Aktuelle Cyberbedrohungen in der Schweiz 2026

IT Security

Die Sicherheitslage in der Schweiz ist 2026 komplexer geworden. Check Point Research und das Bundesamt für Cybersicherheit dokumentieren eine Zunahme der Angriffe. Pro Woche erleben Organisationen durchschnittlich 1’025 Cyberattacken. Diese Entwicklung verlangt eine Neubewertung der Sicherheitsprioritäten.

Insbesondere Ransomware, gezielte Spionageangriffe und Phishing-Kampagnen häufen sich. Unternehmen und Behörden müssen ihre Sicherheitsmaßnahmen verstärken. Es gilt, sowohl Vorbeugung als auch Reaktionsmechanismen zu verbessern.

Dieser Bericht kombiniert wichtige Erkenntnisse und bietet Handlungsempfehlungen. Er beinhaltet Anpassungen in der Regulierung und operative Tipps. Unser Ziel ist eine spürbare Verringerung der Cyberkriminalität in der Schweiz und eine gestärkte Resilienz.

Überblick zur Sicherheitslage in der Schweiz 2026

Die Sicherheitslage in der Schweiz zeigt komplexe Muster bei Cyberangriffen und IT-Risiken. Es gibt Hinweise auf Veränderungen in den Angriffszielen und -strategien. Geschäftsleute und öffentliche Stellen müssen ihre Schutzmaßnahmen anpassen.

Check Point Research berichtete im Oktober 2025 von durchschnittlich 1’025 Cyberangriffen pro Woche pro Organisation in der Schweiz. Dies stellt einen Rückgang von 29% im Vergleich zum Vorjahr dar. Im Vergleich, im DACH-Raum, lag der Durchschnitt bei 1’238 Attacken, was einen Rückgang von 9% bedeutet.

Im weltweiten Vergleich nahmen die Angriffe jedoch zu. Die Durchschnittszahl betrug global 1’938 Angriffe pro Woche je Organisation. Europa sah ein Wachstum von 4%, während Nordamerika einen Anstieg von 18% verzeichnete. Das größte Angriffsvolumen wurde mit nahezu 2’966 Angriffen pro Woche in Lateinamerika gemessen.

Betroffene Sektoren in der Schweiz

Sektoren wie Energie und Versorgung, Konsumgüter, Dienstleistungen, staatliche Einrichtungen, Telekommunikation sowie Gesundheitswesen sind besonders betroffen. Sie sind kritisch für die Infrastruktur oder verarbeiten sensible Daten.

Es ist wesentlich, die Verteidigungsmaßnahmen zu priorisieren. Betreiber kritischer Infrastrukturen müssen ihre Sicherheitsstrategien überprüfen und Risiken methodisch evaluieren. Durch branchenspezifische Sicherheitsvorkehrungen lassen sich Risiken minimieren.

Regulatorische Änderungen und Meldepflichten

Seit April 2025 müssen Betreiber kritischer Infrastrukturen bedeutende Cyberangriffe binnen 24 Stunden melden. Diese Pflicht ergibt sich aus dem aktualisierten Informationssicherheitsgesetz. Zudem erfordert das neue Datenschutzgesetz zusätzliche Meldungen bei Risiken für die Privatsphäre.

  • Frühwarnmechanismen implementieren, um Meldefristen einzuhalten.
  • Meldewege und Verantwortlichkeiten dokumentieren.
  • Branchenübergreifende Kooperation zur Eindämmung von Cybercrime Schweiz stärken.

Prävalente Angriffstypen und akute IT-Risiken

Die Bedrohungslage konzentriert sich auf wenige, aber wirkungsvolle Angriffsmuster. Organisationen sind zunehmend das Ziel von Cyberangriffen. Diese wandeln kurzfristig IT-Risiken in Betriebs- und Reputationsprobleme um. Es ist entscheidend, präventive Maßnahmen mit Priorität zu behandeln.

