Montag, 7:14 Uhr: Der Anruf, der alles verändert

Stellen Sie sich vor: Es ist Montagmorgen, Sie kommen ins Büro, öffnen Ihren Laptop – und nichts funktioniert. Das Warenwirtschaftssystem zeigt eine Fehlermeldung, die Webshop-Anbindung ist tot, Kundendaten unerreichbar. Sie rufen Ihren IT-Dienstleister an. Einmal. Zweimal. Fünfmal. Keine Antwort. Dann, Stunden später, eine knappe E-Mail: „Wir wurden Opfer eines Cyberangriffs. Alle Systeme sind betroffen. Wir arbeiten an einer Lösung."

Was wie ein Worst-Case-Szenario aus einem Cybersecurity-Lehrbuch klingt, ist seit dem 23. März 2026 bittere Realität für 30 deutsche Onlinehändler. Ihr JTL-Hosting-Provider, die mide-online GmbH aus Mainz, wurde durch einen Ransomware-Angriff vollständig lahmgelegt. Der Erpresser fordert 30.000 Euro Lösegeld. Der Geschäftsführer hat die Zahlung abgelehnt. Und das Unternehmen? Wird abgewickelt. 30 Händler stehen vor dem Nichts – ohne Warenwirtschaftsdaten, ohne Bestellhistorie, ohne die Grundlage ihres täglichen Geschäfts.

Dieser Vorfall ist nicht nur eine tragische Einzelgeschichte. Er offenbart ein strukturelles Risiko, das in der deutschen Unternehmenslandschaft systematisch unterschätzt wird: die Abhängigkeit von IT-Dienstleistern ohne ausreichende Absicherung.

Was genau ist passiert? Die technische Rekonstruktion

Die mide-online GmbH war ein zertifizierter JTL-Servicepartner und bot Hosting-Dienste für die verbreitete JTL-Wawi-Warenwirtschaftssoftware an. Dutzende kleine und mittelständische Onlinehändler hatten ihre gesamte Warenwirtschaft – Artikeldaten, Bestellungen, Kundenstämme, Rechnungen – auf den Servern von mide-online betrieben.

Am 23. März 2026 verschlüsselte eine Ransomware-Gruppe sämtliche Server des Unternehmens. Nicht nur die Produktivsysteme waren betroffen – auch die Backups. Ein Szenario, das auf schwerwiegende Defizite in der Backup-Strategie hindeutet: Fehlende Offline-Backups, unzureichende Netzwerksegmentierung zwischen Produktiv- und Backup-Systemen und wahrscheinlich keine regelmäßig getesteten Wiederherstellungsprozesse.

Besonders brisant: Ein unabhängiger Sicherheitsexperte hatte bereits 2023 – also drei Jahre zuvor – bei einer Stichprobe mehrerer JTL-Hoster erhebliche Sicherheitslücken aufgedeckt. Darunter schlecht gesicherte Datenbanken, fehlende Netzwerksegmentierung und veraltete Softwareversionen. Die Warnsignale waren also da. Sie wurden offenbar ignoriert.

Die User Story: Familie Bergmann und ihr Onlineshop

Um die Tragweite dieses Vorfalls greifbar zu machen, betrachten wir ein fiktives, aber realistisches Szenario – angelehnt an die tatsächlichen Berichte betroffener Händler.

Claudia und Thomas Bergmann betreiben seit 2018 einen spezialisierten Onlineshop für Outdoor-Ausrüstung. Was als Nebenprojekt begann, ist heute ihr Haupterwerb – 380.000 Euro Jahresumsatz, ein kleines Team von drei Mitarbeitenden, rund 4.200 aktive Artikel im Sortiment. Die gesamte Warenwirtschaft lief über JTL-Wawi, gehostet bei mide-online. 85 Euro im Monat für das Komplettpaket – Hosting, Updates, Basisbetreuung. Ein Preis, der gut in das Budget eines kleinen Unternehmens passte.

