Inhalt in Kürze
- Das BKA-Bundeslagebild vom 12. Mai zählt für 2025 rund 334.000 Cybercrime-Fälle, 1.041 angezeigte Ransomware-Angriffe (+10 %) und 202 Milliarden Euro Schaden.
- Der Hack des Abrechnungsdienstleisters Unimed trifft Unikliniken bundesweit — auch das UKE Hamburg mit 5.244 betroffenen Personen. Die Lehre: Ihr Risiko sitzt oft beim Dienstleister.
- Die NIS-2-Bilanz ist ernüchternd: Zum Fristablauf waren nur 38,5 Prozent der betroffenen Unternehmen beim BSI registriert.
- Im Mai standen erneut 31 deutsche Unternehmen auf Ransomware-Leak-Seiten — auffällig oft Speditionen und Logistiker.
Der Mai 2026 lieferte die amtliche Bestätigung dessen, was viele Geschäftsführer längst ahnen: Cyberkriminalität ist in Deutschland ein Massenphänomen mit Rekordschaden. Und der Klinik-Hack des Monats zeigt eine unbequeme Wahrheit — angegriffen wurde nicht die Klinik, sondern ihr Dienstleister.
334.000 Fälle, 202 Milliarden Euro: Das BKA-Lagebild
Am 12. Mai hat das Bundeskriminalamt sein Bundeslagebild Cybercrime 2025 veröffentlicht. Die Kernzahlen: rund 334.000 registrierte Fälle, 1.041 angezeigte Ransomware-Angriffe — zehn Prozent mehr als im Vorjahr — und 36.706 DDoS-Angriffe, ein Plus von 25 Prozent. Den Gesamtschaden durch Cyberangriffe beziffert das Lagebild auf rund 202 Milliarden Euro, etwa 4,5 Prozent der deutschen Wirtschaftsleistung.
Wichtig für die Einordnung: 1.041 angezeigte Ransomware-Fälle klingen wenig — das ist aber nur das Hellfeld. Viele Unternehmen zahlen still oder melden den Vorfall nie. Die Leak-Seiten der Täter erzählen die ehrlichere Geschichte: Allein im Mai listet die Vorfallübersicht von Security-Insider wieder 31 deutsche Unternehmen — vom Hautarzt über den Treppenlift-Händler bis zur Spedition.
Ein zweiter Trend im Lagebild verdient Aufmerksamkeit: Die DDoS-Angriffe — also das gezielte Überlasten von Websites und Diensten — stiegen um ein Viertel, oft mit hacktivistischem Hintergrund. Das trifft längst nicht mehr nur Behörden und Konzerne. Wenn Ihr Webshop oder Ihr Kundenportal einen Tag nicht erreichbar ist, ist das kein „IT-Thema”, sondern entgangener Umsatz und ein Vertrauensschaden. Erreichbarkeit gehört deshalb in jede Risikobetrachtung — genauso wie Verschlüsselung und Datendiebstahl.
Der Unimed-Hack: Wenn der Dienstleister zur Schwachstelle wird
Der Vorfall des Monats begann unauffällig: Mitte April drangen Angreifer beim privatärztlichen Abrechnungsdienstleister Unimed aus Wadern im Saarland ein. Das volle Ausmaß erfuhren die betroffenen Kliniken erst am 18. Mai — und es ist erheblich: rund 54.000 Betroffene an der Uniklinik Freiburg, 30.000 in Köln, über 72.000 allein in Baden-Württemberg. Gestohlen wurden Stammdaten, Rechnungsdaten, teils Diagnosen und Kontodaten — überwiegend von Privatpatienten und Selbstzahlern.
Und Hamburg? Auch das UKE ist betroffen: 5.244 Personen, in 1.497 Abrechnungsfällen inklusive Gesundheitsdaten wie Diagnosen und Behandlungsangaben.
Bemerkenswert ist die Zeitachse: Zwischen dem Einbruch Mitte April und dem Moment, in dem die Kliniken das volle Ausmaß kannten, lag über ein Monat. So lange wussten weder die Häuser noch die Patienten, welche Daten in fremden Händen sind. Für Sie als Auftraggeber eines Dienstleisters heißt das: Vereinbaren Sie Meldepflichten vertraglich — wer Sie im Ernstfall erst nach Wochen informiert, nimmt Ihnen jede Chance zu reagieren. Die DSGVO gibt für die Meldung an die Aufsichtsbehörde 72 Stunden vor; dieselbe Taktung sollten Sie von jedem Dienstleister mit Zugriff auf Ihre Daten verlangen.
