Gleich zwei Branchen haben Cybersecurity-Zusammenschlüsse bekannt gegeben:
So haben sich im September 22 Schweizer Spitäler und Kliniken mit öffentlichem Leistungsauftrag sowie die Vereinigung Gesundheitsinformatik Schweiz zum Verein Healthcare Cyber Security Center (H-CSC) zusammengeschlossen. Ziel ist es, die Cyberabwehr im Gesundheitswesen zu stärken, ein Frühwarnsystem für IT-Risiken zu etablieren und den Austausch von Angriffsinformationen zu fördern. Dies ist besonders wichtig, da Cyberangriffe auf Spitäler nicht nur Daten, sondern auch Menschenleben und die Kontinuität medizinischer Dienstleistungen bedrohen können. Angesichts dieser Bedrohungen ist es für Schweizer Spitäler von entscheidender Bedeutung, ihre Cyber-resilienz zu stärken und ihre Fähigkeit zu verbessern, schnell auf Angriffe zu reagieren.
Das H-CSC wurde auf Empfehlung des Bundesamtes für Cybersicherheit (BACS) gegründet und trägt in Zusammenarbeit mit diesem direkt zur Umsetzung der Nationalen Cybersicherheitsstrategie (NCS) der Schweiz bei – insbesondere zur Erreichung des strategischen Ziels, sichere und verfügbare digitale Dienste und Infrastrukturen zu gewährleisten.
Zu diesem Zweck bietet das H-CSC Webinare und Konferenzen an, bildet und betreut Erfahrungsaustausch- und Arbeitsgruppen zu Cybersicherheitsthemen wie beispielsweise zu den Sicherheitsrisiken von KI-Anwendungen, entwickelt gemeinsame Schutzstandards und fördert den Aufbau eigener IT-Sicherheitskompetenzen in der Branche. In den nächsten Monaten sollen weitere Dienstleistungen wie Darknet-Monitoring, Beschaffungs- und technische Leitlinien (Best Practices), Anforderungsvorlagen für IT-Ausschreibungen im Gesundheitswesen, Vorlagen für Sensibilisierungskampagnen, Sicherheitsbewertungen, Checklisten für Erstreaktionen bei Cybervorfällen und vieles mehr angeboten werden.
Aktuell konzentriert sich der Verein noch auf Schweizer Spitäler mit öffentlichem Leistungsauftrag. Langfristig soll die Mitgliedschaft jedoch auf alle Akteure im Schweizer Gesundheitswesen ausgeweitet werden, um ein einheitliches und widerstandsfähiges nationales Ökosystem zu schaffen.
Das Bündnis Secure Swiss Utility Network wiederum wurde im August 2025 von verschiedenen Schweizer Infrastrukturanbietern aus den Bereichen Energie und Technologie sowie dem Verband Schweizerischer Elektrizitätsunternehmen VSE gegründet. Ziel ist es, die Cybersicherheit für kritische Versorgungsinfrastrukturen in der Schweiz nachhaltig zu stärken. Grundlage des Bündnisses ist die Scion-Technologie von Anapaya, eine moderne Netzwerkarchitektur, die sichere, stabile und widerstandsfähige Verbindungen ermöglicht.
Die Mitgliedsunternehmen wollen ihre Infrastrukturen besser vor Cyberangriffen schützen, indem sie Informationen austauschen und gemeinsame Lösungen entwickeln. Der Fokus liegt dabei auf der Früherkennung und Abwehr von Angriffen, um die Betriebskontinuität und Versorgungssicherheit im Energiesektor sicherzustellen. Das Netzwerk soll somit auch eine koordinierte Reaktion auf Bedrohungen ermöglichen und die Cyberresilienz im Schweizer Versorgungssektor insgesamt erhöhen.
Die Initiative ist ein Beispiel für eine sektorübergreifende Kooperation, die angesichts zunehmender digitaler Risiken und der Bedeutung kritischer Infrastrukturen als strategische Priorität gilt. Zudem zeigt sie den Trend zu neuen Technologien und kollektiven Sicherheitsmodellen in der Schweizer Cyberabwehr.