Am Montagmorgen des 24. März öffnet Thomas wie gewohnt seinen JTL-Client. Verbindungsfehler. Er versucht es erneut, prüft die Internetverbindung, startet den Rechner neu. Nichts. Ein Blick auf die mide-online-Website zeigt: auch diese ist offline. Erst gegen Mittag erreicht ihn eine E-Mail: Ransomware-Angriff, alle Systeme verschlüsselt, Zeitplan für Wiederherstellung unklar.

In den folgenden Tagen wird klar: Es gibt keine Wiederherstellung. Die Backups sind ebenfalls verschlüsselt. Der Artikelstamm von Thomas mit individuellen Beschreibungen, die er über Jahre gepflegt hat – weg. Die Bestellhistorie der letzten drei Jahre – weg. Die offenen Aufträge, die Rechnungsdaten, die Kundenadressen für Reklamationen – alles weg. Der Shop bei Amazon und eBay läuft zwar noch, aber ohne Warenwirtschaft kann er keine Bestellungen abwickeln, keinen Lagerbestand pflegen, keine Rechnungen erstellen.

Claudia fragt: „Hatten wir nicht eigene Backups?" Die ehrliche Antwort: Nein. Das Hosting-Paket beinhaltete ja Backups – das hatte man zumindest angenommen. Einen separaten Datenexport hatten sie nie eingerichtet. Warum auch? Dafür zahlt man doch den Dienstleister.

Das strukturelle Problem: Warum Dienstleister-Abhängigkeit ein Blindspot ist

Der Fall mide-online ist kein isoliertes Pechvogel-Szenario. Er offenbart ein System von Fehlannahmen, die in der mittelständischen IT-Praxis weit verbreitet sind.

Fehlannahme 1: „Der Dienstleister kümmert sich um alles"

Viele kleine Unternehmen behandeln ihren IT-Dienstleister wie eine Vollkaskoversicherung. Die Realität: Ein Hosting-Vertrag ist eine Dienstleistungsvereinbarung, kein Sicherheitsversprechen. In den seltensten Fällen garantieren Standard-Hosting-Verträge die Wiederherstellbarkeit von Daten nach einem Cyberangriff. Die Verantwortung für die eigenen Daten liegt – rechtlich und faktisch – beim Unternehmen selbst.

Fehlannahme 2: „Backups beim Hoster sind ausreichend"

Wenn Produktivsysteme und Backups auf derselben Infrastruktur liegen – oder im selben Netzwerksegment – dann ist ein einziger erfolgreicher Angriff ausreichend, um beides zu vernichten. Professionelles Backup-Management folgt der 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine außerhalb des primären Standorts. Und mindestens eine davon muss offline oder immutable (unveränderbar) sein – also für Ransomware unerreichbar.

Fehlannahme 3: „Zertifizierungen garantieren Sicherheit"

Die mide-online GmbH war zertifizierter JTL-Servicepartner. Diese Zertifizierung bescheinigt technische Kompetenz im Umgang mit der JTL-Software – sie sagt nichts über IT-Sicherheitsstandards, Backup-Konzepte oder Notfallprozeduren aus. Ein JTL-Zertifikat ist kein ISO-27001-Zertifikat. Und selbst letzteres ist keine Garantie – aber zumindest ein Nachweis, dass ein systematischer Ansatz zur Informationssicherheit existiert.

Fehlannahme 4: „30.000 Euro – das zahlen wir doch einfach"

Die geforderte Lösegeldsumme von 30.000 Euro erscheint im Vergleich zum Schaden geradezu gering. Trotzdem hat der Geschäftsführer die Zahlung zu Recht abgelehnt. Die Gründe: Es gibt keine Garantie, dass die Entschlüsselung funktioniert. Laut aktuellen Studien erhalten nur etwa 65 Prozent der zahlenden Unternehmen tatsächlich alle Daten zurück. Zudem signalisiert eine Zahlung Zahlungsbereitschaft – und macht das Unternehmen zum wiederkehrenden Ziel. Nicht zuletzt können Lösegeldzahlungen in einigen Fällen rechtlich problematisch sein, wenn sie an sanktionierte Gruppen fließen.

