Cyber Risk Index
Q3 / 2025
ITRIS Cyber Risk Index
Q3 / 2025 – ITRIS Cyber Risk Index 4,0 Prozent über Vorjahr
Der ITRIS Cyber Risk Index notiert am Ende des dritten Quartals auf 127,0 Punkten. Damit liegt er 2,6 Prozent tiefer als vor drei Monaten. Trotz des Rückgangs bleibt der mittelfristige Aufwärtstrend intakt. Der aktuelle Wert notiert rund 4,0 Prozent über dem Vorjahr. Der rollende 12-Monats- Durchschnitt erreicht mit 131,8 Punkten ein neues Rekordhoch.
Im dritten Quartal 2025 stiegen Cyberrisiken und -attacken eher an – in der Schweiz wie international. Besonders auffällig waren gezielte Angriffe auf wichtige Infrastrukturen, immer ausgeklügeltere Phishing-Attacken sowie vermehrte Angriffe auf Cloud-Dienste und IT-Lieferketten.
Der Rückgang des Index um 2,6 Prozent gegenüber dem Vorquartal (130,4) ist teilweise auf Faktoren zurückzuführen, welche keinen Zusammenhang mit der Bedrohungslage haben. Die Aktivitäten und Meldungen der Cybersecurity and Infrastructure Security Agency (CISA) sind wegen Massnahmen wie Haushaltskürzungen und störende Eingriffe der US-Regierung seit einigen Monaten nicht mehr aussagekräftig.
Hybrides Phishing mit MFA-Umgehung
Ende September häuften sich Meldungen über Phishing-Versuche, die E-Mails mit anschliessenden Fake-Support-Anrufen mit KI-generierter Stimme kombinierten. Die Taktik
soll den Druck auf die Opfer weiter erhöhen und deren Urteilsvermögen trüben. Zusätzlich gehören Methoden zum Umgehen von Multifaktor-Authentifizierung mittlerweile zum Standard. Selbst unerfahrene Cyberkriminelle können auf dem Schwarzmarkt hochentwickelte
Phishing-Werkzeuge mieten, während die Urheber im Hintergrund bleiben
(Quelle: BACS Wochenrückblick Woche 39, 30.09.2025)
Neue Techniken auch im SMS-Phishing
SMS-Phishing («Smishing») wird von Mobilfunkanbietern längst erfolgreich blockiert. Cyberkriminelle umgehen diese Sperre, in dem sie Nachrichten alternativ über das Internet via RCS- (Android) bzw. iMessage-Protokoll (Apple) versenden. Diese Nachrichten lassen sich leicht erkennen, da authentische kommerzielle Dienstleister diesen Kanal nicht nutzen. Dennoch haben sie Erfolg.
In der Westschweiz wurde nun ein höherer technischer Aufwand betrieben: Kriminelle verwendeten einen sogenannten SMS-Blaster – eine portable Mobilfunkstation, bei der sich Mobilgeräte in der Umgebung auf der Suche nach dem stärksten Funksignal automatisch einbuchen. Anschliessend werden echt wirkende Phishing-SMS an die Endgeräte zugestellt.
(Quelle: BACS Wochenrückblick Woche 36, 09.09.2025)
Anhaltende Kampagne gegen Nutzer von Salesforce
Zwei verbündete Gruppen von Cyberkriminellen starteten eine grosse Angriffswelle auf Unternehmen, die Salesforce als CRM-Plattform nutzen. Die Angreifer nutzten zunächst Vishing (Voice Phishing), um sich bei Zielunternehmen als IT-Support auszugeben. Unter Vorwand wurden die Mitarbeiter dazu gebracht, einer bösartigen, aber legitim erscheinenden App (z. B. „Salesforce Data Loader“) weitreichende API-Zugriffsrechte auf die Unternehmensdaten zu gewähren. Zwischenzeitlich wurde auch eine Sicherheitslücke in einem legitimen Salesforce-Addon des Anbieters Salesloft genutzt.
Anschliessend erpressten die Angreifer die Unternehmen damit, die gestohlenen Daten zu veröffentlichen. Mittlerweile rechnet man mit rund 1000 betroffenen Firmen, darunter bekannte Namen wie Cisco, Google, IKEA, Marriott, Louis Vuitton und Rover/Jaguar. Die Aufarbeitung bei den einzelnen Unternehmen dauert an, während die Kampagne weiter im Gange ist.
(Quelle: NZZ)
Angriffe auf kritische Flughafen-Systeme
Ransomware blieb eine grosse Bedrohung. Immer öfter griffen Täter wichtige Infrastrukturen an, um mehr Druck für Lösegeldzahlungen zu machen oder aus politischen Gründen grossen Schaden anzurichten. Ein gross angelegter Ransomware-Angriff auf ein weitverbreitetes Airline-Buchungssystem im September 2025 legte Check-in- und Boarding lahm. Die Folge war neben einem wochenlangen Luftverkehrschaos auch ein finanzieller Schaden, der Boden-Dienstleister und Airlines gleichermassen betraf. Auch hier dauert die Wiederherstellung des Regelbetriebes seit Wochen an. Dieser Vorfall zeigt, wie Cyberangriffe direkte Auswirkungen auf die physische Welt haben.
