Es ist 04:47 Uhr an einem Donnerstag im April 2026, als Markus Hartmann, geschäftsführender Gesellschafter der fiktiven Hartmann Präzisionsteile GmbH aus Velbert, der Anruf seines IT-Leiters Sven Burkhardt aus dem Schlaf reißt. „Markus, wir haben ein Problem. Die ERP-Datenbank ist verschlüsselt. Das CAD-Archiv ist verschlüsselt. Der Fileserver ist verschlüsselt. Auf jedem zweiten Bildschirm steht eine Nachricht von etwas, das sich SAFEPAY nennt." Hartmann zieht sich an, fährt ins Werk, sieht den ersten Hinweis am Empfangsbildschirm und versteht in dem Moment, was ihn dieser Vorfall in den nächsten Wochen kosten wird: 14 Werktage Stillstand in drei Werken, 2,3 Millionen Euro Sofortschaden, eine Lösegeldforderung von 1,8 Millionen Dollar in Bitcoin – und die schwerste Vertrauenskrise, die das Familienunternehmen in 47 Jahren erlebt hat.
Hartmann Präzisionsteile ist erfunden. Der Ablauf ist es nicht. Er beschreibt fast wörtlich, was sich seit Anfang 2025 mit erschreckender Regelmäßigkeit in deutschen Mittelstandsunternehmen abspielt – verursacht von zwei Ransomware-Gangs, die den deutschen Markt seit zwölf Monaten systematisch als Goldgrube behandeln: SAFEPAY und Qilin. Die Zahlen, die im Frühjahr 2026 sichtbar werden, sind so eindeutig, dass keine ernsthafte Geschäftsführung sie länger als „interessanten Trend" abbuchen kann.
Die Lage in Zahlen: Warum Deutschland 2026 Ransomware-Hotspot Nummer drei der Welt ist
92 Prozent. Das ist das Wachstum bei deutschen Datenleck-Veröffentlichungen, das Threat-Intelligence-Teams für das gesamte Jahr 2025 dokumentiert haben – fast dreimal so hoch wie der europäische Durchschnitt. Deutschland steht damit auf Platz drei der weltweiten Opferlisten, hinter den USA und Großbritannien, knapp vor Kanada. 1.041 gemeldete Ransomware-Vorfälle in Deutschland allein 2025, ein Plus von zehn Prozent gegenüber dem Vorjahr.
SAFEPAY ist der einzelne Akteur, der diese Statistik 2025 dominiert hat: 76 dokumentierte Übernahmen deutscher Unternehmen, ein Viertel aller deutschen Veröffentlichungen auf Leak-Sites entfielen auf diese Gruppe allein. Qilin folgte mit 29 Vorfällen, hat aber in Q3 2025 das Tempo verdreifacht und im ersten Quartal 2026 bereits 13 weitere deutsche Opfer geleakt – darunter ein Vorfall im Kreis Heinsberg, der durch die Verzweigung in eine kommunale Versorgungs-IT besondere mediale Aufmerksamkeit bekam. Die Tendenz für 2026 zeigt eindeutig nach oben.
Das Profil der Opfer ist nicht zufällig: Rund 90 Prozent der erfolgreichen Angriffe trafen kleine und mittlere Unternehmen. Konzerne sind besser verteidigt, halten teurere Cyber-Versicherungen, beschäftigen 24/7-SOC-Teams. Mikrobetriebe lohnen das Investment kaum. Aber der gehobene Mittelstand – Unternehmen mit 50 bis 1.500 Beschäftigten, Jahresumsätzen zwischen 20 und 300 Millionen Euro, einem dicht digitalisierten Kernprozess und einer schmalen IT-Mannschaft – ist mathematisch optimal: groß genug, um sieben- bis achtstellige Lösegelder zahlen zu können, klein genug, um keine eigene Cyber-Resilienz-Abteilung zu finanzieren. Informationssicherheit auf dem Niveau, das man bei der Commerzbank oder bei BASF voraussetzen darf, ist im Mittelstand die Ausnahme, nicht die Regel. Genau diese Lücke nutzen SAFEPAY und Qilin industriell aus.
Was SAFEPAY und Qilin technisch tun – und warum sie so erfolgreich sind
Beide Gruppen operieren nach einem Ransomware-as-a-Service-Modell (RaaS). Das Kernteam entwickelt und pflegt die Verschlüsselungs-Toolchain, betreibt die Leak-Site im Tor-Netzwerk, übernimmt Verhandlungen und Geldwäsche. Die eigentlichen Einbrüche führen Affiliates durch – freie Mitarbeiter im kriminellen Ökosystem, die je nach Vereinbarung 70 bis 80 Prozent der Lösegelder behalten. Diese Arbeitsteilung erklärt einen Großteil der Skalierbarkeit: Während ein Affiliate einen einzelnen Einbruch verfolgt, plant das Kernteam parallel die nächste Iteration des Tools.
