Vor allem mittelständische Unternehmen geraten an den Feiertagen verstärkt ins Visier von Cyberkriminellen. Besonders betroffen sind Handel, Logistik, Hotellerie und Gastronomie sowie Produktionsbetriebe. Mit wenigen, gezielten Maßnahmen lässt sich das Risiko jedoch deutlich senken.Die Tage rund um Weihnachten und den Jahreswechsel zählen aus Sicht von Cyberkriminellen zu den besonders attraktiven Zeiträumen für Angriffe auf Unternehmen. Analysen von Sophos sowie übereinstimmende Beobachtungen weiterer Sicherheitsanbieter und spezialisierter Notfallteams zeigen seit Jahren ein wiederkehrendes Muster: Vor allem Ransomware-Angriffe – bei denen Daten verschlüsselt und Unternehmen erpresst werden – starten bevorzugt außerhalb der regulären Arbeitszeiten, also in den späten Abendstunden, an Wochenenden und an Feiertagen.
Feiertage als strategisches Zeitfenster für Bedrohungsakteure
Der Grund ist einfach und aus Sicht der Cyberkriminellen strategisch sinnvoll: Viele Unternehmen arbeiten in dieser Zeit im Minimalbetrieb. IT- und Sicherheitsteams sind ausgedünnt, Entscheidungswege länger, Warnmeldungen werden später erkannt oder verzögert bearbeitet. Genau dieses Zeitfenster nutzen professionelle Angreifer gezielt aus.
Hoher operativer Druck erhöht den Erpressungshebel
Besonders betroffen sind Branchen mit hohem Zeitdruck und großer Abhängigkeit von stabilen IT-Systemen. Dazu zählen Handel und E-Commerce, Logistik, Hotellerie und Gastronomie sowie die produzierende Industrie – Branchen, die stark von reibungslos funktionierenden, oft digital gesteuerten Liefer- und Wertschöpfungsketten abhängen. Auch Finanzdienstleister im Mittelstand und Einrichtungen im Gesundheitswesen geraten regelmäßig ins Visier von Cyberkriminellen.
In diesen Bereichen führen Systemausfälle schnell zu Lieferverzögerungen, Umsatzeinbußen oder Reputationsschäden und erhöhen damit beispielsweise den Druck, im Ernstfall auf Erpressungsforderungen einzugehen.
Angriffe kommen bewusst außerhalb der Kernzeiten
Aus aktuellen Auswertungen von Sophos – unter anderem aus Managed Detection and Response (MDR) sowie aus realen Incident-Response-Einsätzen – ergibt sich ein klares Bild: Ein erheblicher Teil erfolgreicher Ransomware-Angriffe wird gezielt außerhalb regulärer Arbeitszeiten ausgerollt. Diese Beobachtungen decken sich mit den Ergebnissen des aktuellen Sophos-State-of-Ransomware-Reports, der jährlich die Erfahrungen von rund 5.000 Unternehmen weltweit auswertet.
Feiertage und verlängerte Wochenenden sind dabei kein Zufall, sondern fester Bestandteil der Angriffsplanung. Sophos warnt daher regelmäßig davor, die Zeit zwischen Weihnachten und Neujahr sicherheitstechnisch als „ruhige Phase“ zu betrachten. Im Gegenteil: Gerade dann sind eine verlässliche Überwachung, klar geregelte Zuständigkeiten und schnelle Entscheidungswege entscheidend.
Mittelstand besonders gefordert
Viele mittelständische Unternehmen verfügen nicht über dauerhaft besetzte Sicherheitszentralen, sogenannte Security Operations Center – also Teams, die IT-Systeme rund um die Uhr überwachen und bei Auffälligkeiten sofort eingreifen. Auch klar definierte Abläufe für den Ernstfall, etwa bei einem Cyberangriff (Incident Response), sind oft weniger formalisiert als in großen Konzernen. Zwischen Weihnachten und Neujahr wird das IT-Personal zudem häufig weiter reduziert, sodass Vorfälle nicht immer sofort bearbeitet werden und Entscheidungen unter Zeitdruck getroffen werden müssen.
Erschwerend kommen saisonale Betrugsversuche hinzu. Dazu zählen Phishing-Mails mit angeblichen Paketbenachrichtigungen, Informationen zu Bonuszahlungen, Weihnachtsaktionen oder Reiseunterlagen. Diese Nachrichten sind oft täuschend echt gestaltet und spielen gezielt mit Zeitdruck, Gewohnheit und emotionaler Ansprache. Gerade in arbeitsreichen oder unruhigen Phasen steigt so die Gefahr, dass Mitarbeitende auf solche Mails reagieren – und ungewollt Angreifern Tür und Tor öffnen.
So können sich Unternehmen vorbereiten
Mit überschaubarem Aufwand lässt sich das Risiko für die Feiertage deutlich reduzieren:
- Klare Erreichbarkeit und Entscheidungswege sicherstellen: Für die Zeit vom 24. Dezember bis zum 6. Januar sollten verbindliche Rufbereitschaften definiert sein – inklusive Stellvertretungen, klarer Eskalationsstufen und aktueller Kontaktlisten. Das gilt nicht nur intern, sondern auch für externe IT-Dienstleister, Versicherer und spezialisierte Notfallpartner.
- Technische Basis absichern, bevor der Betrieb runterfährt: Vor den Feiertagen sollten sicherheitsrelevante Updates eingespielt, unnötige Fernzugänge deaktiviert und Mehrfaktor-Authentifizierung für administrative sowie externe Zugriffe konsequent genutzt werden. Backups sollten nicht nur vorhanden, sondern auch getestet sein – also tatsächlich wiederhergestellt werden können. Wichtig ist zudem, dass Warnmeldungen aus der IT-Sicherheit zuverlässig an die Feiertags-Rufbereitschaft weitergeleitet werden.
- Mitarbeitende gezielt sensibilisieren: Eine kurze, prägnante Information kurz vor den Feiertagen zu typischen saisonalen Phishing-Maschen reicht oft aus, um die Aufmerksamkeit zu schärfen. Entscheidend ist dabei, den Meldeweg für verdächtige E-Mails klar und niedrigschwellig zu kommunizieren.
- Krisenfall einmal durchspielen: Ein kurzes Tabletop-Exercise – etwa die Frage „Was tun wir bei einem Ransomware-Angriff am 27. Dezember?“ – hilft, Rollen, Zuständigkeiten und Kommunikationswege zu klären. Schon eine Stunde mit Geschäftsführung, IT und Kommunikation kann im Ernstfall wertvolle Zeit sparen.
„Cyberkriminelle planen Feiertage fest ein, und Unternehmen sollten das ebenfalls tun. Gerade zwischen Weihnachten und Neujahr entscheidet sich oft, ob ein Sicherheitsvorfall schnell gestoppt wird oder sich zu einem ernsthaften Krisenfall entwickelt,“ sagt Michael Veit, Cybersecurity-Experte bei Sophos. „Klare Zuständigkeiten, verlässliche Überwachung und getestete Notfallpläne nehmen Angreifern genau den Vorteil, auf den sie spekulieren. Zudem sollten Unternehmen für eine langfristige Sicherheitsstrategie auch überlegen, externe Cybersecurity-Experten an Bord zu holen. Diese Managed Security Services sind sehr individuell applizierbar und sorgen für professionellen Schutz rund um die Uhr an 365 Tagen im Jahr.“
#Sophos
