22 Cyberangriffe in Deutschland: Was Unternehmen aus realen Fällen lernen können
Dieser Beitrag wertet 22 dokumentierte Cyberangriffe auf Unternehmen und Einrichtungen in Deutschland aus, von Kliniken bis zu Industriekonzernen. Aus den realen Fällen lassen sich klare Muster ablesen, wie Angreifer vorgehen und wo es hakt. Daraus leiten wir konkrete Lehren ab, die auch kleine und mittlere Unternehmen sofort umsetzen können.

Cyberangriffe in Deutschland: Eine Bestandsaufnahme
Cyberangriffe treffen längst nicht mehr nur Großkonzerne. Kommunen - Kliniken - Hochschulen - Hotels und mittelständische Produktionsbetriebe - sie alle wurden in den letzten Jahren Opfer schwerwiegender Attacken. In dieser Übersicht analysieren wir 22 dokumentierte Vorfälle aus ganz Deutschland - geordnet nach Region und Branche - und leiten daraus konkrete Handlungsempfehlungen für KMU ab.
Mecklenburg-Vorpommern: Angriffe vor unserer Haustür
RSAG Rostock (2022) - Nahverkehr lahmgelegt
Die Rostocker Straßenbahn AG wurde 2022 Opfer eines Cyberangriffs. Der Online-Ticketverkauf fiel tagelang aus - der Kundenservice war eingeschränkt. Interne Systeme wie Disposition und Verwaltung waren betroffen - die Kommunikation lief über Notfallkanäle. ÖPNV-Betreiber sind attraktive Ziele: Sie betreiben kritische Infrastruktur - verfügen über große Mengen personenbezogener Daten und stehen unter öffentlichem Druck - schnell wieder funktionsfähig zu sein.
Arcona Hotels Rostock (2024) - Russische Hacker stehlen Gästedaten
Die Rostocker Hotelkette Arcona wurde 2024 von Angreifern russischen Ursprungs attackiert. Gästedaten wurden entwendet - darunter potenziell Ausweiskopien - Kreditkartennummern und Kontaktdaten. Die Hotellerie ist besonders verwundbar: hohe Personalfluktuation - viele digitale Schnittstellen (Buchungsportale - PMS - Zahlungsterminals) - 24/7-Betrieb und DSGVO-Anforderungen aus verschiedenen Rechtsordnungen bei internationalen Gästen.
Landkreis Ludwigslust-Parchim (2021) - Der schwerste kommunale Hack Deutschlands
Im Oktober 2021 verschlüsselte Ransomware die gesamte IT-Infrastruktur des Landkreises. Der Katastrophenfall wurde ausgerufen - ein beispielloser Schritt für einen Cyberangriff. Bürgerservices fielen komplett aus: Kfz-Zulassungen - Ausweisanträge - Baugenehmigungen. Die Auszahlung von Sozialleistungen war gefährdet. Die Wiederherstellung dauerte Monate und kostete Millionen. Andere Kommunen in MV waren ebenfalls betroffen - da sie über gemeinsame IT-Dienstleister verbunden waren.
Deutsches Meeresmuseum/Ozeaneum Stralsund (2024) - Wochenlang nur analog
Im März 2024 drangen Hacker in die Systeme des Meeresmuseums und Ozeaneums in Stralsund ein. Kassen und Buchungen liefen wochenlang nur noch analog. Kultureinrichtungen unterschätzen oft ihr IT-Risiko - dabei verarbeiten sie Zahlungsdaten - betreiben Online-Shops und verwalten Mitgliederdaten.
BDH-Klinik Greifswald (2023) - Patientendaten in Gefahr
Eine Cyberattacke traf die Rehabilitationsklinik in Greifswald. Patientenverwaltung und klinische IT-Systeme waren tagelang beeinträchtigt. Gesundheitsdaten gehören laut DSGVO (Art. 9) zu den besonders schützenswerten Datenkategorien - ein Datenleck wiegt hier besonders schwer.
