Thought Leadership
Ungepatchte Systeme, eingefrorene Budgets und der Stress nach den Feiertagen machen das erste Quartal zur Hochsaison für Ransomware, Credential-Diebstahl und Supply-Chain-Angriffe.
Cyberkriminelle denken in Geschäftszyklen. Das erste Quartal eines Jahres ist für Angreifer die attraktivste Jahreszeit: Systeme bleiben nach dem Jahreswechsel wochenlang ungepatcht, Budgets werden neu verhandelt, und IT-Teams kämpfen gleichzeitig mit Onboarding, neuen Projekten und dem Rückstand aus dem Dezember.
Wie groß das Problem ist, zeigen aktuelle Zahlen, die das Security-Unternehmen Heimdal präsentiert: Im ersten Quartal 2025 wurden demnach auf Leak-Sites mehr als 2.200 Ransomware-Opfer gelistet, ein Anstieg von 35 Prozent gegenüber dem Vorquartal.
Angreifer kennen den Kalender besser als viele Security-Teams
Danny Mitchell, Cybersecurity-Autor bei Heimdal, erklärt: „Angreifer verstehen Geschäftszyklen besser, als die meisten Security-Teams ahnen. Sie wissen, dass im Q1 das Patching langsamer wird, Budgets neu aufgestellt werden und IT-Teams den Rückstand aus dem Jahresende aufholen müssen.”
Das ist keine Zufälligkeit, sondern Kalkül. Laut Mitchell beginnen Angreifer ihre Reconnaissance bereits Ende Dezember, um dann im Januar zuzuschlagen, wenn die Erfolgswahrscheinlichkeit statistisch am höchsten ist.
Die Lücke zwischen der Veröffentlichung einer Schwachstelle und dem Einspielen des zugehörigen Patches wächst im Q1 erheblich. Unternehmen, die normalerweise innerhalb von 48 Stunden patchen, brauchen in diesem Zeitraum mitunter zwei Wochen oder länger, und Angreifer pflegen aktiv Datenbanken mit kürzlich gemeldeten CVEs, um genau dieses Fenster auszunutzen.
Drei Angriffstypen dominieren den Jahresanfang
Ransomware ist die offensichtlichste Bedrohung. Angreifer zielen auf Unternehmen mit veralteten Backups und ungepatchten Systemen. Hinzu kommt ein psychologischer Faktor: Firmen unter finanziellem Druck nach dem Jahresabschluss zahlen Lösegeld schneller, besonders wenn Recovery-Prozesse zuletzt nicht getestet wurden.
Credential Stuffing nimmt im Q1 laut Mitchell um rund 40 Prozent zu. Der Grund: Viele Mitarbeitende ändern ihre Passwörter zum Jahreswechsel aus administrativen Gründen, wählen dabei aber schwache Varianten oder bekannte Muster. Dazu kommen neue Mitarbeitende, deren Accounts oft noch keine Multi-Faktor-Authentifizierung aktiviert haben.
Supply-Chain-Angriffe nutzen den Veröffentlichungsdruck bei Softwareanbietern aus. Viele Hersteller bringen zu Jahresbeginn neue Versionen heraus, manchmal ohne vollständige Sicherheitstests. Angreifer beobachten diese Release-Zyklen gezielt und suchen nach Schwachstellen in weit verbreiteten Business-Applikationen, bevor Patches ausgerollt werden.
Was Unternehmen jetzt tun können
Mitchell empfiehlt fünf konkrete Maßnahmen, die idealerweise noch vor dem Jahreswechsel umgesetzt werden sollten.
Automatisiertes Patch-Management sollte auf allen Endgeräten und Servern aktiviert sein, bevor das Jahr endet. Manuelle Prozesse brechen unter dem Druck des Q1-Alltags regelmäßig zusammen, automatisierte Systeme halten den Rhythmus unabhängig von Personalengpässen aufrecht.
Security-Teams brauchen außerdem vollständige Transparenz über alle Assets. „Man kann nicht absichern, was man nicht sieht”, so Mitchell. Shadow-IT und vergessene Legacy-Systeme sind klassische Einfallstore, die in keiner Inventarliste auftauchen.
Backup-Systeme sollten auf Funktion geprüft und Recovery-Prozesse tatsächlich getestet sein, nicht nur dokumentiert. Multi-Faktor-Authentifizierung muss für alle Accounts durchgesetzt werden, mit besonderem Augenmerk auf neue Mitarbeitende im Januar. Und Vulnerability Assessments sollten nicht ins neue Jahr verschoben werden, sondern bereits im November oder Dezember stattfinden, bevor die Feiertage Lücken aufreißen, die erst Wochen später entdeckt werden.
Das Grundproblem bleibt eine verbreitete Fehlannahme: dass die Zeit nach den Feiertagen ruhig ist. Für Angreifer ist sie es nicht.
