Cyber Risk Index
Q1 / 2026
KI-gestütztes Social Engineering – Angreifer erkunden Möglichkeiten
Q1 / 2026 – Der ITRIS Cyber Risk Index steht am Ende des ersten Quartals 2026 bei 123,8 Punkten.
Der Cyber Risk Index (CRI) powered by ITRIS notiert Ende des ersten Quartals 2026 bei 123,8 Punkten (Januar 2020 = 100 Punkte). Er liegt damit 6,2 Prozent über dem Wert von Ende 2025 (116,6 Punkte). Im Vorquartal war der Index noch um 8,1 Prozent gesunken. Der rollierende 12-Monats-Durchschnitt liegt mit 124,4 Punkten leicht unter dem Rekordhoch von 131,8 Punkten im September 2025.
Generelle Bedrohungslage
Die Bedrohungslage hat sich im ersten Quartal 2026 weiter verschärft. Zwar war die Zahl der Angriffe pro Unternehmen in der Schweiz im Jahresvergleich leicht rückläufig, doch die Methoden der Angreifer sind deutlich raffinierter geworden. Besonders auffällig war der verstärkte Einsatz von Künstlicher Intelligenz für fehlerfreie Phishing-Mails und Deepfake-Betrug. Besonders betroffen waren das Gesundheitswesen, die Energieversorgung und die öffentliche Verwaltung.
Die seit April 2025 geltende Meldepflicht für kritische Infrastrukturen unterstreicht die Dimension des Problems. Im ersten Jahr gingen beim BACS 325 Meldungen ein, rund ein Viertel davon stammte aus dem Bereich der öffentlichen Verwaltungen.
Christian Studer, CEO von ITRIS One AG, kommentiert:
«Der Anstieg des ITRIS Cyber Risk Index im ersten Quartal 2026 bestätigt unsere seit Längerem bestehende Beobachtung. Die Bedrohungslage schwankt zwar in ihrer Intensität, nicht jedoch in ihrer Grundtendenz, die langfristig nach oben zeigt.
Besonders beunruhigend ist für uns die neue Qualität der Angriffe. Die Fälle des Quartals zeigen ein Muster: Die Angreifer loten mittlerweile die Möglichkeiten des KI-geführten Social-Engineering aus, um besonders effizient psychologischen Druck aufzubauen. Die anschliessende Verschlüsselung von Servern kann bei vielen Unternehmen abgefangen werden. Zusätzliche Hebel sind der Datendiebstahl und die Drohung, gestohlene Informationen zu veröffentlichen und damit das Image zu schädigen. Nicht zu vergessen sind selbst bei begrenztem Schaden die Kosten für Wiederherstellung, Betriebsunterbruch oder Lieferausfälle.
Gleichzeitig zeigt die Schweizer Meldepflicht für kritische Infrastrukturen Wirkung: 325 Meldungen im ersten Jahr – also fast täglich ein Vorfall – dokumentieren die Ernsthaftigkeit der Lage. Dass rund ein Viertel der Meldungen öffentliche Verwaltungen betrifft, sollte ein Weckruf sein.
Unsere klare Empfehlung: Investieren Sie jetzt in automatisiertes Identitätsmanagement, verschärfen Sie Ihr Third-Party-Risk-Management und schulen Sie Ihre Mitarbeitenden gezielt gegen die neuen KI-gestützten Social-Engineering-Methoden wie ClickFix und Real-Time-Phishing.»
Unsere Handlungsempfehlungen:
1. Identitätsmanagement als erste Verteidigungslinie
Der international folgenreichste Vorfall des Quartals – der Wiper-Angriff auf Stryker über ein einziges kompromittiertes Admin-Konto – zeigt, dass privilegierte Zugriffsrechte streng verwaltet werden müssen (Privileged Access Management, Just-in-Time-Access). Automatisieren Sie das Offboarding ehemaliger Mitarbeitender konsequent.
