Cybersicherheit
Nach Phishing-Angriff auf Staatsrechner tagt Luxemburgs Cyberkrisenzelle
Ein gezielter Phishing-Angriff traf am 23. Juni Arbeitsplätze der Verwaltung. Größere Auswirkungen seien bislang nicht festgestellt, so die Regierung – die Prüfung läuft.
Von Marc Weber · · 4 Min. Lesezeit

In Luxemburg hat ein gezielter Phishing-Angriff auf Rechner der Staatsverwaltung die höchste Stufe des nationalen Cyberkrisenmechanismus ausgelöst. Größere Schäden seien nach derzeitigem Kenntnisstand nicht bestätigt, teilte die Regierung mit – der Vorfall werde jedoch weiterhin technisch untersucht.
Begonnen hatte der Angriff laut einem Kommuniqué der luxemburgischen Regierung am Morgen des Dienstags, 23. Juni 2026. Eine sogenannte Spear-Phishing-Attacke richtete sich gegen Arbeitsplätze der Verwaltung und griff in der Folge auf das Informationssystem des Staates über. Nach Entdeckung des Angriffs hätten die zuständigen Behörden umgehend mehrere präventive Maßnahmen ergriffen, um die Auswirkungen einzudämmen.
Am Nachmittag des Freitags, 26. Juni, trat die Zelle zur Bewertung von Cyberrisiken zusammen, die unter ihrem französischen Kürzel CERC bekannt ist, um eine Bestandsaufnahme vorzunehmen. Das Gremium ist Luxemburgs behördenübergreifendes Forum für schwerwiegende Cybervorfälle – gedacht dafür, die relevanten Stellen aus Sicherheit, Nachrichtendiensten und Technik an einen Tisch zu holen, sobald ein Ereignis quer durch den Staatsapparat wirkt.
Was die Behörden zum Hergang sagen
Spear-Phishing ist die zielgenaue Variante des bekannten E-Mail-Betrugs: Statt generische Köder an Tausende Postfächer zu streuen, schneidet der Angreifer eine Nachricht auf eine bestimmte Person oder Organisation zu, um glaubwürdiger zu wirken und so die Chance zu erhöhen, an sensible Informationen oder Zugangsdaten zu gelangen. Im vorliegenden Fall zielte der Köder auf die Arbeitsplätze von Staatsbediensteten.
Die zentrale Botschaft der Regierung lautete: Eindämmung. In ihrer Mitteilung erklärte die Verwaltung, dass zu diesem Zeitpunkt keine größeren Auswirkungen für die Nutzer festgestellt worden seien.
Zum jetzigen Zeitpunkt wurde keine größere Auswirkung für die Nutzer festgestellt.
Diese bewusst eng gefasste Formulierung war weit entfernt davon, die Angelegenheit für abgeschlossen zu erklären. Die Arbeit gehe weiter, hieß es; Fachleute werteten den Vorfall noch aus und prüften, ob weitere Schutzmaßnahmen nötig seien.
„Die zuständigen Dienste setzen ihre technischen Analysen des Vorfalls fort und prüfen zudem, ob zusätzliche Vorsichtsmaßnahmen erforderlich sind“, teilte die Regierung in einer von Chronicle.lu wiedergegebenen Erklärung mit.
Bis zum Redaktionsschluss nannte keine Quelle einen mutmaßlichen Urheber, und die Behörden machten keine Angaben dazu, ob Daten abgegriffen oder abgeflossen sind. Spear-Phishing-Kampagnen sind ein verbreiteter Auftakt sowohl für finanziell motivierte Kriminelle als auch für staatsnahe Spionagegruppen – doch ohne offizielle Zuordnung bleibt jede solche Verbindung Spekulation.
Eine breit besetzte Runde
Schon die Zusammensetzung der CERC-Sitzung zeigt, wie ernst der Staat den Vorfall nahm. Laut Regierung versammelte die Zelle Vertreter folgender Stellen:
- HCPN/GOVCERT, das Hohe Kommissariat für nationalen Schutz und das staatliche Reaktionsteam für Vorfälle;
- das Institut luxembourgeois de régulation (ILR) und die Finanzaufsicht CSSF;
- das staatliche IT-Zentrum CTIE und das Computer Incident Response Center Luxembourg (CIRCL);
- die Großherzogliche Polizei und den Staatsnachrichtendienst (SRE);
- die luxemburgische Armee und die Direktion für Verteidigung;
- das Staatsministerium, das Ministerium für auswärtige und europäische Angelegenheiten und Verteidigung sowie das Ministerium für Digitalisierung.
Diese Aufstellung reicht von der Cyberabwehr über Polizei und Nachrichtendienste bis ins politische Zentrum der Regierung. Sie spiegelt eine Haltung wider, in der eine Phishing-Mail auf dem Bildschirm eines Beamten als Frage der nationalen Widerstandsfähigkeit behandelt wird – nicht als Routineticket der IT-Abteilung.
Nicht der erste Schreck des Jahres
Der Vorfall vom Juni folgt auf ein früheres und nach bisheriger Faktenlage folgenschwereres Ereignis. Im Februar 2026 stellte sich heraus, dass Tausende Geräte des luxemburgischen öffentlichen Sektors mit Schadsoftware infiziert waren. Entdeckt wurde die Infektion am 26. Februar und am Folgetag bestätigt; aktiv gewesen war sie Berichten zufolge fast einen Monat lang.
