[datensicherheit.de, 13.12.2025] In der Schweiz sollen bei der Gebäudeversicherung Bern (GVB) lästige Wartezeiten bei der Schadenaufnahme passé sein. Dies wird demnach ermöglicht mittels einer bewährten KI-Technologie aus dem Hauses Spitch, einem Anbieter von „Collaborative Agentic AI“-Lösungen. Wer also seine ja meist dringliche Schadenmeldung dem vom Schweizer IT-Dienstleister Adnovum implementierten KI-Voicebot „Berna“ anvertraut, könne sich dann auch in Zeiten eines Großschadenereignisses auf eine speditive und verlässliche Aufnahme seiner Schadenmeldung verlassen. Bei der sogenannten Anruftriage und Schadensaufnahme sorge der KI-Voicebot für eine zügige Betreuung der Kunden – und entlaste dabei auch gleichzeitig die Mitarbeiter. „Berna“ könne Schweizer Dialekte verstehen und transkribieren – zur weiteren Verarbeitung der Meldung in Schriftsprache. Er sei in der Lage, gleichzeitig Hunderte von Telefonanrufen ohne Wartezeiten entgegenzunehmen. Anrufer könnten indes auf Wunsch immer auch mit einem menschlichen Spezialisten verbunden werden.

„Berna“: KI-Voicebot praktisch jedem telefonischen Ansturm gewachsen

Als Gebäudeversicherung sei die GVB von Großschadenereignissen besonders stark betroffen: „Bei verheerenden Unwettern wie beispielsweise im August 2024 im Berner Oberland können innerhalb kürzester Zeit bis zu 3.000 Anrufe eingehen.“

• Dabei würden ohnehin schon geschädigte Anrufer durch allfällige Wartezeiten in der Hotline noch zusätzlich gefordert. Es habe also eine automatisierte, flexibel skalierbare Lösung gefunden werden müssen, damit auch unter starkem Andrang die Anrufer ihre Schadenmeldung absetzen können, ohne dabei GVB-Mitarbeiter zu überlasten.

Fidan Dina, „Account Manager“ bei Spitch, führt aus: „Im Zentrum stand der Bedarf der GVB nach einer robusten, skalierbaren Schadenaufnahme. Spitch steuerte die Technologie bei, unser Partner Adnovum implementierte sie kundennah und passgenau. So ist eine Lösung entstanden, die allen Anforderungen des Realbetriebs standhält.“

Beim Dialog mit Anrufern soll Kundenservice an erster Stelle stehen

Die von Adnovum implementierte KI-Lösung erfülle die von der GVB gestellten hohen Anforderungen: „Berna“ führe einen Dialog mit den Anrufern und erfasse alle erforderlichen Angaben. Für die weitere Verarbeitung würden die Angaben sofort in die Schriftsprache transkribiert. Auf dieser Basis erfolge die Erstellung eines Schadendossiers automatisch. Dies beschleunige die Weiterbearbeitung zusätzlich. Aus Datenschutzgründen würden die Voicebot-Aufnahmen nach dreißig Tagen gelöscht.

• Corinne Fleury, Innovationsmanagerin bei der GVB, kommentiert: „Für uns zentral war, dass bei einem Großschadenereignis die Geschädigten bei der Absetzung ihrer Schadenmeldung nicht noch zusätzlich belastet werden. Ziel war es, auch bei solchen Großereignissen mittels einer automatisierten, flexibel skalierbaren Lösung unser Kundencenter und die Fachabteilungen zu entlasten und keine Wartezeiten entstehen zu lassen.“

Die von Spitch und Adnovum erstellte Lösung ermögliche es zudem, durch geführte Dialoge und die strukturierte Erfassung der Kundenangaben automatisch präzise Schadendossiers als Basis für die weitere Verarbeitung durch Fachpersonen zu erstellen.

Weitere Informationen zum Thema:

GVB
Kundenservice

SPITCH
UNTERNEHMEN: Wir machen KI-gestützte digitale Transformation erfolgreich

adnovum
Why choose Adnovum / And your digital business works

cmm 360, 04.05.2023
Fidan Dina verstärkt das Schweizer Account Management Team von Spitch

YouTube, Gebäudeversicherung Bern (GVB), 15.01.2025
Die Werte der GVB: Corinne Fleury und Tom Glanzmann-Fiorenza sprechen darüber, was diese Werte für sie bedeuten und wie sie in unserem Arbeitsalltag zum Leben erweckt werden.