Ransomware war auch 2025 eine vorherrschende Bedrohung. Es wurden 801 Vorfälle öffentlich gemeldet, ein Anstieg um 48 Prozent gegenüber dem Vorjahr. Das zugrundeliegende Muster vereint Verschlüsselung mit Datendiebstahl. Das führt zu den sogenannten Double-Extortion-Szenarien.

Gruppen wie Qilin, Akira und Sinobi verwenden diesen hybriden Ansatz. Fälle in der Schweiz, wie bei Xplain und Concevis, sowie Angriffe auf Medien zeigen die finanziellen Auswirkungen. Sie führen zu langen Betriebsunterbrechungen. Sofortmaßnahmen schließen segmentierte Backups und schnelle Isolierung der betroffenen Systeme ein. Ebenso gehört die rechtliche Meldepflicht dazu.

Siehe auch  Datenschutz bei Apps: Welche Berechtigungen wirklich nötig sind

Phishing bleibt ein bevorzugter Weg für den Erstangriff. Kampagnen verwenden Namen von Diensten wie ESTV oder TWINT. Telefon-Betrug nutzt Social Engineering und technische Tricks. Ziel ist es, Mitarbeiter zur Herausgabe sensibler Daten zu verleiten oder sie zum Öffnen gefährlicher Anhänge zu bewegen.

Bei verdächtigen Anfragen sollte sofort der Kontakt abgebrochen werden. Das Bundesamt für Cybersicherheit überprüft keine Banktransaktionen am Telefon. Schulungen, mehrstufige Authentifizierung und Phishing-Tests senken die Erfolgschancen von Angreifern deutlich.

Lieferkettenangriffe verschärfen systemische Risiken. Mehrere Vorfälle legen offen, dass Daten bei Subunternehmern ungeschützt oder nicht gelöscht wurden. Diese Zwischenfälle werden zu Fragen der nationalen Sicherheit, wie der Ultra-Leak zeigt.

  • Hauptschwachstellen: fehlende Sicherheitsauflagen in Verträgen.
  • Unklare Regeln zur Datenaufbewahrung bei Drittanbietern.
  • Mangelnde Sorgfalt vor Vertragsabschluss.

Zwingende Sicherheitsstandards bei der Ausschreibung und überprüfbare Zugriffsrechte sind notwendig. Technische Kontrollen, regelmäßige Überprüfungen und strikte Löschfristen reduzieren Risiken von Drittparteien.

Empfehlung: Kritische Lieferanten sollten priorisiert inventarisiert werden. Verträge müssen Sicherheitsanforderungen enthalten. Es sind stichprobenartige Überprüfungen durchzuführen.

Hacker kombinieren oft mehrere Angriffsstrategien. Ein kompromittierter Dienstleister kann als Sprungbrett für weitere Angriffe genutzt werden. Daher ist ein umfassendes Risikomanagement wesentlich. Nur so lassen sich IT-Risiken effektiv minimieren und die Widerstandsfähigkeit gegenüber Cyberangriffen stärken.

Hackerwerkzeuge und neue Bedrohungen durch KI

Die Angriffslandschaft wird durch neue Hackerwerkzeuge und den Einsatz von KI verändert. Eine spezielle Gefahr entsteht, wenn GenAI zur automatisierten Generierung von Angriffsmaterialien eingesetzt wird. Unternehmen sollten diese Trends in ihrer Sicherheitsbewertung berücksichtigen.

GenAI als Angriffsvektor und Datenleck-Risiken

GenAI ist in der Lage, Phishing-Texte zielgerichtet zu erstellen und Sicherheitslücken detailliert aufzuzeigen. Berichten zufolge enthalten viele Anfragen vertrauliche Informationen. Deshalb ist es kritisch, strenge Regeln für den Umgang mit GenAI und Datenschutzmaßnahmen festzulegen.

