Was der Black-Kite-Bericht ergab

Am 25. Juni 2026 veröffentlichte die Sicherheitsbewertungs-Firma Black Kite ihren ersten Europa-Bericht, den European Cyber Risk Report 2026. Er untersuchte 2.066 Ransomware-Vorfälle in 31 Ländern zwischen Januar 2025 und April 2026 und stellte fest, dass die Vorfälle in den ersten vier Monaten 2026 um 55,1% gegenüber dem Vorjahr stiegen, im Schnitt 171 pro Monat.

Fast 70% der Aktivität konzentrierten sich auf nur fünf Länder. Deutschland führte mit 370 Vorfällen (17,9%) an, gefolgt vom Vereinigten Königreich mit 347 (16,8%), Frankreich mit 255 (12,3%), Italien mit 240 (11,6%) und Spanien mit 203 (9,8%). Für jeden deutschen Unternehmer ist die Botschaft eindeutig: Das Land steht an der Spitze der europäischen Ransomware-Kurve, wie auch unabhängige Berichterstattung bestätigte.

Der Lieferant ist die Tür

In den 31 Ländern wurden 64 Organisationen nicht über ihre eigenen Systeme kompromittiert, sondern über einen Dritten. Und 53% dieser Drittpartei-Kompromittierungen gingen auf ein einziges Ereignis zurück: den Miljodata-Vorfall vom August 2025. Der schwedische HR- und Software-Anbieter traf mit seinem Versagen rund 250 Kunden, darunter etwa 200 Kommunen, und legte Daten von über einer Million Menschen offen.

Das Branchenmuster sagt dasselbe. Die Fertigung war mit 27,9% der offengelegten Vorfälle am stärksten betroffen, doch professionelle, wissenschaftliche und technische Dienste kamen mit 17,8% auf Platz zwei, angeführt von IT-Dienstleistern, weil die Kompromittierung eines Anbieters viele nachgelagerte Kunden auf einmal erreicht. Wie Dr. Ferhat Dikbiyik von Black Kite es formulierte, werden Lieferketten neben beschleunigter Ransomware und strengerer Regulierung zum primären Angriffsweg.

Der Unternehmer-Zug unter NIS2 und DORA

Hier ist der Teil, den keine Schlagzeile ausspricht. Wenn ein einziger Lieferanten-Vorfall mehr als die Hälfte der Drittpartei-Opfer eines Kontinents verursacht, ist das Risiko, das ein Vorstand am meisten fürchten sollte, nicht die eigene Abwehr, sondern die der Lieferanten. Unter NIS2 kann ein qualifizierender Vorfall eine Meldepflicht binnen 24 Stunden auslösen, und DORA verlangt von Finanzunternehmen, das ICT-Risiko Dritter direkt zu steuern. Die Haftung für das Versagen eines Lieferanten trifft jetzt Sie.

Lieferantenkonzentration ist das ungepreiste Bilanzrisiko des Jahres 2026. Die meisten Unternehmer können ihren größten Kunden nennen, aber nicht ihren gefährlichsten Lieferanten. Der Zug besteht darin, jeden Anbieter zu kartieren, der Ihre Daten oder Ihren Betrieb berührt, sie danach zu ordnen, wie viele Ihrer Funktionen bei ihrem Ausfall zusammenbrechen, und dieses Risiko einzupreisen, bevor es der Regulierer oder der Angreifer für Sie tut.