Cyberangriff auf den Staat
Wochenlang unbemerkt: Schadsoftware drang in Luxemburgs Geräteverwaltung ein
Fast einen Monat lang nistete ein speicherresidentes Programm in der Plattform, die Luxemburgs Dienst-Smartphones verwaltet. Erbeutet wurden Kontaktdaten von Beamten – aber keine Bürgerdaten.
Von Marc Weber · · 4 Min. Lesezeit

Fast vier Wochen lang konnte sich eine Schadsoftware unentdeckt in jenem System einnisten, mit dem Luxemburg die Smartphones und Tablets seiner Verwaltung verwaltet. Ein externer Angreifer erlangte damit Zugriff auf ein Verzeichnis von rund 4.850 staatlichen Dienstgeräten sowie auf die Namen, dienstlichen Telefonnummern und beruflichen E-Mail-Adressen der Bediensteten, die diese Geräte nutzen. Das hat die Regierung bestätigt.
Im Zentrum des Vorfalls steht das Centre des technologies de l'information de l'État (CTIE), die staatliche IT-Zentrale, die den öffentlichen Sektor des Großherzogtums technisch betreibt. Nach Angaben des Ministeriums für Digitalisierung und der nationalen Stellen für Cyberabwehr griff der Angriff weder auf die Inhalte der Geräte selbst zu, noch waren Bürgerdaten betroffen.
Ein leiser Eindringling, spät bemerkt
Bei dem Schädling handelte es sich um die sogenannte speicherresidente Variante – ein Programm, das eine Kopie seiner selbst nicht auf der Festplatte, sondern im Arbeitsspeicher des Geräts ablegt. Das macht es erheblich schwerer aufspürbar. Nach Darstellung von Digitalisierungsministerin Stéphanie Obertin (DP) wurde die Plattform, über die der Staat seine mobile Geräteflotte einbindet und verwaltet, Ende Januar infiziert – in den Stunden, bevor der Softwarehersteller sein jüngstes Update ausspielte. Aufgefallen ist der Befall erst am Abend des Donnerstags, 26. Februar. Damit blieb die Schadsoftware nahezu einen Monat lang im Netz.
Für die Öffentlichkeit entscheidend: Der Zugriff endete auf der Verwaltungsebene. Der Angreifer erreichte das Inventar der Geräte und das Verzeichnis ihrer Nutzer, nicht jedoch das, was sich auf den Geräten befindet. Die Ministerin stellte ausdrücklich klar, dass die auf den Geräten gespeicherten Inhalte verschont blieben.
„Die unmittelbar auf den Telefonen oder Tablets gespeicherten Daten, etwa Nachrichten, der Kalender oder Fotos, wurden durch den Vorfall nicht beeinträchtigt“, erklärte Stéphanie Obertin vor dem Parlament.
Nach Entdeckung der Schadsoftware isolierte das CTIE die betroffene Plattform vorsorglich. Dieser Schritt kappte den mobilen Zugang zu internen Staatsdiensten – darunter E-Mail und Kalender – und zwang die Bediensteten, auf ihre Arbeitsplatzrechner auszuweichen. Die separat für das Bildungswesen verwalteten Geräte, für die das CGIE zuständig ist, waren von dem Vorfall nicht betroffen.
Was abfloss – und was nicht
Die Darstellung der Regierung, festgehalten in einer Lageinformation vom 6. März und in Oberts späterer schriftlicher Antwort an die Abgeordneten, zieht eine klare Grenze um den Schaden. Die abgegriffenen Informationen waren administrativer, nicht sensibel-persönlicher Natur: ein Verzeichnis von Ausrüstung samt der daran geknüpften beruflichen Kontaktdaten. Im Einzelnen betroffen waren:
- die Liste der rund 4.850 vom CTIE verwalteten Smartphones und Tablets samt ihrer technischen Merkmale;
- die Namen der Bediensteten, denen diese Geräte zugeteilt sind;
- deren dienstliche Telefonnummern und berufliche E-Mail-Adressen.
Unangetastet blieb nach Betonung der Verantwortlichen alles, was die breite Bevölkerung betrifft. „Keine Information, die Bürgerinnen und Bürger betrifft, ist betroffen“, hieß es in dem Regierungscommuniqué vom 6. März. Vorsorglich wurde jedes betroffene Gerät neu aufgesetzt; die Datenschutzaufsicht CNPD erhielt am 27. Februar eine vorläufige Meldung.
Zugleich bemühte sich die Ministerin, Störungen im Apparat des Staates herunterzuspielen, und beharrte darauf, dass die Unterbrechung auf den mobilen Zugang beschränkt blieb.
„Die staatlichen Dienste blieben durchgehend erreichbar und voll funktionsfähig – sowohl über die Computer, mit denen jeder Bedienstete standardmäßig ausgestattet ist, als auch über die Telefone dank einer Weboberfläche“, sagte Obertin.
Wie die Regierung reagierte
Der Vorfall stieg rasch die Befehlskette hinauf. Nachdem neue Erkenntnisse vorlagen, trat die nationale Zelle zur Bewertung von Cyberrisiken am Abend des 5. März zusammen; am Tag darauf berief der Premierminister Fachleute ein und unterrichtete den Regierungsrat. Der kompromittierte Server wurde isoliert und durch einen neuen ersetzt, während CTIE und GovCERT.lu, das Computer-Notfallteam der Regierung, die technische Analyse gemeinsam vornahmen. Den unbefugten Zugriff hätten die Behörden binnen weniger Stunden nach der Entdeckung eingedämmt; er sei auf das Geräteverzeichnis begrenzt geblieben.