Automatisierte Angriffe und komplexe Spionagekampagnen

Automatisierte Angriffe verwenden Skripte, um schnell Zielinformationen zu analysieren und wiederholbare Aktionen durchzuführen. Sie verbinden Schwachstellenscans, laterale Bewegungen und zielgerichtetes Ausspähen. Verhaltensanalysen und Echtzeitüberwachung spielen eine Schlüsselrolle bei der Minimierung von Infiltrationsrisiken.

Ransomware-Tools und Leak-Portale

Ransomware-Tools, die als Kits verkauft werden, erweitern die Angriffsfläche erheblich. Leak-Portale werden genutzt, um gestohlene Daten zu veröffentlichen und Lösegeldforderungen zu stellen. Forensische Untersuchungen und sicher verwahrte Backups sind entscheidend, um sich zu schützen.

  • Regelmäßige Bedrohungsanalysen sind unerlässlich.
  • Festlegung von GenAI-Governance und klaren Nutzungsregeln.
  • Implementierung von Echtzeitüberwachung und Threat Intelligence.
  • Die Bereithaltung von Backups, außerhalb des Standorts und unveränderlich.

Konkrete Schweizer Fallbeispiele und Lehren daraus

Die vorgestellten Fallbeispiele aus der Schweiz beleuchten verschiedene Sicherheitslücken. Sie betreffen Angriffsvektoren, Lieferkettenrisiken und deren operative Konsequenzen. Ziel ist es, aus diesen Vorfällen zu lernen.

Analyse von Xplain, Concevis und Ultra-Leak

Im Mai 2023 ereignete sich der Xplain Vorfall. Eine Double-Extortion-Attacke führte zum Diebstahl von 900 GB Bundesdaten. Diese Daten wurden später im Darknet veröffentlicht, was vertragliche Mängel aufzeigte.

Ein weiterer Vorfall traf Concevis im November 2023 durch einen Ransomware-Angriff. Hier wurden alte Verwaltungsdaten entwendet. Es zeigte sich das Fehlen wichtiger Sicherheitsmechanismen bei der Zusammenarbeit mit Dienstleistern.

Siehe auch  Bestes VPN: Vergleich, Sicherheit und Einsatzbereiche

Im Dezember 2023 offenbarte der Ultra-Leak mit ALPHV/BlackCat transnationale Sicherheitsrisiken. Kritische Dokumente der Schweizer Luftwaffe gelangten durch eine Sicherheitslücke bei einer US-Firma an die Öffentlichkeit.

Angriffe auf Behörden, Medien und KMU

Diversen Schweizer Behörden und Medienhäusern widerfuhren Cyberattacken. Hierunter fielen Angriffe auf das Erziehungsdepartement Basel-Stadt mittels BianLian sowie auf die Gemeinde Saxon durch die Play-Gruppe.

Medienkonzerne wie NZZ/CH Media verloren Daten durch ähnliche Angriffsweisen. Klein- und Mittelunternehmen (KMU), darunter BERNINA, wurden ebenso von ALPHV/BlackCat betroffen.

Diese Vorfälle hatten Datenverluste und operative Einschränkungen zur Folge. Der Personenschutz und die Quellensicherheit gerieten dabei unter erheblichen Druck.

Wiederkehrende Schwachstellen

  • Unzureichendes Patchmanagement
  • Fehlende Netzwerksegmentierung
  • Ausbleibende Multifaktor-Authentifizierung
  • Schwache Backup-Strategien
  • Unklare Verantwortlichkeiten bei Drittparteien

Regelmäßig auftretende Schwachstellen erhöhen das Risiko für Cyberangriffe in der Schweiz. Dem muss aktiv entgegengewirkt werden.

Konkrete Lehren und Handlungsfelder

  1. Vertragliche Sicherheitsanforderungen sollten verstärkt werden. Dabei ist auf verbindliche Audit-Rechte zu achten.
  2. Datenminimierung und effektive Löschkonzepte müssen Standard werden.
  3. Entwicklung und Überprüfung von Notfallplänen sowie sektorspezifischer Prävention sind essentiell.
  4. Die Nutzung koordinierter staatlicher Unterstützung durch NCSC/BACS ist empfohlen.