SAFEPAYs Toolchain basiert seit Ende 2024 auf einem in Rust geschriebenen Verschlüsselungsmodul, das mit ChaCha20-Streams und Curve25519-Schlüsselaustausch arbeitet. Die Kombination ist bewusst gewählt: schnell genug, um auf einem Standard-Fileserver mehrere Terabyte in unter zwei Stunden zu verschlüsseln; mathematisch so streng, dass eine forensische Wiederherstellung ohne den passenden privaten Schlüssel ausgeschlossen ist. Hinzu kommt eine ausgereifte Doppelerpressung: Vor der Verschlüsselung werden 50 bis 300 Gigabyte sensible Daten exfiltriert. Wer nicht zahlt, sieht seine Kundendaten, Verträge, Personalakten und Konstruktionszeichnungen auf der SAFEPAY-Leak-Site – nach 96 Stunden frei zugänglich.
Qilin verfolgt einen vergleichbaren Ansatz, kombiniert aber zusätzlich mit „intermittierender Verschlüsselung" – einer Technik, bei der nur jeder zweite oder dritte Datenblock einer Datei verschlüsselt wird. Das halbiert die Zeit, in der die Aktivität auf einem Endpoint-Detection-Sensor sichtbar werden kann, ohne die Datei für den Eigentümer weniger unbrauchbar zu machen. Beide Gruppen setzen auf legitime Verwaltungswerkzeuge im Post-Exploitation-Phase: PsExec, WMI, BloodHound, Cobalt Strike Beacons, Mimikatz – Werkzeuge, die in praktisch jeder Windows-Umgebung vorkommen und in einem nicht segmentierten Netz keinen Verdacht erregen.
Die typischen Einfallswege haben sich 2026 weiter verdichtet auf drei Pfade: erstens kompromittierte SSL-VPN-Zugänge, vor allem bei SonicWall- und Ivanti-Appliances (in unserem Blog vom 8. Mai haben wir den Akira/Sinobi-Vektor im Detail aufgeschlüsselt); zweitens Phishing-Welle mit KI-generierten Inhalten, die laut BSI-Cybersicherheitsmonitor 2026 mittlerweile 86 Prozent aller Phishing-Mails ausmachen; drittens Lieferanten-Kompromittierungen, bei denen ein vertrauter Wartungszugang als Türöffner missbraucht wird.
User Story: Wie der Einbruch bei Hartmann Präzisionsteile in vier Akten ablief
Akt eins: Der Türöffner. Am 12. März 2026, einem Donnerstag, klickt eine Sachbearbeiterin in der Buchhaltung auf eine Mail, die scheinbar von einem langjährigen niederländischen Werkzeuglieferanten kommt. Betreff: „Rechnung Nr. 2026-0312 / Mahnstufe 1". Sprache: nahezu fehlerfrei. Signatur: korrekt. Anhang: ein PDF mit eingebettetem Makro, das beim Öffnen einen Cobalt-Strike-Loader nachlädt. Eine Stunde später hat ein Affiliate von SAFEPAY ersten Zugriff auf den Arbeitsplatz. Sechs Stunden später ist via gestohlenem Servicekonto Zugriff auf den Domain Controller etabliert. Bemerkt hat das niemand.
Akt zwei: Die Aufklärung. Über die nächsten 19 Tage führen die Angreifer eine systematische Inventur durch. BloodHound kartografiert die Active-Directory-Struktur und identifiziert privilegierte Konten ohne Multi-Faktor-Authentifizierung. Ein automatisiertes Skript scannt File-Shares nach Dateinamen mit Begriffen wie „Vertrag", „Kalkulation", „Lieferantenliste", „Konstruktion". 287 Gigabyte Daten werden in kleinen Tranchen, getarnt als legitimer Traffic zu einem Microsoft-Sharepoint-ähnlichen Hostnamen, nach außen geschleust. Die einzige Anomalie, die das Monitoring registriert hätte, wäre der ungewöhnliche Outbound-Volume gewesen – aber das SIEM, das Sven Burkhardt vor drei Jahren eingeführt hatte, war seit einem Versions-Upgrade im Januar nicht mehr korrekt konfiguriert.
