Cyberrisiken in der Urlaubszeit
22.06.2026
Foto: © Montri - stock.adobe.com
Urlaubsabwesenheiten, lückenhafte Vertretungsregelungen und ausgesetzte Kontrollprozesse bieten Schwachstellen, die gezielt von Betrügern ausgenutzt werden können. Angreifer richten sich nach diesen organisatorischen Rhythmen. Juli und August gehören laut dem im Frühjahr 2026 veröffentlichten Stoïk Cyber Schadensbericht zu den schadensintensivsten Monaten des gesamten Jahres. Besonders deutlich zeigt sich das aktuell in der Hotellerie.
Der Anteil betroffener Hotels ist nach Zahlen von Stoïk in den vergangenen Monaten von 2,67 Prozent auf 7,04 Prozent gestiegen. Innerhalb dieses Sektors zeigt sich aktuell ein konkretes Angriffsmuster: Über Phishing werden in Datenbanken wichtige Informationen und Credentials gestohlen. Anschließend verschicken die Angreifer gefälschte Zahlungsaufforderungen an Gäste. Für Versicherer bedeutet das eine erhöhte Wahrscheinlichkeit auf Schäden in den Sommermonaten. Drei typische Fälle verdeutlichen diese Angriffsmuster.
Gerade im Sommer kann es schnell passieren: Die Buchhalterin ist im Urlaub, ein Kollege springt ein. Eine E-Mail, scheinbar vom Geschäftsführer, fordert eine Überweisung im fünfstelligen Bereich. Die Formulierung klingt dringend und vertraulich. Da die eigentlichen Ansprechpartner fehlen, überweist die Vertretung den Betrag.
Neben E-Mail-Angriffen zählen laut Cyber Schadensbericht 2025 Kompromittierungen internet-exponierter Systeme (8 Prozent), Ransomware (6 Prozent) und Datendiebstahl (6 Prozent) zu den häufigsten Vorfällen im Sommer.
In den Monaten Juni bis August 2025 waren 69 Prozent aller bei Stoïk gemeldeten Vorfälle E-Mail-bezogen. Fälle dieser Art sind im Stoïk-Portfolio unter anderem mit einem Schaden im Millionenbereich dokumentiert. Lieferantenimitation und Rechnungsbetrug wie beim folgenden Fall gehören sogar zu den drei häufigsten Angriffsmustern der Sommermonate.
Mitte August trifft bei einem Bauunternehmen eine E-Mail ein. Sie hat das richtige Logo, verweist auf den richtigen Ansprechpartner und ist zudem noch professionell formuliert. Im Text der E-Mail steht, die Bankverbindung des langjährigen Lieferanten habe sich geändert. Der zuständige Einkäufer ist im Urlaub, seine Vertretung leitet die neue IBAN weiter. Als der Lieferant Wochen später mahnt, fällt der Betrug auf.
Ein dritter Angriffstyp entfaltet seine Wirkung verzögert. Ein Mitarbeiter arbeitet beispielsweise aus dem Urlaub remote, verbindet sich über Hotel-WLAN mit dem Firmen-VPN. Ein Infostealer auf seinem Gerät greift Zugangsdaten ab. Im Oktober stellt die IT fest: Seit Wochen läuft eine unbekannte Session im System, Kundendaten wurden kopiert.
Der Cyber Schadensbericht zeigt vor diesem Hintergrund ein deutliches Muster. Im Oktober und November steigt die Zahl der Credential Breaches deutlich an. Das ist ein verzögerter Effekt von Kompromittierungen im Sommer. 40 Prozent aller Angriffe starteten über VPN- oder Zugangsdaten-Kompromittierung. Ransomware blieb im Sommer mit durchschnittlich 31 Tagen Verweildauer deutlich länger unentdeckt als im Jahresdurchschnitt von 22 Tagen.
Die häufigste Einfallspforte für Angreifer im Sommer ist eine organisatorische Lücke, und das macht sie besonders relevant bei der Risikobeurteilung. Makler sollten das Thema vor der Urlaubszeit proaktiv im Kundendialog platzieren und gemeinsam prüfen, ob Vertretungsregelungen, das Vier-Augen-Prinzip und die Verifikation von Zahlungsanweisungen sauber umgesetzt sind. Kompromittierungen aus dem Sommer werden häufig erst im Oktober oder November sichtbar, wenn Zugangsdaten bereits wochenlang missbraucht wurden. Wer dieses verzögerte Schadensmuster kennt, kann Meldungen in der Herbstsaison besser einordnen. (mho)
Fallstricke bei Anbieterwechsel und Kapitalübernahmen