Cyberangriffe
Keine schwerwiegenden Sicherheitsvorfälle beim Bund
Der Bericht «Informationssicherheit Bund 2024», den der Bundesrat am 3. September 2025 zur Kenntnis nahm, zeigt, dass es im Jahr 2024 keine schwerwiegenden Sicherheitsvorfälle gab, die eine ernsthafte Gefahr für die Informations- oder IT-Systeme der Bundesverwaltung darstellten. Zwar blieb die Zahl der Cyberangriffe auf hohem Niveau – unter anderem aufgrund von DDoS-Attacken im Zusammenhang mit internationalen Veranstaltungen in der Schweiz –, doch diese konnten rechtzeitig erkannt und abgewehrt werden. Wichtige Fortschritte 2024 waren das Inkrafttreten des neuen Informationssicherheitsgesetzes (ISG) und die Aufnahme der Arbeit der Fachstelle für Informationssicherheit (FS BIS) beim Staatssekretariat für Sicherheitspolitik SEPOS. Zudem setzte die Bundesverwaltung die Massnahmen zur Vermeidung zukünftiger Datenabflüsse um, die der Bundesrat nach einem Cyberangriff auf eine Berner IT-Firma beschlossen hatte. Besonders hervorgehoben wird die stärkere Kontrolle der sicherheitsrelevanten Aufträge und Lieferanten der Bundesverwaltung, die überwiegend umgesetzt wurde. Insgesamt wurde das Sicherheitsniveau durch technische, organisatorische und personelle Investitionen deutlich verbessert.
Weniger Cyberangriffe
In der Schweiz ist die Anzahl der wöchentlichen Cyberangriffe pro Organisation laut dem Cybersecurity-Anbieter Check Point deutlich zurückgegangen. Im Juli 2025 lag die Zahl 17 Prozent unter dem Wert des Vorjahres und belief sich auf durchschnittlich 1105 Attacken pro Organisation. Im DACH-Raum ging der Wert um 4 Prozent auf wöchentlich 1356 Angriffe pro Organisation zurück. Europaweit gab es hingegen eine Zunahme um 15 Prozent auf durchschnittlich 1468 Angriffe pro Organisation. Weltweit stieg die Anzahl der Cyberattacken um 3 Prozent auf wöchentlich 2.011 pro Organisation. Zu den wichtigsten Zielen von Cyberkriminellen gehören neben der öffentlichen Hand das Gesundheitswesen, der Konsumgüter- und Dienstleistungssektor, die Energie- und Versorgungsbranche und die Finanzindustrie.
Tendenziell weniger Cybercrime
Gemäss der Statistik des Bundesamts für Cybersicherheit (BACS) ist die Zahl der Cybercrime-Meldungen in den letzten Monaten im Vergleich zum Jahresbeginn rückläufig. So wurden beispielsweise im August und Mitte September zwischen 1100 und 1300 Cybervorfälle pro Woche gemeldet, verglichen mit 1600 bis 1700 in den Monaten Januar bis März. Zu den häufigsten gemeldeten Vorfällen gehören nach wie vor Betrugsversuche, Phishing und Spam.
Mehr und gefährlichere DDoS-Angriffe
Der Security- und Netzwerkspezialist Cloudflare hat bei einem einzelnen DDoS-Angriff einen Rekordwert von 11.5 Terabit pro Sekunde gemessen. Dieser grösste jemals aufgezeichnete volumetrische Angriff sei von mehreren IoT- und Cloud-Anbietern ausgegangen. Dabei haben die Angreifer 5.1 Milliarden Pakete pro Sekunde gesendet. Der Security-Anbieter Netscout hat in der ersten Hälfte des Jahres 2025 wiederum weltweit mehr als 8 Millionen DDoS-Angriffe erkannt, davon 3.2 Millionen in der EMEA-Region. In diesem Zeitraum wurden mehr als 50 DDoS-Angriffe mit mehr als 1 Terabit pro Sekunde gemessen. Der massivste davon erreichte 3.12 Tbit/s. In der Schweiz hat Netscout im ersten Halbjahr 2025 rund 42'000 Attacken mit einer durchschnittlichen Dauer von 88 Minuten beobachtet – genauso viele wie im zweiten Halbjahr 2024.