Akt drei: Die Detonation. Am Donnerstag, 2. April, 03:11 Uhr, beginnt die Verschlüsselungsphase. SAFEPAY hat sich für diesen Zeitpunkt entschieden, weil zwischen 03:00 und 06:00 Uhr das produktive Schichtgeschäft am leisesten ist, parallele Backup-Jobs aber bereits abgeschlossen sind. Innerhalb von 93 Minuten sind 14 Server, drei NAS-Systeme und die VMware-Volumes auf zwei ESXi-Hosts unbrauchbar. Die Online-Backups auf der Veeam-Appliance sind ebenfalls gelöscht – die Angreifer hatten zuvor das Veeam-Servicekonto übernommen und die Snapshot-Retention auf null gesetzt. Übrig bleibt ein Offline-Tape-Backup, das laut Plan einmal pro Woche im Tresor liegt. Bei der letzten internen Auditpunktprüfung war notiert, dass die Wechselrotation seit Februar wegen Personalmangels „temporär ausgesetzt" sei.
Akt vier: Die Verhandlung. Hartmann zieht seine Cyber-Versicherung hinzu, die zwei Anbieter zur Verhandlungsunterstützung vermittelt. Lösegeldforderung: 1,8 Millionen Dollar, zahlbar binnen 96 Stunden, danach Verdoppelung und Veröffentlichung der exfiltrierten Daten. Hartmann entscheidet sich, nicht zu zahlen. Diese Entscheidung kostet das Unternehmen zusätzliche 11 Tage Stillstand, weil die Wiederherstellung aus dem zwölf Tage alten Tape gegen produktive Aufträge gegengerechnet werden muss. Aber sie ist richtig: Erstens, weil sich Hartmann damit nicht zur Wiederholungsmarke macht. Zweitens, weil ein Teil der exfiltrierten Daten ohnehin nach 96 Stunden auf der Leak-Site landet und das Risiko einer DSGVO-Meldung an die Aufsichtsbehörde des Landes NRW ohnehin schon besteht. Drittens, weil die Versicherung die Lösegeldzahlung an Bedingungen geknüpft hätte, die ohnehin nicht erfüllbar gewesen wären.
Der Gesamtschaden, neunzig Tage nach der Detonation: 4,7 Millionen Euro Direktschaden, davon 1,1 Millionen für externe Forensik und Incident-Response, 1,4 Millionen für Lohnausfall und Vertragsstrafen, 800.000 Euro für die Neuanschaffung von Hardware und Software, 700.000 Euro für die Aufarbeitung der DSGVO-Meldung und die anschließende Datenschutz-Folgenabschätzung, 700.000 Euro für externe Beratung beim Wiederaufbau der gesamten Sicherheitsarchitektur. Drei Großkunden überdenken ihre Lieferantenbeziehung. Die Cyber-Versicherung kündigt zum nächsten Vertragsjahr; eine Anschlussversicherung lässt sich nur zu vierfacher Prämie und drastisch reduzierter Deckung abschließen.
Was an dieser Geschichte typisch ist – und was wirklich verhindert hätte
Drei strukturelle Fehler haben den Vorfall überhaupt möglich gemacht. Erstens war Multi-Faktor-Authentifizierung im internen Netz nicht flächendeckend ausgerollt. Privilegierte Servicekonten konnten mit einem schlichten Passwort übernommen werden – eine Konstellation, die ENISA bereits in Q1 2026 als „praktisch immer angemessen zu schützen" eingestuft hat. Zweitens war die Backup-Strategie zwar formal sauber dokumentiert, aber die operative Disziplin der Tape-Rotation war über Monate gebrochen, ohne dass dies als Risiko an die Geschäftsführung eskaliert wurde. Drittens war die Netzwerksegmentierung de facto nicht vorhanden: Vom Office-Client bis zum ESXi-Management-Interface war alles in einem flachen Layer-2-Konstrukt erreichbar. Eine Mikrosegmentierung mit konsequenter Trennung von Produktiv-, Backup- und Management-Netzen hätte den lateralen Schritt der Angreifer mindestens auf Tage statt Stunden gedehnt – und genau diese Tage hätten dem SOC die Chance gegeben, den Vorfall zu erkennen.
Was hätte Hartmann konkret tun können, ohne sein gesamtes IT-Budget zu verdoppeln? Vier Dinge.
