Christmas Scams: Wie immer smartere Angreifer Unternehmen und Käufer gleichermaßen ins Visier nehmen
Für den Handel, IT-Teams und alle anderen, die das Jahr erfolgreich abschließen wollen, ist der Dezember eine seltsame Mischung aus Rekordumsätzen, Last‑Minute‑Projekten und überfüllten Postfächern. Während Kunden nach Schnäppchen suchen und Mitarbeiter versuchen ihre Familienpläne und Deadlines zu koordinieren, bereiten Angreifer still und heimlich ihr eigenes „Cyber‑Weihnachtsfest“ vor – eine Zeit, in der Betrugsmaschen besonders lukrativ sind.
In diesem Artikel erklären wir, warum Cyberangriffe im Dezember zunehmen, führen durch die 12 beliebtesten Christmas-Scams und geben Ihnen konkrete Maßnahmen an die Hand, um Ihre Cybersicherheit während der Feiertage zu stärken – egal, ob Sie eine Microsoft 365‑Umgebung betreiben oder einfach nur vom Sofa aus sicher einkaufen möchten, ohne dabei auf weihnachtliche Phishing‑E-Mails in Ihrem Firmenpostfach hereinzufallen.
Warum Cyberangriffe in der Weihnachtszeit zunehmen
Während der Weihnachtszeit nehmen Cyberangriffe zu, da mehrere Risikofaktoren gleichzeitig auftreten:
- Menschen sind abgelenkt und unter Zeitdruck: Der Stress zum Jahresende führt dazu, dass Mitarbeiter E‑Mails und Freigaben nur überfliegen. Dadurch fallen sie eher auf Phishing, gefälschte Rechnungen und andere Social‑Engineering‑Angriffe herein.
- Mehr Online‑Shopping auf Firmengeräten: Mitarbeiter nutzen Firmenlaptops und ‑telefone für private Käufe, Lieferungen und Kontoanmeldungen. Das flutet die Postfächer mit Bestell‑ und Versandnachrichten, die Angreifer leicht fälschen können, um darin bösartige Links oder Anhänge zu verstecken.
- Sicherheitsteams sind unterbesetzt: Wenn IT‑ und SOC‑Teams über die Feiertage nur mit Minimalbesetzung arbeiten, verzögern sich Patches und Warnmeldungen werden langsamer untersucht. Dadurch vergrößert sich das Zeitfenster für erfolgreiche Angriffe und Vorfälle eskalieren leichter.
- Angreifer setzen KI und Automatisierung ein: Cyberkriminelle nutzen KI, um in großem Maßstab überzeugende, lokalisierte Phishing‑Nachrichten zu verfassen. Mithilfe moderner Phishing‑Kits können sie MFA‑Codes und Sitzungscookies stehlen, sodass Betrugsversuche wie normale Geschäftskommunikation aussehen.
- Erweiterte Angriffsfläche in der Cloud: Durch hybrides Arbeiten und die intensive Nutzung von Outlook, Teams, SharePoint, mobilen Apps und SaaS gibt es deutlich mehr Einstiegspunkte. Daher sind Zero‑Trust‑Prinzipien – kontinuierliche Verifizierung, geringstmögliche Rechte und robuste Wiederherstellungspläne – unerlässlich, um während des „Cyber‑Weihnachtsfests“ widerstandsfähig zu bleiben.
Cybersecurity Report 2026
Die Beschleunigung globaler Bedrohungen durch KI
Die 12 beliebtesten Scams zu Weihnachten
Der Ausdruck „12 Scams of Christmas“ begann als eingängiger Awareness‑Slogan, bleibt aber hängen, weil er zutrifft: Die gleichen Muster wiederholen sich jedes Jahr, nur mit neuem Branding und besseren Werkzeugen. Die meisten Weihnachtsscams missbrauchen Vertrauen in E‑Mails, Cloud‑Konten und Zahlungsprozesse – genau die Kanäle, auf die Unternehmen und Käufer am meisten angewiesen sind.
Gefälschte Bestellbestätigungen und Versandbenachrichtigungen
Die üblichen Verdächtigen: eine E‑Mail oder SMS, die angeblich von Ihrem bevorzugten Kurierdienst oder Marktplatz stammt und eine fehlgeschlagene Zustellung, eine zu zahlende Zollgebühr oder ein Problem mit Ihrem Konto meldet. Statt zu einem verlässlichen Tracking‑Portal führt der Link auf eine Seite, auf der sich Phisher und Malware‑Akteure tummeln.