[datensicherheit.de, 19.09.2025] Offensichtlich bleibt die globale Cyberbedrohungslage weltweit weiterhin angespannt – laut dem aktuellen „Acronis Cyberthreats Update September 2025“ jedenfalls ist die Anzahl der blockierten schädlichen URLs auf Endpunkten im August 2025 im Vergleich zum Vormonat, Juli, um 20,6 Prozent gestiegen – „insgesamt waren es mehr als 13,8 Millionen“. Auch die Zahl der erkannten Malware-Angriffe sei gegenüber dem Vormonat um 9,2 Prozent gestiegen, „während mehr als 490 Datenschutzverletzungen gemeldet wurden“. In Deutschland habe der Anteil der Acronis-Nutzer mit erkannter Malware im August 2025 bei 5,8 Prozent – und damit über dem globalen Durchschnitt von 5,3 Prozent – gelegen. Die Schweiz sei mit einem Anteil von 4,4 Prozent ähnlich stark betroffen gewesen wie im Juli 2025 (4,3%) und jeweils unter dem globalen Durchschnitt geblieben.

Abbildung: ACRONIS / TRU

„Acronis Cyberthreats Update“: Zentrale Erkenntnisse zum August 2025

Monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“

Das „Acronis Cyberthreats Update“ stellt demnach monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“ (TRU) zur Verfügung, „damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können“.

• Dabei hätten Acronis-Lösungen mehr als 13,8 Millionen schädliche URLs blockiert, was einem deutlichen Anstieg um 20,6 Prozent gegenüber dem Vormonat (11,4 Millionen) entspreche. Auch der Anteil erkannter Malware auf Endpunkten habe im Vergleich zum Juli 2025 zugenommen – um 9,2 Prozent auf über 520.000 Aktivitäten im August.

Besonders aktiv seien die Malware-Varianten „Lumma“, „Agent Tesla“ und „Xworm“ gewesen. „Im Bereich Ransomware traten vor allem die Gruppen ,Quilin’ (87 bekannte Angriffe), ,Akira’ (56) und ,Warlock’ (31) in Erscheinung.“ Zudem seien Nutzer weltweit mit Datenschutzverletzungen konfrontiert gewesen – mit mehr als 490 gemeldeten Fällen jedoch etwas weniger als im Vormonat (515).

Weitere Erkenntnisse laut aktuellem „Acronis Cyberthreats Update“

• Insgesamt sei Malware im August 2025 bei 5,3 Prozent der Acronis-Kunden blockiert worden.
• In Deutschland habe die Malware-Erkennungsrate im August 2025 mit 5,8 Prozent über dem weltweiten Durchschnitt gelegen – die Schweiz sei hingegen auf einen Wert von 4,4 Prozent gekommen.
• Am häufigsten sei Malware in Peru, Indien und Bulgarien erkannt und blockiert worden.

„Die Analyse für August zeigt einen deutlichen Anstieg schädlicher URLs“, kommentiert Markus Fritz, „General Manager DACH“ bei Acronis. Er führt hierzu weiter aus: „Solche Entwicklungen verdeutlichen die Notwendigkeit ganzheitlicher Schutzmechanismen vor bekannten und unbekannten Bedrohungen. ,Acronis Cyber Protect Cloud’ schützt Unternehmen mit einem mehrschichtigen Ansatz, der verhaltensbasierte Erkennung, KI-gestützte Methoden und Anti-Ransomware-Heuristiken kombiniert.“

Acronis-Tipps zum Schutz vor aktuellen Bedrohungen:

• Regelmäßig Passwörter ändern!
• Einen verschlüsselten „Cloud“-Storage für vertrauliche Dateien nutzen!
• Eine robuste Sicherheitslösung (wie z.B. „Acronis Cyber Protect Cloud“) nutzen, welche einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken bietet!
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien (z.B. durch „Acronis Cyber Protect Cloud“) einführen!
• „Advanced eMail Security“ und URL-Filterung nutzen, um zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken zu erlangen!
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten!
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten prüfen!
• Fernzugriffssoftware kritisch überprüfen und Nutzung auf das notwendige Maß beschränken!

Weitere Informationen zum Thema:

TRU
About TRU Security / Intelligence-driven cyberthreat research and reporting / Empowering IT teams with cybersecurity Insights

TRU Acronis Threat Research Unit, Alexander Ivanyuk & Irina Artioli, 11.09.2025
Acronis Cyberthreats Update, September 2025

IT-BUSINESS, 12.06.2024
Neuer General Manager DACH bei Acronis / Markus Fritz ist DACH-Chef von Acronis

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 13.07.2025] Dem neuen „Sophos State of Ransomware 2025“-Report zufolge steigt die Anzahl der Unternehmen, die nach einem Ransomware-Angriff eine Lösegeldsumme bezahlen. Der Druck, der aufgrund des Risikos auf Unternehmen lastet, hat demnach auch gravierende Auswirkungen auf die IT-Teams – so würden die Befragten über erhöhte Angst, Stress, psychische Probleme und einem daraus resultierenden Ausfall der IT- und Security-Spezialisten berichten.

