1.345 Cyberangriffe pro Woche treffen jedes deutsche Unternehmen im Schnitt — und 80 Prozent aller Ransomware-Opfer 2025 waren KMU mit weniger als 250 Mitarbeitenden. Wenn Sie diesen Artikel als Geschäftsführer eines Hamburger Mittelstandsbetriebs lesen, geht es nicht mehr um die Frage ob, sondern wann. Dieser Monatsrückblick liefert keine Panikmache, sondern konkrete Maßnahmen für die nächsten 30 Tage.
Worum es in diesem Monat geht
Deutschland ist 2026 das europäische Hauptziel für Cyberangriffe. Das ist keine Marketing-Übertreibung, sondern Realität. Laut Check Point Research stiegen die registrierten Angriffe im DACH-Raum 2025 um 124 Prozent gegenüber dem Vorjahr. Innerhalb von zwölf Monaten haben Cyberangriffe in Deutschland um 92 Prozent zugenommen — und der Mittelstand gilt als lukrativstes Ziel.
Wer ist gemeint? Genau Sie. Der Hamburger Maschinenbauer mit 35 Mitarbeitenden. Die Steuerberatungskanzlei am Mittelweg mit 12 Angestellten. Der Logistikdienstleister im Hafen mit 50 Leuten. Großkonzerne haben ganze Security-Abteilungen — Mittelständler haben oft einen Systemadministrator, der nebenbei den Drucker reparieren muss.
Dieser Artikel macht drei Dinge: Er ordnet die Zahlen vom Mai und Juni 2026 ein. Er erklärt, was die NIS-2-Frist am 31. Juli für Hamburger KMU bedeutet. Und er liefert eine Sieben-Punkte-Checkliste für die nächsten 30 Tage. Keine Floskeln, keine FUD-Verkaufstaktik. Klartext.
Das BSI-Gesetz ist am 6. Dezember 2025 in Kraft getreten und setzt die EU-NIS-2-Richtlinie um. Auch wenn Ihr Unternehmen nicht direkt unter die rund 29.500 betroffenen Einrichtungen fällt — als Zulieferer kritischer Infrastrukturen werden Sie über Vertragsklauseln mit hineingezogen.
Die Bedrohungslage in Zahlen — was im Mai und Juni 2026 passiert ist
Die Statistiken aus dem Frühsommer 2026 zeichnen ein eindeutiges Bild: Die Bedrohung ist real, sie wächst, und sie zielt auf Sie. Schauen wir auf die harten Daten.
Die wichtigsten Zahlen auf einen Blick:
- 698 Ransomware-Vorfälle im Mai 2026 — ein Anstieg um 48 Prozent gegenüber April. Neue Gruppen wie "The Gentlemen" und "Prinz Eugen" setzen auf besonders raffinierte Methoden (borncity.com).
- 333.922 Cybercrime-Fälle und 202 Milliarden Euro Schaden meldet das BKA für den aktuellen Berichtszeitraum (boerse-express.com).
- 1.345 Cyberangriffe pro Woche trifft jedes deutsche Unternehmen im Schnitt — 11 Prozent mehr als im Vorjahresmonat (Check Point via borncity.com).
- 289 Milliarden Euro Schaden durch die DACH-Ransomware-Welle 2026 laut ergänzender Auswertung (tech-insider.org).
Was bedeutet das für einen Hamburger Mittelständler mit 20 Mitarbeitenden? Rechnen wir nüchtern: Wenn jedes deutsche Unternehmen pro Woche 1.345 Angriffsversuche abbekommt, sind das täglich rund 192. Die meisten werden vom Spam-Filter abgefangen, viele scheitern an Standardabwehr. Aber es reicht, dass ein einziger durchkommt. Eine Phishing-Mail, die ein Buchhalter um 16:47 Uhr am Freitag klickt, weil er noch schnell vor dem Wochenende reagieren will.
Sind 80 Prozent KMU-Opfer wirklich repräsentativ? Ja. Laut gastgewerbe-magazin.de trafen 80 Prozent aller gemeldeten Ransomware-Angriffe 2025 kleine und mittlere Unternehmen. Der Grund ist betriebswirtschaftlich: KMU haben Geld, aber wenig Personal für Verteidigung. Das perfekte Verhältnis aus Lösegeld-Potenzial und Angriffsaufwand.
Neue Akteure und Methoden: Ransomware-Gruppen und KI-Phishing
Die Profis haben aufgerüstet — und sie haben jetzt KI als Werkzeug. Was im Mai und Juni 2026 dazukommt, verändert die Spielregeln.
