7 Min.
Cybersicherheit im Mai 2026 — Analyse der BKA-Cybercrime-Zahlen und des Klinik-Hacks im Sicherheitsteam

Cybersicherheit im Mai 2026: BKA-Rekordzahlen, der Klinik-Hack und die ernüchternde NIS-2-Bilanz

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Das BKA-Bundeslagebild vom 12. Mai zählt für 2025 rund 334.000 Cybercrime-Fälle, 1.041 angezeigte Ransomware-Angriffe (+10 %) und 202 Milliarden Euro Schaden.
  • Der Hack des Abrechnungsdienstleisters Unimed trifft Unikliniken bundesweit — auch das UKE Hamburg mit 5.244 betroffenen Personen. Die Lehre: Ihr Risiko sitzt oft beim Dienstleister.
  • Die NIS-2-Bilanz ist ernüchternd: Zum Fristablauf waren nur 38,5 Prozent der betroffenen Unternehmen beim BSI registriert.
  • Im Mai standen erneut 31 deutsche Unternehmen auf Ransomware-Leak-Seiten — auffällig oft Speditionen und Logistiker.

Der Mai 2026 lieferte die amtliche Bestätigung dessen, was viele Geschäftsführer längst ahnen: Cyberkriminalität ist in Deutschland ein Massenphänomen mit Rekordschaden. Und der Klinik-Hack des Monats zeigt eine unbequeme Wahrheit — angegriffen wurde nicht die Klinik, sondern ihr Dienstleister.

334.000 Fälle, 202 Milliarden Euro: Das BKA-Lagebild

Am 12. Mai hat das Bundeskriminalamt sein Bundeslagebild Cybercrime 2025 veröffentlicht. Die Kernzahlen: rund 334.000 registrierte Fälle, 1.041 angezeigte Ransomware-Angriffe — zehn Prozent mehr als im Vorjahr — und 36.706 DDoS-Angriffe, ein Plus von 25 Prozent. Den Gesamtschaden durch Cyberangriffe beziffert das Lagebild auf rund 202 Milliarden Euro, etwa 4,5 Prozent der deutschen Wirtschaftsleistung.

334.000
Cybercrime-Fälle 2025 laut BKA
+10 %
angezeigte Ransomware-Angriffe
202 Mrd. €
Schaden durch Cyberangriffe

Wichtig für die Einordnung: 1.041 angezeigte Ransomware-Fälle klingen wenig — das ist aber nur das Hellfeld. Viele Unternehmen zahlen still oder melden den Vorfall nie. Die Leak-Seiten der Täter erzählen die ehrlichere Geschichte: Allein im Mai listet die Vorfallübersicht von Security-Insider wieder 31 deutsche Unternehmen — vom Hautarzt über den Treppenlift-Händler bis zur Spedition.

Ein zweiter Trend im Lagebild verdient Aufmerksamkeit: Die DDoS-Angriffe — also das gezielte Überlasten von Websites und Diensten — stiegen um ein Viertel, oft mit hacktivistischem Hintergrund. Das trifft längst nicht mehr nur Behörden und Konzerne. Wenn Ihr Webshop oder Ihr Kundenportal einen Tag nicht erreichbar ist, ist das kein „IT-Thema”, sondern entgangener Umsatz und ein Vertrauensschaden. Erreichbarkeit gehört deshalb in jede Risikobetrachtung — genauso wie Verschlüsselung und Datendiebstahl.

Der Unimed-Hack: Wenn der Dienstleister zur Schwachstelle wird

Der Vorfall des Monats begann unauffällig: Mitte April drangen Angreifer beim privatärztlichen Abrechnungsdienstleister Unimed aus Wadern im Saarland ein. Das volle Ausmaß erfuhren die betroffenen Kliniken erst am 18. Mai — und es ist erheblich: rund 54.000 Betroffene an der Uniklinik Freiburg, 30.000 in Köln, über 72.000 allein in Baden-Württemberg. Gestohlen wurden Stammdaten, Rechnungsdaten, teils Diagnosen und Kontodaten — überwiegend von Privatpatienten und Selbstzahlern.

