Das Bundesamt für Cybersicherheit (BACS) zeigt in einem neuen Konzept auf, welche Aufgaben von einem Cyberangriff betroffene Akteure haben. Besonders bei schweren Angriffen auf kritische Infrastrukturen ist eine Zusammenarbeit zwischen Bund, Kantonen und Privaten wichtig. Klare Zuständigkeiten und ein transparentes Vorgehen sind zentral.
Die Kernprozesse für die operative Bewältigung von Cybervorfällen basieren gemäss Konzept auf der Erkennung von Cybervorfällen («Detection»), der Reaktion («Reaction») und der Wiederherstellung («Recovery»). Weil Cybervorfälle oft über die Grenzen einer Organisation hinausgehen, braucht es Zusammenarbeit.
Rechtliche Grundlagen sind laut dem BACS-Konzept das Informationssicherheitsgesetz sowie die Cybersicherheitsverordnung und die Verordnung über die Krisenorganisation der Bundesverwaltung.
Das Konzept des BACS stuft einen Cyberangriff in vier Schweregrade ein. Diese berücksichtigen neben Anzahl und Relevanz der betroffenen Systeme und Organisationen auch die Auswirkungen eines Vorfalls auf Wirtschaft und Bevölkerung.
Je nach Schweregrad sind unterschiedliche Prozesse vorgesehen:
- Gering: Das BACS greift nicht ein.
- Moderat: Das BACS unterstützt betroffene Organisationen.
- Erheblich: Das BACS übernimmt eine aktive koordinative Rolle.
- Kritisch: Das BACS reicht beim Bundesrat einen Antrag auf Einsetzung eines Krisenstabs ein.
Die ersten beiden Stufen sind laut dem Bundesamt bereits gut eingespielt. «Die Systematik zur Einstufung von Cybervorfällen stellt sicher, dass die Massnahmen dem tatsächlichen Ausmass des Vorfalls angemessen sind und Ressourcen gezielt eingesetzt werden», begründet das BACS sein Stufenkonzept.
Cyberangriffe
Akira greift Ruag-Tochter in den USA an
Eine US-Tochter des Schweizer Techkonzerns Ruag ist Opfer eines Ransomware-Angriffs geworden. Auf die Schweiz habe der Angriff dank der autarken US-Systeme keinen Einfluss, er sei rasch isoliert worden, teilt die Ruag mit. Allerdings droht nun laut SRF Investigativ die Hackergruppe Akira im Darknet mit der Veröffentlichung von Unternehmensdaten. Diese enthielten vertrauliche militärische Informationen, Verträge und mehr. Ob die Gruppe tatsächlich über Daten verfügt, ist jedoch unklar.
Insasse kapert Admin-Zugang seines Gefängnisses
In Rumänien haben Gefängnisinsassen zwischen August und Oktober 2025 unbefugt auf die IT-Systeme der Haftanstalt zugegriffen und sich dadurch Vorteile verschafft, etwa den Zugriff auf Pornografie, die Manipulation von Kontoständen, das Löschen von Ausgaben sowie das Eintragen von Gutschriften bei der Anrechnung von Tagen für eine vorzeitige Entlassung. Laut rumänischen Medienberichten gelang einem Häftling der Zugang im Gefängnisspital aufgrund einer Sicherheitslücke der Tablets und mit Hilfe eines nicht deaktivierten Admin-Accounts eines ehemaligen Direktors. Der Hack flog erst auf, als einer der Häftlinge plötzlich eine Millionensumme auf seinem Konto hatte.
Angriff mit gefälschten Postquittungen
Mithilfe von KI fälschen Cyberkriminelle Postquittungen. Diese sollen eine Zahlung belegen. Die Masche wird auf Kleinanzeigenportalen häufig angewendet, kann aber auch im geschäftlichen Umfeld zu Verlusten führen, wenn man nicht genau hinschaut. Die Betrüger fordern zum Aufsuchen einer Website mittels QR-Code auf, wo man sich das einbezahlte Geld überweisen lassen könnte.
Stadtverwaltung Ludwigshafen geht offline
Laut einem Bericht von Heise online hat die deutsche Stadt Ludwigshafen Anomalien im Netzwerk festgestellt und daraufhin ihre Systeme offline genommen, um Schäden zu verhindern. Möglicherweise handelt es sich um einen Cyberangriff. Nach Angaben der Stadtverwaltung seien keine Daten abgeflossen. Sie stellt auf analogen Betrieb um. Auf einer Darksite findet sich ein PDF mit den neuesten Informationen.
