Die Ransomware-Gruppe Akira hat die Sehlmann Fensterbau GmbH aus Neu Wulmstorf bei Hamburg als Opfer auf ihrer Leak-Seite im Darknet gelistet. Der Eintrag erschien am 9. April 2026. Die Angreifer drohen damit, rund 44 GB erbeuteter Unternehmensdaten zu veröffentlichen.

Was ist passiert?

Sehlmann Fensterbau ist ein mittelständischer Hersteller von Holz- und Holz-Metall-Fenstern im Hamburger Umland. Das Unternehmen bietet Fensteranlagen für Neubau und Sanierung an, von der Planung bis zur Montage.

Laut dem Eintrag auf der Akira-Darknet-Seite haben die Angreifer Zugriff auf eine erhebliche Menge interner Daten erlangt. Konkret erwähnt werden Personalakten mit Reisepässen, Führerscheinen und EU-Ausweisen von Mitarbeitern, Finanzdokumente sowie eine große Anzahl von Projektdateien. Die Veröffentlichung der Daten wurde für den darauffolgenden Zeitraum angekündigt, sofern keine Zahlung erfolgt.

Ob Systeme verschlüsselt wurden oder es sich ausschließlich um eine Datenexfiltration handelt, geht aus dem Eintrag nicht hervor. Akira setzt regelmäßig auf doppelte Erpressung: Daten werden gestohlen und Systeme verschlüsselt; bezahlt das Opfer nicht, landen die Daten öffentlich.

Wer steckt hinter Akira?

Akira ist seit März 2023 aktiv und hat sich seitdem zu einer der aktivsten Ransomware-Gruppen weltweit entwickelt. Laut einer Analyse von Halcyon aus April 2026 hat die Gruppe bislang über 1.400 Opfer verzeichnet und mindestens 245 Millionen US-Dollar an Lösegeldzahlungen eingesammelt. Allein im März 2026 listete Akira 84 neue Opfer auf ihrer Leak-Seite, was ihr zweitaktivster Monat seit Bestehen war.

Die Gruppe operiert als Ransomware-as-a-Service (RaaS), das heißt: Akira stellt die Schadsoftware und Infrastruktur bereit, während externe Affiliates die eigentlichen Angriffe durchführen. Es gibt Hinweise auf personelle Verbindungen zur aufgelösten Conti-Gruppe. Als typische Angriffsvektoren gelten Brute-Force-Angriffe auf Cisco VPN-Geräte ohne Multi-Faktor-Authentifizierung sowie die Ausnutzung bekannter Schwachstellen. Hat sich Akira Zugang verschafft, vergehen laut Halcyon-Recherchen im Schnitt weniger als vier Stunden bis zur vollständigen Netzwerkverschlüsselung.

Warum betrifft das auch andere Unternehmen?

Der Fall Sehlmann Fensterbau steht nicht allein. Mittelständische Unternehmen aus der Baubranche, dem Handwerk und der Fertigungsindustrie geraten zunehmend ins Visier, weil dort IT-Sicherheitsressourcen oft begrenzt sind und VPN-Zugänge ohne Mehrfaktor-Absicherung weit verbreitet sind. Akira setzt genau hier an.

Für betroffene Mitarbeiter ist der Vorfall besonders heikel: Wenn persönliche Ausweisdokumente im Darknet landen, drohen Identitätsmissbrauch und der Aufbau gefälschter Identitäten. Mitarbeiter sollten ihre Kreditberichte im Auge behalten und bei unerwarteten Behördenanfragen oder Kontoaktivitäten wachsam sein.