Das Bundesamt für Cybersicherheit (BACS) hat seine Jahresbilanz veröffentlicht. Bis Ende Jahr gingen 222 Pflichtmeldungen über Cyberangriffe auf kritische Infrastrukturen ein – also rund eine Meldung pro Tag. Die Meldepflicht gilt seit dem 1. April 2025. Seit Oktober 2025 werden bei unterlassener Meldung Bussen fällig.
Der Bundesrat will nun kritische Infrastrukturen besser gegen Ausfälle aller Art schützen. Auch die wichtigsten elektronischen Daten von Bund, Kantonen und kritischen Infrastrukturen sollen einen besseren Schutz gegen Cyberangriffe und Manipulation erhalten. Deshalb hat der Bundesrat entschieden, zwei Motionen umzusetzen und die Arbeiten für entsprechende Gesetzesentwürfe voranzutreiben. So sollen sich Resilienz und Datensicherheit kritischer Infrastrukturen verbessern.
Immer mehr KI
Das Bacs hat im vergangenen Jahr 64'733 freiwillige Meldungen von Firmen und aus der Bevölkerung erhalten. Das sind rund 2000 mehr als 2024. Meist ging es dabei um Betrügereien, gefälschte E-Mails und täuschend echte betrügerische Telefonanrufe. Kriminelle setzen dabei immer öfter künstliche Intelligenz (KI) ein. Zum besseren Schutz der Bevölkerung werden seit Kurzem Warnungen vor schwerwiegenden Bedrohungen über die Alertswiss-App verbreitet.
Mit Schadsoftware infizierte Geräte sind mit 2'347'618 Fällen im Vergleich zum Vorjahr mehr als doppelt so oft gemeldet worden. Malware dringt meist über Schwachstellen in der Software ein. Nach diesen suchen sogenannte ethische Hacker. Sie haben letztes Jahr 525 Lücken in staatlichen IT-Systemen entdeckt: 41 Prozent mehr als im Jahr zuvor. Für die Aufdeckung von 328 bestätigten Lücken zahlte der Bund Prämien von insgesamt rund 260'000 Franken.
Wachsende Ausgaben im BACS
Im Jahr 2025 beliefen sich die Ausgaben des BACS auf 18,4 Millionen Franken, was einem Anstieg von 38 % entspricht. Von den 18,4 Millionen entfielen rund 70 % auf den Personalaufwand (71 Mitarbeitende) und 30 % auf Sach- und Betriebsaufgaben. Von diesen wiederum wurden 70 % (5,4 Millionen) für Informatik aufgewendet.
Cyberangriffe
Trisa von einer Ransomware-Bande angegriffen
Der Luzerner Hersteller von Zahnbürsten und Haushaltsgeräten Trisa hat einen Ransomware-Angriff bestätigt: Laut Inside-it.ch handelt es sich um die Bande Lynx. Der laufende Betrieb sei jedoch nicht eingeschränkt gewesen, berichtet das Fachmedium. Laut Trisa ist nur ein kleiner Teil der Unternehmensdaten abgeflossen. Den gesetzlichen Meldepflichten sei man nachgekommen, die Kunden habe man informiert. Die Firma ist glimpflich davongekommen, weil der Angriff in einer frühen Phase bemerkt worden ist.
Briefkastenhersteller attackiert
Der Opferblog der Akira-Ransomware-Gruppe listet die Solothurner Huber AG auf, einen Hersteller von Briefkasten- und Paketfachanlagen. Die Täter behaupten, im Besitz sensibler Unternehmensdaten zu sein, darunter Ausweisdokumente, technische Spezifikationen, Projektunterlagen und Finanzdaten.
Backdoor zur IT von 200 Flughäfen entdeckt
Forscher von CloudSEK haben im Darknet Zugangsdaten eines IT-Dienstleisters gefunden, mit deren Hilfe wichtige Flughafensysteme hätten lahmgelegt werden können. Der Dienstleister ist Vertragspartner eines anderen IT-Dienstleisters der betroffenen Flughafenbetreiber. Die Plattform verfügte nicht über Multi-Faktor-Authentifizierung (MFA). Laut den Forschern hat es keinen Angriff gegeben, doch das Schadensrisiko sei hoch gewesen. Inzwischen sind die geleakten Zugangsdaten ungültig und ist eine MFA aktiviert worden. Fazit der Forscher: Niemals den Sicherheitsversprechen anderer Dienstleister vertrauen, sondern selbst nachprüfen und Zugriffsrechte restriktiv vergeben.