Die Dimension: Wie verbreitet ist das Risiko?

Der Fall mide-online steht nicht allein. Im deutschen Mittelstand ist die Abhängigkeit von einzelnen IT-Dienstleistern die Norm, nicht die Ausnahme. Besonders betroffen sind Branchen, die auf spezialisierte Branchensoftware setzen: E-Commerce (JTL, Shopware-Hoster), Handwerk (Handwerkersoftware-Cloud-Anbieter), Steuerberatung (DATEV-Rechenzentren) und Gesundheitswesen (Praxisverwaltungssysteme).

Der Darktrace Annual Threat Report 2026 bestätigt diese Einschätzung mit einer beunruhigenden Zahl: Deutsche Unternehmen erleben durchschnittlich 1.223 Cyberangriffe pro Woche. Die Frage ist nicht, ob Ihr Dienstleister irgendwann angegriffen wird – sondern wann. Und: Sind Sie darauf vorbereitet?

Das NIS2-Umsetzungsgesetz, das seit Anfang 2026 gilt, adressiert dieses Problem zumindest teilweise. Es verpflichtet betroffene Unternehmen, die Risiken ihrer Lieferkettenpartner zu bewerten – einschließlich IT-Dienstleister. Doch viele KMU fallen nicht unter NIS2 und haben daher keinen regulatorischen Zwang, ihre Dienstleister-Abhängigkeit zu managen. Umso wichtiger ist das Eigeninteresse.

Praktischer Leitfaden: Dienstleister-Due-Diligence für den Mittelstand

Wie können Unternehmen sich vor einem Szenario wie bei mide-online schützen? Die folgenden Maßnahmen sind nach Priorität geordnet – von „sofort umsetzbar" bis „strategisch".

Sofortmaßnahme: Eigene Backups einrichten

Unabhängig davon, was Ihr Dienstleister verspricht – richten Sie eigene, vom Dienstleister getrennte Datensicherungen ein. Für JTL-Wawi bedeutet das: regelmäßige SQL-Datenbank-Exports, die automatisiert auf einen eigenen Cloud-Speicher oder eine lokale NAS synchronisiert werden. Testen Sie die Wiederherstellung mindestens vierteljährlich. Ein Backup, das nie getestet wurde, ist kein Backup – es ist eine Hoffnung.

Technisch lässt sich das mit vergleichsweise geringem Aufwand umsetzen. Ein automatisierter SQL-Dump, der nachts per Skript auf einen verschlüsselten S3-Bucket oder ein separates NAS geschrieben wird, kostet wenige Euro im Monat und kann im Ernstfall den Unterschied zwischen „Betrieb geht weiter" und „Insolvenz" ausmachen.

Kurzfristig: Dienstleistervertrag prüfen und nachverhandeln

Nehmen Sie Ihren aktuellen Hosting- oder Managed-Services-Vertrag zur Hand und prüfen Sie folgende Punkte:

Backup-SLA: Wie oft werden Backups erstellt? Wo werden sie gespeichert? Sind sie vom Produktivsystem getrennt? Gibt es Immutable Backups? Wie lange wird gesichert (Retention)? Wie schnell kann wiederhergestellt werden (RTO)? Wie aktuell sind die Daten im Backup (RPO)?

Sicherheitsstandards: Verfügt der Dienstleister über eine ISO-27001-Zertifizierung oder eine vergleichbare Zertifizierung? Werden regelmäßig Penetrationstests durchgeführt? Gibt es ein dokumentiertes Notfallkonzept?

Haftung und Versicherung: Haftet der Dienstleister für Datenverlust? Gibt es eine Cyber-Versicherung? Sind die Haftungsgrenzen realistisch im Verhältnis zu Ihrem potenziellen Schaden?

Exit-Strategie: Können Sie Ihre Daten jederzeit exportieren? In welchem Format? Wie lange dauert eine Migration zu einem anderen Anbieter?