Erstens: Eine konsequente Identitätsarchitektur. Phishing-resistente Multi-Faktor-Authentifizierung – Passkeys, FIDO2-Token, Smartcards – für alle privilegierten Konten. Servicekonten in eine dedizierte OU mit Just-in-Time-Aktivierung. Tier-0-Konten (Domain Admins) ausschließlich von dedizierten, nicht E-Mail-fähigen Privileged-Access-Workstations aus nutzen. Diese Maßnahmen sind nicht teuer. Sie sind nur unbequem.
Zweitens: Eine ehrliche Backup-Strategie. Das 3-2-1-1-0-Modell ist 2026 das Minimum: drei Kopien, auf zwei verschiedenen Medientypen, eine außer Haus, eine immutable (unveränderbar), null Fehler bei den letzten Restore-Tests. Wer keine Restore-Tests fährt, hat keine Backup-Strategie, sondern ein Backup-Theater. Hartmanns Versicherung hätte den Vorfall regulär gedeckt – wäre dokumentiert gewesen, dass binnen 72 Stunden eine vollständige Restore-Probe bestanden wurde.
Dritter Punkt: Detection statt Prevention-Theater. Die meisten Mittelstandshäuser stecken 80 Prozent ihres Sicherheitsbudgets in präventive Maßnahmen – Firewalls, Antivirus, Schulungen – und 20 Prozent in Detection und Response. Das Verhältnis muss sich umkehren. Endpoint Detection and Response (EDR) mit 24/7-Monitoring durch ein externes Managed-Detection-Team ist heute für ein 250-Personen-Haus für 35.000 bis 60.000 Euro pro Jahr verfügbar. Das ist weniger als ein verlorener Produktionstag.
Viertens: Geübte Incident-Response. Ein Notfallplan, der nicht mindestens zweimal pro Jahr in einer Tabletop-Übung mit Geschäftsführung, IT-Leitung, Rechtsabteilung und Kommunikation durchgespielt wurde, ist keinen Cent wert. Wer im Vorfall zum ersten Mal überlegt, wer die Aufsichtsbehörde meldet und wer die Belegschaft informiert, verliert die ersten zwölf Stunden – und das sind die Stunden, in denen sich entscheidet, wie teuer der Vorfall wird.
NIS2, DORA und die Versicherungsfrage: Warum die Regulierung jetzt biss
Hartmann Präzisionsteile fällt mit 320 Mitarbeitern und 78 Millionen Euro Jahresumsatz unter den Geltungsbereich der NIS2-Richtlinie als „wichtige Einrichtung" im Sektor verarbeitendes Gewerbe. Seit dem 6. März 2026 ist die Registrierungspflicht beim BSI in Kraft, seit Mai läuft die operative Prüfphase. Wir haben in unserem Wissen-Artikel vom 15. Mai im Detail beschrieben, was eine BSI-Prüfung praktisch bedeutet – an dieser Stelle reicht der Hinweis: Hartmann hatte sich nicht registriert. Der Vorfall wird die Aufmerksamkeit der Aufsicht zwangsläufig auf das Versäumnis lenken, und eine Geldbuße bis 100.000 Euro für die fehlende Registrierung wäre die mildeste denkbare Konsequenz. Hinzu kommt die persönliche Haftung der Geschäftsführung nach Artikel 21 NIS2.
Auch die Versicherungslandschaft hat sich in den vergangenen zwölf Monaten dramatisch verändert. Wer 2024 noch eine Cyberpolice mit zwei Millionen Deckung für 18.000 Euro Jahresprämie bekam, sieht 2026 vierstellige Stundensätze für die geforderte Pre-Coverage-Sicherheitsbewertung, harte Mindeststandards (MFA, EDR, getestete Backups), Sublimits für Lösegeldzahlungen und Rückversicherer, die ganze Branchensegmente nicht mehr akzeptieren. Eine Versicherung ist kein Ersatz für eine Sicherheitsarchitektur. Sie ist die Bestätigung, dass eine vorhanden ist. Mehr zur Verbindung von Cybersicherheit und Compliance erläutern wir auf unserer Seite zur Compliance-Software.
Was Geschäftsführer in den nächsten 90 Tagen entscheiden müssen
Wer die Hartmann-Geschichte als „bedauerlichen Einzelfall" liest, hat sie nicht verstanden. SAFEPAY und Qilin behandeln den deutschen Mittelstand 2026 als skalierbares Geschäftsmodell. Wer nicht aktiv in seine Resilienz investiert, ist nicht „wahrscheinlich sicher" – er ist „statistisch dran". Daraus folgt eine Handvoll Entscheidungen, die in den nächsten 90 Tagen jede Geschäftsführung treffen sollte.
