Thought Leadership
Black Friday und Cyber Monday locken nicht nur Schnäppchenjäger an. Auch Cyberkriminelle haben die umsatzstarke Zeit im Blick. Sophos warnt vor zunehmenden Angriffen auf Händler und gibt Tipps für die kritischen Wochen.
Die Shopping-Offensive rund um Black Friday Ende November und Cyber Monday am 1. Dezember läutet traditionell die umsatzstärkste Zeit im Online-Handel ein. Doch während sich Verbraucher über Rabatte und Sonderangebote freuen, wittert die Cybercrime-Szene ihre Chance: Wo viel Geld fließt, sind Angreifer nicht weit.
Fast 90 Hackergruppen im vergangenen Jahr aktiv
Das Bedrohungsforschungsteam Sophos X-Ops hat im vergangenen Jahr fast 90 verschiedene Bedrohungsgruppen identifiziert, die gezielt Einzelhändler mit Ransomware angriffen oder über Leak-Seiten erpressten. Im Fokus der Kriminellen stehen Bezahlsysteme, Checkout-Prozesse und Admin-Konten – mit dem Ziel, Umsätze abzugreifen, Zahlungsströme umzulenken, Kundendaten zu stehlen oder ganze Systeme lahmzulegen. Zu den aktivsten Gruppen zählen laut Sophos Akira, Cl0p, Qilin, PLAY und Lynx.
Nach Ransomware-Attacken waren kompromittierte Konten die zweithäufigste Angriffsart im Einzelhandel. Der aktuelle Report “The State of Ransomware in Retail 2025” zeigt zudem einen besorgniserregenden Trend: Der Anteil reiner Erpressungsangriffe, bei denen keine Daten verschlüsselt, aber mit Veröffentlichung sensibler Informationen gedroht wird, hat sich innerhalb von zwei Jahren verdreifacht, von 2 Prozent (2023) auf 6 Prozent (2025).
Fachkräftemangel verschärft die Lage
Als zweithäufigster operativer Risikofaktor gelten laut Sophos begrenzte interne Fachkenntnisse (45 Prozent), dicht gefolgt von Lücken im Schutzumfang (44 Prozent). Chester Wisniewski, Director Global Field CISO bei Sophos, warnt: “Einzelhändler weltweit sehen sich einer immer komplexeren Bedrohungslage gegenüber, in der Angreifer ständig nach Schwachstellen suchen – am häufigsten bei Fernzugriffs- und internetfähigen Netzwerkgeräten.” Angesichts neuer Höchststände bei Lösegeldforderungen werde die Notwendigkeit umfassender Sicherheitsstrategien immer dringlicher. Ohne diese riskierten Händler anhaltende Betriebsstörungen und Reputationsschäden, deren Behebung Jahre dauern könne.
Checkliste für die kritischen Wochen
Sophos empfiehlt Online-Händlern folgende Maßnahmen für die Shopping-Hochsaison:
Kritische Systeme priorisieren: Checkout, Payment-Systeme, Kundenkonten sowie Versand- und Warenwirtschaft sollten an erster Stelle stehen, da hier Manipulationen unmittelbaren finanziellen Schaden verursachen.
Admin-Zugänge beschränken: In den umsatzstarken Wochen gilt das Prinzip der minimalen Rechtevergabe besonders strikt: Nur so viel Zugriff wie unbedingt nötig.
MFA konsequent umsetzen: Multifaktor-Authentifizierung sollte ausnahmslos für alle Zugänge gelten. Und das egal ob Administratoren, interne Tools, externe Dienstleister oder Agenturen.
Credential-Stuffing abwehren: Gestohlene Zugangsdaten werden massenhaft automatisiert getestet. Sie sind immerhin der zweithäufigste Sicherheitsvorfall im Einzelhandel. Shopbetreiber sollten auf Rate Limiting, Bot-Abwehr und engmaschiges Monitoring setzen.
Notfallplan aktualisieren: Im Ernstfall zählt jede Minute. Ein griffbereiter Incident-Response-Plan und eine funktionierende Backup-Strategie können Schäden erheblich begrenzen.
Warnsignale ernst nehmen
Bestimmte Aktivitäten sollten bei Shop-Betreibern umgehend Alarm auslösen: Ungewöhnliche Login-Muster wie gehäufte Fehlversuche zu ungewöhnlichen Zeiten oder aus unbekannten Ländern deuten auf automatisierte Credential-Stuffing-Angriffe hin. Auffälligkeiten bei Zahlungs- und Rückerstattungsprozessen, etwa ungewöhnliche Summen, neue Zahlungswege oder Konfigurationsänderungen, sind oft Vorboten für spätere Umleitungen von Geldern.
Besondere Vorsicht ist bei plötzlich “dringenden” Admin-Freigaben geboten: Anfragen nach schnellen Rechteausweitungen sollten gerade in der hektischen Shopping-Phase kritisch hinterfragt werden, da Angreifer gezielt den Zeitdruck der Händler ausnutzen. Auch eine plötzliche Flut von Monitoring-Alerts ohne erkennbaren technischen Grund sollte nicht ignoriert werden. Hier empfiehlt sich die Einschätzung durch erfahrene Fachleute, welche Warnungen sofortiges Handeln erfordern.
Immerhin eine positive Entwicklung verzeichnet Wisniewski: “Erfreulicherweise erkennen viele Händler die Risiken allmählich und reagieren mit Investitionen in ihre Cyberabwehr, um Angriffe zu stoppen, bevor sie eskalieren, und sich schneller davon zu erholen.”
(lb/Sophos)
