Technische Störung
Wenn Luxtrust hustet, hat Luxemburg die Grippe
Am Dienstagnachmittag legt eine technische Störung bei Luxtrust zahlreiche Dienste in ganz Luxemburg für fast 24 Stunden lahm. Politiker fordern Aufklärung zu Ursachen, Folgen und dem Monopol des Dienstleisters.
Diverse Dienste im Großherzogtum sind an Luxtrust gekoppelt und waren während der Störung nicht verfügbar Foto: Editpress/Didier Sylvestre
Dienstagnachmittag. Einloggen geht nicht. In der Banking-App dreht sich nur noch der Kreis. In den Büros sitzen Buchhalter vor vorbereiteten Lohnläufen und kommen nicht durch die letzte Tür. Auch wer schnell noch eine Verwaltungsprozedur über Guichet.lu erledigen will, landet im digitalen Niemandsland. Im Finanzland Luxemburg versiegen die Geldflüsse.
Auslöser war eine „technische Störung“ bei Luxtrust, die seit Dienstag (16. Dezember) um 15.20 Uhr zentrale Dienste beeinträchtigte, wie das Unternehmen in einer Pressemitteilung berichtete. Die Ursache des Problems konnte schließlich identifiziert werden: „Es handelt sich um einen rein materiellen Vorfall. Genauer gesagt um einen Hardwareausfall, der unsere Speichersysteme beeinträchtigt“, wie das Unternehmen auf Tageblatt-Nachfrage hin mitteilt. Demnach könne ein Cyberangriff ausgeschlossen werden: „Es handelt sich weder um ein Eindringen noch um einen Angriff oder einen Sicherheitsfehler“.
Luxtrust betont, der Vorfall habe weder die Systemintegrität noch die Sicherheit von Transaktionen oder Kundendaten betroffen. Seit Mittwochmittag läuft die Authentifizierung wieder: Laut Luxtrust wurden Authentifizierung und elektronische Signatur am Mittwoch, 17. Dezember, um 12.40 Uhr wiederhergestellt – nach einer schrittweisen Rückkehr zum Normalbetrieb. In der Tageblatt-Redaktion registrierte man die Wiederherstellung der Zugänge auf private Bankkonten gegen 14.30 Uhr. Um 20.00 Uhr waren schließlich sämtliche Funktionen wiederhergestellt.
Alltag auf Pause, Schulen im Endspurt
Dass der Ausfall solche Kreise zieht, liegt daran, dass Luxtrust inzwischen als digitaler Türsteher für eine ganze Reihe von Diensten fungiert: Zugriff aufs Online-Banking, Online-Transaktionen, Behördenwege über Guichet.lu. Besonders heikel ist der Zeitpunkt im Bildungsbereich: Lehrpersonal wartet auf die Wiederherstellung, weil es für den Zugriff auf Dokumente und – ausgerechnet zum Trimesterende – für das Eintragen der Noten auf Luxtrust angewiesen ist.
Bildungsminister Claude Meisch (DP) verwies auf ein alternatives Authentifizierungssystem namens eduKey. Mitarbeiter des Ministeriums und Lehrkräfte seien am Montagmorgen informiert worden; außerdem arbeite das Centre de gestion de l’éducation (CGIE) an einer Vereinfachung von Zugang und Registrierung. Das Lehrpersonal allerdings hat die Möglichkeit, seine Authentifizierung mittels Luxtrust vorzunehmen, und macht davon Gebrauch: Es ist das Passwort, das die Lehrer kennen und täglich gebrauchen. Umgewöhnung ist schwer.
Weil Luxtrust aber so ubiquitär ist, ist es auch ein Flaschenhals – ein sogenannter „Single Point of Failure“. Wenn der Dienst ausfällt, fällt nicht „eine App“ aus, sondern ein Stück Infrastruktur. Genau deshalb wird aus dem technischen Zwischenfall schnell ein politischer.
Die Monopol-Debatte
Mit jeder Stunde in der Warteschleife wächst auch die politische Nervosität. Mehrere Abgeordnete haben dringende parlamentarische Anfragen eingereicht. Diane Adehm (CSV) will wissen, welchen finanziellen Impakt der Ausfall hatte und ob Notfalllösungen existieren. Die Grünen (Joëlle Welfring, Djuna Bernard) fragen nach Auswirkungen auf öffentliche Dienste, Fristen – und nach Risikoanalysen zu strukturellen Schwächen der Luxtrust-Architektur.
Der LSAP-Abgeordnete Ben Polidori bringt einen Punkt ein, der in vielen Büros und Haushalten am Dienstagabend ohnehin in der Luft lag: Was ihn beunruhigt habe, sei, „dass et sou laang gedauert huet“ – fast 24 Stunden, in denen der Service nicht funktionierte. Zugleich: „Ass scho mol gutt, wann et keng Cyberattack ass.“ Aber Polidori verweist darauf, dass viele Nutzer gar nicht auf Alternativen „trainéiert“ seien – und stellt die Frage, ob der Vorfall nicht Anlass sein müsse, den „Monopolstatus“ von Luxtrust zu hinterfragen.
Am schärfsten zielt Sven Clement (Piraten) auf genau diese strukturelle Dimension. Seine Linie: Die Sonderstellung von Luxtrust müsse aufgebrochen werden. Etwa indem GovID breiter geöffnet und grundsätzlich alle eIDAS-konformen Lösungen zugelassen werden. Clement argumentiert, Banken könnten technisch auch andere Authentifizierungswege nutzen. Der Vorteil von Luxtrust Vorteil liege vor allem in der faktischen Garantie und dem historischen Vorsprung: „Luxtrust profitéiert dovunner, dass si als éischt do waren.“
Die eigentliche Frage
Luxtrust kündigt eine vertiefte Analyse und eine spätere Kommunikation zu den Erkenntnissen an. Politisch dürfte das Thema trotzdem nicht verschwinden. Denn selbst wenn diesmal alles wieder läuft: Der Dienstag hat gezeigt, wie schnell aus einer „Störung“ ein landesweiter Stillstand wird, sobald ein einziger Schlüssel für zu viele Türen passt.
Es ist gar nicht mal so lange her, da befand sich Luxemburg in einer ähnlichen Lage: Ende Juli 2025 legte eine gezielte und technisch hochentwickelte Cyberattacke Internet- und Telefondienste der Post während vier Stunden lahm. Hacker nutzten eine Schwachstelle in einem standardisierten Software-Bestandteil aus, um so nicht nur Privatkunden und Unternehmen, sondern auch kritische Infrastrukturen anzugreifen. Anfangs hatte die Post die Möglichkeit einer Cyberattacke noch verneint.
Luxtrust betonte gegenüber dem Tageblatt, dass es keinerlei Zusammenhänge zwischen den beiden Vorfällen gebe – „weder in technischer noch in organisatorischer Hinsicht“. DEEP die Tochtergesellschaft der Post für Geschäftskunden, ist indes laut Tageblatt-Informationen auch der technische Dienstleister für Luxtrust.