Eine öffentliche Zuordnung des Angriffs gibt es bislang nicht, die Ermittlungen dauern an. Bemerkenswert ist, dass es sich gerade nicht um eine Phishing-Kampagne handelte, wie sie regelmäßig luxemburgische Banken oder die Sozialkassen nachahmt: Einfallstor war die Geräteverwaltungssoftware eines Drittanbieters selbst, infiziert rund um ein Hersteller-Update – und nicht ein getäuschter Mitarbeiter.
Ein Kontinent unter Dauerdruck
Die Episode ist eine empfindliche Probe für Luxemburgs Ruf als digitaler Vorreiterstaat und fügt sich in einen größeren europäischen Trend. In ihrem Bericht „Threat Landscape 2025“ stellte die EU-Cybersicherheitsagentur ENISA fest, dass die öffentliche Verwaltung zum am stärksten ins Visier genommenen Sektor der Union geworden ist: Auf sie entfielen 38 Prozent der 4.875 zwischen Juli 2024 und Juni 2025 erfassten Vorfälle. Bei staatlich gesteuerten Operationen stand der Staat ebenfalls an der Spitze – Russland zuzurechnende Akteure standen hinter 39 Prozent dieser Eingriffe, indiennahe Gruppen hinter 31,7 Prozent, chinanahe hinter 24,4 Prozent.
Luxemburg hat diesen Druck bereits zu spüren bekommen. Im Frühjahr 2024 traf eine zweiwöchige Welle verteilter Überlastungsangriffe (DDoS) – reklamiert von prorussischen Gruppen – die Finanz- und Justizministerien, das Statistikamt STATEC und die Gesundheitskasse CNS. Im Januar 2025 legte ein weiterer DDoS-Schub das Bürgerportal MyGuichet und den Authentifizierungsdienst LuxTrust kurzzeitig lahm.
Vor diesem Hintergrund ist der CTIE-Vorfall weniger ein isolierter Schock als ein Markstein der neuen Normalität für europäische Regierungen: hartnäckig, oft verdeckt und gezielt gerichtet auf jene Systeme, die den Staat zusammenhalten. Vorerst lautet Luxemburgs Botschaft, dass die entscheidende Linie gehalten habe – die Daten seiner 670.000 Einwohner –, auch wenn die Angreifer schon einen Fuß in der Tür hatten.
Häufig gefragt
- Welche Daten wurden bei dem Angriff erbeutet?
- Der Angreifer erlangte Zugriff auf das Inventar der rund 4.850 vom CTIE verwalteten Smartphones und Tablets samt technischer Merkmale sowie auf die Namen, dienstlichen Telefonnummern und beruflichen E-Mail-Adressen der Bediensteten. Inhalte wie Nachrichten, Kalender oder Fotos auf den Geräten blieben unberührt.
- Waren Daten von Bürgerinnen und Bürgern betroffen?
- Nein. Laut dem Regierungscommuniqué vom 6. März ist keine Information betroffen, die Bürgerinnen und Bürger betrifft. Der Zugriff blieb auf die administrative Verwaltungsebene der staatlichen Geräteflotte beschränkt.
- War es ein Phishing-Angriff?
- Nein. Nach Angaben von Ministerin Stéphanie Obertin wurde das Geräteverwaltungssystem über die Software eines Drittanbieters infiziert – in den Stunden vor einem Hersteller-Update Ende Januar. Es handelte sich nicht um eine Phishing-Kampagne mit getäuschten Mitarbeitern.
- Blieben die staatlichen Dienste während des Vorfalls verfügbar?
- Ja. Laut Obertin blieben die Dienste durchgehend erreichbar und voll funktionsfähig – über die Arbeitsplatzrechner, mit denen jeder Bedienstete standardmäßig ausgestattet ist, sowie über die Telefone dank einer Weboberfläche. Nach der Entdeckung wurde lediglich der mobile Zugang vorsorglich gekappt.
Quellen(10)
- 1État des lieux suite à l'incident affectant les appareils portables de l'ÉtatLe gouvernement luxembourgeois (gouvernement.lu) · gouvernement.lu
- 24.850 appareils mobiles de l'État touchés par un logiciel malveillantPaperjam · paperjam.lu
- 3Les données informatiques de l'État compromises lors d'une cyberattaquePaperjam · paperjam.lu
- 4On en sait plus sur le logiciel malveillant qui a perturbé les services de l'ÉtatLe Quotidien · lequotidien.lu
- 5Cyberattaque sur 4 850 appareils publics du CTIE: des données exposées, mais pas de messagesLes Frontaliers · lesfrontaliers.lu
- 6Luxembourg: Un logiciel malveillant perturbe les appareils mobiles de l'ÉtatL'essentiel · lessentiel.lu
- 7Luxembourg government mobiles cut off after malware alertDelano · delano.lu
- 8ENISA Threat Landscape 2025European Union Agency for Cybersecurity (ENISA) · enisa.europa.eu
- 9ENISA 2025 Threat Landscape report highlights EU faces escalating hacktivist attacks and state-aligned cyber threatsIndustrial Cyber · industrialcyber.co
- 10Stéphanie ObertinWikipedia · en.wikipedia.org
Zum selben Thema

Ein 500-Milliarden-Fonds ohne Krise: Luxemburgs ESM sucht eine neue Bestimmung

Litauen will Atomwaffen-Verbot streichen und rückt unter Natos Schutzschirm

Ermittlungen um 4,33 Millionen Euro: EU-Staatsanwaltschaft durchsucht Umfeld der aufgelösten ID-Fraktion