Neue Ransomware-Gruppen: The Gentlemen und Prinz Eugen
Die Szene professionalisiert sich rasant. Double Extortion ist Standard geworden: Angreifer verschlüsseln Ihre Daten und drohen zusätzlich mit Veröffentlichung. Wer Backups hat, zahlt trotzdem — sonst landen Kundendaten im Darknet. Laut mint-secure.de ist diese Doppelerpressung 2026 der dominante Modus operandi.
KI-gestütztes Massen-Phishing
Im Juni 2026 starteten Cyberkriminelle eine Reihe hochprofessioneller, KI-gestützter Phishing-Kampagnen — teils mit staatlichen Akteuren im Hintergrund (boerse-express.com). Was früher leicht erkennbare Rechtschreibfehler hatte, ist heute perfektes Deutsch mit korrekten Anredeformen und passendem Kontext. Niedersachsen reagierte am 22. Juni 2026 mit der Eröffnung einer eigenen Zentralstelle Cybercrime.
Spektakuläre Vorfälle im Juni 2026
- Europarat, Amazon und Nintendo wurden im Juni 2026 erfolgreich angegriffen (boerse-express.com).
- V-Bank: Über einen externen Dienstleister konnten Unbekannte Zugang zu sensiblen Kundendaten erhalten (citywire.com).
- Arbeiter-Samariter-Bund Saarland: Zugriff auf Daten von Beschäftigten und Klienten erbeutet (netzpolitik.org).
Der V-Bank-Fall ist exemplarisch: Der Angriff lief nicht direkt auf die Bank, sondern auf einen externen Dienstleister. Wenn Sie mit einem Hamburger Krankenhaus, einem Energieversorger oder einer Behörde zusammenarbeiten, sind Sie Teil der Lieferkette. Ihre IT-Sicherheit ist nicht mehr nur Ihr Problem — sie ist Vertragsbestandteil.
Das deutsche Bundesamt für Verfassungsschutz wird in einem Bericht vom Februar 2026 deutlich: "Deutschland ist ein attraktives Ziel für staatlich gesteuerte Cyberangriffe. Die zentrale geografische Lage in Europa sowie seine politische Rolle in der EU" begründen dies (BfV-Bericht).
NIS-2: Die Frist am 31. Juli 2026 — und warum auch Sie betroffen sein könnten
Am 31. Juli 2026 endet die Frist zur NIS-2-Erstregistrierung beim BSI. 11.500 Betriebe sind aktuell noch im Verzug. Wer die Frist verpasst, riskiert Bußgelder bis 10 Mio. Euro — und die persönliche Haftung der Geschäftsführung.
Mit dem Inkrafttreten des neuen BSI-Gesetzes am 6. Dezember 2025 wurde die EU-NIS-2-Richtlinie in deutsches Recht überführt (it-daily.net). Rund 29.500 Unternehmen sind plötzlich betroffen — und laut aktueller Umfrage irren sich 48 Prozent über ihre eigene Betroffenheit. Sie glauben, sie wären nicht dabei. Oder umgekehrt: Sie glauben, sie wären dabei, sind es aber gar nicht und investieren in den falschen Punkten.
"Das neue BSI-Gesetz sieht ausdrücklich die persönliche Haftung der Geschäftsführer vor. Wer 'unwissentlich' nicht registriert hat, schützt sich damit nicht — die Pflicht zur Selbstprüfung liegt beim Unternehmen. In meiner Praxis sehe ich täglich Hamburger Mittelständler, die diese Frist schlicht übersehen haben."
— Jens Hagel, Geschäftsführer hagel IT-Services GmbH Hamburg
Wer ist direkt betroffen?
Direkt unter NIS-2 fallen Einrichtungen aus 18 Sektoren — Energie, Verkehr, Gesundheit, digitale Infrastruktur, öffentliche Verwaltung und weitere. Schwellenwert: in der Regel mehr als 50 Mitarbeitende oder mehr als 10 Mio. Euro Jahresumsatz.
Warum trotzdem auch kleinere KMU betroffen sind
Hier liegt der Hund begraben: Wer Zulieferer einer NIS-2-pflichtigen Einrichtung ist, wird vertraglich mit in die Pflicht genommen. Das BSI-Webinar zur direkten und mittelbaren Betroffenheit hat das im Juni 2026 klargestellt: Kritische Infrastrukturbetreiber müssen ihre Lieferkette absichern — und das geben sie an Sie weiter. Eine Hamburger IT-Werkstatt mit 8 Mitarbeitenden, die das Stadtkrankenhaus betreut, ist mittelbar betroffen.