Mittelfristig: Risikobewertung der Dienstleisterlandschaft

Erstellen Sie eine vollständige Übersicht aller IT-Dienstleister, von denen Ihr Geschäftsbetrieb abhängt. Für jeden Dienstleister bewerten Sie: Wie kritisch ist dieser Dienst für den Geschäftsbetrieb? Was passiert, wenn dieser Dienstleister morgen ausfällt? Wie lange können wir ohne diesen Dienst operieren? Gibt es Alternativen, und wie schnell könnten wir wechseln?

Diese Bewertung muss keine aufwändige formale Risikoanalyse sein. Eine einfache Tabelle mit den Spalten „Dienstleister", „Dienst", „Kritikalität" (hoch/mittel/niedrig), „Backup-Strategie" und „Ausweichplan" reicht für den Anfang. Entscheidend ist, dass Sie diese Bewertung überhaupt durchführen – die meisten Unternehmen tun es nicht.

Strategisch: Multi-Provider-Ansatz und Notfallplanung

Für geschäftskritische Systeme sollten Sie langfristig einen Multi-Provider-Ansatz anstreben. Das bedeutet nicht, dass Sie alles doppelt bezahlen müssen – aber Sie sollten sicherstellen, dass Sie innerhalb eines definierten Zeitraums (idealerweise 48–72 Stunden) auf eine alternative Infrastruktur wechseln können. Für JTL-Wawi könnte das beispielsweise ein vorbereiteter Account bei einem zweiten JTL-Hoster sein, auf den im Ernstfall die eigenen Backups eingespielt werden können.

Integrieren Sie Dienstleister-Ausfälle zudem in Ihren Notfall- und Wiederherstellungsplan. Üben Sie das Szenario „Hosting-Provider fällt komplett aus" mindestens einmal jährlich als Tabletop-Exercise – also als strukturierte Diskussion im Führungsteam, bei der Sie den Ablauf im Ernstfall durchgehen, Entscheidungen simulieren und Schwachstellen im Plan identifizieren.

Der regulatorische Kontext: NIS2 und die Lieferkette

Die NIS2-Richtlinie, die seit Anfang 2026 als NIS2-Umsetzungsgesetz in Deutschland gilt, bringt das Thema Dienstleister-Risiko erstmals in einen verbindlichen regulatorischen Rahmen. Betroffene Unternehmen – und das sind mittlerweile rund 30.000 Organisationen in Deutschland – müssen die Cybersicherheitsrisiken ihrer Lieferanten und Dienstleister systematisch bewerten und managen.

Konkret bedeutet das: Wenn Sie unter NIS2 fallen und einen Hosting-Provider nutzen, der keine angemessenen Sicherheitsmaßnahmen nachweisen kann, tragen Sie als Auftraggeber die Verantwortung – und im Ernstfall die Konsequenzen. Die persönliche Haftung der Geschäftsführung, die NIS2 einführt, verschärft diese Verantwortung erheblich. Geschäftsführer, die nachweislich keine angemessene Dienstleister-Due-Diligence durchgeführt haben, haften im Schadensfall persönlich.

Doch auch Unternehmen, die nicht unter NIS2 fallen, sollten die zugrundeliegende Logik ernst nehmen: Ihr IT-Dienstleister ist ein Glied in Ihrer Sicherheitskette. Und eine Kette ist bekanntlich nur so stark wie ihr schwächstes Glied.

Lehren aus dem Fall mide-online: Eine Checkliste

Fassen wir die konkreten Lehren zusammen, die jedes mittelständische Unternehmen aus diesem Vorfall ziehen sollte:

Datenhoheit sicherstellen: Betreiben Sie eigene, vom Dienstleister unabhängige Backups aller geschäftskritischen Daten. Testen Sie die Wiederherstellung regelmäßig. Stellen Sie sicher, dass mindestens ein Backup offline oder immutable ist.

Dienstleister bewerten: Prüfen Sie Sicherheitszertifizierungen, Backup-Konzepte und Notfallpläne Ihrer IT-Dienstleister. Branchenzertifizierungen allein reichen nicht aus. Fragen Sie explizit nach dem Umgang mit Ransomware-Szenarien.

