Cyber Risk Index
Q2 / 2025
ITRIS Cyber Risk Index
Q2 / 2025 – ITRIS Cyber Risk Index weiterhin auf hohem Niveau
Der ITRIS Cyber Risk Index (CRI) sank zum Ende des zweiten Quartals 2025 leicht von 138,9 auf 130,4 Punkte (Januar 2020 = 100 Punkte) und bewegt sich somit weiterhin auf einem sehr hohen Niveau.
Auch im zweiten Quartal 2025 war die Schweiz wieder Ziel vielfältiger, hochentwickelter Angriffe. Betroffen waren Privatpersonen und Unternehmen, darunter insbesondere kritische Infrastrukturen. Dabei dominierten massive Ransomware-Attacken und Angriffe auf nicht zügig behobene Schwachstellen in der IT-Ausrüstung. Wie üblich spielte Phishing eine Rolle als Grundtechnik und Einstiegspunkt in Firmennetze. Zum ersten Mal konnte eine ausgefeilte Art des Job-Betrugs beobachtet werden.
Angriffe auf Schweizer Gesundheitswesen
Die Stiftung Radix, ein Dienstleister für Gesundheitsförderung, wurde Opfer eines Ransomware-Angriffs. Im Anschluss erfolgte die Androhung, erbeutete Daten im Darknet zu veröffentlichen. Obwohl dies ein wesentlicher Bestandteil der Angriffsstrategie ist, bleibt oft auch Wochen später unklar, ob es sich um einen Bluff handelt. Wie mittlerweile bekannt ist, wurde die Drohung in diesem Fall wahr gemacht. Auch Kantone und Bund waren vom Datenleck betroffen. Der Gesundheitssektor zählt nach wie vor zu den beliebtesten und lukrativsten Angriffszielen für Cyberkriminelle. (Quelle: Admin)
Feiertage wurden bevorzugt für Ransomware-Attacken ausgenutzt
Im vergangenen Quartal konnten auffällig viele Ransomware-Angriffe während der Ostertage beobachtet werden. Bedrohungsakteure machten sich offenbar die verringerte Aufmerksamkeit an den Feiertagen zu Nutze. Was mit dem Eindringen in ein Firmennetz in Form von Phishing oder über direkte Angriffe auf die Firewall beginnt, kann schnell grössere Ausmasse annehmen. Diese Erfahrung musste unter anderem das Zuger Unternehmen Chain IQ machen, das beispielsweise die Lieferkette der UBS betreut. Die Daten von 130’000 Mitarbeitenden jener Bank finden sich nun ebenfalls im Darknet wieder. In ganz Europa kam es zu vergleichbaren Vorfällen. So hatte beispielsweise die bekannte Kaufhauskette Marks & Spencer mit einem Datenleck zu kämpfen und musste darüber hinaus auch die Bestellannahme über 1,5 Monate pausieren. (Quelle: Netzwoche und BBC)
Auch eine Art der Cyberbedrohung: Nordkoreanische Arbeiter unter Tarnidentität in Schweizer Firmen
Was früher als Drehbuch für einen Agentenfilm getaugt hätte, ist dank der Digitalisierung inzwischen auch in der Schweiz Realität: Auf offene Stellenausschreibungen im ICT-Sektor folgt eine Vielzahl KI-übersetzter Bewerbungen aus aller Welt. Oft befinden sich darunter hervorragende Kandidaten aus den USA. Bei der ersten Videokonferenz erscheint jedoch ein Bewerber, dessen schlechte Internetanbindung nicht so recht zum Bild des westlichen IT-Profis passen will. Nordkorea versucht, mittels Tarnidentitäten Sanktionen zu umgehen, um an Devisen und Wissen zu gelangen. Dies war bereits 2024 vereinzelt zu beobachten. Neuerdings bemüht man sich, diese Operation zu verschleiern. Dazu werden inländische Komplizen als Surrogates ins Bewerbungsgespräch geschickt. Der eigentliche Akteur arbeitet dabei im Hintergrund und zahlt dem offiziellen Angestellten eine Provision vom Lohn. (Quelle: Admin und NZZ)
KRITIS: Angreifern gelingt Öffnung von Staudamm in Norwegen
Fake-CAPTCHA: Neue Methode zur Verteilung von Schadsoftware
CAPTCHAs* sind kleine Prüfungen, mit denen Website-Betreiber echte Besucher von Bots unterscheiden können. Es handelt sich um eine lästige, aber etablierte Methode zur Abwehr von Überlastungsangriffen im Internet. Immer neue Varianten stellen dabei kreative Aufgaben. Dieses Prinzip machen sich Kriminelle zunutze: Ein vertraut wirkendes CAPTCHA gibt nun Tastenfolgen vor, die nachgeahmt werden sollen. Doch Vorsicht: Zuvor wurde ein Befehl in die Zwischenablage kopiert, der beim Drücken der entsprechenden Tasten auf dem eigenen Computer ausgeführt wird. Er startet eine Schadsoftware, die Zugangs- und Finanzdaten stiehlt. Unternehmen wird empfohlen, die Tastenkombination und/oder die Befehlsausführung per Rechteverwaltung zu unterbinden.
* CAPTCHA = «Completely Automated Public Turing Test to tell Computers and Humans Apart»
(Quelle: Security Insider)
Christian Studer, CEO von ITRIS One AG, kommentiert:
«Auch das zweite Quartal 2025 hat gezeigt, dass die Cyber-Bedrohungslage konstant bleibt. Die Stagnation des Index ist viel mehr darauf zurückzuführen, dass die Medienpräsenz nachgelassen hat, was auch mit der reduzierten Aktivität der Cybersicherheits-Agentur CISA in den USA zusammenhängt. Dennoch», mahnt Studer, « blieben Angriffe und Entwicklungen der Angriffstechniken nicht aus.» Allein in der Kalenderwoche 19 wurden dem BACS erneut 1’633 Vorfälle gemeldet – nur knapp weniger als der Rekord von 1’730 Vorfällen im Frühjahr. «Die Dunkelziffer ist wie üblich deutlich höher. Momentan arbeitet das BACS mit ähnlichen Behörden weltweit zusammen, um eine dezentrale und resiliente Cybersicherheitsarchitektur zu implementieren».
Auch Unternehmen sollten aktiv werden: «Die Allgegenwärtigkeit von Ransomware macht Notfallplanungen praktisch zur Pflicht. In der Regel kommt die Welle an Folgekosten und -risiken, die ein solcher Zwischenfall nach sich zieht, überraschend. Dem kann jedoch durch rechtzeitige Notfallplanungen zu Incident Response und Business Continuity vorgebeugt werden.» Studer ergänzt: «Mittlerweile floriert ein ganzes Business von Ransomware-Profis, denen ein Unternehmen nicht unvorbereitet gegenübertreten sollte.» Doch welche Lösungen gibt es für Unternehmen, die das nötige Know-How oder die Ressourcen nicht spontan aufbringen können? «Wir verfügen beispielsweise über ein Cyber Security Incident Response Team (CSIRT), damit sich unsere Kunden sowohl besser vorbereiten als auch im Ernstfall angemessen und schnell reagieren können», antwortet Studer.