2. Schutz gegen KI-gestütztes Social Engineering
3. Domains als Vermögenswerte behandeln
Betrüger übernehmen häufig automatisch aufgegebene Firmen-Webadressen. Reservieren Sie deshalb ähnliche Domains und halten Sie Ihre Domains auch nach Geschäfts- oder Projektaufgabe. Pflegen Sie ausserdem die bei Dienstleistern hinterlegten E-Mail-Adressen unter diesen Domains.
4. Meldepflicht und BACS-Integration
Nutzen Sie den Cyber Security Hub und die Alertswiss-Anbindung des BACS, um entsprechende Warnungen in Ihr Business-Continuity-Management zu integrieren.
ClickFix: Technische Täuschung statt CAPTCHA
Angreifer umgehen Schutzmechanismen gegen Internet-Bedrohungen zunehmend, indem sie technische Tricks mit Social Engineering kombinieren. Dies basiert auf dem Trend, dass immer mehr CAPTCHA-Anfragen gestellt werden. Diese sollen Webseiten vor einer Flut unerwünschter Bot-Zugriffe schützen, die durch illegitimes KI-Training ausgelastet werden. Beim «ClickFix»-Ansatz werden Nutzer durch gefälschte Browserfehler oder CAPTCHA-Aufforderungen dazu gebracht, schädliche Befehle selbst in der Kommandozeile ihres Computers auszuführen. Dabei installieren sie jedoch Infostealer, die Zugangsdaten, Cookies und Krypto-Wallets auslesen und als Sprungbrett für Ransomware dienen. Generell empfiehlt es sich, keine Kommandozeilen-Befehle aus dem Internet auf dem Computer auszuführen.
Malvertising
Eine andere Methode ist das sogenannte Malvertising. Dabei werden Werbebotschaften im Stil von Suchergebnissen platziert, beispielsweise bei Google. Diese Werbeeinblendungen sind schwer als solche zu erkennen und erscheinen stets vor den echten Suchergebnissen. Angreifer fälschen bevorzugt beliebte Websites oder Download-Angebote für beliebte Programme. Abhilfe schafft ein guter Werbeblocker.
Real-Time-Phishing
Parallel dazu beobachtet das BACS eine weltweite Realtime-Phishing-Welle, die sich auf Microsoft SharePoint konzentriert. Die Opfer melden sich auf der echten Microsoft-Plattform an, während die Angreifer in Echtzeit das Passwort sowie gegebenenfalls einen zweiten Faktor abgreifen und sofort zur Kontoübernahme nutzen. Sofern die 2FA in der dabei angegriffenen Organisation optional war (durch Mitarbeiter freiwillig aktiviert), wurde sie in diesem Zuge deaktiviert. Andernfalls wurde sie durch einen eigenen Code-Generator oder gar ein Device-Token ergänzt.
Quellen:
Betrug wird physisch: Fake-Firmen, Inserate und Hausbesuche
Digitale Maschen verlagern sich zunehmend in die analoge Welt. Betrüger kopieren echte Schweizer Firmen ohne eigene Website, erstellen professionelle Fake-Auftritte und schalten Stelleninserate nicht nur online, sondern neu auch in Druckmedien, um Vorauszahlungen und sensible Daten von Bewerbenden zu ergaunern. Gleichzeitig geben sich die Täter als Mitarbeitende von Behörden – teils sogar als BACS – aus. Sie kombinieren Telefonanrufe mit Remotezugriff und treten neu auch persönlich an der Adresse der Opfer auf. Zudem hat der CEO-Betrug deutlich zugenommen: 2025 wurden 971 Fälle gemeldet (2024: 719). Dabei werden verstärkt KI-generierte Stimmen und Deepfakes genutzt, um Zahlungsanweisungen glaubwürdig erscheinen zu lassen.