Hamburg & Schleswig-Holstein
LungenClinic Grosshansdorf (2025) - 12.000 Patientendaten verschlüsselt
Anfang 2025 verschlüsselten Angreifer Daten von rund 12.000 Patienten einer Tochtergesellschaft der LungenClinic bei Hamburg. Diagnosen - Therapieverläufe und Medikation können nicht „zurückgesetzt" werden - Betroffene sind potenziell lebenslang durch den Datenverlust gefährdet.
Oiltanking/Mabanaft Hamburg (2022) - Als die Tankstellen leer blieben
Die BlackCat (ALPHV)-Ransomware traf den Tanklogistik-Konzern Oiltanking und sein Schwesterunternehmen Mabanaft. Shell musste Lieferketten umstellen - 233 Tankstellen konnten zeitweise nicht automatisiert beliefert werden. BlackCat war in Rust programmiert - nutzte doppelte Erpressung und betrieb ein professionelles Affiliate-Modell. Die Gruppe wurde 2023 vom FBI zerschlagen.
HAW Hamburg (2022) - Vice Society trifft die Hochschule
Ende 2022 verschlüsselte die Vice-Society-Gruppe Systeme der HAW Hamburg und veröffentlichte gestohlene Daten im Darknet. E-Mail-Systeme fielen wochenlang aus - Forschungsdaten gingen verloren - die Wiederherstellung dauerte Monate. Vice Society hat sich auf Bildungseinrichtungen spezialisiert.
Helmut-Schmidt-Universität Hamburg (2023) - Bundeswehr-Uni gehackt
Die Bundeswehr-Universität in Hamburg wurde 2023 Opfer eines Ransomware-Angriffs. Besonders brisant: Die Hochschule betreibt sowohl zivile als auch sicherheitsrelevante Forschung. Forschungsdaten waren wochenlang nicht zugänglich.
Drägerwerk Lübeck (2019) - Winnti-Industriespionage gegen Medizintechnik
Der Lübecker Medizintechnik-Konzern Drägerwerk wurde von der Winnti-Malware getroffen - ein Fall von mutmaßlicher staatlicher Industriespionage. Winnti wird der APT-Gruppe Winnti/Barium zugeordnet und zielt gezielt auf Industriegeheimnisse und Forschungsdaten.
IfW Kiel (2024) - Russische Staatshacker APT28
2024 nutzten russische Hacker der Gruppe APT28 (Fancy Bear) eine gefälschte Domain des Kieler Instituts für Weltwirtschaft - um Spionagesoftware zu verbreiten. APT28 wird dem russischen Militärgeheimdienst GRU zugeordnet und hat wirtschaftspolitische Forschungsinstitute als strategische Ziele.
Berlin & Brandenburg
Berliner Kammergericht (2019) - Emotet legt Justiz lahm
Die Emotet-Malware befiel das höchste Berliner Gericht über eine Phishing-E-Mail. Über 500 Rechner waren betroffen - die gesamte IT musste komplett neu aufgesetzt werden. Die Wiederherstellung dauerte über ein Jahr - der Schaden lag im Millionenbereich. Richterinnen und Richter mussten zeitweise mit Schreibmaschinen arbeiten. Das BSI bezeichnete Emotet als die „gefährlichste Schadsoftware der Welt".
BerlinerLuft. Technik (2024) - Wochen bis zur Wiederherstellung
Das Berliner Lüftungstechnik-Unternehmen wurde im März 2024 von Ransomware getroffen. Der Fall ist typisch für den Mittelstand: ausreichend Kapital für Lösegeldforderungen - aber zu wenig Budget für IT-Sicherheit. Ohne professionelle Backups dauerte die Wiederherstellung Wochen.
Flughafen BER / Collins Aerospace (2025) - Gepäckabfertigung steht still
Ein Ransomware-Angriff auf den BER-Dienstleister Collins Aerospace legte 2025 die Passagier- und Gepäckabfertigung lahm. Der Vorfall zeigt die Verwundbarkeit kritischer Infrastruktur über Drittanbieter - Supply-Chain-Security wird unter NIS2 zur Pflicht.
Berliner Caritas (2022) - Sensible Sozialdaten betroffen
Ransomware traf die Caritas in Berlin und damit eine Organisation - die hochsensible Daten verarbeitet: Gesundheitsinformationen - Sozialberichte - Fallakten und Daten von Kindern und Jugendlichen. Die Verwaltung war wochenlang eingeschränkt - Abrechnungen mit Kostenträgern verzögert.