Cyberangriff auf mobile Infrastruktur der EU-Kommission
Cyberkriminelle haben die Infrastruktur zur Verwaltung mobiler Endgeräte der EU-Kommission angegriffen. Möglicherweise sind die Angreifer durch zwei Sicherheitslücken in der Software Ivanti hineingeschlüpft. In einer Mitteilung räumt die EU-Kommission einen möglichen Datenabfluss ein. Das System ist inzwischen wieder gesichert. Mitarbeitende müssen sich nun besonders vorsichtig verhalten, denn ihre Daten könnten für Phishing-Angriffe verwendet werden.
Phishing im Namen der Polizei
Derzeit sind wieder Telefonbetrüger aktiv, die sich als Polizisten ausgeben. Auch warnt die Kantonspolizei Zürich vor Phishing-E-Mails, die im Namen der Kapo auftreten und dazu animieren, eine angefügte HTML-Datei zu öffnen. Diese ist natürlich kein amtliches Dokument, sondern öffnet eine echt wirkende Login-Seite, die Kontodaten einfordert.
Data Breach & Datenschutz
Gefährlicher Karikaturen-Trend
KI-Trends verführen zur Preisgabe von persönlichen Daten, die Angreifer nutzen können. Darauf machen Experten aufmerksam. So trenden zum Beispiel persönliche KI-Karikaturen, Selbstporträts, die aufgrund der eigenen Dateneingabe in KI-Chats entstehen. Ein enormer freiwilliger Datenabfluss, denn Angreifer erhalten so ein visuelles Dossier zur Vorbereitung von Angriffen. Sie können mit Hilfe der Bilder klare digitale Profile erstellen und sogar Rückschlüsse auf Organisationsstrukturen ziehen.
Zehn Millionen Datensätze der britischen Verkehrsbehörde gestohlen
Die Behörde Transport for London (TfL) hat bei einem Cyberangriff im Jahr 2024 sensible Daten von rund zehn Millionen Kundinnen und Kunden verloren. Das ist erst jetzt bekannt geworden.
Hintergrund
E-ID-Bedenken der Eidg. Finanzkontrolle
Die Eidgenössische Finanzkontrolle EFK zeigte sich wenige Monate vor dem Start der E-ID besorgt über die Sicherheit der E-ID. Sie befinde sich derzeit erst im Stadium einer Public Beta. Viele Arbeiten seien noch in Gang. Die in die Entwicklung involvierten Bundesämter entkräften den Bericht der Finanzkontrolle. Sicherheit und Stabilität der E-ID hätten oberste Priorität. Der Bundesrat gab nun bekannt, dass die E-ID voraussichtlich ab dem 1. Dezember 2026 eingesetzt werden kann – einige Monate später als geplant.
Vorsicht vor OpenClaws
Ein digitaler Assistent im eigenen Rechner: Aus dem Traum kann schnell ein Alptraum werden. Die Software OpenClaw erreichte innerhalb von Monaten eine grosse Bekanntheit. Ihr Entwickler ist inzwischen bei OpenAI angestellt. Heise online beleuchtet in einem grossen Hintergrundartikel (Paywall) den KI-Agenten und benennt seine Schwachstellen. Laut Security Insider sind die Anfälligkeiten gravierend, denn KI-Agenten erhalten weitgehende Systemrechte und verarbeiten sensible Daten – ein lohnendes Ziel für Angreifer. Es brauche in Unternehmen umfassende Sicherheitsrichtlinien.
Immer mehr Schwachstellen: rekordhohe Zahl an CVEs
Laut einer Prognose der gemeinnützigen Sicherheitsorganisation Forum of Incident Response and Security Teams (FIRST) wird die Zahl der neu offengelegten Schwachstellen voraussichtlich noch im Jahr 2026 die Marke von 50 000 überschreiten. Gerechnet wird mit 59 000 veröffentlichten Schwachstellen bis Ende Jahr (Median). Realistisch sind laut der Analyse effektiv 70 000 bis 100 000 Schwachstellen.
Resilienz Deutschlands stärken
Eine Umfrage des deutschen Branchenverbands Bitkom zeigt: Bei einem Internetausfall könnten die befragten Unternehmen ihren Geschäftsbetrieb im Schnitt nur 20 Stunden aufrechterhalten. Fast die Hälfte der Unternehmen sieht sich nur ungenügend vorbereitet. Eine deutliche Mehrheit erwartet eine ernsthafte Krise in Folge von hybriden Angriffen auf Stromnetze oder Wasserversorgung. Als besonders gefährdet gelten nach Ansicht der Unternehmen die Energieversorgung (90 Prozent), Banken und Versicherungen (89 Prozent) sowie die Wasser- und Abwasserversorgung (77 Prozent).
