Deutsche Bank prüft Cybervorfall bei Dienstleister – Lieferkettenrisiken rücken erneut in den Fokus

Der Fall zeigt, wie verwundbar Banken bleiben, wenn Cyberrisiken aus der eigenen Infrastruktur in die digitale Lieferkette wandern.

Bild: Getty Images / Credits: Madmaxer

Die Deutsche Bank untersucht einen Cybervorfall bei einem externen Dienstleister, nachdem die bislang wenig bekannte Ransomware-Gruppe „Unsafe“ behauptet hatte, in Systeme des Instituts eingedrungen zu sein. Nach Angaben der Bank gibt es derzeit keine Hinweise darauf, dass interne Systeme oder Netzwerke kompromittiert wurden. Stattdessen sei ein Drittanbieter betroffen, der eine Marketing- und Incentive-Plattform für Vertriebspartner betreibt.

Berichten zufolge tauchte die Bank Anfang Juli 2026 auf einer Leak-Seite im Darknet auf. Als Beleg veröffentlichten die mutmaßlichen Angreifer Screenshots von Datenbankabfragen, Terminalbefehlen sowie Datensätzen mit Mitarbeiterinformationen. Den veröffentlichten Proben zufolge könnten E-Mail-Adressen, Passwort-Hashes, physische Adressen und interne Datensätze betroffen sein. Sicherheitsforscher weisen darauf hin, dass sich die Daten plausibel Mitarbeitern zuordnen lassen; eine unabhängige Bestätigung eines umfassenden Datenabflusses – insbesondere von Kundendaten – liegt jedoch bislang nicht vor.

Die Deutsche Bank betont, dass sie gemeinsam mit dem betroffenen Dienstleister an der Aufklärung arbeite und Maßnahmen zur Risikominimierung ergreife. Der Fall bleibt damit vorerst ein Beispiel für einen indirekten Sicherheitsvorfall über die Lieferkette, nicht für eine bestätigte Kompromittierung der Kernsysteme.

Drittanbieter als Einfallstor

Der Vorfall fügt sich in ein Muster ein, das sich im Finanzsektor zunehmend verfestigt: Angriffe zielen primär auf Dienstleister von Banken und Finanzdienstleistern. Ein aktuelles Beispiel ist die Münchner V-Bank. Das Institut bestätigte im Juni 2026 einen Cyberangriff, der ebenfalls über einen externen IT-Dienstleister erfolgte. Dabei wurden personenbezogene Kundendaten entwendet, darunter Kontaktinformationen und kontobezogene Angaben. Gleichzeitig stellte die Bank klar, dass keine Kontozugriffe möglich waren und keine Vermögenswerte abflossen.

Im Frühjahr 2026 meldete die Vermögensverwaltung Harald Quandt Capital einen Cyberangriff auf das eigene IT-Netzwerk, bei dem sensible Investorendaten – darunter Identitäts- und Finanzinformationen – betroffen gewesen sein könnten. Bereits im Jahr 2025 hatte zudem eine Störung bei PayPal gezeigt, wie stark Banken von externen Zahlungsdienstleistern abhängen: Nach einem Ausfall von Sicherheitssystemen stoppten deutsche Institute vorsorglich Lastschriften in Milliardenhöhe.

Europol nahm im Rahmen der „Operation Chargeback“ im Jahr 2025 internationale Betrugsnetzwerke ins Visier, die gestohlene Kreditkartendaten von über 4,3 Millionen Karteninhabern missbraucht haben sollen. Nach Angaben der Ermittler nutzten die Täter dabei auch die Infrastruktur mehrerer Zahlungsdienstleister, um Transaktionen abzuwickeln und Gelder zu verschleiern. Der geschätzte Schaden beläuft sich auf mehr als 300 Millionen Euro.

Fälle wie diese unterstreichen die Verwundbarkeit des Finanzökosystems und das steigende Risiko durch die systematische Ausnutzung bestehender Zahlungs- und Abwicklungsstrukturen – ein Szenario, das insbesondere für Banken mit stark vernetzten Partner- und Dienstleisterlandschaften relevant ist.

Analysen bestätigen diese Entwicklung. Laut BaFin ereigneten sich 31 Prozent der gemeldeten Cyberangriffe im Finanzsektor im Jahr 2025 bei Dienstleistern, hatten jedoch unmittelbare Auswirkungen auf die angeschlossenen Institute. Auch auf europäischer Ebene zeigt sich ein ähnliches Bild: Ein signifikanter Anteil schwerwiegender IKT-Vorfälle geht auf Drittanbieter oder gemeinsame Infrastrukturen zurück.