(Quelle: SRF)
Lieferkettenangriff auf beliebte Software-Paketverwaltung
Rund um den Globus setzen moderne Unternehmensanwendungen auf Module aus dem NPM-Ökosystem. Dort können bequem Pakete mit Bestandteilen für komplexe Softwareprojekte bezogen werden. Zwei Mal machten sich Angreifer das Fehlen einer Sicherheitsarchitektur bei NPM zunutze. Der eine infizierte Pakete, nachdem er die Paket-Entwickler mit gezieltem Spearphishing kompromittiert hatte. [1] Dem anderen gelang es, Schadcode einzuschleusen, der sich über die Rechner der Entwickler automatisch verbreitete und laufend neue Pakete übernahm – ein sogenannter Wurm. Kritiker bemängeln, dass fehlende Codeprüfung und die ausufernde Zahl von Abhängigkeiten in Softwareprodukten solche Situationen provozieren.
(Quelle: paloalto und CISA)
Schädliche Werbeanzeigen als Trend
Es häufen sich die Vorfälle, bei denen Suchmaschinen-Werbung missbraucht wird, um auf beliebte Suchanfragen wie «PDF bearbeiten» oder «Chrome installieren» mit gefälschten Resultaten zu antworten. Statt der gewünschten Software wird Malware installiert, die es auf Zahlungsinformationen und Passwörter abgesehen hat. Werbeeinblendungen stehen an erster Stelle noch vor echten Suchergebnissen und sind optisch kaum noch zu unterscheiden. Dies liegt im Interesse der Suchmaschinen, die mit Klicks auf Werbung Geld verdienen. Ein guter Werbeblocker könnte helfen – wäre da nicht der Interessenkonflikt mit Browseranbietern, die selbst durch Werbung Geld verdienen. So bleibt oft nichts anderes übrig, als Suchergebnissen weiterhin skeptisch gegenüberzutreten.
(Quelle: Medium)
Christian Studer, CEO von ITRIS One AG, kommentiert:
In der Schweiz markierte die Einführung der gesetzlichen Meldepflicht für Cyberangriffe auf kritische Infrastrukturen ab 1. April 2025 einen Paradigmenwechsel. Die erste Sechsmonatsbilanz des Bundesamtes für Cybersicherheit (BACS) lieferte erstmals eine offizielle, datengestützte Grundlage zur Bedrohungslage. Mit 164 gemeldeten Vorfällen wurde die reale Gefahr für Sektoren wie Finanzwesen, Energie und IT quantifizierbar. Gleichzeitig zeigten die wöchentlichen Meldungen des BACS eine Zunahme von psychologisch raffinierten Angriffen auf Unternehmen und Bevölkerung, darunter Deepfake-Betrug, kombinierte Phishing-Methoden und der Einsatz aufwändiger Technik wie mobiler SMS-Blaster.
Für Unternehmen und Behörden ergibt sich daraus die strategische Notwendigkeit, traditionelle Sicherheitskonzepte zu überdenken. Der Schutz muss sich vom reinen Perimeterschutz hin zu einem starken Fokus auf Identitätsmanagement, die rigorose Überprüfung von Drittanbietern (Supply-Chain-Sicherheit) und die Stärkung der menschlichen Firewall durch fortschrittliche Awareness-Massnahmen verlagern. Wir empfehlen insbesondere:
1. Digitale Lieferkette absichern:
Stoppen Sie die unkontrollierte Anbindung von Drittanbieter-Apps (z.B. in Kollaboration und CRM). Zentralisieren Sie die Freigabe und erzwingen Sie minimale Zugriffsrechte (Least Privilege). Jede App ist ein potenzielles Sicherheitsrisiko.
2. Identitätsschutz radikal verstärken:
Machen Sie Phishing-resistente Multi-Faktor-Authentifizierung (MFA) wie Hardware-Keys (FIDO2) für alle kritischen Konten (Admin, C-Level) zur Pflicht. Deaktivieren Sie unsichere Methoden wie SMS-Codes, da diese durch Social Engineering angreifbar sind.
3. Die „Menschliche Firewall“ aufrüsten:
Trainieren Sie Mitarbeiter gezielt auf neue Phishing-Techniken, Telefonbetrug (Phishing) und KI-Fälschungen (Deepfakes). Führen Sie eine strikte „Immer-Verifizieren“-Regel ein: Bei jeder unerwarteten, dringenden Anfrage muss eine Gegenprüfung über einen zweiten, bekannten Kanal (z.B. telefonischer Rückruf bei E-Mail) erfolgen.
Falls wir Ihnen bei der Umsetzung dieser Schutzmassnahmen mit unserem reichhaltigen Service-Portfolio helfen können, geben Sie uns gerne Bescheid.
