Cyberattack op de Staat

Spiounsoftware souz bal ee Mount op de Staatshandyen vum CTIE

E Schiedprogramm, deen sech am Aarbechtsspäicher verstoppt huet, koum un d'Lëscht vu ronn 4.850 Staatsapparater an d'Kontaktdate vun den Agenten — Biergerdate sinn der Regierung no net betraff.

Vu Marc Weber · · 4 Min. Lieszäit

Geséchert Luedstatioun mat identesche Lëtzebuerger Staatssmartphone an -tabletten an engem CTIE-Kontrollraum, ee Bildschierm weist en Apparate-Verwaltungs-Sperrbildschierm.
Illustratiivt KI-generéiert Bild: eng geséchert Luedstatioun mat Lëtzebuerger Staatsapparater an engem CTIE-Verwaltungsraum, ee Bildschierm mat engem Verwaltungs-Sperrbildschierm. Illustratioun: KI-generéiert — Status

E Schiedprogramm huet sech bal ee Mount laang am System ageniischt, mat deem de Lëtzebuerger Staat seng déngschtlech Smartphone an Tabletten verwalt. Domat huet en externen Ugräifer Zougang kritt zu enger Lëscht vu ronn 4.850 Staatsapparater an zu den Nimm, déngschtlechen Telefonsnummeren a professionnellen E-Mail-Adresse vun den Agenten, déi se droen. Dat huet d'Regierung confirméiert.

Am Mëttelpunkt steet de Centre des technologies de l'information de l'État (CTIE), deen d'Informatik vum ëffentlechen Secteur am Grand-Duché bedreift. Den Ugrëff ass laut dem Ministère fir Digitaliséierung an den nationale Cybersécherheetsinstanzen net bis un den Inhalt op den Apparater selwer komm — a keng Biergerdate waren involvéiert.

Ee Mount onbemierkt am Netz

De Schiedprogramm war vun der «memory-resident» Zort: en installéiert eng Kopie vu sech am Aarbechtsspäicher (RAM) vun engem Apparat amplaz op der Festplack, wat en immens vill méi schwéier opzespüren mécht. Laut der Digitaliséierungsministesch Stéphanie Obertin (DP) ass d'Plattform, déi déngschtlech mobil Apparater aschreift a verwalt, Enn Januar infizéiert ginn — e puer Stonne virum déi lescht Aktualiséierung vum Software-Liwwerant ausgespillt gouf. Opgefall ass et eréischt den Owend vum Donneschdeg, den 26. Februar. Domat souz de Programm fir bal ee ganze Mount um Netz.

Fir d'Public ass entscheedend, datt den Ugrëff bei der Verwaltungsschicht stoe bliwwen ass. Den Acteur ass un de Verzeechnes vun den Apparater an un d'Lëscht komm, wien se huet — net awer un dat, wat op den Handye läit. D'Ministesch war do ganz kloer.

«D'Donnéeën, déi direkt op den Telefoner oder Tabletten gespäichert sinn, wéi d'Messagen, de Kalenner oder d'Fotoen, sinn net vum Tëschefall betraff ginn», sou d'Stéphanie Obertin virun der Chamber.

Wéi de Schiedprogramm fonnt gouf, huet de CTIE déi betraff Plattform virsiichtshalber isoléiert. Dëse Schrëtt huet de mobillen Zougang zu den internen Déngschter ofgeschnidden — ënner anerem E-Mail a Kalenner — sou datt d'Beamten op hir Büroscomputeren zréckgräife mussten. Apparater, déi getrennt fir den Educatiounssecteur vum CGIE verwalt ginn, ware vum Tëschefall net betraff.

Wat preisgi gouf — a wat net

D'Versioun vun der Regierung, festgehale an enger Statusnotiz vum 6. Mäerz an an der spéiderer schrëftlecher Äntwert vun der Obertin un d'Deputéiert, zitt eng kloer Linn ëm de Schued. D'Informatiounen, op déi zougegraff gouf, ware verwaltungstechnesch a keng sensibel Privatdaten: e Verzeechnes vum Material an déi professionnell Kontaktdaten, déi drun hänken.

  • D'Lëscht vu ronn 4.850 Smartphone an Tabletten, déi de CTIE verwalt, mat hiren technesche Charakteristiken;
  • D'Nimm vun den Agenten, déi dës Apparater kritt hunn;
  • Hir déngschtlech Telefonsnummeren an Aarbechts-E-Mail-Adressen.

Net ugerommt gouf, sou betounen d'Verantwortlech, eppes, wat dem breede Public gehéiert. «Keng Informatioun, déi d'Bierger betrëfft, ass concernéiert», huet d'Regierung an hirem Communiqué vum 6. Mäerz geschriwwen. Virsiichtshalber ass all betraffenen Apparat nei opgesat ginn, an d'Datenschutzkommissioun CNPD huet den 27. Februar eng provisoresch Notifikatioun kritt.

D'Ministesch huet och probéiert, d'Stéierung um Funktionéiere vum Staat ze relativéieren, andeems si betount huet, datt den Ënnerbroch op de mobillen Zougang begrenzt war.

«D'Déngschter vum Staat sinn permanent zougänglech a voll operationell bliwwen, souwuel iwwer d'Computeren — mat deenen all Agent par défaut equipéiert ass — wéi och iwwer d'Telefoner dank engem Web-Interface», sou d'Obertin.

