Cyber Risk Index
Q4 / 2025
ITRIS Cyber Risk Index
Q4 / 2025 – ITRIS Cyber Risk Index tendiert im vierten Quartal 2025 nach unten
Der Cyber Risk Index (CRI) powered by ITRIS notiert zum Ende des vierten Quartals 2025 bei
116,6 Punkten (Januar 2020 = 100 Punkte). Damit hat sich der CRI mit einem Minus von 8,1 Prozent gegenüber dem Vorquartal weiter vom Rekordhoch gelöst. Im vergangenen Quartalsbericht meldeten wir einen Rückgang von 2,1 Prozent. Der rollende 12-Monats-Durchschnitt notiert bei 129,7 Punkten und liegt damit nicht weit vom Rekordhoch von 131,8 Punkten im September 2025 entfernt.
Das 4. Quartal 2025 stand im Zeichen umfangreicher Ransomware-Angriffe auf KMU. Zudem lag es im Trend, grosse Unternehmen über ihre Technologiedienstleister anzugreifen.
Christian Studer, CEO von ITRIS One AG, kommentiert:
«Der Rückgang des ITRIS Cyber Risk Index Ende 2025 darf nicht als Entwarnung missverstanden werden. Ein Blick auf die Vorfälle des vierten Quartals 2025 zeigt eine qualitative Verschiebung der Bedrohungslage. Während im dritten Quartal bereits die Abhängigkeit von Drittanbietern deutlich wurde, hat sich dieser Trend im vierten Quartal massiv verstärkt.
Wir sehen eine Krise der Lieferkettensicherheit: Angreifer nutzen nicht mehr zwingend die «Vordertür», sondern nutzen legitime Zugänge von Dienstleistern oder veraltete Mitarbeiter-Credentials. Parallel dazu steigt die Raffinesse durch den Einsatz generativer KI und psychologisch fundiertes Social Engineering.»
Unsere Handlungsempfehlungen:
1. Third-Party Risk Management (TPRM) verschärfen
Die Fälle von Oracle und Salesforce zeigen, dass die Sicherheit der eigenen Daten vom schwächsten Glied in der Lieferkette abhängt. Massnahmen: Führen Sie strenge Audits bei externen Dienstleistern durch. Minimieren Sie die Datenmengen und Berechtigungen, die Drittanbieter erhalten (Least-Privilege-Prinzip). Dabei kann eine Privileged Access Management (PAM)-Lösung behilflich sein.
2. Identitätsmanagement und Offboarding automatisieren
3. Integration in Krisenstäbe (BACS/Alertswiss)
Da der Bund nun über Alertswiss vor schweren Cybergefahren warnt, muss diese Informationskette auch in Ihrem Unternehmen ankommen. Integrieren Sie die Alertswiss-Meldungen in Ihr Business Continuity Management (BCM). Im Falle einer nationalen Warnung müssen IT- und Krisenteams sofort alarmiert werden. Gleichzeitig soll sichergestellt werden, dass auch Meldungen von Incidents an das BACS vorgesehen sind.
4. Sensibilisierung gegen «Social Engineering 2.0»
Angreifer nutzen zunehmend Deepfakes, um sich als fremde Institutionen auszugeben (z.B. «Recovery Scam»). Schulen Sie deshalb Ihre Mitarbeitenden und Kunden. Behörden und Dienstleister fordern niemals Daten oder Gebühren, um «gefundenes» Geld oder Waren freizugeben. Verifizieren Sie ungewöhnliche Anrufe (auch vom «Support») stets durch einen Rückruf auf einer offiziellen Nummer.
Neue Betrugsmasche «Fake Recovery»
Das Bundesamt für Cybersicherheit BACS warnt Ende 2025 vor Betrügern, die sich bei Opfern von Online-Anlagebetrug melden und ihnen vorgaukeln, sie hätten ihr verlorenes Geld «gefunden». Statt eine Rückzahlung vorzunehmen, fordern sie Gebühren oder Vorauszahlungen – eine Rückerstattung erfolgt jedoch nicht. Die Anzahl dieser sogenannten «Fake Recovery Scam»-Fälle ist im vergangenen Jahr stark angestiegen. Die Betrüger nutzen gefälschte Dokumente, erfundene Behörden und teils auch Telefonanrufe. BACS-Tipps: Keine Vorauszahlungen leisten, Absender prüfen, keine Anhänge öffnen und bei Verdacht Anzeige bei der Kantonspolizei erstatten.
(Quelle: BACS Wochenrückblick Woche 51, 23.12.2025)
Komplexes Phishing mit Meeting-Einladungen
Auch im vergangenen Quartal wurden wieder kreative Möglichkeiten gesucht, um E-Mail-Filter zu umgehen. Dazu zählen auch komplexe Verkettungen von Meeting-Einladungen, Sharing-Benachrichtigungen und Newslettern, die missbräuchlich über legitime Softwarepartner verschickt werden. Inzwischen wurde beobachtet, dass Angreifer zudem gezielt nach Konfigurationsfehlern in Cloud- und Mailsystemen suchen, die ihnen die erfolgreiche Zustellung von glaubwürdig aussehenden Phishing-Nachrichten ermöglichen.
