Security-Briefing Dezember 2025: stabile Meldungen und weitere positive Zeichen für 2026

Der neue Halbjahresbericht des Bundesamts für Cybersicherheit (BACS) zeigt stabile Meldungseingänge. Und DDoS-Angriffe prallen ab. Weitere Themen: Angriffe auf Londoner Bürgerbüros, KI-gesteuerte Attacken, Grossrats-Phishing, WhatsApp-Datenabfluss und 7-Zip-Lücken.

Von Bruno Habegger · 11. Dezember 2025

Das Cybersicherheitsjahr 2025 geht zu Ende. Für das kommende Jahr dürften die Risiken nicht abnehmen, mit der KI dafür neue hinzukommen.

Der neue Halbjahresbericht des BACS zeigt: Im ersten Halbjahr 2025 sind die Meldungseingänge auf hohem Niveau stabil geblieben. Eine starke Zunahme gab es einzig bei «Werbung für Online-Anlagebetrug» (von 729 in der Vorjahresperiode auf 3485 Meldungen). 58 Prozent der 35'727 Meldungen betreffen allgemein Betrugsversuche. Phishing und damit auch Ransomware bleiben ein wichtiges Thema. Im ersten Halbjahr 2025 sind 57 Meldungen zu Ransomware-Angriffen eingegangen (+13).

Im Griff hat das BACS DDoS-Angriffe gehabt. Das Bundesamt war in Zusammenarbeit mit anderen Partnern für die Cybersicherheit am WEF, am Eurovision Song Contest und an der Frauenfussball-EM verantwortlich. «Sämtliche DDoS-Angriffe konnten abgewehrt werden», schreibt es in seinem Halbjahresbericht. Als gut geschützt erachtet es die kritischen Infrastrukturen. Seit dem Start der Meldepflicht sind 180 Meldungen eingegangen. Dank der guten Zusammenarbeit zwischen Staat, Wirtschaft und Bevölkerung werde die Cybersicherheit der Schweiz kontinuierlich gestärkt.

Weitere positive Zeichen in Sachen Cybersicherheit zum Jahresausklang:

  • Das BACS hat eine Cybersicherheits- und Resilienzmethode (CSRM) entwickelt. Sie befindet sich bis Ende Januar 2026 in einem Konsultationsverfahren. Organisationen und Unternehmen werden sie nutzen können, um ihre Widerstandskraft gegen Cyberrisiken zu stärken. Die CSRM basiert auf einem erweiterten Grundschutzansatz und umfasst fünf Schritte, die entweder streng sequenziell oder prioritätsgesteuert und Schritt für Schritt abgearbeitet werden können. Eine Umsetzung der CSRM führt laut BACS in der Regel auch zur Erfüllung der meisten Anforderungen des IKT-Minimalstandards. Mehr Informationen.
Die Cybersicherheits- und Resilienzmethode CSRM des BACS (Grafik: BACS)
  • Das BACS und das Bundesamt für Bevölkerungsschutz verstärken ihre Zusammenarbeit. Die Alertswiss-App verbreitet ab sofort auch Cyberwarnungen. Im Fall von grossflächigen oder neuartigen Cyberangriffen wollen die Behörden diesen neuen Kanal nutzen und konkrete Handlungsanweisungen vermitteln. Bei einem grossen Angriff seien nämlich die ersten Stunden und präventive Schutzmassnahmen entscheidend.
  • Laut Check Point Research sanken Angriffe auf Schweizer Firmen im vergangenen Oktober um 29 Prozent auf 1025 pro Organisation. Neuere Zahlen sind noch nicht verfügbar.
  • Die sogenannte «Funk- und Kabelaufklärung» ist nach einem neuen Urteil des Bundesverwaltungsgerichts nicht konform mit Bundesverfassung und Europäischer Menschenrechtskonvention. Es bestehe kein ausreichender Schutz vor Missbrauch, und es sei nicht gewährleistet, dass der Geheimdienst nur «erhebliche und richtige Daten» bearbeitet, schreibt die Digitale Gesellschaft Schweiz, die die Klage führte. Oft werden für solche Aufklärungsmassnahmen Sicherheitslücken in IT-Systemen ausgenutzt.
  • Sicherheitslücken wollen die Schweiz und die USA künftig gemeinsam im Projekt «A-Viper» schliessen. Das Forschungsprojekt will die automatisierte Software-Schwachstellenerkennung in sicherheitskritischen Systemen vorantreiben. Es wird gemeinsam vom Bundesamt für Rüstung (Armasuisse) und dem US Air Force Research Laboratory (AFRL) getragen.