Hessen
Uniklinik Frankfurt (2023) - Hessens größtes Krankenhaus arbeitet mit Fax
Die IT-Systeme der Uniklinik Frankfurt mit über 1.000 Betten mussten komplett heruntergefahren werden. Das Klinikum arbeitete wochenlang mit Fax-Geräten und Papierakten. Die IT-Infrastruktur wurde komplett neu aufgesetzt - Kosten im siebenstelligen Bereich.
Baden-Württemberg
Pilz GmbH Ostfildern (2019) - Wochenlanger Produktionsstillstand
Die BitPaymer-Ransomware legte den weltweit bekannten Automatisierungstechnik-Anbieter bei Stuttgart komplett lahm. Über 2.400 Mitarbeitende waren betroffen - die Wiederherstellung dauerte über sechs Wochen. Der geschätzte Schaden lag im zweistelligen Millionenbereich. Pilz zahlte kein Lösegeld und baute die IT von Grund auf neu auf.
Württembergische Staatstheater Stuttgart (2019) - Lösegeld für die Kultur
Hacker verschlüsselten die Daten der Stuttgarter Staatstheater. Berichten zufolge wurde tatsächlich Lösegeld gezahlt - einer der ersten bekannten Fälle - bei dem eine öffentliche Einrichtung in Deutschland zahlte. Das BSI rät einheitlich: Kein Lösegeld zahlen. Zahlende Opfer werden häufiger erneut angegriffen.
Eberspächer Esslingen (2021) - Automobilzulieferer weltweit lahmgelegt
Ransomware traf den Esslinger Automobilzulieferer mit über 10.000 Mitarbeitenden an allen globalen Standorten. Produktion - E-Mail und ERP-Systeme fielen aus. Die Automobilindustrie ist wegen Just-in-Time-Produktion und hoher Zahlungsbereitschaft eines der beliebtesten Ransomware-Ziele.
Sachsen & Mitteldeutschland
Nickelhütte Aue (2024) - Produktion im Erzgebirge steht still
Der traditionsreiche Recycling- und Metallverarbeitungsbetrieb im Erzgebirge wurde von Hackern getroffen. Produktionsdaten wurden verschlüsselt - die Wiederherstellung dauerte Wochen. Der Fall zeigt die besonderen Herausforderungen im ländlichen Raum: verschärfter IT-Fachkräftemangel und begrenzte IT-Budgets.
AEP Pharma-Großhändler (2024) - Medikamentenversorgung gestört
Ransomware störte die Medikamentenversorgung insbesondere in Sachsen und Mitteldeutschland. Apotheken konnten nicht beliefert werden - chronisch Kranke waren von Versorgungsengpässen bedroht. Ein Angriff auf die Pharma-Logistik ist potenziell lebensbedrohlich.
Überregional
IHK Deutschland (2022) - Alle 79 Kammern auf einen Schlag
Ein koordinierter Cyberangriff legte alle 79 Industrie- und Handelskammern gleichzeitig lahm - da sie eine gemeinsame IT-Infrastruktur nutzten. Online-Services für Millionen Mitgliedsunternehmen fielen aus - Ausbildungsverträge konnten nicht bearbeitet werden. Der Vorfall betraf auch die IHKs in Rostock - Lübeck - Kiel - Hamburg und Frankfurt.