Foto: Sophos

Chester Wisniewski rät dringend: Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!

60% der Unternehmen in Deutschland und 49% in der Schweiz von Ransomware angegriffen

Der Sophos-Report „State of Ransomware 2025“, bei dem laut Sophos Anfang des Jahres 2025 insgesamt 3.400 IT-Spezialisten aus Unternehmen mit 100 bis 5.000 Mitarbeitern befragt wurden, zeige, „dass 60 Prozent der Unternehmen in Deutschland und 49 Prozent in der Schweiz von Ransomware angegriffen wurden“.

• Beide Ergebnisse seien etwas unterdurchschnittlich, „denn weltweit sind 68 Prozent der Unternehmen von Ransomware attackiert worden“.

Im Vergleich zum Vorjahres-Report hätten diese Ergebnisse einen uneinheitlichen Trend bestätigt: „In Deutschland wurden zwölf Monate zuvor 58 Prozent und in der Schweiz 59 Prozent von Ransomware attackiert – der weltweite Durchschnitt lag in 2024 bei 59 Prozent.“

Entscheidend zur Bewertung ist, ob Cyberkriminelle Daten verschlüsseln oder stehlen konnten

Die entscheidende Frage bei der Bewertung von Cyberattacken sei, ob die Cyberkriminellen die Daten durch ihre Angriffe verschlüsseln oder stehlen konnten: „Dies bejahten im diesjährigen Report 51 Prozent in Deutschland und 53 Prozent in der Schweiz. Der weltweite Schnitt liegt mit 50 Prozent minimal darunter.“

• Die Entwicklung zeige in beiden Ländern ein ähnliches Bild hinsichtlich der Angriffsqualität.

Deutsche Unternehmen könnten im Vergleich zur Vorjahresumfrage mit 79 Prozent einen deutlichen Abwärtstrend an „erfolgreichen“ Ransomware-Attacken verzeichnen. Äquivalent sei die Rate der Datenverschlüsselungen und Diebstähle in der Schweiz von 68 Prozent entsprechend gesunken – „weltweit waren es 70 Prozent im Mittel“.

Anhaltende Ransomware-Bedrohung gestattet kein Aufatmen

Ein Aufatmen oder gar eine Entwarnung sei jedoch in keinem der beiden Länder gerechtfertigt: „Zwar erhielten 95 Prozent der deutschen und 97 Prozent der Schweizer Unternehmen ihre Daten nach einer Verschlüsselung auf unterschiedlichen Wegen wieder zurück.“

• Allerdings entschieden sich 63 Prozent der deutschen und 54 Prozent der Schweizer Unternehmen dazu, dies mit einer Lösegeldzahlung zu erreichen.

Diese Ergebnisse erscheinen laut Sophos im Vergleich zu 2024 besonders bedenklich, denn in der Vorjahresumfrage hätten nur 50 Prozent in beiden Ländern die Problemlösung in der Bezahlung der Erpressungssummen gesehen.

Cyberattacken mit Ransomware setzen IT-Security-Personal unter hohem Druck

Cyberattacken mit Ransomware hätten nicht ausschließlich produktive und wirtschaftliche Auswirkungen auf Organisationen, sondern ganz unmittelbar auch auf das IT-Security-Personal: „44 Prozent der in Deutschland Befragten berichten von einer erhöhten Angst oder Stress in Bezug auf zukünftige Angriffe. In der Schweiz scheint dieses Phänomen mit nur 28 Prozent deutlich geringer zu sein.“

• 44 Prozent der deutschen Unternehmen berichteten von Teammitgliedern, welche „aufgrund von Stress oder psychischen Problemen nicht im Unternehmen anwesend sein konnten“. Im Gegensatz dazu habe die Schweiz mit 64 Prozent bei diesem Aspekt deutlich mehr zu kämpfen als die Landesnachbarn.

Die Belastung komme jedoch nicht nur durch die Angreifer von außen, sondern auch aus den Reihen im Inneren: „41 Prozent in Deutschland bestätigen von erhöhtem Druck seitens der Führungskräfte; in der Schweiz sind es mit 31 Prozent zehn Prozentpunkte weniger.“ Allerdings seien beide Länder wieder gleichauf, wenn es um personelle Konsequenzen geht: „27 Prozent der deutschen und 26 der Schweizer bestätigen, dass die Führung des Teams bereits ausgewechselt wurde.“

