Angreifer richten sich nach organisatorischen Rhythmen. Urlaubsabwesenheiten, lückenhafte Vertretungsregelungen und ausgesetzte Kontrollprozesse bieten Schwachstellen, die gezielt ausgenutzt werden können. Juli und August gehören laut dem im Frühjahr 2026 veröffentlichten Stoïk Cyber Schadensbericht zu den schadensintensivsten Monaten des gesamten Jahres. Besonders deutlich zeigt sich das aktuell in der Hotellerie.
Der Anteil betroffener Hotels ist nach Zahlen von Stoïk in den vergangenen Monaten von 2,67 Prozent auf 7,04 Prozent gestiegen. Innerhalb dieses Sektors zeigt sich aktuell ein konkretes Angriffsmuster: 44 Prozent der Vorfälle in diesem Sektor waren E-Mail-basiert, 36 Prozent Datendiebstähle. Über Phishing werden dabei in Datenbanken wichtige Informationen und Credentials gestohlen. Anschließend verschicken die Angreifer gefälschte Zahlungsaufforderungen an Gäste. Drei typische Fälle verdeutlichen diese Angriffsmuster.
Vertretung in der Buchhaltung
Gerade im Sommer kann es schnell passieren: Die Buchhalterin ist im Urlaub, ein Kollege springt ein. Eine E-Mail, scheinbar vom Geschäftsführer, fordert eine Überweisung im fünfstelligen Bereich. Die Formulierung klingt dringend und vertraulich. Da die eigentlichen Ansprechpartner fehlen, überweist die Vertretung den Betrag.
Neben E-Mail-Angriffen zählen laut Cyber Schadensbericht 2025 Kompromittierungen internet-exponierter Systeme (8 Prozent), Ransomware (6 Prozent) und Datendiebstahl (6 Prozent) zu den häufigsten Vorfällen im Sommer.
Änderung der Bankverbindung
In den Monaten Juni bis August 2025 waren 69 Prozent aller bei Stoïk gemeldeten Vorfälle E-Mail-bezogen. Fälle dieser Art sind im Stoïk-Portfolio unter anderem mit einem Schaden im Millionenbereich dokumentiert. Lieferantenimitation und Rechnungsbetrug wie beim folgenden Fall gehören sogar zu den drei häufigsten Angriffsmustern der Sommermonate.
Mitte August trifft bei einem Bauunternehmen eine E-Mail ein. Sie hat das richtige Logo, verweist auf den richtigen Ansprechpartner und ist zudem noch professionell formuliert. Im Text der E-Mail steht, die Bankverbindung des langjährigen Lieferanten habe sich geändert. Der zuständige Einkäufer ist im Urlaub, seine Vertretung leitet die neue IBAN weiter. Als der Lieferant Wochen später mahnt, fällt der Betrug auf.
Verzögerter Schaden
Ein dritter Angriffstyp entfaltet seine Wirkung verzögert. Ein Mitarbeiter arbeitet beispielsweise aus dem Urlaub remote, verbindet sich über Hotel-WLAN mit dem Firmen-VPN. Ein Infostealer auf seinem Gerät greift Zugangsdaten ab. Im Oktober stellt die IT fest: Seit Wochen läuft eine unbekannte Session im System, Kundendaten wurden kopiert.
Der Cyber Schadensbericht aus dem Frühjahr zeigt vor diesem Hintergrund ein deutliches Muster. Im Oktober und November steigt die Zahl der Credential Breaches deutlich an. Das ist ein verzögerter Effekt von Kompromittierungen im Sommer. 40 Prozent aller Angriffe starteten über VPN- oder Zugangsdaten-Kompromittierung. Ransomware blieb im Sommer mit durchschnittlich 31 Tagen Verweildauer deutlich länger unentdeckt als im Jahresdurchschnitt von 22 Tagen.
Prävention beginnt vor dem Urlaub
Im Sommer bieten sich den Betrügern viele Gelegenheiten für ihre Angriffe an. Daher sollten sich Unternehmen vorbereiten und die Risiken in dieser Zeit ernst nehmen. Vertretungsregelungen sollten vor Urlaubsbeginn schriftlich festgelegt sein. E-Mails, die Druck erzeugen und Rückfragen unterbinden, gehören grundsätzlich über einen zweiten Kanal verifiziert. Änderungen von Lieferantenbankverbindungen erfordern immer eine direkte Bestätigung. Schäden, die im Sommer entstehen, werden oft erst Wochen später sichtbar. Der Risikozeitraum reicht bis weit in den Herbst.