Muster und Lehren: Was alle Fälle gemeinsam haben
Die häufigsten Angriffsvektoren
- Phishing-E-Mails: In über 90 % der Fälle der initiale Einstiegspunkt
- Ungepatchte Systeme: Bekannte Schwachstellen - die nicht geschlossen wurden
- Fehlende Netzwerksegmentierung: Ein Einstieg betrifft das gesamte Netzwerk
- Kompromittierte Zugangsdaten: Gestohlene Passwörter aus dem Darknet
Die typischen Folgen
- Wochen bis Monate für die Wiederherstellung
- Sechsstellige bis siebenstellige Kosten (Forensik - Wiederaufbau - Produktionsausfall)
- Reputationsschaden und Kundenabwanderung
- DSGVO-Meldepflichten und potenzielle Bußgelder
- Datenveröffentlichung im Darknet bei doppelter Erpressung
Die Ransomware-Gruppen hinter den Angriffen
| Gruppe | Methode | Bekannte Ziele |
|---|---|---|
| BlackCat/ALPHV | Rust-basiert - doppelte Erpressung | Energiesektor - Industrie |
| Vice Society | Fokus auf Bildung und Gesundheit | Hochschulen - Kliniken |
| Emotet | Phishing + Nachlader (TrickBot - Ryuk) | Behörden - Justiz |
| APT28 (Fancy Bear) | Staatlich gesteuerte Spionage | Forschungsinstitute |
| Winnti/Barium | Industriespionage - State-sponsored | Medizintechnik - Chemie |
| BitPaymer | Gezielte Angriffe auf Industrie | Produzierende Unternehmen |
Konkrete Schutzmaßnahmen: Was jedes KMU heute umsetzen sollte
1. Endpoint Detection & Response (EDR/XDR)
Klassischer Virenscanner reicht nicht mehr. Moderne EDR-Lösungen wie SentinelOne erkennen verdächtiges Verhalten in Echtzeit und können Angriffe automatisch isolieren - bevor die Verschlüsselung beginnt.
2. Multi-Faktor-Authentifizierung (MFA)
Unverzichtbar für alle Zugänge - ob Cloud - VPN oder Remote-Desktop. MFA verhindert - dass gestohlene Passwörter allein für einen Zugriff ausreichen.
3. Netzwerksegmentierung
Trennung von Verwaltungs- - Produktions- und Gästenetzen. Wenn ein Segment kompromittiert wird - bleiben die anderen geschützt. Der IHK-Vorfall zeigt - was passiert - wenn alles in einer Infrastruktur liegt.
4. Immutable Backups
Backups - die nicht verändert oder verschlüsselt werden können. Sie sind die letzte Verteidigungslinie gegen Ransomware und ermöglichen eine Wiederherstellung ohne Lösegeldzahlung.
5. Security-Awareness-Schulungen
Da über 90 % aller Angriffe mit Phishing beginnen - sind regelmäßige Schulungen und simulierte Phishing-Kampagnen essenziell. Der Faktor Mensch ist gleichzeitig die größte Schwachstelle und die erste Verteidigungslinie.
6. Patch-Management
Zeitnahes Einspielen von Sicherheitsupdates schließt bekannte Schwachstellen - bevor Angreifer sie ausnutzen können.
7. Incident-Response-Plan
Ein vorbereiteter - getesteter Notfallplan verkürzt die Reaktionszeit im Ernstfall erheblich. Wer erst im Angriff anfängt zu planen - verliert wertvolle Stunden.
Fazit: Cybersicherheit ist kein optionaler Kostenfaktor
Die 22 dokumentierten Fälle zeigen: Cyberangriffe treffen Unternehmen jeder Größe - jeder Branche und jeder Region. Die Frage ist nicht ob - sondern wann. Der Unterschied zwischen einem mehrtägigen Ausfall und einem monatelangen Totalschaden liegt in der Vorbereitung.
Du möchtest wissen - wie gut dein Unternehmen gegen Cyberangriffe geschützt ist? Wir analysieren deine IT-Sicherheit - kostenlos und unverbindlich. Kontaktiere uns für eine Ersteinschätzung.
Fragen zu diesem Thema?
Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.
Weitere Artikel
Cyber-Erpressung +91 % - warum Backups allein nicht mehr reichen
Bekannte Cyber-Erpressungsfälle sind um 91 % gestiegen, besonders kleine Firmen sind betroffen. Ein aktueller Fall zeigt: Wenn auch die Backups verschlüsselt werden, hilft nur das richtige Konzept.
NIS2-Richtlinie: Was ändert sich 2026 für KMU?
Die NIS2-Richtlinie stellt neue Anforderungen an die Cybersicherheit von Unternehmen. Wir erklären, was auf KMU zukommt und wie du dich vorbereiten kannst.
Was kostet ein Managed IT Service Provider?
Transparente Preise sind in der IT-Branche selten. Wir zeigen dir, mit welchen Kosten du rechnen kannst und worauf du bei der Auswahl achten solltest.