Data Breach & Datenschutz
Passwort «Louvre»
Der Juwelendiebstahl im Louvre legt auch eklatante IT-Sicherheitslücken des Museums zutage. So hat das Passwort für den Zugang zur Videoüberwachung schlicht und einfach «Louvre» gelautet – leichtes Spiel für Räuber, unerkannt Beute zu machen. Frühere Untersuchungen zeigten, dass das Kernsystem immer noch auf Windows Server 2003 läuft – von Microsoft seit über zehn Jahren nicht mehr mit Sicherheitsupdates beliefert.
Angriffe auf Flughäfen: Auch Datenklau via FTP
Ende September legte ein Cyberangriff bei einem Dienstleister mehrere Flughäfen lahm. Offiziell wegen eines Ransomware-Angriffs. Die Hackergruppe Everest will nun laut Medienberichten via FTP (File Transfer Protocol) und dank simpler Passwörter über 50 GB an Daten erbeutet haben. Laut einer Analyse der Sicherheitsfirma Hudson Rock bestand die Sicherheitslücke seit Jahren. Millionen von Passagieren könnten vom Datenleck betroffen sein.
Cloud-Fehlkonfiguration bei EY
Die niederländische Neo Security hat ein 4 TB grosses SQL-Server-Backupfile des globalen Beratungsunternehmens frei via Microsoft Azure Storage entdeckt. Dabei handelte es sich nach Untersuchungen um eine Fehlkonfiguration in der Cloud. Laut EY waren keine wesentlichen Daten betroffen. Laut Neo Security liegt das Problem vereinfacht gesagt in der Bequemlichkeit der Automation und der Public Cloud. Die Access Control List (ACL) müsse grundsätzlich restriktiv eingestellt werden. Auch für Backups.
Grösster Datensatz bisher
Sicherheitsforscher und Microsoft-Mitarbeiter Troy Hunt – Betreiber des Services «Have I Been Pwned» – hat seine Datenbank um weitere 1,3 Milliarden Passwörter und 2 Milliarden E-Mail-Adressen erweitert. Es handelt sich nach eigenen Angaben um den bisher grössten Datensatz gestohlener Daten, gesammelt aus bereits bekannten Datenlecks. Wer sein Passwort oder seine E-Mail-Adresse dort findet, sollte schleunigst handeln.
Hintergrund
BACS warnt vor Akira
Akira begann laut dem BACS im Mai 2023 mit Angriffen auf schweizerische Unternehmen und hat diese in den letzten Wochen noch intensiviert. Bereits sind 200 Unternehmen in der Schweiz Opfer der Akira-Ransomware-Gang geworden. Der Schaden beläuft sich derzeit auf mehrere Millionen Franken. Weltweit gilt Akira als eine der aktivsten Ransomware-Gruppen. Sie operiert im Ransomware-as-a-Service-Modell. Sie verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist, und praktiziert die sogenannte doppelte Erpressung, bei der Daten des Opfers erst entwendet und dann verschlüsselt werden. Das Fedpol führt ein Strafverfahren gegen sie.
Zwei Betrugsplattformen zerschlagen
Die Operation «SIMCARTEL» hat laut Europol zur Zerschlagung einer Plattform geführt, die eine SIM-Farm betrieb und ihren Kunden Straftaten ermöglichte. Sie habe zur Festnahme von sieben Verdächtigen und zur Beschlagnahmung von 1’200 SIM-Box-Geräten geführt, die mehr als 40’000 aktive SIM-Karten enthielten. Fünf Server und zwei Websites sind abgeschaltet worden. Auch die European Union Agency for Criminal Justice Cooperation (Eurojust) war mit Polizeien mehrerer Länder erfolgreich. Sie hat ein Scammer-Netzwerk zerstört, das mit Dutzenden von Krypto-Plattformen rund 600 Millionen Euro waschen konnte.
UNO-Staaten gemeinsam gegen Cyberkriminalität
65 Mitgliedstaaten der Vereinten Nationen haben ein Übereinkommen zum Kampf gegen Cyberkriminalität unterzeichnet – laut Generalsekretär António Guterres «ein Fortschritt auf dem Weg zu einer sichereren digitalen Welt». Der Vertrag stellt erstmals eine Reihe von Cyberdelikten unter Strafe und erleichtert unter anderem den grenzüberschreitenden Austausch von digitalen Beweismitteln. Menschenrechtsorganisationen kritisieren das Abkommen. Es öffne «Tür und Tor für Missbrauch», sagte die Schweizer Sektion von Amnesty International gegenüber inside-it.ch.