Diese Einsichten sind fundamental für eine dauerhafte Widerstandsfähigkeit. Die Fallstudien illustrieren, welche Maßnahmen Priorität haben sollten.

Strategien zur Prävention und operativen Resilienz (inkl. IT Security)

Technische, organisatorische und proaktive Maßnahmen formen ein abgestuftes Sicherheitskonzept. Es zielt darauf ab, die Wahrscheinlichkeit eines Schadensereignisses zu reduzieren, den entstehenden Schaden zu minimieren und eine rasche Wiederherstellung der Betriebsfähigkeit zu gewährleisten. Diese Empfehlungen basieren auf bewährten Praktiken. Sie eignen sich für Unternehmen und Behörden in der Schweiz.

  • Regelmässiges Patchmanagement und hartes Konfigurationsmanagement für Server, Endgeräte und Netzwerkkomponenten. Dies reduziert Angriffsflächen kurzfristig.
  • Netzwerk-Segmentierung und Zugangsbeschränkungen für sensible Systeme. Administrative Konten müssen zwingend Multi-Faktor-Authentifizierung verwenden.
  • Backup-Strategien mit isolierten, immutable Backups und Offsite-Kopien. Wiederherstellbarkeit ist periodisch zu testen.
  • Zugriffskontrollen nach dem Prinzip der minimalen Rechtevergabе. Rollenbasierte Zugriffssteuerung und detaillierte Protokollierung von Administratoraktionen sind verpflichtend.

Organisationale Maßnahmen und Lieferketten-Management

  • Verträge mit Dienstleistern sollten verbindliche Sicherheitsklauseln, Löschfristen und Auditrechte enthalten. Dies stärkt das Lieferanten- und Lieferketten-Management.
  • Due Diligence vor der Vergabe: Sicherheitsbewertungen von Drittanbietern und regelmässige Audits der Unterlieferketten.
  • Klare Governance mit Incident-Response-Plänen und definierten Verantwortlichkeiten. Meldewege an Behörden wie das National Cyber Security Centre (NCSC) oder den EDÖB sind festzulegen.
  • Regelmässige Schulungen für Mitarbeitende zur Sensibilisierung und praktischen Prävention von Social-Engineering-Angriffen.

Echtzeit-Überwachung, Threat Intelligence und KI-gestützte Prävention

  • Implementierung von SIEM- und XDR-Lösungen mit Echtzeit-Alerting. Automatisierte Playbooks beschleunigen Reaktionszeiten.
  • Nutzung von Threat Intelligence Feeds zur Erkennung von Indicators of Compromise und zur Priorisierung bekannter Taktiken.
  • KI-gestützte Detektion verbessert Anomalieerkennung und Vorhersagen, wenn Governance und Datenschutz sichergestellt sind. Risiken der KI-Nutzung sind aktiv zu managen.

Zum Erhöhen der operativen Resilienz kombinieren wir technische Grundschutzmaßnahmen, robustes Lieferketten-Management und kontinuierliche Echtzeit-Überwachung. Prävention und IT-Sicherheit sind fortlaufende Aufgaben. Sie müssen fest in Governance und Budget integriert sein.

Siehe auch  Wie funktioniert künstliche Intelligenz?

Empfehlungen für Unternehmen, Behörden und Privatpersonen

Zur raschen Erkennung und Eindämmung von Angriffen sind praktische Handlungsschritte nötig. Diese Empfehlungen zielen auf KMU, Verwaltungen und Einzelpersonen, die ein grundlegendes technisches Verständnis haben.

  • Benutzerkonten prüfen und überflüssige Zugänge entfernen. Multi-Faktor-Authentifizierung verpflichtend einführen.
  • Kritische Systeme schnell patchen. Regelmässige Patch-Zyklen einplanen und automatisieren, wo möglich.
  • Backups erstellen und Wiederherstellbarkeit mindestens quartalsweise testen.
  • Gezielte Phishing-Tests durchführen. Mitarbeitende auf verdächtige Anhänge und Links sensibilisieren.
  • Bei Ressourcenengpässen sofort forensische Hilfe und Incident-Response-Teams hinzuziehen.
  • Kooperation mit kantonalen Stellen und dem Nationalen Cyber-Sicherheitszentrum (NCSC) suchen.