Klinik-IT-Sicherheit nach dem Unimed-Hack im Mai 2026 — Krankenhausflur mit digitaler Infrastruktur
Der Angriff traf nicht die Kliniken selbst, sondern ihren Abrechnungsdienstleister — die Daten waren trotzdem weg.

Und Hamburg? Auch das UKE ist betroffen: 5.244 Personen, in 1.497 Abrechnungsfällen inklusive Gesundheitsdaten wie Diagnosen und Behandlungsangaben.

Bemerkenswert ist die Zeitachse: Zwischen dem Einbruch Mitte April und dem Moment, in dem die Kliniken das volle Ausmaß kannten, lag über ein Monat. So lange wussten weder die Häuser noch die Patienten, welche Daten in fremden Händen sind. Für Sie als Auftraggeber eines Dienstleisters heißt das: Vereinbaren Sie Meldepflichten vertraglich — wer Sie im Ernstfall erst nach Wochen informiert, nimmt Ihnen jede Chance zu reagieren. Die DSGVO gibt für die Meldung an die Aufsichtsbehörde 72 Stunden vor; dieselbe Taktung sollten Sie von jedem Dienstleister mit Zugriff auf Ihre Daten verlangen.

Die eigentliche Lehre:

Keine der Kliniken wurde selbst gehackt. Der Angriff lief über einen Dienstleister, dem sie ihre sensibelsten Daten anvertraut hatten. Diese Logik gilt für jedes Unternehmen: Ihr Lohnbüro, Ihr Steuerberater, Ihr Abrechnungsservice und Ihr IT-Anbieter sind Teil Ihrer Angriffsfläche — ob Sie wollen oder nicht.

Genau diese Erfahrung machen wir bei Neukunden regelmäßig — gewachsene Strukturen, niemand hat den Überblick, und die Sicherheit hängt von Dritten ab, die nie jemand geprüft hat:

Es ist alles so eher immer das Pflaster auf die Wunde geklebt, als dass wir so ein einheitliches Konzept haben.

Lisa Stark · Geschäftsleitung, Gefahrstoffanalytik/Labor, 20 Mitarbeiter

Prüfen Sie Ihre Dienstleister, bevor es ein Angreifer tut. Welche Fragen Sie einem IT-Anbieter stellen sollten — von Verschlüsselung bis Notfallplan — haben wir in einem kompakten Leitfaden zusammengefasst:

NIS-2-Bilanz: Nur 38,5 Prozent registriert

Seit dem 6. März ist die gesetzliche NIS-2-Registrierungsfrist abgelaufen — und die Bilanz fällt mager aus: Nur 38,5 Prozent der geschätzt 29.850 betroffenen Unternehmen hatten sich zum Stichtag im BSI-Portal gemeldet. Bis zum 2. April stieg die Zahl laut BSI auf 15.477 Einrichtungen. Es fehlt also weiterhin fast die Hälfte — obwohl das BSI Zwangsgelder und Bußgelder verhängen kann und die Geschäftsleitung persönlich in der Verantwortung steht.

Unsere Erfahrung aus Gesprächen mit Hamburger Geschäftsführern: Die meisten wissen schlicht nicht, ob sie betroffen sind — direkt oder als Zulieferer über Vertragsklauseln ihrer Kunden. Dabei ist die Registrierung selbst kein Hexenwerk: Sie brauchen im Wesentlichen die Unternehmensdaten, den zutreffenden Sektor, öffentliche IP-Adressbereiche und eine erreichbare Kontaktstelle für den Ernstfall. Der aufwendige Teil kommt danach — Risikomanagement, Meldeprozesse, Lieferkettensicherheit. Aber ob Sie überhaupt starten müssen, lässt sich in zwei Minuten klären:

Wir beginnen immer so, dass wir mit dem Geschäftsführer eine Cyber-Risikoanalyse machen. Da guckt man zum Beispiel: Wie ist das Backup aufgestellt?

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Wer tiefer einsteigen will: Unser Beitrag zur NIS-2-Beratung in Hamburg erklärt Betroffenheit, Pflichten und den Weg zur Registrierung Schritt für Schritt.