Die Ministerin für Digitalisierung, Stéphanie Obertin, machte die Affäre in Beantwortung einer parlamentarischen Anfrage des LSAP-Abgeordneten Ben Polidori publik. Nach Recherchen von DataBreaches.net hatte sich die „speicherresidente“ Schadsoftware in jenem System eingenistet, das die mobilen Geräte des Staates – vom CTIE betriebene Smartphones und Tablets – verwaltet. Sie erlangte Zugriff auf die Liste der verwalteten Geräte sowie auf Geräte- und Nutzerdaten. Die betroffenen Geräte wurden anschließend aktualisiert und abgesichert.
Zusammen ergeben die beiden Ereignisse das Bild einer Verwaltung, die immer wieder abgetastet wird und Eindringversuche nach eigener Darstellung erkennt und eindämmt – wenn auch nicht stets, bevor sie Fuß fassen.
Ein europäisches Muster
Luxemburgs Erfahrung fügt sich in einen kontinentweiten Trend. In ihrem Bericht „Threat Landscape 2025“ stellte die Agentur der Europäischen Union für Cybersicherheit (ENISA) fest, dass die öffentliche Verwaltung der am stärksten ins Visier genommene Sektor der Union war: Auf sie entfielen 38,2 Prozent der rund 4.900 verifizierten Vorfälle, die zwischen Juli 2024 und Juni 2025 erfasst wurden. Phishing war mit etwa 60 Prozent der Fälle der häufigste Einstiegsweg der Angreifer und lag damit vor dem Ausnutzen von Software-Schwachstellen (21,3 Prozent). Die ENISA verwies zudem darauf, dass staatsnahe Gruppen ihre Cyberspionage gegen Behörden stetig verschärft hätten.
Luxemburg investiert sichtbar in seine Abwehr. Anfang Juni nahm das Großherzogtum an Cyber Europe 2026 teil, der groß angelegten paneuropäischen Übung der ENISA am 10. und 11. Juni, national koordiniert vom HCPN. Die Regierung verstand die Teilnahme als „fortlaufendes Engagement zur Stärkung der nationalen Widerstandsfähigkeit und als aktiven Beitrag zur kollektiven europäischen Sicherheit angesichts wachsender digitaler Bedrohungen“.
Für einen Staat, der seine Modernisierung auf digitale öffentliche Dienste gesetzt hat, ist die Probe vom 23. Juni genau jene, die solche Übungen einstudieren: ob eine einzige täuschende E-Mail erkannt, eingedämmt und erklärt werden kann, bevor sie die Daten der Bürger erreicht, denen die Regierung dient. Nach bisheriger Darstellung der Behörden war dies der Fall. Die technische Analyse, die diesen Befund bestätigen oder erschweren wird, dauert noch an.
Häufig gefragt
- Was ist beim Angriff vom 23. Juni 2026 passiert?
- Am Morgen des 23. Juni 2026 richtete sich ein Spear-Phishing-Angriff gegen Arbeitsplätze der luxemburgischen Staatsverwaltung und griff anschließend auf das staatliche Informationssystem über. Nach Entdeckung ergriffen die zuständigen Behörden sofort mehrere präventive Maßnahmen.
- Wurden Schäden oder Datenabflüsse festgestellt?
- Laut Regierungskommuniqué wurde zu diesem Zeitpunkt keine größere Auswirkung für die Nutzer festgestellt. Bis zum Redaktionsschluss nannte keine Quelle einen Urheber, und es wurde kein Datenabfluss offengelegt. Die technischen Analysen dauern an.
- Was ist die CERC und wer nahm an der Sitzung teil?
- Die CERC ist Luxemburgs Zelle zur Bewertung von Cyberrisiken, ein behördenübergreifendes Krisengremium. An der Sitzung vom 26. Juni nahmen unter anderem HCPN/GOVCERT, ILR, CSSF, CTIE, CIRCL, die Großherzogliche Polizei, der SRE, die Armee, die Direktion für Verteidigung sowie mehrere Ministerien teil.
- Was ist Spear-Phishing?
- Spear-Phishing ist eine zielgerichtete Form des Phishings, bei der der Angreifer die Nachricht gezielt auf eine bestimmte Person oder Organisation zuschneidet, um glaubwürdiger zu wirken und an sensible Informationen oder Zugangsdaten zu gelangen.
Quellen(6)
- 1Reunion d'une Cellule d'evaluation du risque cyber (CERC)Le gouvernement luxembourgeois (gouvernement.lu) · gouvernement.lu
- 2No Major Impact Confirmed Spear Phishing Attack on Government IT SystemChronicle.lu · chronicle.lu
- 3Spearphishing au Luxembourg: des postes de l'Etat cibles le 23 juinL'essentiel · lessentiel.lu
- 4Malware on Luxembourg public sector devices was active for almost a monthDataBreaches.net · databreaches.net
- 5ENISA Threat Landscape 2025European Union Agency for Cybersecurity (ENISA) · enisa.europa.eu
- 6Luxembourg participates in the pan-European cybersecurity exercise Cyber Europe 2026Le gouvernement luxembourgeois (gouvernement.lu) · gouvernement.lu
Zum selben Thema

Ein 500-Milliarden-Fonds ohne Krise: Luxemburgs ESM sucht eine neue Bestimmung

Litauen will Atomwaffen-Verbot streichen und rückt unter Natos Schutzschirm

Ermittlungen um 4,33 Millionen Euro: EU-Staatsanwaltschaft durchsucht Umfeld der aufgelösten ID-Fraktion
