Eine bislang unbekannte Ransomware-Gruppe namens UnSafe hat die Deutsche Bank auf ihrer Leak-Seite gelistet und Datenbank-Auszüge als Beleg veröffentlicht. Die Bank bestätigt bislang nichts. Warum die Behauptung dennoch eine Warnung für jedes Unternehmen ist, das mit Kundendaten arbeitet.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Am 4. Juli 2026 ist die Deutsche Bank auf der Erpressungsseite einer bis dahin kaum bekannten Gruppe aufgetaucht. UnSafe behauptet, interne Systeme kompromittiert zu haben, und hat als Beweis E-Mail-Adressen, Passwort-Hashes und Datenbankexporte vorgelegt.[1] Ob der Angriff echt ist, lässt sich von außen nicht bestätigen, und genau darin liegt der eigentliche Lerneffekt.

Das Wichtigste in Kürze

  • UnSafe hat die Deutsche Bank am 4. Juli 2026 gelistet und Datenproben als angeblichen Beleg veröffentlicht.
  • Die Gruppe ist neu und beansprucht bislang nur zwei Opfer, die Beweislage bleibt dünn.
  • Das Geschäftsmodell ist doppelte Erpressung: verschlüsseln und zusätzlich mit Veröffentlichung drohen.
  • Für Finanzhäuser tickt die Meldeuhr: DORA verlangt eine Erstmeldung an die BaFin binnen vier Stunden.

Was genau behauptet die Gruppe UnSafe?

Grauer Tresor mit Anhänger „unbestätigt“, Like-Sticker und Papierknäuel vor weißem Grund
Cyberkriminelle präsentieren gestohlene Daten der Deutschen Bank im Darknet, darunter Mitarbeiterdaten und Passwort-Hashes, und drohen mit Veröffentlichung

Auf ihrer Darknet-Seite hat UnSafe Terminal-Ausgaben und Exporte präsentiert, die aus mehreren Datenbanken der Deutschen Bank stammen sollen. Zu den Proben gehören Mitarbeiter-Anschriften, physische Adressen und Passwort-Hashes.

Dahinter steht das Modell der doppelten Erpressung. Die Angreifer verschlüsseln nicht nur Daten, sondern kopieren sie vorher und drohen mit der Veröffentlichung, falls das Opfer nicht zahlt. Der öffentliche Eintrag auf der Leak-Seite ist dabei selbst schon das Druckmittel, lange bevor ein einziger Beleg unabhängig geprüft ist.

Die Listung erzeugt Aufmerksamkeit und baut Verhandlungsdruck auf, indem der Name des Opfers zum Faustpfand wird. Mit Blick auf diese Absicht liest sich der Fall gelassener, wie es auch die Cybersecurity-Grundlagen nahelegen. Ähnlich lief der Erpressungsdruck gegen über hundert Open-Source-Firmen.

Warum ist bei solchen Behauptungen Vorsicht geboten?

UnSafe ist erst im Juli 2026 öffentlich aufgetaucht und beansprucht bislang nur zwei Opfer. Neue Banden neigen dazu, ihre erste große Marke zu überhöhen, weil ein prominenter Name Reichweite und Verhandlungsmacht verschafft.

Das Muster ist aus dem Finanzsektor bekannt. Die Bande Everest hat 2025 rund 250.000 Datensätze der Frost Bank und 3,4 Millionen Einträge von Citizens reklamiert, beide Zahlen ließen sich nie unabhängig prüfen. Die Gruppe ShinyHunters hat bei einer Drohung gegen Ameriprise schlicht Daten aus einem früheren Einbruch recycelt.

Eine Listung ist also noch kein Beweis für einen erfolgreichen Angriff. Erst die Analyse der Proben zeigt, ob frische, echte Daten vorliegen oder aufgewärmtes Material aus alten Lecks. Dass reale Angriffe längst Alltag sind, belegt die CISO-Studie zu betroffenen Konzernen. Umso wichtiger ist es, jede einzelne Behauptung sauber zu prüfen, statt sie sofort zu glauben.

Der Fall UnSafe gegen die Deutsche Bank

Eine junge Ransomware-Gruppe listet einen prominenten Namen. Was gesichert ist und welche Fristen für Betroffene sofort laufen.

4. Juli
Listung der Deutschen Bank auf der Leak-Seite, mit Datenproben als angeblichem Beleg.
2
beanspruchte Opfer der erst im Juli 2026 aufgetauchten Gruppe. Die Beweislage bleibt dünn.
Doppelt
Erpressung als Modell: Daten verschlüsseln und zusätzlich mit Veröffentlichung drohen.
Drei Meldeuhren laufen bei einem bestätigten Vorfall parallel
4 Std.
DORA an die BaFin
Erstmeldung eines schwerwiegenden IKT-Vorfalls, spätestens 24 Stunden nach Bekanntwerden.
24 Std.
NIS2 an das BSI
Frühwarnung, sofern DORA als speziellere Regel für Finanzhäuser nicht vorgeht.
72 Std.
DSGVO an die Aufsicht
Meldung, sobald personenbezogene Daten betroffen sind, unabhängig von der Branche.

Eine Nennung auf einer Leak-Seite ist eine Behauptung, kein Sachstand. Unternehmen sollten die Meldeuhr trotzdem sofort starten und nicht warten, bis die Erpresser ihren Beweis nachliefern.

— Markus Seyfferth, Chefredakteur Dr. Web

Was bedeutet der Fall für deutsche Unternehmen?

Für Banken tickt bei einem bestätigten Vorfall eine sehr kurze Uhr. Seit dem 17. Januar 2025 gilt der Digital Operational Resilience Act, kurz DORA: Finanzunternehmen müssen einen schwerwiegenden IKT-Vorfall der BaFin binnen vier Stunden erstmelden, spätestens 24 Stunden nach Bekanntwerden.

Parallel greift die NIS2-Logik mit einer 24-Stunden-Frist an das BSI, für Finanzhäuser gilt DORA als speziellere Regel vor. Sind personenbezogene Daten betroffen, kommt zusätzlich die DSGVO-Frist von 72 Stunden hinzu. Drei Uhren, die gleichzeitig laufen.

Für alle anderen Unternehmen bleibt die Lehre praktisch. Prüfen Sie, ob Ihre Passwörter als moderne Hashes und nicht im Klartext liegen. Halten Sie einen getesteten Notfallplan bereit, der auch die Meldefristen abdeckt. Und behandeln Sie Backups als letzte Verteidigungslinie, nicht als Nebensache.

Bestätigt oder nicht, der Fall Deutsche Bank zeigt die Richtung. Nehmen Sie jede Leak-Listung ernst, aber nicht für bare Münze: Verifizieren Sie die Proben, informieren Sie die Aufsicht fristgerecht und kommunizieren Sie erst, wenn die Faktenlage steht. Wie hoch der Einsatz ist, macht der Schaden durch Cybercrime deutlich.

Quelle

[1] Cybernews: „Ransomware-Bande behauptet, interne Daten der Deutschen Bank gestohlen zu haben“

Mehr Newshunger?

4,5 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?