62 Prozent der direkt betroffenen Unternehmen haben die ursprüngliche BSI-Registrierungsfrist bereits verpasst (ad-hoc-news.de). Die letzte Verlängerung läuft am 31. Juli aus. Ab September 2026 starten die Meldepflichten für Sicherheitsvorfälle. Wer dann noch nicht aufgesetzt hat, hat ein Problem.
Die regulatorische Lawine 2026 im Überblick
2026 ist das Jahr der EU-Digitalgesetz-Umsetzung — fünf große Regelwerke wirken parallel. Hier die Fristen, die für Mittelständler relevant sind:
| Datum | Pflicht | Wen es trifft |
|---|---|---|
| 30.06.2026 | IT-Sicherheitsumstellung Zahnpraxen | Dental-Sektor (Quelle) |
| 31.07.2026 | NIS-2 BSI-Erstregistrierung | 29.500 Unternehmen (Quelle) |
| September 2026 | Beginn NIS-2-Meldepflichten für Sicherheitsvorfälle | Alle NIS-2-Pflichtigen (UIMC) |
| 12.01.2027 | Switching-Gebühren bei Cloud-Diensten unzulässig (Data Act) | Cloud-Anbieter und -Nutzer (Quelle) |
Parallel laufen Cyber Resilience Act (CRA), EU AI Act und DORA als zusätzliche Regelwerke. Der CRA verschärft Produkthaftung bei vernetzten Geräten, der AI Act regelt KI-Einsatz mit Risikoklassen, DORA betrifft die Finanzbranche und ihre IT-Dienstleister. Übersicht für IT-Verantwortliche: RZ10-Compliance-Checkliste.
Welche Frist trifft welchen Betriebstyp? Wer in Hamburg ein Steuerbüro führt, ist von keiner direkt betroffen — aber wenn er die Hamburger Hafenverwaltung als Kunden hat, kommen die NIS-2-Anforderungen über den Vertrag rein. Wer Industriegeräte herstellt, muss bald CRA-konforme Updates liefern. Wer KI-Tools im Recruiting nutzt, fällt unter den AI Act.
Sieben konkrete Schritte für die nächsten 30 Tage
Genug Theorie. Hier kommt die Checkliste, die Sie diese Woche abarbeiten können. Jeder Punkt ist für KMU mit 5 bis 50 Mitarbeitenden machbar — auch ohne eigene Security-Abteilung.
- ☑️ NIS-2-Betroffenheit prüfen — direkt UND mittelbar (Lieferketten-Klauseln)
- ☑️ ISMS aufsetzen — Informationssicherheits-Managementsystem mit klaren Verantwortlichkeiten
- ☑️ Netzwerk-Mikrosegmentierung einführen — Server- und Office-Netze trennen
- ☑️ MDR oder NDR evaluieren — Managed Detection & Response für 24/7-Überwachung
- ☑️ Externe IT-Abteilung/MSP prüfen — wenn intern keine Kapazität ist
- ☑️ Datensouveränität checken — europäische Cloud-Anbieter statt US-Hyperscaler
- ☑️ Förderprogramme der Länder nutzen — Hamburg fördert Digitalisierungs-Vorhaben
Im Detail:
- NIS-2-Betroffenheit prüfen: Das BSI-Webinar nis2know ist ein guter Einstieg. Auch wenn Sie nicht direkt fallen — fragen Sie Ihre Kunden, welche vertraglichen Anforderungen kommen.
- ISMS strukturiert einführen: Ein Informationssicherheits-Managementsystem ist die Grundlage für NIS-2-Compliance. Es muss nicht ISO 27001 sein — eine schlanke ISMS-Struktur reicht für viele KMU.
- Netzwerk-Mikrosegmentierung: Mikrosegmentierung limitiert die laterale Bewegung von Angreifern. Wer ins Office-WLAN eindringt, kommt nicht automatisch an den Buchhaltungsserver (it-daily.net).
- MDR/NDR evaluieren: Mehrere Anbieter haben 2026 KMU-spezifische Managed-Detection-and-Response-Lösungen gelauncht. Network Detection and Response mit KI-Unterstützung ist mittlerweile auch für 20-Mann-Betriebe bezahlbar (b2b-cyber-security.de).
- Externe IT-Abteilung prüfen: In Deutschland sind aktuell 109.000 IT-Stellen unbesetzt (Bitkom via netzpalaver.de). Wer keinen Security-Architekten findet, sollte einen MSP mit klar definiertem Leistungsumfang prüfen — günstiger als jeder Vorfall.