Erste Android-Malware mit integrierter KI
ESET-Forscher haben nach eigenen Angaben eine Android-Malware entdeckt, die sich mit Hilfe von KI besser in der fragmentierten Gerätelandschaft festsetzen kann. «PromptSpy» nutzt dazu Google Gemini. Die KI sorgt dafür, dass sich die Malware an nahezu jedes Gerät, Benutzeroberfläche und Betriebssystemversion anpassen kann.
KI legt bis 2028 ein G20-Land lahm
Gartner prophezeit: Bis 2028 werde eine falsch konfigurierte KI die kritische nationale Infrastruktur eines G20-Landes ausfallen lassen. Sie kann laut dem Bericht autonom Dienste abschalten oder Sensordaten falsch interpretieren. Ein «Kill Switch» sei notwendig, um Menschen die Kontrolle zu ermöglichen. Gartner empfiehlt sichere Übersteuerungsmodi für autorisierte Personen, das ausführliche Testen an Digitalen Zwillingen und die Echtzeitüberwachung kritischer Systeme.
Armee und Kantonspolizei Solothurn arbeiten zusammen
Die Kantonspolizei Solothurn und das Kommando Cyber der Schweizer Armee haben eine Zusammenarbeit in der vordienstlichen Cybersecurity-Ausbildung vereinbart. Armeeangehörige erhalten Einblick in operative Abläufe und digitale Ermittlungsarbeit. Die Kooperation soll die Cyberresilienz stärken und vernetzt militärische und zivile Akteure.
Schwachstellen
Neue Methoden hebeln Multi-Faktor-Authentifizierung aus
Selbst Authenticator-Apps bieten keinen perfekten Schutz mehr: Sicherheitsforscher haben zwei neue Methoden entdeckt, mit denen die Multi-Faktor-Authentifizierung (MFA) umgangen werden kann. Cloud-Dienste sind damit gefährdet. Mit dem leicht bedienbaren «Starkiller»-Kit, das mit KI-Hilfe arbeitet, schalten sich Angreifer zwischen Nutzer und einen legitimen Cloud-Service. Sie spiegeln die Sitzung des Opfers live. Somit wird auch der MFA-Code übertragen. Eine weitere Methode nimmt speziell Microsoft-365-Nutzer ins Visier. Sie missbraucht den «OAuth Device Authorization Flow». Das Opfer autorisiert unwissentlich das Gerät des Angreifers. Warnsignale bleiben aus. Das Starkiller-Kit ermöglicht zudem täuschend echte Phishing-Mails – sogar die gefälschte Webadresse lässt sich fast perfekt verschleiern. Phishing-anfällige Methoden wie SMS-Pins oder E-Mail-Codes sollten darum von hardwaregebundenen Verfahren und Passkeys abgelöst werden.
Kritische Lücken im Azure-Umfeld geschlossen
Microsoft hat serverseitig kritische Lücken bei Azure Arc (Multicloud-Verwaltungslösung), Azure Functions (Serverless Computing) und Azure Front Door (Content Delivery Network) geschlossen. Zwei Lücken in Azure Arc und Azure Functions wurden als «hoch» eingestuft: CVE-2026-243012 und CVE-2026-21532. Die Lücke in Azure Front Door (CVE-2026-24300) ist sogar «kritisch» eingestuft.
Sechs aktive Schwachstellen in Microsoft-Produkten
Insgesamt 59 Schwachstellen hat Microsoft im vergangenen Monat in diversen Produkten geschlossen. Sechs davon werden laut Security Insider aktiv ausgenutzt. Zwei Beispiele: So hat die Windows-Shell-Schwachstelle CVE-2026-21510 einen CVSS-Score von 8,8 und erlaubt die Umgehung von SmartScreen- und Shell-Sicherheitsabfragen. Ein einzelner Klick auf eine manipulierte Verknüpfung oder einen Link reicht für die Codeausführung aus. Perfide ist die Schwachstelle CVE-2026-21514 in Microsoft Word: Beim Öffnen eines Dokuments werden Schutzmechanismen umgangen. Fazit des Fachmagazins Security Insider: «Wiederholte Angriffe auf Desktop Window Manager und die Häufung von Sicherheitsumgehungen deuten auf strukturelle Schwächen in zentralen Windows-Komponenten hin. Parallel verschiebt sich der Fokus zunehmend auf Cloud- und Entwicklungsumgebungen, wobei Azure- und GitHub-Copilot-Komponenten eine wachsende Rolle einnehmen.»
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