Mitarbeiterschulungen

  • Kurze, wiederkehrende Trainings zum Erkennen von Phishing und Social Engineering durchführen.
  • Vorgehen bei verdächtigen Anrufen klar regeln. Beispiel: Prüfung von Absenderdaten vor jeder Zahlung.
  • Prozesse für Meldung und Eskalation einfach dokumentieren und zugänglich machen.

Compliance und rechtliche Pflichtenklarheit

  • Meldepflichten prüfen: Kritische Infrastrukturen sind verpflichtet, erhebliche Vorfälle zeitnah zu melden.
  • Vertragsverhältnisse zur Auftragsverarbeitung nach DSG klar regeln. Zuständigkeiten dokumentieren.
  • Sorgfältige Vorfall-Dokumentation führen. Diese dient Beweissicherung und Nachweis gegenüber Aufsichtsbehörden.

Reporting und Meldepflicht

  • Interne Reportingwege definieren und Verantwortliche benennen.
  • Meldepflichten an Behörden unverzüglich prüfen, wenn Personenrechte oder kritische Dienste betroffen sind.
  • Externe Meldungen so vorbereiten, dass sie rechtliche Anforderungen erfüllen und die Arbeit der Ermittlungsbehörden nicht behindern.

Kommunikation im Incident-Fall

  • Transparente, koordinierte Kommunikation planen. Interne Eskalationswege und externe Ansprechpartner festlegen.
  • Faktenbasierte Öffentlichkeitsarbeit priorisieren, um Vertrauen zu schützen.
  • Keine eigenmächtigen Lösegeldzahlungen ohne polizeiliche Beratung vornehmen.
  • Sensible Informationen, etwa Redaktions- und Quellenschutz bei Medienvorfällen, besonders schützen.

Durch die Kombination aus technischen Maßnahmen, klarer Compliance und geplanter Kommunikation, lässt sich das Risiko senken und die Wiederherstellungszeit verkürzen. Wichtig ist es, diese Empfehlungen regelmäßig zu überprüfen und an aktuelle Bedrohungen anzupassen.

Fazit

In 2026 sieht sich die Schweiz mit diversen Sicherheitsrisiken konfrontiert. Dazu gehören Ransomware, Phishing, Angriffe auf die Lieferkette und Risiken durch GenAI. Jede Woche werden rund 1’025 Angriffe registriert, was die Wichtigkeit von effektiver IT-Sicherheit und Resilienz hervorhebt.

Eine wirksame Verteidigung erfordert ein umfassendes Handeln. Dies beinhaltet technische Schutzmaßnahmen, klare vertragliche Anforderungen an Dritte, die Einhaltung von Regulierungen und eine proaktive Überwachung. Diese Kombination kann Cyberangriffe signifikant mindern und den Umfang von Cyberkriminalität in der Schweiz reduzieren.

Bei einem Sicherheitsvorfall zählt jede Minute. Eine sofortige Meldung an Behörden wie das Bundesamt für Polizei (Fedpol) und gezielte forensische Analysen sind entscheidend. Eine offene Kommunikation hilft, den Schaden zu begrenzen. Die durchdachte Anwendung dieser Strategien verbessert die Widerstandsfähigkeit nachhaltig.

Für die Zukunft sind fortwährende Bildung, die Steuerung von KI und internationale Partnerschaften von Bedeutung. Die stetige Schulung der Mitarbeiter und vereinheitlichte Standards verstärken den Schutz vor Cyberangriffen. Zusätzlich wird die Situation hinsichtlich Cyberkriminalität in der Schweiz merklich besser.

biztecit securitysecuritysicherheit