Experte kritisiert Bankensicherheit
Die Geschichte eines Rentnerpaars, das trotz Zwei-Faktor-Authentifizierung (2FA) sein Geld an Cyberkriminelle verlor, hat auch Fachleute beschäftigt. Banken seien sich bewusst, dass die heutigen Sicherheitsmethoden keine absolute Sicherheit mehr böten, so Gianclaudio Moresi. Besonders 2FA weise seit Jahren bekannte Schwachstellen auf. Sie kann mit einer sogenannten «Man-in-the-Middle»-Attacke umgangen werden. Im Fall des Paars wurde es via Google-Anzeige auf ein täuschend nachgebautes E-Banking umgeleitet.
Schwachstellen
Kritische Lücken in Cisco-Software
In der Contact-Center-Lösung Unified CCX sind zwei Schwachstellen mit einem CVSS Score von mehr als 9 entdeckt worden. CVE-2025-20354 ist mit 9,8 sogar hochkritisch. Die Lücke sitzt im Java-Remote-Method-Invocation-Prozess (RMI) der Software. Angreifer können darüber unerkannt schädliche Dateien hochladen und Admin-Rechte erlangen. Ein nur wenig weniger kritischer Bug (9,4) steckt im CCX Editor (CVE-2025-20358). Hier können Angreifer die Authentifizierung auf einen schädlichen Server umleiten. Beide Schwachstellen erlauben Angreifern weitgehende Befugnisse im Netzwerk. Cisco hat Patches zur Verfügung gestellt.
Microsoft sperrt Vorschau im Datei-Explorer
Seit Kurzem sind viele aus dem Internet heruntergeladene Dateien im Datei-Explorer nicht mehr als Vorschau verfügbar. Der Windows-Hersteller erklärt, dass aus dem Netz stammende und mit dem Sicherheitsmerkmal «Mark of the Web» versehenen Dateien anfällig für «NTLM-Hash-Leakage» sind, wenn Dateien HTML-Tags (wie <link>, <src> usw.) enthalten, die auf externe Pfade verweisen. Angreifer könnten diese Vorschaufunktion ausnutzen, um sensible Zugangsdaten zu erfassen.
Browser-Agenten leicht zu manipulieren
Derzeit schiessen Browser mit integrierten KI-Agenten-Funktionalitäten wie Pilze aus dem Boden. Laut Untersuchungen ist das heikel: Die Agenten, die selbständig Aufgaben ausführen, können leicht manipuliert werden und stellen ein Sicherheitsrisiko dar. Laut einem Report des Browser-Herstellers Brave sind vor allem zwei Probleme vorhanden:
- Screenshot-Prompt-Injection: Versteckter Text in Bildern kann von der KI des Browsers als Befehl statt als Inhalt gelesen werden.
- Navigationsbasierte Injektion: Die Aufforderung an die KI, eine Website zu öffnen, kann dazu führen, dass sie den Text dieser Seite dem Modell auf eine Weise zurückgibt, die weitere Aktionen beeinflusst.
- Unscharfe Grenzen: Die Grenzen zwischen dem, was Nutzerinnen und Nutzer sagen und wollen, und dem Web verschwimmen – eine Grundlage für Manipulationen.
Neue Angriffswege über Cisco-Firewalls
Drei Sicherheitslücken in Ciscos ASA- und FTD-Firewalls (CVE-2025-20333, CVE-2025-20363, CVE-2025-20362) werden immer noch ausgenutzt, teils über einen neuen Angriffsweg. Davor warnt Cisco, das bereits Updates anbietet. Noch stehen aber viele Firewalls ungeschützt im Netz, laut dem Dashboard der Shadowserver Foundation in der Schweiz immer noch mehr als 200, in den USA sogar mehr als 13’000. Zwei der drei Schwachstellen können jetzt auch für Denial-of-Service-Angriffe ausgenützt werden: Nicht gepatchte Geräte starten unerwartet neu.
Android-Smartphones offen wie ein Scheunentor
Mit dem November-Update schliesst Google eine schwerwiegende Lücke in Android-Smartphones ab Version 13. Sie ermöglicht das Platzieren von Schadcode auf dem Gerät – ganz ohne Zutun der Nutzerinnen und Nutzer. Die Lücke erlaubt den einfachen Fernzugriff auf das Android-Gerät. Google rät zum sofortigen Einspielen des November-Updates.
Über Bruno Habegger
Bruno Habegger ist Abraxas-Magazin-Autor und Senior Communication Manager. Er verfügt über eine langjährige Erfahrung im ICT- und Energie-Bereich als Journalist, Contentproduzent und Berater. Er war Präsident einer Regionalpartei und an seinem damaligen Wohnort acht Jahre Mitglied der Sicherheitskommission.