Data Breach / Datenschutz
Gegen M365 formiert sich im Basler Grossen Rat Widerstand
Die Datenschutzstelle des Kantons Basel-Stadt sieht sich durch die geplante umfassende Einführung von Microsoft 365 (M365) in der kantonalen Verwaltung grossen Herausforderungen gegenüber. Schon im Frühling kritisierte die Datenschutzbeauftragte, dass durch die Auslagerung der ICT-Grundversorgung inklusive E-Mail, Telefonie und Datenablage an Microsoft die digitale Souveränität stark geschwächt werde und die Grundrechte der Einwohner:innen gefährdet seien. Denn trotz der Verschlüsselung der Daten hat Microsoft weiterhin Zugriffsmöglichkeiten, was Bedenken hinsichtlich Datenschutz und Datenkontrolle verstärkt. Die Behörden betonen jedoch, dass die Informationssicherheit mit M365 im Vergleich zum bisherigen System erhöht wird. Die Datenschutzstelle mahnt, dass besonders sensible Daten weiterhin lokal verarbeitet werden müssen, und warnt vor dem Risiko, dass Microsoft Nutzerdaten für eigene Zwecke auswerten kann. Zu einer ähnlichen Einschätzung kommt die Aufsichtsstelle Datenschutz (ASD) des Kantons Baselland in ihrem kürzlich publizierten Tätigkeitsbericht. Andere Kantone und der Bund gehen den Umgang mit M365 zurückhaltender an oder schliessen es für sensible Daten aus. Die Datenschutzstelle fordert eine enge Überwachung sowie klare Regeln zur Datenverarbeitung und Datensicherheit bei der Einführung von M365. Nun formiert sich im Basler Grossen Rat Widerstand gegen das Vorhaben, wie die BAZ kürzlich berichtete.
Schweizer Infoniqa-Kunden von Ransomware-Angriff nicht betroffen
Der HR-Softwareanbieter Infoniqa wurde in der Nacht zum 4. August 2025 Opfer eines Cyberangriffs durch die Ransomware-Gruppe «Warlock». Dabei sollen laut den Hackern etwa 165 Gigabyte sensibler Daten erbeutet worden sein, darunter interne Dokumente, Finanzdaten, Mitarbeitendeninformationen sowie Daten aus CRM- und HR-Datenbanken. Infoniqa bestätigte den Vorfall am 20. August 2025, betonte jedoch, dass nur ein Teil des Netzwerks betroffen sei. Etwa 300 Kunden in Österreich wurden informiert, während Deutschland und die Schweiz offiziell nicht betroffen sein sollen. Die Angreifer sollen über eine bislang unbekannte Zero-Day-Schwachstelle in Microsoft Sharepoint eingedrungen sein. Infoniqa entschied sich gegen eine Lösegeldzahlung und arbeitet nun mit Behörden und externen IT-Forensikern an der Aufklärung und Härtung der Systeme. Bis Mitte August waren die meisten Systeme wieder funktionsfähig, jedoch ist eine Alternative zur «ONE Start Cloud» notwendig. Die Hacker drohten, die gestohlenen Daten im Darknet zu verkaufen, was bei Kunden Datenschutzbedenken auslöst.
Angriff auf Salesforce KI-Plattform trifft Security-Branche
Die Cyberangriffe auf die KI-Plattform Salesloft Drift führten zum Diebstahl von Authentifizierungstokens, mit denen Angreifer unbefugt Zugriff auf Salesforce-CRM-Systeme erlangten. Betroffen sind zahlreiche Unternehmen, darunter auch namhafte Cybersicherheitsanbieter. Die Angriffe begannen bereits Anfang August 2025 und haben sich schnell ausgeweitet, wobei hunderte weitere Organisationen als potenzielle Opfer gelten. Cloudflare meldet, dass unter anderem Kundendaten aus Supportfällen in Salesforce kompromittiert wurden, einschliesslich sensibler Informationen, die in Supporttickets eingetragen wurden. Experten und betroffene Unternehmen empfehlen dringend, OAuth-Token und andere Zugangsdaten zu erneuern sowie alle Integrationen kritisch zu überprüfen, um weitere Angriffe zu verhindern. Die Ursache liegt offenbar in einem gezielten Supply-Chain-Angriff, bei dem die Angreifer Zugriff auf Saleslofts GitHub- und AWS-Konten erlangten und so die Token für die Angriffe erbeuteten.
Insgesamt ist die direkte Betroffenheit durch den Salesloft-Drift-Supply-Chain-Angriff für öffentliche Verwaltungen eher begrenzt, sofern keine entsprechenden Drittanbieter-Apps mit CRM-Zugriff im Einsatz sind. Dennoch ist es ratsam, Sicherheitsprüfungen auch in kleineren oder spezialisierten Systeminstallationen durchzuführen und generelle IT-Sicherheitsmassnahmen zu verstärken.
