HanseMerkur: DragonForce-Ransomware leakt 97 GB

Die Ransomware-Gruppe DragonForce hat HanseMerkur auf ihrer Leak-Site geführt. In ihrem Eintrag behaupten die Akteure, knapp 97 GB an internen Daten erbeutet zu haben – darunter Rechnungen, Steuerunterlagen und Belege sowie offenbar Material, das auf eine Verbindung zum Partner Emirates Insurance hinweist. HanseMerkur hat den Vorfall bislang nicht öffentlich bestätigt und keine Aussage zu betrieblichen Auswirkungen gemacht.

WICHTIG: Was wir wissen – und was nicht

Der Eintrag auf der DragonForce-Leak-Site ist die einzige bislang bestätigte Quelle. Die Gruppe ist seit Monaten aktiv, hat 2026 mehrfach Versicherer und Finanzdienstleister angegriffen und folgt dem üblichen Double-Extortion-Schema: erst verschlüsseln, dann veröffentlichen, falls keine Zahlung erfolgt. Sample-Daten sollen auf der Leak-Site liegen; HanseMerkur hat dazu kein offizielles Statement abgegeben.

SCHOCK: Warum Versicherer ein Lieblingsziel sind

Versicherer halten eine extrem dichte Kombination an Daten: Personalien, Bankverbindungen, Gesundheitshistorie, Risikoprofile, Schadenshistorie. Genau deshalb sind sie für Erpresser so wertvoll – und genau deshalb sind die Folgen für Betroffene so unangenehm. Die letzte große Leak-Welle bei US-Versicherern (Kemper, Brightspeed) hat gezeigt, wie schnell Salesforce-, CRM- und Backoffice-Daten in Phishing-Kampagnen gegen Endkunden landen.

Was HanseMerkur-Kunden JETZT tun sollten

Bis offizielle Klarheit herrscht, gilt: defensiv handeln. Das bedeutet konkret: in deinem HanseMerkur-Online-Account das Passwort wechseln, MFA scharfschalten, falls noch nicht aktiv. Achte auf E-Mails, die angeblich von HanseMerkur kommen und nach Logindaten oder Bankdaten fragen – das wird das wahrscheinlichste Folge-Angriffsmuster. Gib im Zweifel nichts über Links aus E-Mails ein, sondern logge dich immer manuell über die offizielle URL ein.

EXTRA-TIPP: Bestätigung der Auflistung im Auge behalten

Leak-Sites sind nicht zuverlässig – Gruppen blähen ihre „Beute“ gerne auf. Erst wenn echte Sample-Files öffentlich auftauchen oder HanseMerkur den Vorfall bestätigt, lässt sich das Schadensbild abschätzen. In der Zwischenzeit lohnt es, die Pressemitteilungen unter „hansemerkur.de/presse“ und das BSI-Lagebild zu beobachten.

FAZIT: Deutsche Versicherer im Visier

Nach mehreren US-Vorfällen 2026 ist HanseMerkur nun einer der ersten großen deutschen Versicherer auf einer prominenten Leak-Site. Das Muster passt: DragonForce schießt seit Monaten auf Mittel- und Großunternehmen, die nicht im Tech-Sektor liegen, weil dort die Patch-Disziplin oft langsamer ist. Für Kunden gilt: ruhig bleiben, defensiv loggen, Phishing erwarten – und bei der nächsten Versicherungs-E-Mail dreimal hinschauen.

Quellen

Häufige Fragen

Sind meine Vertragsdaten als HanseMerkur-Kunde jetzt im Netz?

Bestätigt ist nur, dass DragonForce HanseMerkur auf seiner Leak-Site listet und 97 GB behauptet. Was davon wirklich erbeutet wurde und wer namentlich darin steht, ist offen. HanseMerkur hat sich bisher nicht öffentlich geäußert.

Was bedeutet „Double Extortion“?

Erpresser verschlüsseln Systeme und stehlen vorher Daten. Selbst wenn das Opfer Backups hat und die Verschlüsselung umgeht, droht die Veröffentlichung. Genau dieses Modell fährt DragonForce.

Soll ich meinen Vertrag kündigen?

Eine Vertragskündigung schützt nicht vor bereits exfiltrierten Daten – die wären, wenn die Behauptung stimmt, ohnehin schon unterwegs. Wichtiger ist eine saubere Phishing-Hygiene und ein Passwort-/MFA-Reset im Online-Konto.

Muss HanseMerkur das nach DSGVO melden?

Sobald die Datenpanne bestätigt und die Betroffenheit geprüft ist: ja, an die zuständige Aufsicht (in Hamburg) und – bei hohem Risiko – auch an die Betroffenen. Die 72-Stunden-Frist läuft ab Kenntnis des Vorfalls.

RANSOMWARE-HAMMER bei HanseMerkur! DragonForce klauen 97 GB INTERNE Daten – DAS macht den Versicherer JETZT angreifbar!