Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat
Nur wer weiss, welche Gefahren lauern, kann diesen effektiv entgegentreten. Der monatliche Bedrohungsradar von SwissCybersecurity.net zeigt, wovor man sich hüten sollte. Was im Februar die Schweizer Bedrohungslandschaft prägte, sagt Manuel Köpfli, CISO der Basler Verkehrs-Betriebe (BVB).
Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?
Manuel Köpfli: Wie bereits in den Vormonaten wird der Angriffsvektor Phishing wieder am häufigsten beobachtet. Das Ziel dieser Angriffe ist meistens die Kompromittierung von Identitäten, um mit diesen Identitäten via E-Mail weitere User zu kompromittieren, manipulierte Rechnungen zu versenden, CEO-Fraud zu begehen oder auch in Remotezugänge einzusteigen, um einen möglichen Ransomware-Angriff durchzuführen, wenn diese schlecht geschützt sind und beispielweise nicht über eine Multifaktor-Authentifizierung verfügen.
Verglichen mit dem Vormonat Januar zeigt sich wieder eine deutliche Zunahme an Ransomware-Vorfällen, welche gemessen am Impact das grösste Schadenspotenzial für Unternehmen mit sich bringen. Die häufigsten Einstiegspunkte für Ransomware-Angriffe sind schlecht geschützte Remotezugänge und Schwachstellen am Perimeter.
Wie kann man sich davor am besten schützen?
Die effektivste Methode, sich gegen den Angriffsvektor Phishing zu schützen, ist der Einsatz von phishing-resistenten MFA-Methoden, wie FIDO2 und Passkeys. Bei Ransomware sind geeignete Schutzmassnahmen unter anderem MFA-geschützte Remotezugänge, das Segmentieren des internen Netzwerks und ein eingespieltes und zügiges Patchen von Schwachstellen am Perimeter mit anschliessender Überprüfung, ob bereits eine Kompromittierung stattgefunden hat. Als genereller Schutz und Frühwarnung, falls ein Angreifer einen Weg in die Infrastruktur findet, ist ein 24/7-Security-Monitoring mit einem XDR-Stack unabdingbar, um einen Angreifer in einem frühen Stadium zu erkennen und mit einer effektiven Response zu reagieren, bevor Schaden entstanden ist.
Manuel Köpfli, CISO der Basler Verkehrs-Betriebe (BVB). (Source: zVg)
Welche Lehren können wir aus den Cybervorfällen des vergangenen Monats ziehen?
Phishing ist und bleibt einer der grössten Angriffsvektoren auf Unternehmen, der mit reiner Awareness nicht zu kontrollieren ist, solange keine vollständige Implementierung von phishing-resistenten MFA-Methoden stattgefunden hat.
Was sollten Schweizer Unternehmen jetzt tun – in Bezug auf die IT-Sicherheit?
Unternehmen, die das nicht schon tun, sollten ihre Remote- und SaaS-Zugänge mit MFA schützen. Wer 2026 dies nicht tut und sich nur auf Benutzernamen/Passwort-Kombination verlässt, wird in Zeiten von Agentic AI, Infostealern, Password Reuse und fehlender Awareness der Benutzerinnen und Benutzer früher oder später einen Angreifer im Netzwerk haben.
Wie wird sich die Bedrohungslandschaft in den nächsten Monaten wohl entwickeln?
Die Bedrohungslandschaft wird auch in der Schweiz immer komplexer. Der Trend und die Zunahme von Ransomware, gezielten Phishing-Kampagnen und Angriffen auf kritische Infrastrukturen, wie die Basler Verkehrs-Betriebe eine sind, werden sich wohl fortsetzen. Staatlich unterstützte Akteure fokussieren sich in der aktuell instabilen politischen Lage verstärkt auf Spionage. Wie stark unsere einzelnen Unternehmen gefährdet sind, hängt im Wesentlichen von der Attraktivität ab, die wir für den potenziellen Angreifer darstellen. Cloud-Sicherheitslücken und Supply-Chain-Attacken gewinnen an Bedeutung. Insgesamt steigt die Professionalität und Automatisierung der Angriffe mit dem Einsatz von KI weiter.
Welche Cyberrisiken oder -bedrohungen haben Sie derzeit besonders im Blick?
Patchmanagement ist und bleibt eine der herausforderndsten Security-Disziplinen, da hierfür ein möglichst lückenloses Exposure Management über Cloud, on-prem und Drittanbieter-Workloads notwendig ist, um auch potenzielle Schatten-IT zu identifizieren. Dem gegenüber steht die Agentic AI, die im Internet nach verwundbaren Systemen sucht und diese vollautomatisiert kompromittieren kann. Die Zeit, die bleibt, um eine Schwachstelle zu patchen, bevor sie ausgenutzt wird, reduziert sich somit zunehmend. Immer häufiger wird beobachtet, dass Unternehmen bereits kompromittierte Systeme patchen und sich danach in falscher Sicherheit fühlen, wenn der Angreifer bereits seine Hintertüre installieren konnte.
Was 2025 bisher geschah
- Was die Schweizer IT-Bedrohungslandschaft im Januar geprägt hat, lesen Sie hier (eine Einschätzung von Umut Yilmaz, CISO der Berner Kantonalbank (BEKB).
Was die Schweizer Bedrohungslandschaft in den vergangenen Jahren geprägt hat, lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Was die Schweizer IT-Bedrohungslandschaft im Februar geprägt hat
Europol zerschlägt zwei grosse Cybercrime-Dienste
Selbsthilfegruppe bei Frauenproblemen - speziell für Hobbits und Zwerge
Finanzbranche übt Reaktion auf systemischen Cyberangriff
Konsortium entwickelt Open-Source-Alternative zu Google Play Integrity
Katze meistert jedes Rätsel
KI-Angriffe setzen auf Masse statt Klasse
Falsche Banker und Polizisten machen Jagd auf Kontodaten
Diese Projekte treten zur Wahl des "Master of Swiss Web 2026" an