Gerade in der Weihnachtszeit, in der viele auf mehrere Pakete warten, klicken selbst erfahrene Nutzer schneller.
Als Wohltätigkeitsaufrufe getarnte Weihnachts‑Phishing‑Mails
Der geschäftliche Schaden steigt, wenn Mitarbeiter Ihre geschäftlichen E-Mail-Adressen zum Shoppen verwenden oder auf gefälschte Zustellaktualisierungen klicken. Ein einziges kompromittiertes Konto kann schnell zu einer lateralen Bewegung im gesamten Microsoft 365-Mandanten führen.
Da Menschen im Dezember tendenziell großzügiger sind, intensivieren Angreifer ihre Phishing‑Kampagnen während der Weihnachtszeit und geben sich als bekannte Wohltätigkeitsorganisationen oder als dringende Katastrophenhilfen aus. Diese E‑Mails arbeiten häufig mit emotionaler Sprache, vertrautem Branding und knappen Fristen, um Benutzer auf gefälschte Spendenseiten zu locken.
Solche Kampagnen stehlen Kartendaten von einzelnen Spendern und zielen auch auf Unternehmen ab – beispielsweise durch „Unternehmensspenden“-Anfragen oder gefälschte Sponsoring‑Rechnungen. Überprüfen Sie die Website der Organisation direkt und spenden Sie ausschließlich über offizielle Kanäle, anstatt auf Links in E‑Mails zu klicken.
Betrug mit Gutscheinkarten und „dringenden CEO‑Anfragen“
Auch über die Feiertage macht Business Email Compromise keine Pause. Im Gegenteil: Angreifer nutzen saisonale Motive und senden Nachrichten, die scheinbar von Führungskräften stammen. Diese Nachrichten fordern Assistenten oder Finanzmitarbeiter auf, dringend Gutscheinkarten für Kunden oder Firmenfeiern zu kaufen. Das Geld wird über die Karten gewaschen und der Angreifer verschwindet.
Diese Maschen funktionieren, weil sie Autorität, Dringlichkeit und eine plausible Weihnachtsgeschichte miteinander verbinden. Klare interne Freigabeprozesse sowie eine Verifizierung über einen zweiten Kanal – etwa Teams oder Telefon – sind das beste Gegenmittel.
Manipulierte digitale Weihnachtskarten und Dateianhänge
Digitale Grußkarten sind eine nette Geste, eignen sich aber auch hervorragend als Tarnung für bösartige Links und Payloads. Gefälschte Kartenbenachrichtigungen oder „Weihnachtsfotosammlungen“ können Malware in Archivanhängen enthalten oder auf Drive‑by‑Download‑Seiten weiterleiten. Werden sie auf einem Unternehmensgerät geöffnet, kann der festliche Bildschirmschoner schnell zur ersten Stufe eines Angriffs werden.
Moderne E‑Mail‑Sicherheitslösungen können verdächtige Anhänge und Links in einer Sandbox analysieren, dennoch ist die Aufmerksamkeit der Nutzer nach wie vor wichtig. Wenn Sie keine Nachricht von einem Lieferanten erwarten, ist es sicherere, diese vor dem Öffnen zu überprüfen.
Kontoübernahme mittels Attacker‑in‑the‑Middle‑Kits
Mit Attacker‑in‑the‑Middle‑(AitM)‑Phishing‑Kits wird der Login-Verkehr zwischen Opfer und echtem Dienst abgefangen, sodass Angreifer Passwörter, Einmalcodes und Sitzungscookies stehlen können. Zu Weihnachten werden diese Kits hinter gefälschten Shopping‑, Kurier‑ oder Bonuszahlungs‑E‑Mails versteckt, die auf täuschend echte Login‑Seiten locken.
Hat ein Angreifer erst einmal Zugriff auf eine aktive Sitzung, kann er die Multi‑Faktor‑Authentifizierung umgehen und auf E‑Mails, Cloud‑Speicher und andere verbundene Dienste zugreifen. Von dort aus ist es nur noch ein kleiner Schritt bis zu internem Betrug oder Datendiebstahl.
