verschärfte Pflichtenlage

Der Qilin-Angriff auf Die Linke und die steigende Bedrohungslage fallen in eine Zeit, in der auch der Gesetzgeber die Anforderungen an die Cybersicherheit massiv verschärft. Das NIS2-Umsetzungsgesetz, dessen Registrierungsfrist am 6. März 2026 abgelaufen ist, betrifft rund 30.000 Organisationen in Deutschland – weit über den klassischen KRITIS-Bereich hinaus. Unternehmen aus Fertigung, Logistik, Chemie, Maschinenbau und digitaler Infrastruktur sind nun verpflichtet, angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen.

Die Realität zeigt jedoch: Nur 38,5 Prozent der betroffenen Unternehmen haben sich fristgerecht beim BSI registriert. Das BSI hat angekündigt, unregistrierte Unternehmen aktiv zu identifizieren und Bußgelder zu verhängen – bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes. Geschäftsführer können persönlich haftbar gemacht werden, ein Haftungsausschluss ist gesetzlich ausgeschlossen.

Für viele Unternehmen bedeutet NIS2 konkret: Ein Ransomware-Angriff wie der von Qilin ist nicht mehr nur ein betriebswirtschaftliches Desaster, sondern kann auch regulatorische Konsequenzen nach sich ziehen, wenn nachgewiesen wird, dass grundlegende Schutzmaßnahmen nicht implementiert waren.

Die Zukunft der Ransomware: Trends und Prognosen

Die Bedrohung durch Gruppen wie Qilin wird in den kommenden Monaten nicht abnehmen – im Gegenteil. Mehrere Trends verschärfen die Lage zusätzlich:

Trend 1: Von Verschlüsselung zu reiner Datenerpressung

Analysten beobachten eine zunehmende Verschiebung hin zu „Pure Extortion"-Modellen, bei denen die Verschlüsselung der Daten ganz entfällt. Stattdessen beschränken sich die Angreifer auf die Exfiltration und drohen ausschließlich mit der Veröffentlichung. Dieses Modell ist für die Angreifer effizienter – weniger technischer Aufwand, weniger Risiko einer Entdeckung – und für die Opfer nicht weniger verheerend. Für Unternehmen bedeutet das: Selbst perfekte Backup-Strategien schützen nicht vor dem Reputationsschaden und den DSGVO-Konsequenzen einer Datenveröffentlichung.

Trend 2: KI-gestützte Angriffe

Ransomware-Gruppen setzen zunehmend auf Künstliche Intelligenz, um ihre Angriffe zu skalieren und zu verfeinern. KI-generierte Phishing-Mails sind kaum noch von echten Geschäftskorrespondenzen zu unterscheiden. Automatisierte Schwachstellen-Scanner identifizieren potenzielle Ziele in Sekundenschnelle. Und KI-basierte Evasion-Techniken helfen der Malware, Sicherheitslösungen zu umgehen. Die asymmetrische Bedrohung wird dadurch noch asymmetrischer: Ein einzelner Affiliate mit KI-Unterstützung kann Dutzende Unternehmen gleichzeitig angreifen.

Trend 3: Professionalisierung und Arbeitsteilung

Das Ransomware-Ökosystem funktioniert zunehmend wie eine legitime Wirtschaft mit Spezialisierung und Arbeitsteilung. Es gibt „Initial Access Broker", die Zugänge zu Unternehmensnetzwerken verkaufen. Es gibt Malware-Entwickler, die ihre Produkte im Ransomware-as-a-Service-Modell lizenzieren. Und es gibt Verhandlungsspezialisten, die die Lösegeldforderungen optimieren. Diese Professionalisierung macht es für Strafverfolgungsbehörden schwieriger, die Netzwerke zu zerschlagen – und für Unternehmen teurer, sich zu schützen.

Handlungsempfehlungen: Der Weg zur Resilienz

Angesichts dieser Bedrohungslage gibt es für Organisationen keinen Grund zur Panik – aber dringenden Handlungsbedarf. Die folgenden Maßnahmen bilden ein Fundament, auf dem eine wirksame Ransomware-Resilienz aufgebaut werden kann:

Sofortmaßnahmen (diese Woche): MFA für alle externen Zugänge aktivieren, Backup-Integrität prüfen, Notfallkontakte für Incident Response dokumentieren, Mitarbeitende über aktuelle Phishing-Techniken informieren.

Kurzfristige Maßnahmen (1–3 Monate): EDR-Lösung evaluieren und implementieren, Netzwerksegmentierung planen und beginnen, Egress-Monitoring einrichten, Patch-Management-Prozess systematisieren, NIS2-Registrierung durchführen falls noch nicht erfolgt.

Mittelfristige Maßnahmen (3–12 Monate): Zero-Trust-Architektur schrittweise umsetzen, regelmäßige Penetrationstests etablieren, Incident-Response-Plan dokumentieren und in Tabletop-Übungen testen, KI-gestützte Sicherheitslösungen evaluieren, Security-Awareness-Programm mit regelmäßigen Phishing-Simulationen aufsetzen.

Ausblick: Sicherheit als strategische Investition

Die Geschichte der Westronic GmbH hat ein vergleichsweise gutes Ende – dank einer einzigen klugen Entscheidung drei Monate vor dem Angriff: der Implementierung eines Air-Gapped-Backups. Ohne diese Maßnahme wäre das Unternehmen vor der Wahl gestanden, entweder 2,3 Millionen Euro Lösegeld zu zahlen oder den Verlust sämtlicher digitaler Geschäftsdaten zu akzeptieren.

Die Lehre daraus: Cybersicherheit ist keine Kostenstelle, sondern eine Investition in die Überlebensfähigkeit des Unternehmens. In einer Welt, in der Gruppen wie Qilin mit industrieller Effizienz operieren und Deutschland als bevorzugtes Ziel identifiziert haben, ist mangelnde IT-Sicherheit kein technisches Versäumnis mehr – es ist ein unternehmerisches Risiko, das existenzbedrohende Ausmaße annehmen kann.

Sie möchten wissen, wie resilient Ihre Organisation gegen einen Qilin-ähnlichen Angriff aufgestellt ist? Unsere Experten bei pleXtec führen praxisnahe Sicherheitsanalysen durch und entwickeln maßgeschneiderte Schutzstrategien für den Mittelstand. Nehmen Sie Kontakt auf – bevor es jemand anderes tut.