Cyberangriffe

Angriffe auf Londoner Bürgerbüros

Drei Bezirksverwaltungen Londons schalteten nach Cyberangriffen die IT ab und schränkten zeitweise ihre Dienstleistungen ein. Auch Tage nach dem Angriff kämpften die IT-Teams mit den Folgen der Attacke. Es werde mehrere Wochen bis zur vollständigen Wiederherstellung dauern, schreiben die Behörden auf ihrer Website.

Mehr dazu

Logitech bestätigt Cyberangriff

Ein Cyberangriff auf das Schweizer Unternehmen Logitech hat zu einem mutmasslich grossen Datenabfluss geführt. Dabei sei eine Zero-Day-Sicherheitslücke in einer externen Softwareplattform ausgenützt worden. Laut dem Fachmagazin Inside IT steckt hinter dem Angriff vermutlich die Ransomware-Bande Clop, die seit Monaten eine Lücke in Oracles E-Business-Suite ausnutzt. Laut Logitech hat der Angriff keine negativen Auswirkungen auf das Unternehmen selbst. Es bleibt aber Details zum Schaden schuldig.

Mehr dazu

Anthropic meldet komplett KI-gesteuerte Angriffe

Die KI-Firma hat nach eigenen Angaben die erste KI-gesteuerte Cyber-Spionagekampagne vereitelt. Dabei habe die KI den Grossteil des Angriffs selbstständig durchgeführt. Möglich machen es Code-Assistenten und die Ausnutzung von Sicherheitslücken in den Sprachmodellen (LLMs). Im Blog zeichnet Anthropic den Angriff detailliert nach. Die gute Nachricht: Die KI hilft nicht nur den Hackern, sondern auch den Opfern.

Mehr dazu

Phishing-Welle gegen Basler Grossräte

Gemäss SRF sind mehrere Dutzend Basler Politikerinnen und Politiker scheinbar von anderen Ratsmitgliedern kontaktiert worden, mit der Bitte, möglichst rasch zurückzuschreiben. Die Phishing-Mails waren in Mundart verfasst. Laut Grossratspräsident Balz Herter sei niemand auf den Trick hereingefallen. Einmal mehr sei vor E-Mails gewarnt, die überraschend zu bestimmten Handlungen auffordern.

Mehr dazu

Monatlich die relevanten Entwicklungen bei der Digitalisierung der Schweiz
teaser-img
E-Gov-Briefing November 2025

Data Breach & Datenschutz

Luzerner Polizei: abgängige Personendaten

Personendaten von Mitarbeitenden der Luzerner Polizei und der Kantonspolizei Schwyz sind gemäss einer Mitteilung des Kantons nach einem Angriff auf eine inzwischen geschlossene Sicherheitslücke abgeflossen. Der Vorfall ist gemeldet worden. Die Luzerner Polizei, die die IT-Systeme der beiden Korps betreut, hat Strafanzeige eingereicht.

Mehr dazu

3.5 Milliarden WhatsApp-Profile gestohlen

Zum Glück waren es nur Wiener Sicherheitsforscher: WhatsApp leistete keinen Widerstand gegen das Absaugen von 3.5 Milliarden Profildaten. Möglich machte es eine Schwachstelle in einer Funktion, die nach Eingabe einer unbekannten Nummer die Anzeige des Profilfotos ermöglicht. Meta reagierte monatelang nicht auf die Meldung der Forscher.

Mehr dazu

Hintergrund

Cryptomixer.io zerschlagen

Die seit 2016 operative Geldwäscheplattform Cryptomixer.io ist von Europol beschlagnahmt worden. An der «Operation Olympia» waren Polizeibehörden Deutschlands und des Kantons Zürich beteiligt. Die Infrastruktur wurde in der Schweiz betrieben. Die Behörden konnten Kryptowährungen im Wert von rund 25 Millionen Euro sicherstellen. Cryptomixer dienen der Geldwäsche. Sie verschleiern und anonymisieren Transaktionen auf der Blockchain.

Mehr dazu

KI und Sicherheitslücken: Zensur

Zensur führt laut einer Analyse von Crowdstrike beim chinesischen KI-Modell Deepseek zu einer schlechten Codequalität mit schweren Sicherheitslücken. Das Problem tritt auf, wenn im Prompt bestimmte Begriffe auftauchen. Von einer Absicht gehen die Forscher nicht aus, jedoch beeinträchtigten inhaltliche Filter generell die Leistungsfähigkeit grosser Sprachmodelle.

Mehr dazu

KI und Sicherheitslücken: Agenten

Eine andere Schwachstelle tut sich im Zusammenhang mit KI-Agenten auf. Davor warnt selbst Microsoft, das stark auf solche KI-Systeme setzt. Das Problem: KI-Agenten erhalten erweiterten Zugriff auf Apps und Daten. Das öffnet neue Angriffsvektoren. Bestimmte Elemente können Instruktionen von KI-Tools überschreiben und sie zu bösartigem Verhalten bewegen. Palo Alto Networks beschreibt in einer neuen Analyse «Agent Session Smuggling». Mit der Methode können den Forschern zufolge gültige Authentifizierungssitzungen zwischen zwei Agenten gekapert werden.

