Cybersicherheit der Verwaltung

Schadsoftware im Staats-IT-Zentrum: Eindringling blieb fast einen Monat unbemerkt

Auf dem Geräteverwaltungssystem des CTIE griff ein externer Akteur auf Namen, Rufnummern und Dienst-E-Mails von Bediensteten zu. Bürgerdaten waren laut Regierung nicht betroffen.

Von Camille Reuter · · 4 Min. Lesezeit

Ein staatliches Dienst-Smartphone und ein Laptop, getrennt von internen Diensten, neben einem isolierten Server in einem IT-Raum der öffentlichen Verwaltung
Ein vom Staat ausgegebenes Dienst-Smartphone und ein Laptop, von den internen Diensten getrennt, neben einer isolierten Servereinheit in einem IT-Raum der öffentlichen Verwaltung. Illustrative, KI-generierte Darstellung. Illustration: KI-generiert — Status

Fast einen Monat lang lag der Schadcode still in einem jener Systeme, die den luxemburgischen Staat am Laufen halten. Erst am Abend des Donnerstags, 26. Februar 2026, schlug die staatliche IT-Verwaltung Alarm: Der Zugriff auf interne Regierungsdienste über dienstliche Smartphones und Tablets wurde gekappt – und eine Untersuchung begann, die binnen weniger Tage bis in den Regierungsrat reichen sollte.

Getroffen wurde das Centre des technologies de l'information de l'État (CTIE), jene Behörde, die die IT der luxemburgischen Regierung aufbaut, betreibt und absichert. Die Schadsoftware wurde auf der Plattform entdeckt, mit der das CTIE die mobilen Geräte des Staates verwaltet. Nach Recherchen von Paperjam hatte sie das System gegen Ende Januar befallen – nur wenige Stunden, bevor der Dienstleister es aktualisierte – und blieb so rund einen Monat unentdeckt. Eine spätere Darstellung von DataBreaches.net brachte diesen Befund schon in der Überschrift auf den Punkt: „active for almost a month“.

Entscheidend ist: Dies war nicht die Art von Angriff, die öffentliche Webseiten in die Knie zwingt. Es gab keine Flut von Datenmüll und keine Lösegeldforderung. Es war ein leiser Einbruch, der auf Daten zielte – und er wirft eine unbequeme Frage auf, die genau jenes digitale Rückgrat betrifft, auf das sich Einwohner wie Beamte verlassen: Wie lange kann sich ein Eindringling in den Systemen des Staates festsetzen, bevor er auffliegt?

Worauf zugegriffen wurde – und worauf nicht

Die technische Analyse durch das CTIE und das staatliche Notfallteam GOVCERT.LU ergab, dass ein Angreifer eine bestimmte Liste zur Verwaltung staatlicher Laptops erreicht hatte. In einer gemeinsamen Erklärung teilten das Ministerium für Digitalisierung und das Hohe Kommissariat für den nationalen Schutz mit:

Ein externer Akteur konnte auf eine Liste mit Informationen zugreifen, die für die Verwaltung der vom CTIE administrierten Laptop-Geräte notwendig sind.

Diese Liste, so die Behörden, enthielt Verwaltungsdaten der Geräte – nicht die Inhalte von Dateien irgendeiner Person. Offengelegt wurden:

  • die Namen der Gerätenutzer;
  • ihre Telefonnummern und dienstlichen E-Mail-Adressen;
  • die technischen Merkmale der Geräte selbst.

Zwei Grenzen prägten die Einschätzung, wie schwer der Vorfall wog. Erstens blieb die Reichweite begrenzt. „Die Dienste des CTIE haben den unbefugten Zugriff innerhalb weniger Stunden eingedämmt und auf die Liste der vom CTIE verwalteten Laptop-Geräte beschränkt“, erklärte das Ministerium für Digitalisierung. Zweitens – und das betonte die Regierung am stärksten – waren die Daten gewöhnlicher Einwohner nicht betroffen: „Es waren keine Informationen betroffen, die Bürgerinnen und Bürger betreffen.“ Auch die im Bildungsbereich genutzten Mobilgeräte, die das CGIE gesondert verwaltet, blieben unberührt.

Bürgerdienste liefen weiter

Während der Einbruch eingedämmt wurde, war die Störung für die Bediensteten durchaus spürbar. Vom Abend des 26. Februar an waren interne Staatsdienste – darunter E-Mail und Kalender – über die vom CTIE verwalteten Telefone und Tablets nicht mehr erreichbar. Die Beschäftigten wichen auf ihre Dienstrechner aus, die normal weiterarbeiteten. Für die Öffentlichkeit lautete die praktische Botschaft: Über den Computer aufgerufene Dienste funktionierten weiter. Der Vorfall traf die interne Geräteverwaltung, nicht die bürgernahen Portale, über die man etwa Steuern erklärt oder Formalitäten erledigt.

