Am Donnerstag, dem 26. März 2026, wurde das IT-Netzwerk der Partei Die Linke Ziel eines schwerwiegenden Cyberangriffs. Die russischsprachige Hackergruppe Qilin hat die Verantwortung übernommen und droht mit der Veröffentlichung sensibler Parteidaten.
Was passiert ist
Laut Bundesgeschäftsführer Janis Ehling stellte die Partei den Angriff am Donnerstag fest und reagierte sofort. Teile der IT-Infrastruktur wurden vorsorglich vom Netz genommen. Mitarbeiter der Bundesgeschäftsstelle wurden unverzüglich informiert. Die Partei erstattete umgehend Strafanzeige.
Nach derzeitigen Erkenntnissen zielen die Täter darauf ab, sensible Daten aus dem inneren Bereich der Parteiorganisation sowie personenbezogene Informationen von Mitarbeitenden der Parteizentrale zu veröffentlichen. Ob und in welchem Umfang die Exfiltration erfolgreich war, ist noch unklar.
Mitgliederdatenbank nicht betroffen
Die Partei betont ausdrücklich: Die Mitgliederdatenbank ist nicht betroffen. Den Tätern gelang es nicht, Mitgliederdaten zu erbeuten. Die Linke hat rund 123.000 registrierte Mitglieder und ist mit 64 Abgeordneten im Bundestag vertreten.
Qilin: Ransomware-as-a-Service
Qilin betreibt ein Ransomware-as-a-Service-Modell und ist seit mindestens 2022 aktiv. Die Gruppe ist bekannt für Double Extortion: Systeme werden verschlüsselt, gleichzeitig werden Daten gestohlen und mit Veröffentlichung gedroht.
Am 1. April hat Qilin Die Linke auf ihrer Dark-Web-Leak-Seite gelistet, bisher ohne Datenproben zu veröffentlichen. Das ist eine Standard-Drucktaktik um Lösegeldzahlungen zu erzwingen.
Politische Dimension
Die Linke beschreibt den Angriff als potenziellen Teil "hybrider Kriegsführung" und stellt fest, dass ein Angriff auf eine demokratische Partei "vor diesem Hintergrund nicht zufällig erscheint". Russland-verknüpfte Akteure haben in der Vergangenheit bereits deutsche politische Organisationen angegriffen, darunter den SPD-Hack von 2024.
Einordnung
Der Angriff reiht sich in eine Serie von Ransomware-Attacken auf politische und staatliche Institutionen ein. Qilin hat in den letzten Monaten auch Krankenhäuser (Synnovis/NHS in London), Medienhäuser und Behörden angegriffen. Die Gruppe unterscheidet nicht zwischen politischer Motivation und finanziellem Gewinn.
Für andere Parteien und politische Organisationen ist der Vorfall ein Warnsignal: Wenn die IT-Infrastruktur einer Bundespartei kompromittiert werden kann, sind kleinere Landesverbände, Kommunalpolitiker und parteinahe Stiftungen erst recht gefährdet.
Quellen: Pressemitteilung Die Linke (27.03.2026), BleepingComputer, Golem, Der Spiegel, b2b-cyber-security.de.