Hintergrund
Bundesrat will Cyberresilienz von digitalen Produkten stärken
Der Bundesrat will die Cyberresilienz digitaler Produkte in der Schweiz stärken und hat das VBS beauftragt, zusammen mit UVEK und WBF bis Herbst 2026 eine Gesetzesvorlage zu erarbeiten. Diese soll höhere Sicherheitsanforderungen für Produkte mit digitalen Elementen definieren, eine Marktüberwachung ermöglichen und den Import sowie den Vertrieb unsicherer Geräte verbieten. Damit soll eine Motion des Ständerats erfüllt werden, die dringend notwendige Cybersicherheitsprüfungen fordert. Die Gesetzgebung orientiert sich am europäischen Cyber Resilience Act (CRA) und soll internationale Standards berücksichtigen, ohne die Unternehmen übermässig zu belasten. Ziel ist es, Sicherheitslücken zu minimieren und so physische, wirtschaftliche und nationale Risiken durch digitale Schwachstellen zu verringern. Damit soll die Schweiz ihre Position als sicherer Wirtschaftsstandort stärken.
Mehr dazu
Swiss Cyber Storm 2025
Am 28. Oktober findet die Schweizer IT-Sicherheitskonferenz Swiss Cyber Storm im Kursaal Bern statt. Die Veranstaltung stellt aktuelle Sicherheitsentwicklungen vor und bringt Experten zusammen.
Mehr dazu
Nominierungen für Swiss CISO Award veröffentlicht
Die Swiss CISO Awards 2025 werden am 22. Oktober im Rahmen der Global Cyber Conference im Dolder Grand Zürich verliehen. Es gibt drei Kategorien: «Swiss CISO of the Year», «CISO for Culture and Diversity» (neu) und «Future Leader». Insgesamt sind 18 Personen nominiert, darunter CISOs grosser Schweizer Unternehmen und Nachwuchssicherheitsexperten. Der «CISO for Digitization Award» entfällt dieses Jahr. Die Auszeichnungen werden vom Swiss Cyber Institute und EY Switzerland verliehen.
Mehr dazu
Microsoft macht seine Systeme bereit für die Post-Quantum-Zeit
Mit dem Quantum Safe Program bereitet Microsoft seine Systeme gezielt auf die Post-Quantum-Ära vor, um die Kryptografie gegen künftige Angriffe von Quantencomputern zu schützen. Bis 2033 sollen alle Microsoft-Produkte und -Services quantensicher sein. Das Programm setzt auf eine frühe Einführung ab 2029 und umfasst zentrale Sicherheitskomponenten, Kerninfrastruktur und Endpunkte. Die Strategie ist eng an internationale Vorgaben und Zeitpläne von US-Behörden wie dem NIST, der CISA und dem Office of Management and Budget angelehnt. Auch Behörden können von Microsofts Fahrplan lernen, da ein sicherer Übergang zu quantensicheren Algorithmen essenziell ist, um kritische Infrastrukturen und sensible Daten künftig vor Quantenangriffen zu schützen. Eine rechtzeitige Umstellung ist wichtig, da bereits heute Daten gesammelt und verschlüsselt werden, um später mit Quantencomputern entschlüsselt werden zu können.
Mehr dazu
Schwachstellen
Wieder Lücken in Citrix-Netscaler
Im August 2025 veröffentlichte Citrix Sicherheitspatches für mehrere kritische Schwachstellen in NetScaler ADC und NetScaler Gateway, darunter die gravierende Zero-Day-Lücke CVE-2025-7775, die ohne Authentifizierung eine Remote-Code-Ausführung oder Denial-of-Service-Attacken ermöglicht, wenn NetScaler als Gateway oder Authentifizierungsserver konfiguriert ist. Weitere Schwachstellen, wie CVE-2025-7776 und CVE-2025-8424, können zu unvorhersehbarem Verhalten, DoS oder unberechtigtem Zugriff auf das Management-Interface führen. Die Sicherheitsbehörde CISA bestätigte bereits aktive Angriffe und gab eine Frist zur sofortigen Behebung heraus. Citrix empfiehlt dringend, die betroffenen Systeme unverzüglich auf die gepatchten Versionen zu aktualisieren. Systeme mit älteren Versionen, die den End-of-Life-Status erreicht haben, sollten auf neuere Releases migriert werden.
