KnowBe4 eine renommierte globale Cybersicherheitsplattform, die sich umfassend mit dem Risikomanagement von Menschen und KI-gestützten Agenten befasst, stellt fest, dass saisonale Spitzenzeiten wie Black Friday und Weihnachten weiterhin zu den Zeiten mit dem größten Cyberrisiko für Unternehmen in ganz Lateinamerika zählen.
In dieser Zeit führen erhöhter digitaler Datenverkehr, ein höheres E-Mail-Aufkommen und die Überlastung der IT-Teams zu einer extremen Risikosituation. Verschärft wird dieses Szenario durch branchentypische Faktoren des Einzelhandels, wie den Einsatz ungeschulter Aushilfskräfte und die Komplexität von Multichannel-Umgebungen, die stationäre Geschäfte, E-Commerce, Anwendungen und Zahlungssysteme miteinander verbinden.
Laut dem Global Retail Report 2025 gehört der Einzelhandel zu den fünf am stärksten von Ransomware-Angriffen betroffenen Branchen weltweit. Die durchschnittlichen Kosten eines Datenlecks in diesem Segment beliefen sich 2024 auf 3,48 Millionen US-Dollar (IBM), ein Anstieg von 18 % gegenüber dem Vorjahr. Lateinamerika ist die zweithäufigste angegriffene Region und verzeichnet 32 % aller Angriffsversuche, direkt hinter Nordamerika (56 %). Brasilien zählt zu den fünf Ländern, die im Einzelhandel am stärksten von Ransomware betroffen sind.
Wie die häufigsten Betrugsmaschen funktionieren
Cyberkriminelle nutzen das beschleunigte Tempo und die verstärkte Kommunikation in dieser Zeit aus, um betrügerische Nachrichten einzuschleusen, die sich unter legitime Nachrichten mischen. Diese Angriffe betreffen sowohl Unternehmen, deren Systeme kompromittiert werden können, als auch Verbraucher, die im Rahmen von Online-Aktionen häufig persönliche Daten und Zahlungsdaten preisgeben.
Eine der häufigsten Betrugsmaschen besteht darin, gefälschte Werbeaktionen zu verbreiten, die Angebote großer Einzelhändler imitieren und Nutzer auf gefälschte Webseiten weiterleiten. Auf diesen Seiten werden Firmen- oder Privatzugangsdaten und Passwörter gestohlen und in unseriösen Foren verkauft.
Eine weitere gängige Taktik besteht darin, Nachrichten zu versenden, die technische Warnmeldungen wie Software-Updates, Passwort-Resets oder Lieferbenachrichtigungen imitieren. Professionell verfasst und täuschend echt wirkend, verleiten diese Mitteilungen den Nutzer dazu, auf Links zu klicken oder Anhänge zu öffnen. Dies führt zur Installation von Schadsoftware oder Spyware, die Aktivitäten überwachen, Session-Cookies stehlen und gespeicherte Zugangsdaten abgreifen kann.
Diese Betrugsmaschen nutzen psychologische Auslöser wie Dringlichkeit, Belohnung und Vertrautheit aus. Eine E-Mail, die beispielsweise von einem Kollegen oder der IT-Abteilung unterzeichnet ist, wird bei hohem Arbeitsaufkommen und engen Fristen seltener hinterfragt. Dadurch wird der Mensch zum primären Einfallstor für Cyberangriffe.
Risikominderung durch Kultur, Verhalten und kontinuierliche Weiterbildung.
Die Bekämpfung dieser Betrugsart erfordert einen Kulturwandel in Unternehmen. Kontinuierliche Sensibilisierungsprogramme und Phishing-Simulationen können die Wahrscheinlichkeit, dass Mitarbeiter mit schädlichen Nachrichten interagieren, innerhalb von 12 Monaten um bis zu 88 % senken. Der Bericht hebt hervor, dass die durchschnittliche Anfälligkeit für Phishing (Phish-prone™ Percentage) vor Schulungen bei kleinen Unternehmen 30,7 %, bei mittelständischen Unternehmen 32 % und bei großen Unternehmen 42,4 % beträgt. Nach 90 Tagen sinken diese Werte auf etwa 20 %.
„Diese Entwicklung zeigt, dass menschliches Verhalten als eine der wirksamsten Säulen bei der Abwehr von Cyberbedrohungen anerkannt wurde, insbesondere wenn Mitarbeiter lernen, subtile Anzeichen von Betrug zu erkennen, psychologische Manipulationstaktiken zu verstehen und sich aktiv an der Cybersicherheitsabwehr des Unternehmens zu beteiligen“, sagt Rafael Peruch, Technical CISO Advisor bei KnowBe4.
Neben Schulungen ist es unerlässlich, die internen Sicherheitsrichtlinien während saisonaler Schwankungen zu verstärken, Kommunikationswege zu überprüfen und die Multi-Faktor-Authentifizierung (MFA) in allen Systemen zu implementieren. Ressourcen wie Echtzeit-Coaching und automatisierte Phishing-Warnungen ermöglichen eine sofortige Reaktion auf Betrugsversuche.
„Automatisierung hilft bei der Erkennung von Bedrohungen, aber erst das menschliche Risikomanagement reduziert das Risiko wirklich. Mithilfe künstlicher Intelligenz können wir Verhaltensmuster identifizieren und Sensibilisierungsprogramme erstellen, die auf die jeweilige Organisation zugeschnitten sind“, so Peruch abschließend.
