Internet-Erpresser melden Angriff auf HanseMerkur Versicherungsgruppe

Das Versicherungsunternehmen HanseMerkur wurde Berichten zufolge Opfer eines Ransomware-Angriffs durch die russlandnahe Dragonforce-Bande.

Die Dragonforce-Ransomware-Bande behauptet im Darknet, die deutsche Versicherungsgesellschaft HanseMerkur erfolgreich gehackt und Informationen entwendet zu haben. Dabei sollen fast 97 GB interne Unternehmensdaten abgeflossen sein.

Solche Behauptungen sind eine gängige Taktik in Veröffentlichungen von Ransomware-Banden. Ziel ist, die Opfer zur Zahlung eines Lösegeldes zu bewegen.

Ransomware-Forderungen richten sich oft nach dem Jahresumsatz der betroffenen Unternehmen und liegen typischerweise zwischen 0,7 % und 5 %, im Durchschnitt bei etwa 2,82 %.

Dateien, die zusammen mit dem Dragonforce-Beitrag veröffentlicht wurden, deuten darauf hin, dass der Datendiebstahl möglicherweise den HanseMerkur-Partner Emirates Insurance betrifft. HanseMerkur unterstützt das Partnerunternehmen mit seinen Portfolios in den Vereinigten Arabischen Emiraten.

In einer Stichprobe der Dateien befinden sich mehrere Finanzdokumente, darunter Belege, Steuerbescheide und Rechnungen.

Das Unternehmen hat den Angriff bisher nicht bestätigt. Die HanseMerkur mit Sitz in Hamburg ist eine mittelgroße deutsche Versicherungsgruppe, spezialisiert auf private Kranken-, Reise- und Sachversicherungen. Das Unternehmen hat Niederlassungen in der Schweiz und in Dubai. Im Jahr 2025 verzeichnete das Unternehmen einen Umsatz von rund 3 Milliarden Euro.

Cybernews hat HanseMerkur um eine Stellungnahme zu dem mutmaßlichen Angriff gebeten, jedoch vor Redaktionsschluss keine Antwort erhalten.

Angreifer mit Kreml-Agenda verbunden

Die Bande hat zuvor die britische Einzelhandelskette Co-op ins Visier genommen. Außerdem hat die Bande Kundendaten von einem weiteren britischen Einzelhändler, Marks & Spencer, gestohlen. Das Unternehmen verwies seinerzeit auf die „hochentwickelte Natur“ des Vorgehens.

Dieselben Angreifer behaupteten, einen Einbruch bei der beliebten US-amerikanischen Kaufhauskette Belk verübt zu haben. Sie gaben an, über 156 Gigabyte an Unternehmensdaten erbeutet zu haben, von Backups bis hin zu Mitarbeiterprofilen.

Mobilelink US, der größte autorisierte Händler für Cricket Wireless Mobiltelefone und Dienste in den USA, war Ende 2025 von einem mutmaßlichen Datendiebstahl von 5 TB betroffen.

Laut Forschern von Halcyon deutet die öffentliche Haltung von Dragonforce stark auf „eine enge Verbindung – oder sogar Treue – zur Russischen Föderation“ hin.

Im vergangenen Jahr sagten Forscher von Group-IB, dass Dragonforce spezifische Regeln durchsetzt, die Angriffe auf Krankenhäuser, kritische Infrastruktur und gemeinnützige Organisationen in Russland und anderen Ländern der von Moskau geführten Gemeinschaft Unabhängiger Staaten verbieten.

Erstmals 2023 entdeckt, kündigte die Dragonforce-Bande im Oktober letzten Jahres eine neue Zusammenarbeit als Ransomware-as-a-Service (RaaS)-Dienstleister mit zwei der prominentesten Akteure der Ransomware-Szene an: Qilin und Lockbit.

Das Cybernews-Darknet-Überwachungstool Ransomlooker zeigt, dass Dragonforce im Jahr 2025 185 Organisationen angegriffen hat, wobei 130 dieser Angriffe in den letzten sechs Monaten stattfanden.

---

Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.