Wéi d'Regierung reagéiert huet

Den Tëschefall ass séier d'Kommandokette eropgeklommen. Nodeems nei Erkenntnisser opgetaucht sinn, ass d'national Zell fir d'Bewäertung vum Cyberrisiko den Owend vum 5. Mäerz zesummekomm; den Dag drop huet de Premier Experten zesummegeruff an de Regierungsrot informéiert. De kompromittéierte Server gouf isoléiert an en Ersatz opgesat, während d'technesch Analyse gemeinsam vum CTIE a vu GovCERT.lu, dem Cyber-Noutfallteam vun der Regierung, gemaach gouf. Den onerlaabten Zougang sief laut den Autoritéiten an e puer Stonnen no der Entdeckung agedämmt ginn an op de Apparate-Verzeechnes begrenzt bliwwen.

D'Autoritéite hunn d'Attack net ëffentlech engem Acteur zougeschriwwen, an d'Enquête leeft weider. Bemierkenswäert: et war keng Phishing-Campagne vun där Zort, déi reegelméisseg Lëtzebuerger Banken oder d'Sozialversécherung imitéiert. Den Aganks war d'Verwaltungssoftware vun engem Drëttubidder selwer, infizéiert ronderëm eng Liwwerant-Aktualiséierung — net e gefuppte Mataarbechter.

E Kontinent ënner Drock

Den Episod ass eng spëtz Prouf fir de Ruff vu Lëtzebuerg als digitale Virreider — an en passt an en europäeschen Trend. An hirem Bericht «Threat Landscape 2025» huet d'EU-Cybersécherheetsagentur ENISA festgestallt, datt déi ëffentlech Verwaltung de meescht-attackéierte Secteur an der Unioun ginn ass: 38 % vun de 4.875 Tëschefäll, déi si tëscht Juli 2024 a Juni 2025 erfaasst huet. Speziell bei staatlech gestäipten Operatioune war d'Verwaltung erëm dat Haaptziel — Acteure mat russeschem Hannergrond stoungen hannert 39 % vun deenen Androngen, sou mat Indien verbonne Gruppen hannert 31,7 % a mat China verbonne Gruppen hannert 24,4 %.

Lëtzebuerg huet dee Drock scho gespuert. Am Fréijoer 2024 huet eng zweewächeg Well vun DDoS-Attacken — vu pro-russesche Gruppe reklaméiert — d'Finanz- a Justizministèren, d'Statistikagence STATEC an d'Gesondheetskeess CNS getraff. Am Januar 2025 huet eng weider DDoS-Salve d'Bierger-Portal MyGuichet an den Authentifikatiounsdéngscht LuxTrust kuerz lahmgeluecht.

Virun deem Hannergrond ass de CTIE-Tëschefall manner en isoléierte Schock wéi e Marker fir déi nei Normalitéit fir europäesch Regierungen: hartnäckeg, dacks onopfälleg, a geziilt op d'Systemer, déi de Staat zesummenhalen. Fir de Moment ass d'Botschaft vu Lëtzebuerg, datt d'Verteidegung do gehalen huet, wou et am meeschten zielt — bei den Donnéeë vun de ronn 670.000 Awunner — och wann d'Ugräifer eng Kéier d'Dier eran waren.

Heefeg gefrot

Wat fir Donnéeë sinn um CTIE-System preisgi ginn?
En externen Acteur huet Zougang kritt zu der Lëscht vu ronn 4.850 Staatsapparater mat hiren technesche Charakteristiken an zu den Nimm, déngschtlechen Telefonsnummeren a professionnellen E-Mail-Adresse vun den Agenten. D'Donnéeën, déi direkt op den Telefoner gespäichert waren, wéi Messagen, Kalenner oder Fotoen, ware net betraff.
Sinn Biergerdate vum Tëschefall betraff?
Nee. D'Regierung huet an hirem Communiqué vum 6. Mäerz 2026 betount: «Keng Informatioun, déi d'Bierger betrëfft, ass concernéiert.» Den Ugrëff ass bei der Verwaltungsschicht stoe bliwwen.
War et eng Phishing-Attack?
Nee. Laut der Ministesch Stéphanie Obertin ass d'Verwaltungssoftware (MDM) vun engem Drëttubidder infizéiert ginn — e puer Stonne virun enger Liwwerant-Aktualiséierung Enn Januar — an net iwwer e gefuppte Mataarbechter.
Sinn d'Staatsdéngschter wärend dem Tëschefall ausgefall?
Nee. D'Déngschter sinn operationell bliwwen iwwer d'Computeren, mat deenen all Agent par défaut equipéiert ass, an iwwer d'Telefoner dank engem Web-Interface. Nëmmen de mobillen Zougang gouf virsiichtshalber ofgeschnidden.
Quellen(10)
  1. 1État des lieux suite à l'incident affectant les appareils portables de l'ÉtatLe gouvernement luxembourgeois (gouvernement.lu) · gouvernement.lu
  2. 24.850 appareils mobiles de l'État touchés par un logiciel malveillantPaperjam · paperjam.lu
  3. 3Les données informatiques de l'État compromises lors d'une cyberattaquePaperjam · paperjam.lu
  4. 4On en sait plus sur le logiciel malveillant qui a perturbé les services de l'ÉtatLe Quotidien · lequotidien.lu
  5. 5Cyberattaque sur 4 850 appareils publics du CTIE: des données exposées, mais pas de messagesLes Frontaliers · lesfrontaliers.lu
  6. 6Luxembourg: Un logiciel malveillant perturbe les appareils mobiles de l'ÉtatL'essentiel · lessentiel.lu
  7. 7Luxembourg government mobiles cut off after malware alertDelano · delano.lu
  8. 8ENISA Threat Landscape 2025European Union Agency for Cybersecurity (ENISA) · enisa.europa.eu
  9. 9ENISA 2025 Threat Landscape report highlights EU faces escalating hacktivist attacks and state-aligned cyber threatsIndustrial Cyber · industrialcyber.co
  10. 10Stéphanie ObertinWikipedia · en.wikipedia.org

navigéierenopmaachenesczoumaachen