Vertragliche Absicherung: Vereinbaren Sie klare SLAs für Backup, Wiederherstellung und Verfügbarkeit. Definieren Sie Haftungsregelungen und Eskalationswege. Sichern Sie sich ein jederzeitiges Datenexport-Recht.

Exit-Fähigkeit erhalten: Dokumentieren Sie, wie eine Migration zu einem alternativen Anbieter funktionieren würde. Testen Sie den Datenexport regelmäßig. Vermeiden Sie proprietäre Lock-in-Effekte.

Notfall üben: Integrieren Sie das Szenario „IT-Dienstleister fällt aus" in Ihre Notfallplanung. Definieren Sie Sofortmaßnahmen und Kommunikationswege. Führen Sie mindestens einmal jährlich eine Übung durch.

Was sich ändern muss: Ein Appell an die Branche

Der Fall mide-online wirft auch Fragen an das JTL-Ökosystem und die Branche insgesamt auf. Wenn ein Sicherheitsexperte bereits 2023 erhebliche Mängel bei JTL-Hostern dokumentiert hat – warum folgten keine Konsequenzen? Warum prüft eine Zertifizierung als „JTL-Servicepartner" keine IT-Sicherheitsstandards?

Die Antwort liegt in einem Markt, der Funktionalität und Preis über Sicherheit stellt. 85 Euro im Monat für ein JTL-Hosting-Komplettpaket – das ist ein Preis, bei dem kein Anbieter ernsthafte Sicherheitsmaßnahmen finanzieren kann. Redundante Backup-Infrastruktur, regelmäßige Penetrationstests, ein getestetes Notfallkonzept – das kostet Geld, das bei Kampfpreisen schlicht nicht vorhanden ist.

Für Unternehmen bedeutet das: Wenn ein Hosting-Angebot zu günstig erscheint, um wahr zu sein, dann ist es das wahrscheinlich auch. Der Preis für echte Sicherheit ist höher als der Preis für ein Versprechen, das im Ernstfall nicht eingelöst wird. Die 30 betroffenen Händler bezahlen diese Lektion jetzt mit ihrem Geschäft.

Ausblick: Die unterschätzte Achillesferse

IT-Dienstleister-Abhängigkeit ist die Achillesferse des deutschen Mittelstands. Nicht weil Outsourcing grundsätzlich falsch wäre – im Gegenteil, spezialisierte Dienstleister können Sicherheit oft besser gewährleisten als interne Teams. Sondern weil die blinde Delegation von Verantwortung ohne Kontrolle ein systemisches Risiko schafft.

Die zunehmende Professionalisierung von Ransomware-Gruppen, die nach Angaben von Darktrace allein in Deutschland zu einem Anstieg der Angriffe um elf Prozent im Februar 2026 geführt hat, macht dieses Risiko nicht kleiner. Im Gegenteil: Je mehr Unternehmen ihre IT an wenige spezialisierte Anbieter auslagern, desto attraktiver werden diese Anbieter als Angriffsziele. Ein erfolgreicher Angriff auf einen Hoster trifft nicht ein Unternehmen – er trifft Dutzende.

Die gute Nachricht: Die Schutzmaßnahmen sind weder technisch komplex noch finanziell unerschwinglich. Eigene Backups, eine sorgfältige Dienstleisterbewertung und ein getesteter Notfallplan – das sind Grundlagen, die jedes Unternehmen umsetzen kann und umsetzen sollte. Heute, nicht morgen. Denn wie die Familie Bergmann und 29 andere Händler schmerzlich erfahren haben: Wenn es passiert, ist es zu spät.

Sie möchten Ihre Dienstleister-Landschaft auf Schwachstellen prüfen oder eine Backup-Strategie entwickeln, die auch einem Ransomware-Angriff standhält? Die Experten von pleXtec unterstützen Sie von der Risikoanalyse bis zur Implementierung – pragmatisch, mittelstandsgerecht und mit dem Blick auf das, was wirklich schützt. Nehmen Sie Kontakt auf.