Ransomware-Angriffe auf Unternehmen: Zwischen den Jahren lauern viele Gefahren

Schlimme Bescherung „Cybercrime“ – die Tage „zwischen den Jahren“ sind für Unternehmen besonders riskant

[datensicherheit.de, 31.12.2025] Die Tage rund um Weihnachten und den Jahreswechsel gelten für Cyberkriminellen offenbar als besonders attraktive Zeiträume für Cyberangriffe auf Unternehmen. Vor allem mittelständische Unternehmen geraten dann verstärkt ins Visier Cyberkrimineller. Laut einer aktuellen Stellungnahme von Sophos lässt sich allerdings mit wenigen, gezielten Maßnahmen das Risiko deutlich senken:

Abbildung: Sophos

Dieser Report basiert laut Sophos auf den Ergebnissen einer unabhängigen Befragung von 3.400 IT-/Cybersecurity-Entscheidern, deren Unternehmen im letzten Jahr von Ransomware betroffen waren, darunter 300 aus Deutschland

Bevorzugt mittelständische Unternehmen zum Jahresende verstärkt im Visier Cyberkrimineller

Vor allem mittelständische Unternehmen geraten zum Jahresende verstärkt ins Visier Cyberkrimineller. Besonders betroffen sind demnach Handel, Logistik, Hotellerie und Gastronomie sowie Produktionsbetriebe. Mit wenigen, gezielten Maßnahmen lasse sich das Risiko jedoch deutlich senken.

• Analysen von Sophos sowie übereinstimmende Beobachtungen weiterer Sicherheitsanbieter und spezialisierter Notfallteams zeigten seit Jahren ein wiederkehrendes Muster:

Vor allem Ransomware-Angriffe – bei denen Daten verschlüsselt und Unternehmen erpresst werden – starteten bevorzugt außerhalb der regulären Arbeitszeiten, also in den späten Abendstunden, an Wochenenden und an Feiertagen.

Umfeld von Feiertagen als strategisches Zeitfenster für Attacken auf Unternehmen

Der Grund hierfür sei einfach und aus Sicht der Cyberkriminellen strategisch sinnvoll: Viele Unternehmen arbeiteten in dieser Zeit im Minimalbetrieb. IT- und Sicherheitsteams seien ausgedünnt, Entscheidungswege länger, Warnmeldungen würden später erkannt oder verzögert bearbeitet.

• Genau dieses Zeitfenster nutzten professionelle Angreifer gezielt aus. Hoher operativer Druck erhöhe dann nämlich den Erpressungshebel.

Besonders betroffen seien Branchen mit hohem Zeitdruck und großer Abhängigkeit von stabilen IT-Systemen. Hierzu zählten Handel und E-Commerce, Logistik, Hotellerie und Gastronomie sowie die produzierende Industrie – Branchen, die stark von reibungslos funktionierenden, oft digital gesteuerten Liefer- und Wertschöpfungsketten abhingen.

Cyberangriffe bewusst außerhalb der Kernzeiten der Unternehmen

Auch Finanzdienstleister im Mittelstand und Einrichtungen im Gesundheitswesen gerieten regelmäßig ins Visier Cyberkrimineller. In diesen Bereichen führten Systemausfälle schnell zu Lieferverzögerungen, Umsatzeinbußen oder Reputationsschäden und erhöhten somit beispielsweise den Druck, im Ernstfall auf Erpressungsforderungen einzugehen.

• Aus aktuellen Auswertungen von Sophos – unter anderem aus „Managed Detection and Response“ (MDR) sowie aus realen „Incident Response“-Einsätzen – ergebe sich ein klares Bild: „Ein erheblicher Teil erfolgreicher Ransomware-Angriffe wird gezielt außerhalb regulärer Arbeitszeiten ausgerollt.“

Diese Beobachtungen deckten sich mit den Ergebnissen des aktuellen „Sophos State of Ransomware Report“, welche jährlich die Erfahrungen von rund 5.000 Unternehmen weltweit auswerte.

Unternehmen des Mittelstands besonders herausgefordert

Feiertage und verlängerte Wochenenden seien dabei eben kein Zufall, sondern fester Bestandteil der Angriffsplanung. Sophos warnt daher regelmäßig davor, die Zeit zwischen Weihnachten und Neujahr sicherheitstechnisch als „ruhige Phase“ zu betrachten.

• „Im Gegenteil: Gerade dann sind eine verlässliche Überwachung, klar geregelte Zuständigkeiten und schnelle Entscheidungswege entscheidend!“ Viele mittelständische Unternehmen verfügten nicht über dauerhaft besetzte Sicherheitszentralen, sogenannte Security Operations Center (SOC) – also Teams, die IT-Systeme rund um die Uhr überwachen und bei Auffälligkeiten sofort eingreifen.

Auch klar definierte Abläufe für den Ernstfall, etwa bei einem Cyberangriff (Incident Response), seien oft weniger formalisiert als in großen Konzernen. Zwischen Weihnachten und Neujahr werde das IT-Personal zudem häufig weiter reduziert, so dass Vorfälle nicht immer sofort bearbeitet würden und Entscheidungen unter Zeitdruck getroffen werden müssten.