Lassen Sie eine externe Bewertung Ihrer aktuellen Sicherheitsarchitektur durchführen. Nicht durch Ihren bisherigen IT-Dienstleister, sondern durch einen neutralen Dritten. Die Frage lautet nicht „Sind wir sicher?", sondern „Wie schnell würden wir einen SAFEPAY-Einbruch erkennen, wie schnell könnten wir ihn eindämmen, und wie schnell wären wir wieder produktiv?". Wenn die Antworten in Tagen statt in Stunden gegeben werden, haben Sie ein Problem.
Klären Sie verbindlich, ob Ihr Unternehmen unter NIS2 fällt. Der Cyber Security Report 2026 hat dokumentiert, dass 48 Prozent der befragten Unternehmen sich fälschlich aus dem Geltungsbereich herausrechnen. In hochrentierlichen kleinen Unternehmen liegt diese Quote sogar bei 92 Prozent. Diese Selbsteinschätzung ist im Schadensfall keine Verteidigung.
Beziffern Sie Ihren erwarteten Ausfallschaden bei einem dreitägigen Komplettstillstand der zentralen IT-Systeme. Wenn diese Zahl Sie nicht erschreckt, haben Sie zu kurz gerechnet. Wenn sie Sie erschreckt, vergleichen Sie sie mit dem jährlichen Sicherheitsbudget. Die meisten Mittelstandshäuser stellen fest, dass sie weniger als ein Prozent dessen ausgeben, was ein einziger Vorfall kostet.
Etablieren Sie ein Reporting-Rhythmus an die Geschäftsführung, der Sicherheitsthemen mindestens quartalsweise behandelt. Nicht „läuft alles", sondern konkret: Welche kritischen Patches sind offen? Wie viele Restore-Tests sind in den letzten drei Monaten erfolgreich verlaufen? Wie viele Phishing-Tests, mit welcher Klickquote? Welche kritischen Lieferantenrisiken sind seit dem letzten Bericht hinzugekommen?
Ausblick: Was die nächsten zwölf Monate bringen werden
Drei Entwicklungen werden den Ransomware-Markt 2026 weiter prägen. Erstens die Konsolidierung: Nach den Strafverfolgungserfolgen gegen LockBit und ALPHV/BlackCat ist 2025 ein Vakuum entstanden, in das SAFEPAY und Qilin mit kompromissloser Aggression hineingestoßen sind. Diese Konsolidierung wird sich 2026 fortsetzen, mit der Gefahr, dass zwei oder drei dominante Gruppen praktisch Marktmacht haben. Zweitens die KI-Beschleunigung: Wir haben bereits dokumentiert, dass 86 Prozent der Phishing-Mails KI-generiert sind und dass im Mai 2026 erstmals ein KI-System einen Zero-Day entdeckt und exploitiert hat. Es ist nur eine Frage der Zeit, bis diese Werkzeuge in die Hände von Ransomware-Affiliates wandern. Drittens die regulatorische Verschärfung: NIS2 ist nur der erste Schritt; der Cyber Resilience Act und DORA setzen die Latte weiter nach oben. Wer 2026 nicht in seine Resilienz investiert, wird 2027 entweder unter regulatorischem Druck oder unter realem Schaden bezahlen – wahrscheinlich beides.
Hartmann Präzisionsteile gibt es nicht. Aber es gibt sechs Hartmanns, die wir in den letzten zwölf Monaten in unseren Mandaten gesehen haben, mit jeweils leicht abweichenden Details und derselben Lehrgeschichte. Wer den nächsten machen will, kann sich auf den Zufall verlassen. Wer es ernst meint, fängt nicht morgen an, sondern heute.
Wir bei pleXtec begleiten mittelständische Unternehmen bei der Härtung ihrer Sicherheitsarchitektur, beim Aufbau belastbarer Backup- und Restore-Strategien und bei der Vorbereitung auf NIS2-Audits. Wenn Sie wissen wollen, wie weit Ihr Haus von einer SAFEPAY-Story entfernt ist, schreiben Sie uns über das Kontaktformular. Eine vertrauliche Erstbewertung dauert in der Regel zwei Tage. Mehr zu unserem Leistungsspektrum finden Sie unter Leistungen und unter Softwareentwicklung, weil eine resiliente Architektur immer beide Seiten – Infrastruktur und Anwendungen – betrachtet.
Die nächste Mail aus dem fingierten Posteingang eines Lieferanten landet in Ihrem Hause vielleicht schon nächste Woche. Die Frage ist nicht, ob Ihre Sachbearbeitung klickt. Die Frage ist, was passiert, nachdem sie geklickt hat.