Der Bundesgeschäftsführer der Partei Die Linke, Janis Ehling, hat einen »schwerwiegenden Cyberangriff« auf die IT-Systeme der Parteizentrale öffentlich gemacht. »Die Partei stellte den Cyberangriff am gestrigen Donnerstag fest und reagierte sofort. Teile der IT-Infrastruktur wurden vorsorglich vom Netz genommen, um weiteren Schaden zu verhindern«, erklärt Ehling in einer ersten Stellungnahme.

Nach ersten Erkenntnissen ist die Mitgliederdatenbank der Partei nicht betroffen. Doch augenscheinlich gelang es den Tätern, auf sensible interne Informationen zuzugreifen, auch personenbezogene Daten von Mitarbeitenden können kopiert worden sein.

Erste Hinweise sprechen für eine Attacke der russischsprachigen Gruppe Qilin, die für Ransomware-Angriffe bekannt ist. »Nach derzeitigen Erkenntnissen zielen die Täter darauf ab, sensible Daten aus dem inneren Bereich der Parteiorganisation sowie personenbezogene Informationen von Mitarbeitenden der Parteizentrale zu veröffentlichen«, heißt es in der Stellungnahme der Partei. »Ob und in welchem Umfang dies gelingt oder bereits erfolgt ist, lässt sich nicht beurteilen.«

Erfolgreiche Hackergruppe

Wie Ehling ausführt, war der Angriff am Donnerstag intern bemerkt worden, zeitgleich habe es eine Warnung der Sicherheitsbehörden gegeben. Die Parteiführung hat inzwischen Strafanzeige gestellt und die Mitarbeitenden informiert. Derzeit arbeite man mit Sicherheitsspezialisten daran, die Arbeitsfähigkeit der Bundeszentrale wiederherzustellen.

Die Erpressertruppe, die nach Angaben der Linken mutmaßlich hinter dem Angriff steckt, ist in Sicherheitskreisen gut bekannt. Der IT-Sicherheitsanbieter Cisco Talos bezeichnete sie in einem Bericht im Oktober vergangenen Jahres als »eine der weltweit wirkmächtigsten Ransomware-Gruppen«. Demnach veröffentlichen die Hacker in der zweiten Jahreshälfte 2025 monatlich Opferdaten von mehr als 40 betroffenen Organisationen und Unternehmen. Die Autoren gehen aufgrund der genutzten Programme davon aus, dass Qilin aus osteuropäischen oder russischen Regionen operiert. Allein im vorigen August 2025 hatte Qilin nach eigenen Angaben 104 Cyberangriffe auf Ziele in aller Welt verübt.

Die Gruppe verwendet dabei die mittlerweile übliche Taktik der doppelten Erpressung: Nach einem erfolgreichen Angriff fordert sie nicht nur Geld dafür, die verschlüsselten Rechner wieder zugänglich zu machen, sondern droht auch damit, die erbeuteten Daten auf ihrer »Leak-Seite« im Darknet zu veröffentlichen, falls Lösegelder ausbleiben. Internationale Behörden raten dennoch dringend davon ab, auf solche Forderungen einzugehen.

Auf SPIEGEL-Anfrage heißt es beim Bundesamt für Sicherheit in der Informationstechnik (BSI), man sei »über einen IT-Sicherheitsvorfall informiert« und stehe »in Kontakt mit der Partei«.Qilin sei seit mehreren Monaten die aktivste Gruppe von Ransomware-Angreifern, die das BSI beobachtet.

Demnach ist die Gruppe seit mindestens 2022 aktiv, damals noch unter anderen Namen und »mit starkem Fokus auf den Gesundheitssektor«.

Nach BSI-Angaben versuchen die Hinterleute üblicherweise zwei Wochen lang Verhandlungen mit ihren Opfern aufzunehmen. Wenn dies nicht gelinge, würden die Geschädigten auf der Leak-Seite der Gruppe als Betroffene benannt. Derzeit werden dort etwa zwei deutsche Hochschulen und ein Wohlfahrtsverband aufgeführt.

Dem BSI zufolge arbeitet Qilin wie viele Ransomware-Gruppen mit einem sogenannten Affiliate-System. Dabei vermietet die eigentliche Ransomware-Gruppe ihre Schadsoftware und Infrastruktur an andere Kriminelle, die die eigentlichen Angriffe durchführen. Dabei sollen die Hinterleute klare Vorgabe machen: Laut BSI dürfen sie nämlich keine Ziele angreifen, die in Ländern der Gemeinschaft Unabhängiger Staaten (GUS) und der BRICS (Brasilien, Russland, Indien, China, Südafrika) angesiedelt sind.