Zwischen Plätzchen und Phishing - Wenn der Weihnachtsstress auf den Social Engineer trifft

von Nadja-Maria

Die Weihnachtszeit ist im Unternehmen ein organisatorischer Ausnahmezustand mit Ansage. Urlaubslisten sind voll, Vertretungsregelungen kreativ, Projekte „unbedingt noch dieses Jahr“, dazu ein konstant hohes Kommunikationsaufkommen.

Parallel laufen Jahresabschlüsse, Lieferketten auf Volllast und interne Übergaben im Schnellverfahren. Kurz: Der Betrieb läuft – aber nicht mehr im Standardmodus.

Genau das macht den Dezember für Social Engineers so attraktiv. Nicht, weil Mitarbeiter unachtsam wären, sondern weil sich Entscheidungslogiken temporär verschieben. Wer im Juli hinterfragt, freigibt und abstimmt, entscheidet im Dezember oft pragmatischer. Der Angreifer weiß das und arbeitet nicht mit Technik, sondern mit Timing.

Warum im Dezember selbst sichere Prozesse ins Rutschen geraten

Im Normalbetrieb sind Zuständigkeiten klar, Freigabewege definiert, Rückfragen Routine. In der Weihnachtszeit wird vieles davon funktional vereinfacht. Aufgaben werden vertreten, Postfächer geteilt, Entscheidungen verkürzt. Gleichzeitig steigt das externe Kommunikationsvolumen spürbar: Rechnungen, Lieferavis, Vertragsnachträge, Projektabschlüsse.

Was das in der Praxis bedeutet: Eine E-Mail wirkt plausibel, weil sie in die Jahresendlogik passt. Eine Rechnung wirkt dringend, weil „alles noch vor Weihnachten raus muss“. Eine Anweisung wirkt glaubwürdig, weil Führungskräfte in dieser Zeit häufig selbst nur eingeschränkt erreichbar sind. Das System funktioniert, nur eben unter anderen Vorzeichen.

Die Klassiker im Weihnachtsgewand

Social Engineering trägt im Dezember kein Totenkopf-Logo, sondern Tarnkappe. Besonders häufig treten harmlos wirkende Varianten auf: Zahlungsaufforderungen angeblicher Dienstleister, die exakt zum aktuellen Projekt passen. Weitergeleitete E-Mails, die im Vertretungskontext „einfach schnell erledigt“ werden sollen. Knappe interne Anweisungen, die vom Stil her exakt zum hektischen Jahresendmodus passen.

Auch angebliche Versand- oder Lieferprobleme gehören zum typischen Bild. Der Dezember ist Hochsaison für Logistik, niemand wundert sich über Paketstörungen. Genau diese Alltäglichkeit macht die Angriffe so effektiv. Sie fallen nicht auf, weil sie nicht spektakulär sind.

Und der Datenschutz?

Was im ersten Moment wie ein reines IT- oder Finanzthema wirkt, wird spätestens dann zum Datenschutzfall, wenn personenbezogene Daten betroffen sind. Das ist bei Social Engineering nahezu immer der Fall. Zahlungsdaten, Kundendaten, Mitarbeiterinformationen, Zugangsdaten – alles personenbezogen, alles potenziell meldepflichtig.

Gelassen vorsorgen statt hektisch nachjustieren

Die gute Nachricht: Es braucht keine weihnachtlichen Sonderprogramme, um das Risiko realistisch zu begrenzen. Was funktioniert, ist saubere Organisation. Vertretungsregelungen sollten nicht nur namentlich festgelegt, sondern auch berechtigungstechnisch sauber umgesetzt sein. Zahlungsfreigaben gehören weiterhin in definierte Prozesse, unabhängig davon, wie voll der Urlaubskalender ist.

Eine kurze, saisonale Sensibilisierung wirkt oft stärker als jede formale Schulung. Wer seine Mitarbeitenden daran erinnert, dass im Dezember plausibel nicht automatisch korrekt bedeutet, schärft den Blick ohne Panikmache. Technische Schutzmechanismen sollten in dieser Phase nicht gelockert, sondern konsequent betrieben werden. Gerade Übergangszeiten sind kein Moment für großzügige Ausnahmeentscheidungen.

Ebenso wichtig: Klare Eskalationswege. Wenn reguläre Ansprechpartner nicht erreichbar sind, muss bekannt sein, wer entscheidet und auf welcher Grundlage.

Fazit

Die Weihnachtszeit ist kein Ausnahmezustand, aber ein realistischer Belastungstest für Organisation und Prozesse. Social Engineering nutzt keine technischen Sicherheitslücken, sondern situative Unsicherheiten im Ablauf. Unternehmen, die ihre Vertretungen, Freigaben und Zuständigkeiten strukturiert geregelt haben, reduzieren ihr Risiko erheblich ohne zusätzlichen Regelballast.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.