(Quelle: Microsoft)
Integration von Warnungen vor schweren Cyberbedrohungen in Alertswiss
Das Bundesamt für Cybersicherheit (BACS) und das Bundesamt für Bevölkerungsschutz (BABS) haben am 13. November 2025 ihre Warnsysteme miteinander verknüpft. Dadurch ist es möglich, die Bevölkerung im Falle gross angelegter Cyberangriffe direkt per Push-Mitteilung über die Alertswiss-App zu warnen. Dieser Schritt ist notwendig geworden, da Cyberangriffe auf Infrastrukturbetreiber zu flächendeckenden Störungen, wie Ausfällen des Verkehrs- oder Stromnetzes, führen können. Zudem schafft sich das BACS so die Möglichkeit, bei künftigen, neuartigen Angriffstypen unmittelbar Handlungshinweise herausgeben zu können.
(Quelle: Medienmitteilung Bundesrat)
Ransomware-Welle gegen Schweizer Unternehmen
Gegen Ende des Jahres 2025, insbesondere im Dezember, verzeichneten Schweizer Unternehmen mehrere erfolgreiche Angriffe durch etablierte Ransomware-Gruppen. So wurde das Tessiner Unternehmen Sarmap SA am 2. Dezember von der Gruppe «Everest» angegriffen, wobei rund 300 GB geografische Daten exfiltriert wurden. Am 11. Dezember, bekannte sich die Gruppe «Akira» zu einem Angriff auf die ABECO Zumtech Drucklufttechnik AG und drohte mit der Veröffentlichung sensibler Firmendaten. Zum Jahresabschluss traf es am 30. Dezember die Auforum AG, bei der die Gruppe «Qilin» 74 GB Daten stahl. Diese Serie von Angriffen verdeutlicht, dass Schweizer KMU weiterhin ein bevorzugtes Ziel für Datenerpressung sind.
(Quelle: Zumtech, BACS Wochenrückblicke)
Kampagne gegen Oracle-Instanzen: Logitech und Washington Post unter Opfern
Von Oktober bis November 2025 nutzte die Ransomware-Gruppe «Clop» Zero-Day-Lücken in der Oracle E-Business Suite für weltweite Angriffe gegen mehr als 100 Unternehmen. Besonders sichtbar wurde dies am 13. November 2025, als die Washington Post melden musste, dass Daten von über 9000 Mitarbeitenden gestohlen wurden. Am 16. Dezember 2025 bestätigte auch der Schweizer Peripheriegerätehersteller Logitech einen Datenabfluss, nachdem persönliche Daten auf Dark-Web-Marktplätzen angeboten worden waren. Dabei gelangten die Angreifer über die Datenbank eines externen Softwaredienstleisters an die Datensätze.
(Quelle: Heise, Reuters)
Angriffe auf Nutzer des Salesforce-Ökosystems
Im Herbst wurden gleich mehrere Schwachstellen in der Software von Drittanbietern für das Salesforce-Ökosystem ausgenutzt. In der Folge war es möglich, auf die Daten einer grossen Zahl betroffener Salesforce-Kunden zuzugreifen. Nach Erpressungsversuchen wurden Datenlecks veröffentlicht, darunter im Oktober Qantas Airways mit 5,7 Millionen Kundendatensätzen, sowie weitere Weltmarken. Der Vorfall gilt als einer der grössten Supply-Chain-Leaks des Jahres und macht das Risiko grosser SaaS-Dienstleister deutlich.
(Quelle: The Guardian)
Zerschlagung von Geldwäschedienst «Cryptomixer»
Anfang Dezember 2025 gelang schweizerischen und deutschen Strafverfolgungsbehörden in einer koordinierten Aktion ein Schlag gegen die Infrastruktur der Cyberkriminalität. Der Dienst «Cryptomixer», der neben Drogenhändlern und Waffenschiebern auch von Ransomware-Banden zur Geldwäsche genutzt wurde, konnte abgeschaltet werden. Dabei wurden Kryptowährungen im Wert von über 25 Millionen Euro beschlagnahmt. Die Server standen im Kanton Zürich. Obwohl der beschlagnahmte Betrag gemessen an den üblichen Umsätzen dieser Banden gering ist, konnten mehrere Terabyte Daten über die bisherigen Nutzer zur Auswertung sichergestellt werden.
(Quelle: Watson)
Kundendatenlecks als gezieltes Erpressungsmittel
Die ING-Bank, Discord und Nissan waren Ziel von Erpressungsversuchen, nachdem unterschiedliche Bedrohungsakteure in die Systeme ihrer externen Datendienstleister eingedrungen waren. Dabei wurden sensible persönliche Kundendaten, wie Ausweiskopien zur Altersverifizierung, Kontonummern, Adressbücher und detaillierte Marketingdaten gestohlen. Von solchen Vorfällen sind nicht nur die betroffenen Kundinnen und Kunden, sondern auch die Unternehmen entlang der Lieferkette betroffen. Unabhängig davon, wie Datensparsamkeit bewertet wird, steigt mit zunehmender Datenmenge auch die Verantwortung für deren Schutz. Entsprechend liegt es im Interesse der Auftraggeber, bei der Zusammenarbeit mit Dienstleistern ein möglichst hohes Sicherheitsniveau sicherzustellen.
(Quelle: Technadu, Cybersecurefox)
Über den ITRIS Cyber Risk Index
Der ITRIS Cyber Risk Index misst die Cyberrisiken. Dabei werden unter anderem Hackerangriffe, Betrugsversuche und Schwachstellen in den IT-Netzwerken analysiert. Ausgewertet werden Inhalte von Medien, Reaktionen von Internetnutzern sowie offizielle Informationen von Behörden. Je höher der Index, desto grösser ist die Bedrohungslage.
ITRIS One AG ist ein Schweizer IT-Serviceprovider für agile und sichere ICT-Infrastrukturen & Services: Netzwerk, Datacenter, Cyber Security, Cloud, Smart Workplace und Collaboration.