- Datensouveränität: 45 Prozent der europäischen Kleinunternehmen meiden bereits US-Cloud-Anbieter zugunsten von DSGVO-Konformität (ad-hoc-news.de). Für sensible Daten lohnt der Wechsel zu europäischen Anbietern.
- Förderprogramme nutzen: Mehrere Bundesländer haben KMU-Schutzprogramme aufgelegt (it-daily.net). Hamburg, Schleswig-Holstein und Niedersachsen fördern Digitalisierung und Security — fragen Sie bei der IFB Hamburg nach.
Wenn Sie nur einen Punkt umsetzen können: Multi-Faktor-Authentifizierung überall, wo es geht. E-Mail, VPN, Cloud-Dienste, Buchhaltung. Das ist die billigste Maßnahme mit dem höchsten Schutzeffekt — schätzungsweise 80 Prozent der Credential-basierten Angriffe scheitern an MFA.
Was wir bei hagel IT in Hamburg gerade beobachten
In Hamburger Mittelstandsbetrieben sehen wir aktuell drei wiederkehrende Muster. Sie sind kein abstraktes Risiko — sie passieren genau jetzt.
"Die häufigste Anfrage diese Wochen: 'Wir haben einen Brief vom Auftraggeber bekommen — die wollen wissen, ob wir NIS-2-konform sind. Was ist das überhaupt?' Das sind klassische Hamburger Mittelständler, die plötzlich merken, dass sie als Zulieferer in die Pflicht kommen. Die zweite Welle: Geschäftsführer, die nach dem Lesen eines Vorstandsmagazins panisch werden — und dann ohne Plan einkaufen wollen. Beides braucht erst mal eine nüchterne Standortbestimmung, bevor man Geld ausgibt."
— Jens Hagel, hagel IT-Services GmbH Hamburg
Die typischen Lücken in Hamburger Mittelstandsbetrieben mit 10 bis 50 Mitarbeitenden:
- Backups, die nie getestet wurden. Es gibt ein NAS im Serverraum, das fleißig sichert. Ob die Wiederherstellung im Ernstfall klappt? Niemand weiß es.
- Office 365 ohne Conditional Access. Microsoft 365 ist überall — aber die Sicherheits-Features sind oft nicht konfiguriert.
- Veraltete Firewalls. Die Sophos UTM aus 2018 läuft noch, ist aber seit Jahren ohne Updates.
- Keine dokumentierten Incident-Response-Prozesse. Wenn morgen die Ransomware da ist — wer ruft den Datenschutzbeauftragten an? Wer informiert die Versicherung? Wer redet mit der Presse?
Es gibt aber auch positive Signale. Die internationale Operation von BKA und Microsoft hat im Juni 2026 320 Hacker-Server zerschlagen und Millionen gestohlener Zugangsdaten gesichert. Strafverfolgung wird besser. Und laut TechnikRadar 2026 fürchten über 80 Prozent der Deutschen Cyberangriffe stärker als Terror — die Sensibilisierung ist da, das politische Mandat zum Handeln auch.
Fazit: Handeln statt warten
- Die NIS-2-Frist 31.07.2026 ist real — kein theoretisches Risiko, sondern dokumentierte Bußgelder bis 10 Mio. Euro plus Geschäftsführerhaftung.
- KMU sind das Hauptziel — 80 Prozent aller Ransomware-Opfer 2025 hatten weniger als 250 Mitarbeitende. Sie sind in dieser Statistik drin.
- Maßnahmen sind verfügbar und förderfähig — MDR, ISMS, Mikrosegmentierung gibt es 2026 in KMU-tauglichen Varianten.
Die Botschaft ist einfach: Wer jetzt ins Handeln kommt, hat im Juli ein Konzept und im September eine funktionierende Verteidigung. Wer wartet, bis es passiert, zahlt erst Lösegeld und dann Bußgeld. Klartext: Nicht abwarten, bis die Ransomware-Mail im Posteingang liegt.
Ihr nächster Schritt
Wenn Sie unsicher sind, ob Ihr Hamburger Mittelstandsbetrieb von NIS-2 betroffen ist oder wo Ihre größten Sicherheitslücken liegen — sprechen Sie mit uns. Ein 30-minütiges Erstgespräch reicht für eine erste ehrliche Standortbestimmung. Keine Verkaufsmasche, sondern Klartext zur eigenen Lage. Sie bekommen eine konkrete Einschätzung Ihrer NIS-2-Betroffenheit und die drei wichtigsten Maßnahmen, die in Ihrem Betrieb Priorität haben sollten. Direkt mit mir.