Als Rechnungen getarnte, schädliche TXT‑ und DOC‑Anhänge
Der Cybersecurity Report von Hornetsecurity weist auf einen beunruhigenden Trend hin: TXT‑ und DOC‑Dateianhänge, lange als relativ harmlos angesehen, werden als neue Malware‑Träger missbraucht. Im Feiertagsstress sind gefälschte Rechnungen, Bestellübersichten und Versanddokumente in diesen Formaten ein einfacher Weg, Code an überlasteten Mitarbeitern vorbeizuschmuggeln.
Sind Ihre Filter nur auf klassische ausführbare Anhänge eingestellt, können diese neueren Formate durchrutschen. Sandboxing und Content‑Disarm‑and‑Reconstruct‑(CDR)‑Technologien erschweren es diesem Vektor erheblich, erfolgreich zu sein.
Vorsicht vor gefälschten Shopping-Websites und Deals, die zu gut klingen, um wahr zu sein
Jedes Jahr im Dezember tauchen gefälschte E‑Commerce‑Seiten auf, die echten Marken täuschend ähnlich sehen und oft zusätzlich durch bösartige Werbung oder Suchmaschinenmanipulation beworben werden. Sie locken ahnungslose Kunden mit zeitlich begrenzten Mega‑Deals für beliebte Gadgets, um Kartendaten und personenbezogene Informationen abzugreifen und dann über Nacht zu verschwinden.
Social‑Media‑Gewinnspiele und Influencer‑Imitationen
Auf sozialen Netzwerken erstellen Angreifer gefälschte Profile von Marken oder Influencern und versprechen riesige Weihnachts‑Giveaways oder Rabattcodes. Für die Teilnahme sollen Opfer einem Link folgen, persönliche Daten teilen oder eine App installieren, die stillschweigend Anmeldedaten abgreift.
Erinnern Sie Ihre Mitarbeiter daran, keine geschäftlichen E‑Mail‑Adressen oder Geräte für die Registrierung bei Social‑Media‑Aktionen zu verwenden – das ist der Schlüssel zur Risikominimierung.
Smishing‑Betrug in der Feiertagszeit
SMS‑basierte Angriffe (Smishing) nehmen zur Weihnachtszeit ebenso zu wie E‑Mail‑Betrug. Gefälschte Zustellbenachrichtungen, falsche Bankwarnungen und „Artikel ausverkauft, zur Bestätigung hier klicken“‑Nachrichten enthalten häufig kurze, verschleierte Links, die sich auf kleinen Bildschirmen schwer prüfen lassen.
Sobald ein Nutzer auf den Link geklickt hat, können mobile Browser und Apps automatisch Login‑Seiten öffnen oder zur Eingabe von Kartendaten auffordern. Erinnern Sie Ihre Mitarbeiter deshalb, SMS-Nachrichten mit der gleichen Vorsicht zu behandeln wie E‑Mails und auf Dienste über offizielle Apps oder gespeicherte Lesezeichen zuzugreifen.
Missbrauchte Freigabelinks und geteilte Laufwerke
Angreifer nutzen zunehmend geteilte Links in Cloud‑Diensten wie SharePoint, OneDrive und Teams aus. Ein scheinbar harmloser Link zu einem „aktualisierten Weihnachtsdienstplan“ oder Materialien für eine „Weihnachtskampagne“ kann in Wahrheit auf eine schädliche Datei oder ein Phishing‑Portal in einem kompromittierten Mandanten zeigen.
Da der Link von einem vermeintlich vertrauenswürdigen Kollegen oder Partner stammt, gewähren Mitarbeiter eher Zugriff oder melden sich unbedacht an. Deshalb ist es entscheidend, externe Freigaberichtlinien zu verschärfen und Zugriffsberechtigungen zu überwachen.
Mit Ransomware versehene „festliche“ Downloads
Kostenlose festliche Hintergrundbilder, Bildschirmschoner, Browser‑Erweiterungen oder Spiele verbergen nicht selten mehr als Schneeflocken und Jingles. Angreifer verpacken Loader und Remote‑Access‑Tools in scheinbar harmlosen Downloads und zählen darauf, dass Nutzer Kontrollen im Sinne von „nur ein bisschen Spaß“ umgehen.