Saisonale Betrugsversuche verschärfen Bedrohungslage für Unternehmen

Erschwerend kämen saisonale Betrugsversuche hinzu: „Dazu zählen Phishing-Mails mit angeblichen Paketbenachrichtigungen, Informationen zu Bonuszahlungen, Weihnachtsaktionen oder Reiseunterlagen.“

• Diese Nachrichten seien oft täuschend echt gestaltet und spielten gezielt mit Zeitdruck, Gewohnheit und emotionaler Ansprache. Gerade in arbeitsreichen oder unruhigen Phasen steige so die Gefahr, dass Mitarbeiter auf solche E-Mails reagierten – und ungewollt Angreifern „Tür und Tor“ öffneten.

Laut SOPHOS können sich Unternehmen aber darauf vorbereiten – mit überschaubarem Aufwand lasse sich das Risiko für die Feiertage bzw. die Zeit „zwischen den Jahren“ deutlich reduzieren:

SOPHOS-Tipps für Unternehmen zur Vorbereitung auf drohende Cyberangriffe

• Klare Erreichbarkeit und Entscheidungswege sicherstellen!
  Für die Zeit vom 24. Dezember bis zum 6. Januar sollten verbindliche Rufbereitschaften definiert sein – inklusive Stellvertretungen, klarer Eskalationsstufen und aktueller Kontaktlisten.
  Dies gelte nicht nur intern, sondern auch für externe IT-Dienstleister, Versicherer und spezialisierte Notfallpartner.
• Technische Basis absichern, bevor der Betrieb runterfährt!
  Vor den Feiertagen sollten sicherheitsrelevante Updates eingespielt, unnötige Fernzugänge deaktiviert und Mehrfaktor-Authentifizierung für administrative sowie externe Zugriffe konsequent genutzt werden.
  Backups sollten nicht nur vorhanden, sondern auch getestet sein – also tatsächlich wiederhergestellt werden können. Wichtig sei zudem, dass Warnmeldungen aus der IT-Sicherheit zuverlässig an die Feiertags-Rufbereitschaft weitergeleitet würden.
• Mitarbeiter gezielt sensibilisieren!
  Eine kurze, prägnante Information kurz vor den Feiertagen zu typischen saisonalen Phishing-Maschen reiche oft aus, um die Aufmerksamkeit zu schärfen.
  Entscheidend sei dabei, den Meldeweg für verdächtige E-Mails klar und niedrigschwellig zu kommunizieren.
• Krisenfall einmal durchspielen!
  Eine kurze „Tabletop-Exercise“ – etwa die Frage „Was tun wir bei einem Ransomware-Angriff am 27. Dezember?“ – könne helfen, Rollen, Zuständigkeiten und Kommunikationswege zu klären.
  Bereits eine Stunde mit „Geschäftsführung“, „IT“ und „Kommunikation“ könne im Ernstfall wertvolle Zeit sparen.

Unternehmen sollten sich eben ganz gezielt auf die Zeit „zwischen den Jahren“ vorbereiten

„Cyberkriminelle planen Feiertage fest ein, und Unternehmen sollten das ebenfalls tun. Gerade zwischen Weihnachten und Neujahr entscheidet sich oft, ob ein Sicherheitsvorfall schnell gestoppt wird oder sich zu einem ernsthaften Krisenfall entwickelt“, erläutert Michael Veit, Cybersecurity-Experte bei Sophos.

• Er unterstreicht: „Klare Zuständigkeiten, verlässliche Überwachung und getestete Notfallpläne nehmen Angreifern genau den Vorteil, auf den sie spekulieren.“

Zudem sollten Unternehmen für eine langfristige Sicherheitsstrategie auch überlegen, externe Cybersecurity-Experten „an Bord“ zu holen. „Diese ,Managed Security Services’ sind sehr individuell applizierbar und sorgen für professionellen Schutz rund um die Uhr an 365 Tagen im Jahr“, so Veit abschließend.

Weitere Informationen zum Thema:

SOPHOS
Über uns: Modernste Technologie. Spezialisierte Experten. / Sophos stoppt Cyberangriffe mit einer adaptiven, KI-nativen offenen Plattform und hochkarätiger Sicherheits-Expertise.

SOPHOS
Ransomware-Report 2025 / Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff?

SOPHOS, Juni 2025
RANSOMWARE-REPORT 2025: DEUTSCHLAND / Ergebnisse einer unabhängigen Befragung von 300 deutschen Unternehmen*, die im vergangenen Jahr von Ransomware betroffen waren.

heise business service
Experten: Michael Veit – Manager Sales Engineering, Sophos GmbH

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 29.08.2025
Sophos: Ransomware setzt Einzelhandel massiv unter Druck – IT-Teams gelangen ans Limit / Anteil der Einzelhandelsunternehmen, welche zur Datenwiederherstellung nach einem Ransomware-Angriff Lösegeld zahlen, im Vergleich zu Vorjahren stark angestiegen