Thought Leadership
Urlaubsabwesenheiten führen im Juli und August zu vermehrten Cyberangriffen. Die wirtschaftlichen Schäden werden oft erst im Herbst sichtbar.
Angreifer richten ihre Aktivitäten gezielt nach organisatorischen Rhythmen in Unternehmen aus. Urlaubsabwesenheiten, lückenhafte Vertretungsregelungen und reduzierte Kontrollprozesse in den Sommermonaten bieten Schwachstellen, die von Kriminellen ausgenutzt werden. Laut dem Schadensbericht des Cyberassekuradeurs Stoïk gehören die Monate Juli und August zu den schadensintensivsten Phasen des Jahres.
Besonders stark betroffen ist aktuell das Hotelgewerbe. Der Anteil der betroffenen Hotels an den Gesamtschäden stieg in den vergangenen Monaten von 2,67 Prozent auf 7,04 Prozent. Innerhalb dieser Branche dokumentieren die Daten klare Schwerpunkte bei den Angriffsmethoden:
- 44 Prozent der Vorfälle basieren auf manipulierten E-Mails.
- 36 Prozent der Vorfälle betreffen den Diebstahl von Daten.
Über Phishing-Angriffe beschaffen sich die Täter Zugangsdaten zu Hoteldatenbanken, um anschließend gefälschte Zahlungsaufforderungen an Hotelgäste zu übermitteln.
Rechnungsbetrug durch manipulierte Bankverbindungen
Ein weiteres signifikantes Risiko in der Ferienzeit betrifft personelle Engpässe in den Buchhaltungs- und Einkaufsabteilungen. Wenn reguläre Fachkräfte im Urlaub sind und Vertretungen einspringen, steigen die Erfolgsquoten von digitalem Rechnungsbetrug und sogenanntem CEO-Fraud. Im Zeitraum von Juni bis August 2025 waren insgesamt 69 Prozent aller gemeldeten Schadensfälle im Portfolio des Versicherers auf E-Mail-Betrug zurückzuführen. Zu den weiteren dokumentierten Ursachen im Sommer 2025 zählten:
- Kompromittierungen von Systemen mit Internetzugang (8 Prozent)
- Ransomware-Infektionen (6 Prozent)
- Klassischer Datendiebstahl (6 Prozent)
Ein typisches Verhaltensmuster ist das Versenden dringlicher, scheinbar vom Geschäftsführer stammender Zahlungsaufforderungen im fünfstelligen Bereich an Urlaubsvertretungen. Ebenfalls häufig tritt die Lieferantenimitation auf, bei der Angreifer mittels gefälschter E-Mails über eine angebliche Änderung der Bankverbindung eines langjährigen Geschäftspartners informieren. Da Kontrollmechanismen aufgrund der Urlaubszeit oft ausgesetzt sind, werden Zahlungen auf falsche IBAN-Nummern angewiesen, was in der Praxis bereits zu Schäden im Millionenbereich führte.
Späte Entdeckung von Cyberangriffen im Herbst
Ein erheblicher Teil der im Sommer initiierten Angriffe entfaltet seine volle Wirkung erst mit einer zeitlichen Verzögerung. Wenn sich Mitarbeiter beispielsweise aus dem Urlaub über öffentliche Hotel-WLAN-Netze mit dem Firmen-VPN verbinden, können Infostealer unbemerkt Zugangsdaten abgreifen. Die Auswertung der Schadensfälle zeigt, dass die Zahl der Kompromittierungen von Zugangsdaten im Oktober und November sprunghaft ansteigt.
Insgesamt starteten 40 Prozent aller analysierten Angriffe über die Kompromittierung von VPN- oder System-Zugangsdaten. Schadsoftware verbleibt in der Sommerzeit zudem deutlich länger unentdeckt im Netzwerk als im restlichen Jahr. Während die durchschnittliche Verweildauer von Ransomware im Jahresdurchschnitt bei 22 Tagen liegt, erhöht sich dieser Wert in den Sommermonaten auf durchschnittlich 31 Tage, da Angriffe aufgrund des reduzierten Personals in den IT-Abteilungen erst verspätet registriert werden.
(Stoïk, red)