Keine der Kliniken wurde selbst gehackt. Der Angriff lief über einen Dienstleister, dem sie ihre sensibelsten Daten anvertraut hatten. Diese Logik gilt für jedes Unternehmen: Ihr Lohnbüro, Ihr Steuerberater, Ihr Abrechnungsservice und Ihr IT-Anbieter sind Teil Ihrer Angriffsfläche — ob Sie wollen oder nicht.
Genau diese Erfahrung machen wir bei Neukunden regelmäßig — gewachsene Strukturen, niemand hat den Überblick, und die Sicherheit hängt von Dritten ab, die nie jemand geprüft hat:
Es ist alles so eher immer das Pflaster auf die Wunde geklebt, als dass wir so ein einheitliches Konzept haben.
Prüfen Sie Ihre Dienstleister, bevor es ein Angreifer tut. Welche Fragen Sie einem IT-Anbieter stellen sollten — von Verschlüsselung bis Notfallplan — haben wir in einem kompakten Leitfaden zusammengefasst:
NIS-2-Bilanz: Nur 38,5 Prozent registriert
Seit dem 6. März ist die gesetzliche NIS-2-Registrierungsfrist abgelaufen — und die Bilanz fällt mager aus: Nur 38,5 Prozent der geschätzt 29.850 betroffenen Unternehmen hatten sich zum Stichtag im BSI-Portal gemeldet. Bis zum 2. April stieg die Zahl laut BSI auf 15.477 Einrichtungen. Es fehlt also weiterhin fast die Hälfte — obwohl das BSI Zwangsgelder und Bußgelder verhängen kann und die Geschäftsleitung persönlich in der Verantwortung steht.
Unsere Erfahrung aus Gesprächen mit Hamburger Geschäftsführern: Die meisten wissen schlicht nicht, ob sie betroffen sind — direkt oder als Zulieferer über Vertragsklauseln ihrer Kunden. Dabei ist die Registrierung selbst kein Hexenwerk: Sie brauchen im Wesentlichen die Unternehmensdaten, den zutreffenden Sektor, öffentliche IP-Adressbereiche und eine erreichbare Kontaktstelle für den Ernstfall. Der aufwendige Teil kommt danach — Risikomanagement, Meldeprozesse, Lieferkettensicherheit. Aber ob Sie überhaupt starten müssen, lässt sich in zwei Minuten klären:
Wir beginnen immer so, dass wir mit dem Geschäftsführer eine Cyber-Risikoanalyse machen. Da guckt man zum Beispiel: Wie ist das Backup aufgestellt?
Wer tiefer einsteigen will: Unser Beitrag zur NIS-2-Beratung in Hamburg erklärt Betroffenheit, Pflichten und den Weg zur Registrierung Schritt für Schritt.
Ransomware im Mai: Speditionen im Visier
Ein Muster fällt in der Mai-Opferliste auf: Es traf auffällig viele Logistiker — die Spedition Schulte-Lindhorst, die Spedition Kern und mit Yang Ming Shipping Europe sogar die Europa-Tochter einer großen Reederei. Für Hamburg als Logistikdrehscheibe ist das keine Randnotiz: Wo Lieferketten digital getaktet sind, kostet jeder Tag Stillstand echtes Geld — und Angreifer wissen das.
So machen Sie Ihr Unternehmen in drei Schritten widerstandsfähiger gegen genau dieses Szenario:
- Kronjuwelen benennen: Welche Systeme dürfen maximal 24 Stunden ausfallen? Genau diese Liste bestimmt, wo Sie zuerst investieren.
- Dienstleister-Check durchführen: Lassen Sie sich von jedem Anbieter mit Zugriff auf Ihre Daten schriftlich bestätigen, wie er Verschlüsselung, Zwei-Faktor-Authentifizierung und Backups handhabt.
- Notfallplan üben: Einmal im Jahr durchspielen: Wer ruft wen an, wenn am Montagmorgen nichts mehr geht? Ein Plan, der nur im Schrank liegt, ist keiner.
Wir unterstützen Mittelständler in Hamburg und Norddeutschland dabei, genau diese Lücken zu schließen — von der Cybersecurity-Strategie bis zur NIS-2-Compliance. Den Vormonat können Sie hier nachlesen: Cybersicherheit im April 2026.
Wissen Sie, wie sicher Ihre Dienstleister wirklich sind?
15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.
Termin buchen →