Ransomware im Mai: Speditionen im Visier

Ein Muster fällt in der Mai-Opferliste auf: Es traf auffällig viele Logistiker — die Spedition Schulte-Lindhorst, die Spedition Kern und mit Yang Ming Shipping Europe sogar die Europa-Tochter einer großen Reederei. Für Hamburg als Logistikdrehscheibe ist das keine Randnotiz: Wo Lieferketten digital getaktet sind, kostet jeder Tag Stillstand echtes Geld — und Angreifer wissen das.

So machen Sie Ihr Unternehmen in drei Schritten widerstandsfähiger gegen genau dieses Szenario:

  1. Kronjuwelen benennen: Welche Systeme dürfen maximal 24 Stunden ausfallen? Genau diese Liste bestimmt, wo Sie zuerst investieren.
  2. Dienstleister-Check durchführen: Lassen Sie sich von jedem Anbieter mit Zugriff auf Ihre Daten schriftlich bestätigen, wie er Verschlüsselung, Zwei-Faktor-Authentifizierung und Backups handhabt.
  3. Notfallplan üben: Einmal im Jahr durchspielen: Wer ruft wen an, wenn am Montagmorgen nichts mehr geht? Ein Plan, der nur im Schrank liegt, ist keiner.
Das Wichtigste: Die BKA-Zahlen belegen das Ausmaß, der Unimed-Fall zeigt den Weg: Angreifer nehmen zunehmend Dienstleister ins Visier, weil dort die Daten vieler Auftraggeber auf einmal liegen. Wer seine eigenen Systeme härtet, aber Dienstleister nie prüft, hat nur die halbe Arbeit gemacht.

Wir unterstützen Mittelständler in Hamburg und Norddeutschland dabei, genau diese Lücken zu schließen — von der Cybersecurity-Strategie bis zur NIS-2-Compliance. Den Vormonat können Sie hier nachlesen: Cybersicherheit im April 2026.

Wissen Sie, wie sicher Ihre Dienstleister wirklich sind?

15 Minuten Erstgespräch. Kostenlos. Ohne Vertriebsdruck.

Termin buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Fallstudie · Private Equity
IT-Ausgründung in Hamburg: 5 Schritte zur erfolgreichen Trennung von der Konzern-IT – Eine Fallstudie
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Das am 12. Mai 2026 veröffentlichte Lagebild zählt rund 334.000 registrierte Cybercrime-Fälle für 2025. Die Zahl der angezeigten Ransomware-Angriffe stieg um zehn Prozent auf 1.041, DDoS-Angriffe legten um 25 Prozent auf 36.706 Fälle zu. Den Gesamtschaden durch Cyberangriffe beziffert das Lagebild auf rund 202 Milliarden Euro.

Angreifer kompromittierten Mitte April den privatärztlichen Abrechnungsdienstleister Unimed aus dem Saarland. Betroffen sind Patientendaten zahlreicher Unikliniken — darunter Freiburg mit rund 54.000 und Köln mit 30.000 Betroffenen. Auch das UKE Hamburg meldete 5.244 betroffene Personen. Gestohlen wurden Stammdaten, Rechnungsdaten und teils Diagnosen. Das volle Ausmaß erfuhren die Kliniken erst am 18. Mai.

Zum Fristablauf am 6. März 2026 hatten sich nur rund 38,5 Prozent der geschätzt 29.850 betroffenen Unternehmen im BSI-Portal registriert. Bis zum 2. April stieg die Zahl laut BSI auf 15.477 registrierte Einrichtungen — es fehlt also weiterhin fast die Hälfte. Säumigen Unternehmen drohen Zwangsgelder und Bußgelder.

Dass die eigene IT-Sicherheit nur so gut ist wie die des schwächsten Dienstleisters. Wer personenbezogene Daten an externe Abrechner, Lohnbüros oder IT-Anbieter gibt, sollte deren Sicherheitsniveau vertraglich festschreiben und regelmäßig prüfen — mindestens: Verschlüsselung, Zwei-Faktor-Authentifizierung, getestete Backups und ein klarer Meldeweg im Vorfall.