Einmal im Netzwerk können diese Tools genutzt werden, um Ransomware zu platzieren, im Browser gespeicherte Passwörter zu stehlen oder sich seitlich auf sensiblere Systeme zu bewegen. Anwendungskontrollen und die Einschränkung lokaler Administratorrechte auf Endgeräten senken dieses Risiko deutlich.
Xmas‑Kampagnen gegen Lieferanten und die Supply Chain
Angreifer wissen, dass der schnellste Weg in ein gut geschütztes Unternehmen oft über einen kleineren Zulieferer führt. Im Dezember verstärken sie daher gezielte Kampagnen gegen Lohnabrechner, Marketingagenturen und andere Drittparteien, um echte E‑Mail‑Threads zu kapern und betrügerische Zahlungsdaten oder Malware einzuschleusen.
Solche Supply‑Chain‑Kampagnen zu Weihnachten sind schwer zu erkennen, weil sie echte Beziehungen und laufende Projekte missbrauchen. Unverzichtbar sind die Verifizierung von Änderungen bei Bankverbindungen sowie das Monitoring von Drittanbieter‑Konten auf ungewöhnliches Verhalten.
Cybersicherheit in der Weihnachtszeit: Praktische Schutzmaßnahmen
Feiertagsbedrohungen sind nicht unbesiegbar. Ziel ist nicht Perfektion, sondern Resilienz. Durch die Kombination intelligenter Technologieentscheidungen mit klaren Prozessen und regelmäßigen Awareness‑Trainings können Sie die Auswirkungen von Christmas-Scams auf Ihr Unternehmen und Ihre Mitarbeiter deutlich reduzieren.
Missbrauch von E‑Mails und Zusammenarbeit schwieriger machen
E‑Mails bleiben die Eintrittsstelle Nummer eins für weihnachtliche Cyberangriffe – deshalb ist ein mehrschichtiger Schutz Pflicht. Fortgeschrittene Filter, die signaturbasierte Erkennung mit KI‑gestützter Analyse kombinieren, können verdächtige Links, TXT‑ und DOC‑Anhänge sowie Attacker‑in‑the‑Middle‑Angriffe abfangen, bevor sie Endanwender erreichen.
Ergänzend hilft Security‑Awareness‑Training mit kurzen, häufigen Simulationen in der Feiertagszeit, damit Mitarbeiter Köder in Outlook, Teams und sogar im privaten Postfach erkennen.
Resilienz mit unveränderlichen Backups und festgelegtem Reaktionsplan stärken
Da Ransomware weiterhin zu den Top‑Bedrohungen zählt, sind unveränderliche Backups von Microsoft 365 und anderen kritischen Systemen nicht verhandelbar. Backups sollten logisch von der Produktion getrennt, vor Manipulation geschützt und regelmäßig getestet werden – damit Sie genau wissen, wie lange eine Wiederherstellung dauert.
Ebenso wichtig ist es, Ihren Notfallplan vor den Feiertagen zu testen. Wer nimmt den ersten Anruf am Heiligabend entgegen, wenn etwas schiefgeht? Wie kommunizieren Sie mit Mitarbeitern, wenn die E‑Mail-Verbindung ausfällt? Das Üben solcher Szenarien verwandelt Theorie in Routine.
Scams ganzjährig im Blick behalten
Auch wenn der Dezember wie das Hauptereignis wirkt, sind Christmas-Scams nur eine saisonale Variante der ganzjährigen Angriffsmuster. Die gleichen Techniken tauchen zur Steuerzeit, bei großen Sportereignissen und bei Shopping‑Festivals in anderen Regionen auf. Phishing‑Taktiken entwickeln sich das ganze Jahr über weiter – nicht nur zu Weihnachten.
Am besten aufgestellt sind Organisationen, die Cybersicherheit in der Weihnachtszeit als Teil einer umfassenderen Resilienzstrategie betrachten: mehrschichtige Schutzmaßnahmen rund um Microsoft 365, starke Identitätskontrollen, unveränderliche Backups und kontinuierliches Security‑Awareness‑Training für alle.
Wenn Sie sehen möchten, wie das in Ihrer eigenen Umgebung aussieht, fordern Sie eine kostenlose Testversion an und entdecken Sie, wie Hornetsecurity Ihnen hilft, Scams zu Weihnachten – und auch jeder anderen saisonale Kampagne von Angreifern – einen Schritt voraus zu sein.
