Die Semperis-Studie »2025 Holiday Ransomware Risk Report« zeigt: Unternehmen sind an Wochenenden, Feiertagen und nach Firmenereignissen wie Fusionen oder Entlassungsrunden besonders gefährdet. Unterbesetzte SOCs und Lücken bei Korrektur und Wiederherstellung von Identitätssystemen vergrößern das Risiko.

Die aktuelle Studie »2025 Holiday Ransomware Risk Report« von Semperis unterstreicht, dass Unternehmen an Wochenenden, Feiertagen und nach großen Firmenereignissen besonders verwundbar bleiben. Reduzierte Sicherheitsbesetzung, organisatorische Unruhe und unklare Verantwortlichkeiten eröffnen Angreifern häufig ideale Zeitfenster.

Die Ergebnisse machen deutlich, dass Cyberkriminelle gezielt Zeiträume ausnutzen, in denen Organisationen weniger aufmerksam sind oder strukturell bedingte Ablenkungen vorliegen. 52 Prozent aller Unternehmen weltweit waren an Wochenenden oder Feiertagen betroffen; in Deutschland lag der Anteil bei 50 Prozent.

Bemerkenswert ist zudem die personelle Unterbesetzung im Sicherheitsbetrieb. 78 Prozent der Unternehmen reduzieren ihre SOC-Kapazitäten an Wochenenden und Feiertagen um mindestens die Hälfte. In Deutschland liegt dieser Wert mit 87 Prozent deutlich höher, und 7 Prozent fahren die Besetzung sogar vollständig herunter.

Anzeige

Gründe für reduzierten Personal-Einsatz:

• 62 Prozent der Unternehmen möchten ihren Mitarbeitern eine Work-Life-Balance bieten (Deutschland: 58 Prozent)
• 47 Prozent gaben an, dass ihr Unternehmen an Feiertagen und Wochenenden geschlossen ist (Deutschland: 57 Prozent),
• und 29 Prozent glaubten, dass sie nicht angegriffen werden würden (Deutschland: 29 Prozent).

52 Prozent aller befragten Firmen wurden an Feiertagen oder Wochenenden angegriffen (Deutschland: 50 Prozent). (Grafik: Semperis)

Vorsicht bei Fusionen und Entlassungsrunden

Auch öffentlich bekannte Veränderungen im Unternehmen erhöhen das Risiko erheblich. 60 Prozent der Befragten erlebten einen Angriff nach einem prominenten Firmenereignis. Besonders betroffen waren Organisationen nach Fusionen und Übernahmen (Deutschland: 60 Prozent), gefolgt von Entlassungsrunden und Börsengängen.

Nach Einschätzung von Chris Inglis, der erste U.S. National Cyber Director und Semperis Strategic Advisor, begünstigen reduzierte Wachsamkeit, organisatorische Unruhe und fehlende Governance ein Umfeld, in dem Ransomware-Akteure gezielt agieren: »Wachsamkeit ist in diesen Zeiten wichtiger denn je, denn die Beharrlichkeit und Geduld der Angreifer kann zu langanhaltenden Betriebsunterbrechungen führen. Darüber hinaus führen wesentliche Unternehmensereignisse wie Fusionen und Übernahmen oft zu Ablenkungen und Unklarheiten in Bezug auf Governance und Rechenschaftspflicht – genau das Umfeld, in dem Ransomware-Gruppen gedeihen.«

Entdeckung ja, Korrektur, nein?

Gleichzeitig zeigt die Studie Fortschritte im Bereich Identity Threat Detection and Response (ITDR): 90 Prozent der Befragten gaben an, dass ihre Pläne Schwachstellen in Identitätssystemen entdecken. Allerdings beinhalten nur 45 Prozent der Pläne Korrekturverfahren (Deutschland: 53 Prozent), und nur 63 Prozent automatisieren die Wiederherstellung des Identitätssystems (Deutschland: 62 Prozent).

Für den Report wurden 1.500 IT- und Sicherheitsexperten aus Europa, Nordamerika und Asien-Pazifik befragt.