Laut dem Sophos Active Adversary Report 2026 gingen 67 Prozent der im Jahr 2025 analysierten Vorfälle auf Identitätsangriffe zurück. In 42 Prozent dieser Fälle waren kompromittierte Zugangsdaten die Hauptursache. Diese Angriffsvektoren wirken in der Urlaubssaison besonders effektiv: Sicherheits-Teams sind unterbesetzt, Reaktionszeiten verlängern sich und in der Überwachung entstehen Lücken.
„Cyberkriminelle machen keine Sommerpause. Unternehmen arbeiten dagegen in den Ferien häufig mit reduzierter Mannschaft. Für Angreifer ist das eine günstige Gelegenheit: Reaktionszeiten verlängern sich, die Angriffsfläche wächst durch mobiles Arbeiten und Warnsignale werden leichter übersehen“, erklärt Michael Veit, Security-Experte bei Sophos. „Während die Zahl der Angriffe im Sommer relativ gleichbleibt, verändert sich oftmals die Verteidigungssituation auf Unternehmensseite. Das versuchen Angreifer für sich zu nutzen.“
Besonders kritisch sind Vorfälle, die während Urlaubszeiten außerhalb der regulären Arbeitszeiten beginnen. Bleiben Angreifer über Stunden oder sogar Tage unentdeckt, gewinnen sie wertvolle Zeit, um sich im Netzwerk auszubreiten, weitere Zugangsdaten zu kompromittieren oder zusätzliche Systeme zu übernehmen.
Tourismus und Gastgewerbe besonders im Fokus
Der Sommer-Boom in Tourismus und Gastgewerbe macht diese Branche in den Ferienmonaten besonders attraktiv für Cyberkriminelle. Hohe Buchungszahlen, zusätzliche Saisonkräfte sowie Reisende, die unter Zeitdruck Entscheidungen treffen müssen, schaffen ein Umfeld, in dem Betrugsversuche leichter Erfolg haben.
Seit 2023 beobachtet Sophos Kampagnen gegen bekannte Buchungsplattformen – ohne dass die Plattformen selbst kompromittiert werden müssen. Angreifer stehlen zunächst per Phishing die Zugangsdaten von Hotelmitarbeitern und nutzen anschließend echte Buchungsdaten wie Gastnamen, Aufenthaltsdaten oder Preise, um Reisende direkt über legitime Kommunikationskanäle zu kontaktieren. Das Ergebnis: Social Engineering, das auf den ersten Blick kaum als Betrugsversuch zu erkennen ist.
„Entscheidend ist nicht, dass bestimmte Branchen grundsätzlich häufiger angegriffen werden. Entscheidend ist, dass sich Cyberkriminellen dort besonders viele Gelegenheiten bieten, wo in kurzer Zeit viele Transaktionen stattfinden und Menschen unter Zeitdruck handeln“, so Veit.
KI macht Betrugsversuche überzeugender
Künstliche Intelligenz erleichtert Cyberkriminellen die Erstellung professionell wirkender Phishing-Nachrichten erheblich. Sprachliche Fehler, die früher oft als Warnsignal dienten, treten immer seltener auf. Stattdessen entstehen täuschend echte Nachrichten in mehreren Sprachen, die sich gezielt an unterschiedliche Zielgruppen anpassen lassen.
Betroffen sind klassische E-Mail-Phishing-Angriffe, aber auch Vishing (Telefonanrufe) und Smishing (SMS). Diese Methoden intensivieren sich im Sommer, indem sie die Dringlichkeit von Reisen ausnutzen: Nachrichten wie „Bestätigen Sie Ihre Zahlung innerhalb von 24 Stunden, sonst verlieren Sie Ihr Zimmer“ lösen eine unmittelbare emotionale Reaktion aus und erschweren eine kritische Prüfung der Nachricht.
„KI hat die Methoden der Angreifer nicht grundlegend verändert“, sagt Veit. „Sie hilft ihnen jedoch dabei, bestehende Betrugsmaschen schneller, günstiger und professioneller umzusetzen. Dadurch wird es für Nutzer deutlich schwieriger, Phishing-Versuche auf den ersten Blick zu erkennen.“
5 Tipps zum Schutz von Unternehmen in der Urlaubssaison
Sophos empfiehlt Unternehmen, ihre Sicherheitsmaßnahmen vor Beginn der Haupturlaubszeit zu überprüfen:
- MFA aktivieren und regelmäßig überprüfen: 59 Prozent der 2025 untersuchten Vorfälle betrafen Umgebungen, in denen keine oder eine fehlerhaft konfigurierte Mehrfaktor-Authentifizierung eingesetzt wurde. Die Aktivierung auf allen kritischen Systemen gehört zu den wirksamsten Sofortmaßnahmen.
- Überwachung und Reaktionsfähigkeit sicherstellen: Unternehmen sollten gewährleisten, dass Sicherheitswarnungen und Vorfälle auch während Urlaubszeiten zeitnah bearbeitet werden – intern oder mithilfe eines Managed Detection and Response (MDR)-Services.
- Saisonkräfte einbeziehen: Temporäre Mitarbeitende sollten in Awareness-Programme aufgenommen und für typische Betrugsversuche sensibilisiert werden.
- Homeoffice- und WLAN-Richtlinien überprüfen: Die Nutzung öffentlicher Netze nimmt in der Urlaubssaison zu. Unternehmenszugriffe sollten entsprechend abgesichert und der Einsatz von VPN-Lösungen verbindlich geregelt werden.
- Incident-Response-Pläne testen: Klare Verantwortlichkeiten und erprobte Reaktionsabläufe helfen dabei, die Auswirkungen eines Sicherheitsvorfalls auch bei reduzierter Personalstärke zu begrenzen.
Sophos, ein global führender Anbieter von Cybersicherheitslösungen, schützt mehr als 600.000 Unternehmen weltweit mit dem branchenweit ersten KI-basierten Verteidigungssystem: einer einheitlichen, vernetzten Architektur, in der alle Kontrollpunkte als Einheit zusammenwirken. Unterstützt durch agentenbasierte KI und erstklassiges menschliches Fachwissen erkennt, untersucht und neutralisiert Sophos Bedrohungen, bevor sie zu geschäftsstörenden Ereignissen werden. In Zusammenarbeit mit einem globalen Netzwerk aus Managed Service Providern, Resellern und Technologiepartnern bündelt Sophos Erkenntnisse aus jeder auftretenden Bedrohung und jeder geschützten Umgebung, um die Verteidigung jedes Kunden noch stärker zu machen als zuvor. Sophos hat seinen Hauptsitz in Oxford, Großbritannien.
Weitere Informationen finden Sie unter www.sophos.de.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