Quellen:
Ablenkung und Altlasten: Subscription Bombing und Domain-Missbrauch
Neben direkten Angriffen setzen Cyberkriminelle zunehmend auf Ablenkung und Vertrauensmissbrauch. Beim «Subscription Bombing» wird das Postfach beispielsweise mit Tausenden legitimen Newsletter-Bestätigungen geflutet, um etwa eine wichtige Bankwarnung zu überdecken. Da die E-Mails technisch korrekt signiert sind, greifen klassische Spamfilter kaum. Ein weiteres Risiko ist der Missbrauch aufgegebener Domains: Nicht verlängerte Adressen werden übernommen, um unter bekannten Namen Fake-Shops zu betreiben, Phishing-Mails zu versenden oder über reaktivierte Mailkonten Passwörter zurückzusetzen – mitunter unter dem Vorwand eines «Liquidationsausverkaufs» eines angeblichen Nachfolgers. Beide Muster zeigen, wie wichtig ein aktives Management digitaler Altlasten für Unternehmen und Privatpersonen geworden ist.
Quellen:
Ransomware-Angriff auf Trisa AG
Der Schweizer Traditionshersteller Trisa ist Opfer der Cybercrime-Gruppe «The Gentlemen» geworden. Die Angreifer behaupteten, rund 1 Terabyte an Daten mit der «Lynx»-Ransomware exfiltriert zu haben. Dank einer raschen Reaktion konnten Produktion und Lieferfähigkeit grösstenteils aufrechterhalten werden. Bekannte Fälle wie dieser sollten jedoch nicht darüber hinwegtäuschen, dass zeitgleich zahllose kleinere Unternehmen angegriffen wurden.
Quelle:
Wiper-Angriff auf Stryker Corporation
Der folgenreichste Vorfall ereignete sich beim Medizintechnik-Riesen Stryker: Eine Cybercrime-Gruppe kompromittierte ein einzelnes Microsoft-Intune-Admin-Konto und löschte damit aus der Ferne 80’000 bis 200’000 Arbeitsgeräte der gesamten Belegschaft. Die Lieferkette des Konzerns wurde massiv gestört, was globale Auswirkungen hatte, die sich auch in der Schweiz manifestierten. Der Vorfall verdeutlicht zudem die potenzielle Gefahr durch MDM-Systemen in den falschen Händen.
Quelle:
Ransomware-Angriffe gegen Spitäler zeigen reale Auswirkungen auf Patienten
Spitäler zählen nach wie vor zu den bevorzugten Zielen von Ransomware-Akteuren. Schnell zeigt sich, dass derartige Angriffe unmittelbare Auswirkungen auf Patienten haben. Exemplarisch sei hier der Angriff der Medusa-Ransomware-Gang auf das University of Mississippi Medical Center (UMMC) genannt, dessen 35 Krankenhäuser zeitweise schliessen mussten. Elektive Operationen wurden abgesagt und elektronische Patientendaten waren neun Tage lang nicht verfügbar. Beim belgischen Krankenhaus AZ Monica in Antwerpen mussten aufgrund eines Angriffs Server heruntergefahren werden, wodurch Betrieb, Terminplanung und Teile der Notfallversorgung beeinträchtigt wurden. Auch hier mussten Operationen verschoben und Patienten verlegt werden. In beiden Fällen konnte das kritische Risiko eines möglichen Patientendatenverlustes nicht ausgeschlossen werden.
Quelle:
Über den ITRIS Cyber Risk Index
Der ITRIS Cyber Risk Index misst die Cyberrisiken. Dabei werden unter anderem Hackerangriffe, Betrugsversuche und Schwachstellen in den IT-Netzwerken analysiert. Ausgewertet werden Inhalte von Medien, Reaktionen von Internetnutzern sowie offizielle Informationen von Behörden. Je höher der Index, desto grösser ist die Bedrohungslage.
ITRIS One AG ist ein Schweizer IT-Serviceprovider für agile und sichere ICT-Infrastrukturen & Services: Netzwerk, Datacenter, Cyber Security, Cloud, Smart Workplace und Collaboration.