Ransomware & Co
Zwischen den Jahren im Visier: Der Mittelstand im Fokus von Cyberangriffen
Warum die Zeit zwischen den Jahren für Unternehmen besonders gefährlich ist
Wenn viele Betriebe einen Gang zurückschalten, laufen Cyberkriminelle zur Hochform auf. Gerade rund um Weihnachten und den Jahreswechsel geraten vor allem mittelständische Unternehmen verstärkt ins Visier. Besonders betroffen sind Branchen wie Handel, Logistik, Hotellerie und Gastronomie sowie Produktionsbetriebe. Die gute Nachricht: Mit einigen gezielten Vorkehrungen lässt sich das Risiko deutlich reduzieren.
Feiertage: Hochsaison für Cyberangriffe
Aus Sicht von Angreifern zählen die Tage zwischen den Jahren seit Langem zu den attraktivsten Zeitfenstern. Sicherheitsanalysen von Sophos und übereinstimmende Beobachtungen anderer Anbieter zeigen ein klares Muster: Ransomware-Angriffe starten bevorzugt dann, wenn in Unternehmen wenig Betrieb herrscht – abends, an Wochenenden und insbesondere an Feiertagen. Dabei werden Daten verschlüsselt, Systeme lahmgelegt und Unternehmen erpresst. Ziel ist es, möglichst unbemerkt möglichst großen Schaden anzurichten, bevor jemand reagieren kann.
Warum Angreifer Feiertage gezielt ausnutzen
Der Grund ist so simpel wie effektiv: Viele Unternehmen arbeiten in dieser Zeit mit reduzierter Besetzung. IT- und Security-Teams sind kleiner, Entscheidungswege länger, Warnmeldungen bleiben eher liegen oder werden verzögert bearbeitet. Genau diese Lücken nutzen professionelle Angreifer gezielt aus – gut geplant und strategisch getimt.
Hoher Zeitdruck erhöht den Erpressungsdruck
Besonders anfällig sind Branchen, die stark von funktionierenden IT-Systemen abhängen und unter hohem operativem Druck stehen. Dazu zählen Handel und E-Commerce, Logistik, Hotellerie und Gastronomie sowie Produktionsunternehmen mit digital gesteuerten Liefer- und Wertschöpfungsketten. Auch mittelständische Finanzdienstleister und Einrichtungen im Gesundheitswesen geraten regelmäßig ins Visier. In diesen Bereichen führen IT-Ausfälle schnell zu Lieferverzögerungen, Umsatzverlusten oder Imageschäden. Genau das erhöht im Ernstfall den Druck, auf Lösegeldforderungen einzugehen.
Angriffe starten bewusst außerhalb der Kernzeiten
Aktuelle Auswertungen von Sophos – unter anderem aus Managed Detection and Response (MDR) sowie realen Incident-Response-Einsätzen – bestätigen: Ein großer Teil erfolgreicher Ransomware-Angriffe wird gezielt außerhalb regulärer Arbeitszeiten gestartet. Diese Erkenntnisse decken sich mit dem jährlich erscheinenden Sophos State of Ransomware Report, der die Erfahrungen von rund 5.000 Unternehmen weltweit auswertet. Feiertage und verlängerte Wochenenden sind dabei kein Zufall, sondern fester Bestandteil der Angriffsplanung. Sophos warnt daher ausdrücklich davor, die Zeit zwischen Weihnachten und Neujahr als sicherheitstechnische Ruhephase zu betrachten. Gerade dann sind verlässliche Überwachung, klare Zuständigkeiten und schnelle Entscheidungen entscheidend.
Mittelstand besonders gefordert
Viele mittelständische Unternehmen verfügen nicht über rund um die Uhr besetzte Security Operations Center. Auch fest definierte Abläufe für den Ernstfall – etwa bei einem Cyberangriff – sind oft weniger formalisiert als in großen Konzernen. Zwischen den Jahren wird das IT-Personal zusätzlich reduziert. Vorfälle werden dann nicht immer sofort erkannt oder bearbeitet, Entscheidungen müssen unter Zeitdruck getroffen werden. Hinzu kommen saisonale Betrugsmaschen: Phishing-Mails mit angeblichen Paketbenachrichtigungen, Weihnachtsaktionen, Bonuszahlungen oder Reiseunterlagen sind in dieser Zeit besonders verbreitet. Sie wirken oft täuschend echt und setzen gezielt auf Zeitdruck und emotionale Ansprache. In stressigen oder unruhigen Phasen steigt so das Risiko, dass Mitarbeitende unbedacht klicken – und Angreifern ungewollt Zugang verschaffen.
So lassen sich Risiken über die Feiertage senken
Mit überschaubarem Aufwand können Unternehmen ihre Sicherheitslage deutlich verbessern:
Erreichbarkeit und Entscheidungswege klar regeln
Für die Zeit vom 24. Dezember bis zum 6. Januar sollten feste Rufbereitschaften definiert sein – inklusive Vertretungen, klarer Eskalationsstufen und aktueller Kontaktlisten. Das gilt auch für externe IT-Dienstleister, Versicherer und spezialisierte Notfallpartner.
Technische Grundlagen vorab absichern
Vor den Feiertagen sollten sicherheitsrelevante Updates eingespielt, unnötige Fernzugänge deaktiviert und Mehrfaktor-Authentifizierung für administrative und externe Zugriffe konsequent genutzt werden. Backups sollten nicht nur vorhanden, sondern getestet sein – also im Ernstfall auch tatsächlich wiederhergestellt werden können. Wichtig ist außerdem, dass Sicherheitswarnungen zuverlässig an die Feiertags-Rufbereitschaft weitergeleitet werden.
Mitarbeitende gezielt sensibilisieren
Eine kurze, prägnante Information kurz vor den Feiertagen zu typischen saisonalen Phishing-Maschen reicht oft aus, um die Aufmerksamkeit zu schärfen. Entscheidend ist, den Meldeweg für verdächtige E-Mails klar und einfach zu kommunizieren.
Den Krisenfall einmal durchspielen
Ein kurzes Tabletop-Exercise – etwa die Frage „Was tun wir bei einem Ransomware-Angriff am 27. Dezember?“ – hilft, Rollen, Zuständigkeiten und Kommunikationswege zu klären. Schon eine Stunde mit Geschäftsführung, IT und Kommunikation kann im Ernstfall wertvolle Zeit sparen.
„Cyberkriminelle planen Feiertage fest ein – Unternehmen sollten das ebenfalls tun“, sagt Michael Veit, Cybersecurity-Experte bei Sophos . „Gerade zwischen Weihnachten und Neujahr entscheidet sich oft, ob ein Sicherheitsvorfall schnell gestoppt wird oder sich zu einer ernsthaften Krise entwickelt. Klare Zuständigkeiten, verlässliche Überwachung und getestete Notfallpläne nehmen Angreifern genau den Vorteil, auf den sie spekulieren. Für eine langfristige Sicherheitsstrategie sollten Unternehmen zudem prüfen, ob externe Cybersecurity-Experten sinnvoll sind. Managed Security Services lassen sich individuell anpassen und bieten professionellen Schutz rund um die Uhr – an 365 Tagen im Jahr.“