Zero-Day-Sharing bei SharePoint-Lücke wird weiterhin ausgenutzt
Auch im September bleibt die kritische Sharepoint-Schwachstelle CVE-2025-53770 relevant – vor allem wegen aktiver Exploits in Europa. Schweizer Verwaltungen sollten die Patches konsequent einspielen.
Microsoft behebt 81 Schwachstellen
Am 9. September 2025 hat Microsoft Sicherheitsupdates veröffentlicht, die 81 Schwachstellen beheben, darunter acht kritische, von denen zwei als Zero-Day öffentlich bekannt sind. Betroffen sind Windows 10/11, Windows Server, Office und viele weitere Produkte. Kritische Schwachstellen betreffen unter anderem Windows Hyper-V, SQL-Server, den Windows-Kernel und NTLM. Ein Schwerpunkt liegt auf «Elevation of Privilege»- und «Remote Code Execution»-Schwachstellen. Die Updates sind kumulativ und enthalten auch Fehlerbehebungen und neue Funktionen.
Kritische Sicherheitslücke in SAP S/4HANA
Im September 2025 wurde eine kritische Sicherheitslücke in SAP S/4HANA mit der Kennung CVE-2025-42957 bekannt. Sie ermöglicht es Angreifern mit niedrigen Berechtigungen, beliebigen ABAP-Code einzuschleusen und die volle Kontrolle über das System zu erlangen. Der entsprechende Patch wurde bereits im August 2025 veröffentlicht, doch die Schwachstelle wird bereits aktiv ausgenutzt. Betroffen sind alle S/4HANA-Versionen, sowohl On-Premises als auch in der Private Cloud. Über die Lücke ist es unter anderem möglich, Admin-Konten anzulegen, Daten zu manipulieren und Passwort-Hashes zu extrahieren. SAP-Administratoren wird empfohlen, ihre Systeme umgehend zu patchen und auf verdächtige Aktivitäten wie neue Admin-Benutzer oder unerwartete ABAP-Code-Änderungen zu überwachen. Die Angriffskomplexität ist gering und funktionierende Exploits sind leicht entwickelbar.
SAP Patchday mit 21 neuen Hinweisen
Am 9. September 2025 hat SAP ebenfalls einen Security-Patchday mit 21 neuen Sicherheitshinweisen durchgeführt, davon vier mit kritischer Priorität (CVSS > 9). Ein Schutz vor einer Komplettübernahme von SAP-NetWeaver-AS-Java-Systemen ist zu gewährleisten. Zudem werden aktive Exploits von Lücken aus dem August gemeldet.
Mehr dazu
Hinweis zu Windows 10
Am 14. Oktober endet der offizielle Support für Windows 10. Im Anschluss gibt es, sofern man nicht proaktiv handelt, keine Updates und Fixes mehr für das Betriebssystem. Privat- wie auch Enterprisekund:innen können bei Bedarf eine Verlängerung um bis zu einem Jahr resp. drei Jahre kaufen. Wer bei Windows bleiben möchte und mit keinem der angebotenen Wege zufrieden ist, muss bis spätestens zum 14. Oktober auf Windows 11 wechseln oder riskiert, mit einem angreifbaren Betriebssystem zu arbeiten.
Betriebssysteme
Eine Übersicht für alle grossen Betriebssysteme kann bei den verlinkten Security-Seiten der jeweiligen Hersteller gefunden werden:
Über Markus Häfliger
Markus Häfliger ist Inhaber der auf Business-to-Business-IT spezialisierten PR-Agentur Häfliger Media Consulting. Er verfügt über jahrzehntelange Erfahrung mit Technologie- und Wirtschaftsthemen sowohl auf Agentur- als auch auf Medienseite. Er war Chefredaktor der IT-Branchenzeitschrift IT Reseller und von Infoweek (heute Swiss IT Magazine), der Zeitschrift für IT-Entscheider in Unternehmen. Er publiziert als Ghostwriter regelmässig in namhaften Industrie- und Wirtschaftsmedien Fachartikel und Berichte zu IT-Anwendungen in der Praxis. Für das Abraxas-Magazin verfasst er das «Digitale ABC», eine fortlaufende Artikelserie im Lexikon-Stil.