Zunehmende Komplexität und Vernetzung

Die steigende Abhängigkeit von externen IT- und Cloud-Diensten ist eine direkte Folge der Digitalisierung im Finanzsektor. Banken arbeiten heute mit einer Vielzahl spezialisierter Anbieter – von Zahlungsdienstleistern über Marketingplattformen bis hin zu Cloud- und Datenanalyseanbietern. Jede zusätzliche Schnittstelle erhöht die Angriffsfläche.

Diese Entwicklung spiegelt sich in den Zahlen wider: Für das Jahr 2025 wurden EU-weit mehr als 3.300 schwerwiegende IKT-Vorfälle im Finanzsektor gemeldet. Rund ein Drittel davon hatte grenzüberschreitende Auswirkungen. Gleichzeitig zeigt sich, dass Vorfälle häufig nicht isoliert bleiben und sich in vernetzten Systemen schnell ausbreiten können.

Bemerkenswert ist dabei, dass klassische Cyberangriffe nur einen Teil des Gesamtbildes ausmachen. Neben Ransomware und Datenexfiltration spielen auch Systemausfälle, Fehlkonfigurationen oder Störungen bei Dienstleistern eine zentrale Rolle. Der PayPal-Vorfall war zwar kein externer Angriff, hatte aber dennoch erhebliche Auswirkungen auf den Zahlungsverkehr.

Ransomware bleibt strategisches Risiko

Der Fall Deutsche Bank verdeutlicht zudem die anhaltende Relevanz von Ransomware. Gruppen wie „Unsafe“ operieren häufig nach dem Modell „Ransomware-as-a-Service“ und setzen auf Double Extortion: Neben der Verschlüsselung von Daten drohen sie mit deren Veröffentlichung.

Selbst wenn – wie im aktuellen Fall – nur Mitarbeiterdaten betroffen sein sollten, entstehen daraus erhebliche Risiken. Solche Daten können für gezielte Phishing-Kampagnen, Passwortangriffe oder Social Engineering genutzt werden. Sie dienen Angreifern oft als Ausgangspunkt für weitergehende Kompromittierungen.

Regulatorischer Druck steigt

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) im Januar 2025 hat die EU den regulatorischen Rahmen deutlich verschärft. Finanzunternehmen müssen schwerwiegende IKT-Vorfälle innerhalb kurzer Fristen melden und umfassende Maßnahmen zum Management von Drittparteirisiken implementieren.

Die BaFin fungiert dabei als zentraler Melde-Hub in Deutschland. Allein in den ersten drei Quartalen 2025 wurden dort über 500 schwerwiegende IKT-Vorfälle registriert. Der Fokus der Aufsicht liegt zunehmend auf der operationellen Resilienz – also der Fähigkeit, auch bei Störungen handlungsfähig zu bleiben.

Ein besonderer Schwerpunkt liegt auf dem Management von Auslagerungen. Finanzunternehmen müssen detailliert dokumentieren, welche kritischen Funktionen von externen Dienstleistern abhängen, und entsprechende Kontrollmechanismen etablieren.

Risiken verlagern sich

Die aktuellen Vorfälle zeigen, dass sich die Bedrohungslage im Finanzsektor verändert. Während Banken ihre Kernsysteme in den vergangenen Jahren zunehmend absichern konnten, verlagert sich das Risiko in die Peripherie – zu Dienstleistern, Partnern und gemeinsam genutzten Plattformen.

Der mutmaßliche Vorfall bei der Deutschen Bank ist dafür ein typisches Beispiel: Nicht das Institut selbst steht im Zentrum, sondern ein angebundener Dienstleister. Ob die von „Unsafe“ veröffentlichten Daten tatsächlich aus einem kompromittierten System stammen, bleibt offen. Entscheidend ist jedoch, dass bereits die Behauptung und die Veröffentlichung von Datenproben ausreichen, um Reputationsdruck zu erzeugen.

Für Unternehmen im Finanzsektor ergibt sich daraus eine klare Konsequenz: Cybersecurity endet nicht an der eigenen Netzwerkgrenze. Die Absicherung der gesamten digitalen Lieferkette wird zunehmend zum entscheidenden Faktor für die Resilienz von Banken und Finanzdienstleistern.