Mehr dazu

Endgame für drei Ransomware-Gruppen

Rhadamanthys, VenomRAT und Elysium sind nicht mehr: Die von Europol und Eurojust koordinierte «Operation Endgame» hat zur Zerschlagung weiterer Ransomware-Gruppen geführt. Dabei sind laut Mitteilung 1025 Server abgestellt oder unschädlich gemacht worden.

Mehr dazu

Schwierige Sicherheitslage im Finanzsektor

Die Eidgenössische Finanzmarktaufsicht (Finma) sieht im Finanzbereich weiterhin eine schwierige Bedrohungslage: 37 % der Cybermeldungen betreffen unautorisierten Zugriff, 30 % DDoS, 14 % Identitätsmissbrauch und 9 % Malware. Die Behörde erwartet eine weitere Zunahme von Cyberangriffen. Die Komplexität moderner IT-Systeme und ihre starke Vernetzung identifiziert die Finma in ihrem neuen Risikomonitor 2025 als verstärkt wichtiges technisches Risiko.

Mehr dazu

Testen Sie jetzt Ihre Cybersicherheit
teaser-img
Kostenloser Abraxas Security-Check

Schwachstellen

React enthält höchst kritische Lücke

Die weit verbreitete JavaScript-Programmbibliothek React und die damit erstellten Apps enthalten eine klaffende Lücke, durch die Angreifer ohne Authentifizierung Angriffe starten und Systeme vollständig kompromittieren können. Die Lücke (CVE-2025-55182) ist mit CVSS 10 eingestuft worden – dem höchsten zu vergebenden Wert. Laut den Entwicklern ist das Problem inzwischen gelöst. Ein Patch wird dringend empfohlen.

Mehr dazu

Zwei Sicherheitslücken in Android-Smartphones

Laut Google werden zwei Schwachstellen (CVE-2025-48572 und CVE-2025-48633) bereits ausgenutzt, die in den Android-Versionen 13 bis 16 zu finden sind. Darum sollten unbedingt die zur Verfügung gestellten Sicherheitsupdates installiert werden. Google «flickt» monatlich nur noch besonders gefährliche Schwachstellen und verteilt restliche Sicherheitsupdates jeweils pro Quartal.

Mehr dazu

GitLab verwundbar

Die GitLab-Entwickler warnen vor gleich sechs Sicherheitslücken in der Softwareentwicklungsplattform, zwei davon sind als «hoch» eingestuft (CVE-2024-9183, CVE-025-12571). Sie können für DDoS-Angriffe oder zum Abgreifen von Nutzer-Zugangsdaten dienen. Die Schwachstellen sind inzwischen geschlossen.

Mehr dazu

Oracle Identity Manager jetzt patchen

Systeme mit Oracle Identity Manager sind verwundbar. Die kritische Sicherheitslücke CVE-2025-61757 gilt als «kritisch» und wird laut der US-Sicherheitsbehörde CISA gerade aktiv ausgenutzt. Der Fehler steckt in der REST-API und könnte für das Platzieren von Schadcode ausgenützt werden.

Mehr dazu

7-Zip: Sicherheitslücke wird ausgenützt

Die Sicherheitslücke CVE-2025-11001 wird laut dem nationalen Gesundheitsdienst von England derzeit aktiv ausgenützt. Die mit CVSS 7 eingestufte Lücke öffnet sich beim Verarbeiten von Archiven. Die neueren Versionen ab 25.00 enthalten die Schwachstelle nicht mehr. Nutzer müssen selbst aktiv werden und die neueste Version von der Download-Seite herunterladen.

Mehr dazu

Windows-Treiber sollen sicherer werden

Das Sicherheitsproblem Windows-Treiber will Microsoft in der nächsten Zeit beheben. Die Treiber sollen resilienter werden, um im Falle eines Fehlers nicht ganze Systeme in den Abgrund zu reissen. So dürfen etwa Antivirenhersteller oder Gerätehersteller künftig nur ausserhalb des Windows-Kernels operieren. Der Crowdstrike-Ausfall im vergangenen Jahr führte global zum Ausfall von Millionen von Windows-Systemen.

Mehr dazu

Angebote von Abraxas

Abraxas schützt Behörden, IT-Infrastrukturen und sensible Bürgerdaten umfassend

Abraxas Security-Check: Testen Sie Ihre Sicherheit

Bruno Habegger

Über Bruno Habegger

Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.

Lesen Sie auch

0 / 0