Ein Vorfall, der bis ins Kabinett reichte

Das CTIE riegelte das Problem ab, isolierte den kompromittierten Server und richtete einen vollständig neuen ein. Anschließend wanderte der Fall durch Luxemburgs Krisenapparat. Die Zelle zur Bewertung von Cyberrisiken (CERC) tagte am Abend des Donnerstags, 5. März; Premierminister Luc Frieden berief am Tag darauf, Freitag, 6. März, Experten ein, die den Regierungsrat unterrichteten. Personen, deren Angaben auf der Liste standen, wurden benachrichtigt und zur Wachsamkeit aufgerufen.

Dass eine Geräteverwaltungsliste – und kein Schatz an Bürgerdaten – eine Unterrichtung auf Kabinettsebene auslöste, zeigt, wie ernst solche Einbrüche heute genommen werden. Die hier offengelegten Metadaten, von dienstlichen E-Mail-Adressen bis zu Gerätespezifikationen, sind genau jener Rohstoff, der spätere Phishing-Versuche oder das gezielte Ausspähen von Amtsträgern speisen kann.

Teil eines europaweiten Drucks

Der CTIE-Vorfall geschah nicht im luftleeren Raum. Luxemburg hat in den vergangenen Jahren eine Serie von Cybervorfällen verkraftet: Im Januar 2025 traf eine kurze Distributed-Denial-of-Service-Attacke (DDoS) Regierungsseiten; im Frühjahr 2024 legte eine zweiwöchige DDoS-Welle, zu der sich prorussische Hacker bekannten, Ministerien und Behörden lahm; und im Juli 2025 brachte eine Zero-Day-Schwachstelle in Huawei-Netztechnik laut The Record das Telekommunikationsnetz von POST Luxembourg zum Absturz.

Europaweit stehen die öffentlichen Verwaltungen unter anhaltendem Druck. Das prorussische Hacktivisten-Kollektiv NoName057(16) reklamierte zwischen Ende Oktober 2025 und Mitte März 2026 rund 1.530 Operationen für sich – etwa 300 pro Monat, wobei knapp ein Drittel der Ziele Regierungswebseiten waren –, wie eine Recherche von The Moscow Times und des Mediums Vot Tak ergab. Europol und Eurojust führten internationale Operationen, um dieses Netzwerk zu stören. Der CTIE-Einbruch ist von anderem Kaliber als jene lärmenden DDoS-Kampagnen – keine Gruppe hat sich dazu bekannt, und sein Ziel war Zugriff, nicht Störung –, doch er fällt in dasselbe Klima sich verschärfender Angriffe auf europäische Staaten.

Für Luxemburg ist die Episode weniger ein einzelner dramatischer Ausfall als ein Belastungstest der Widerstandsfähigkeit: Die Schadsoftware wurde entdeckt, der Schaden blieb begrenzt und die Bürgerdaten verschont – aber erst, nachdem ein Eindringling den besseren Teil eines Monats im Maschinenraum des Staates verbracht hatte.

Häufig gefragt

Waren Bürgerdaten von dem Vorfall betroffen?
Nein. Das Ministerium für Digitalisierung erklärte ausdrücklich, dass keine Informationen betroffen waren, die Bürgerinnen und Bürger betreffen. Der Zugriff beschränkte sich auf eine interne Liste zur Verwaltung dienstlicher Laptops.
Welche Daten wurden offengelegt?
Die Namen der Gerätenutzer, ihre Telefonnummern und dienstlichen E-Mail-Adressen sowie die technischen Merkmale der Geräte. Es handelte sich um Verwaltungsdaten der Geräte, nicht um Dateiinhalte.
Waren die öffentlichen E-Government-Dienste gestört?
Nein. Über den Computer aufgerufene Dienste funktionierten weiter. Lediglich der Zugriff auf interne Staatsdienste über vom CTIE verwaltete Smartphones und Tablets war ab dem Abend des 26. Februar 2026 eingeschränkt.
Handelte es sich um einen DDoS-Angriff oder Ransomware?
Weder noch. Es war ein leiser Daten-Einbruch durch Schadsoftware. Es gab keine Überlastungs-Attacke und keine Lösegeldforderung; keine Gruppe hat sich zu dem Vorfall bekannt.
Quellen(10)
  1. 1Access to State IT System Restricted After Malware DetectedChronicle.lu · chronicle.lu
  2. 2Investigation Confirms Malware Accessed Personal Information on Government SystemChronicle.lu · chronicle.lu
  3. 3State IT device data compromised in Luxembourg cyberattackPaperjam · en.paperjam.lu
  4. 4Luxembourg government mobiles cut off after malware alertPaperjam · en.paperjam.lu
  5. 5Luxembourg government mobiles cut off after malware alertDelano · delano.lu
  6. 6Malware on Luxembourg public sector devices was active for almost a monthDataBreaches.Net · databreaches.net
  7. 7Luxembourg Investigates Cyber Incident Affecting State DevicesLuxembourg Expats · luxembourgexpats.lu
  8. 8Pro-Russian Hacker Group Gamifies Cyberattacks on Europe With Crypto Rewards – InvestigationThe Moscow Times · themoscowtimes.com
  9. 9Global operation targets NoName057(16) pro-Russian cybercrime networkEuropol · europol.europa.eu
  10. 10Huawei zero-day attack behind last year's crash of Luxembourg's entire telecoms networkThe Record (Recorded Future News) · therecord.media

navigierenöffnenescschließen