Lukratives Geschäft: Ransomware-Angriffe auch in absehbarer Zukunft akute Gefahr

Chester Wisniewski, „Director ,Global Field CISO’“ bei Sophos, kommentiert: „Aus internationaler Perspektive werden 44 Prozent der Angriffe gestoppt, bevor Daten verschlüsselt werden und bei nur 50 Prozent der angegriffenen Unternehmen wurden Daten verschlüsselt. Dies verringert die Gesamtzahl der Opfer, die möglicherweise Lösegeld zahlen würden.“

• Positiv ausgedrückt bedeute dies, „dass wir über zunehmend sorgfältige und erfahrene Überwachungsfunktionen verfügen und dass wir immer besser darin sind, fortschrittlichere Tools zur Früherkennung wie XDR einzusetzen“. Wisniewski gibt indes zu bedenken: „Aber wenn wir ehrlich sind, ist die Tatsache, dass 49 Prozent der Ransomware-Opfer weltweit Lösegeld gezahlt haben und die durchschnittliche Lösegeldzahlung bei einer Million US-Dollar lag, kein positives Ergebnis.“

Denn aus Sicht der Kriminellen bedeuteten diese Ergebnisse, dass Angriffe auch in absehbarer Zukunft fortgesetzt würden und ein lukratives Geschäft darstellten. „Trotz der guten Gegenwehr müssen wir weiterhin kontinuierlich mehr tun, um die Abwehrmaßnahmen mit Prävention, Erkennung und Reaktion an allen Fronten zu verstärken!“ Solange Kriminelle am Spielautomatenhebel des „einarmigen Ransomware-Banditen“ zögen und jedes zweite Mal eine Million US-Dollar Gewinn locke, gebe es wenig, was sie von ihren Angriffen abhalten könnte.

Weitere Informationen zum Thema:

SOPHOS, 2025
Ransomware-Report 2025: Warum werden Unternehmen und andere Organisationen Opfer von Ransomware? Und wie stellen Sie den Normalbetrieb wieder her? Welche geschäftlichen Folgen und welche Auswirkungen auf Mitarbeitende hat ein Ransomware-Angriff? / Im Sophos Ransomware-Report 2025 mit aktuellen Statistiken finden Sie Antworten auf diese Fragen.

SOPHOS
Chester Wisniewski / Director, Global Field CISO

datensicherheit.de, 11.07.2025
Dragos’ Ransomware-Analyse: 68 Prozent der Angriffe im ersten Quartal 2025 trafen die Fertigung / Offenkundig gehört Ransomware inzwischen zu den häufigsten, folgenschwersten und hartnäckigsten Bedrohungen, mit denen Unternehmen weltweit konfrontiert werden

datensicherheit.de, 18.06.2025
Bedrohung durch Ransomware: Sich tot zu stellen kennzeichnet Verlierer / Im Kampf gegen Ransomware-Attacken können es sich Unternehmen nicht mehr leisten, auf der Stelle zu treten

datensicherheit.de, 06/10/2025
OT Security in 2025: More Incidents, less Ransomware / Interview with Dr. Terence Liu, CEO of TXOne Networks at HANNOVER MESSE (HMI 2025) on OT Security and the situation in 2025

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 10.05.2025] Der aktuelle Halbjahresbericht des Bundesamtes für Cybersicherheit (BACS) zeigt, wie international Cyberkriminelle operieren und welche Wege sie zur Verbreitung ihrer Angriffe nutzen. Angesichts dieser globalen Cyberbedrohungen sowie der stetig wachsenden Abhängigkeiten von globaler Software, steigt die Bedeutung der internationalen Zusammenarbeit. Um die Cybersicherheit in der Schweiz zu stärken, trat am 1. April 2025 die Meldepflicht für Cyberangriffe auf Kritische Infrastrukturen in Kraft, welche in enger Abstimmung mit internationalen Standards und EU-Richtlinien entwickelt wurde.

BACS als erste Anlaufstelle bei Cybervorfällen für die Bevölkerung in der Schweiz

Als erste Anlaufstelle für die Bevölkerung bei Cybervorfällen nimmt das Bundesamt für Cybersicherheit (BACS) bereits seit 2020 über ein Online-Meldeformular freiwillige Hinweise zu Vorfällen im digitalen Raum entgegen. Die Analyse der eingehenden Meldungen verdeutlicht, wie international Cyberkriminelle agieren und wie sie neue Methoden und Täuschungsstrategien einsetzen, um ihre Angriffe zu verbreiten. Der aktuelle Halbjahresbericht des BACS zeigt diese Entwicklungen auf sowie die nationale und internationale Cyberbedrohungslage im zweiten Halbjahr 2024.

Cyberbedrohungen im zweiten Halbjahr 2024

Im zweiten Halbjahr 2024 gingen beim BACS 28’165 Meldungen zu Cybervorfällen ein. Dies sind etwas weniger als im Verlaufe des ersten Halbjahres 2024. Über das gesamte Jahr 2024 stieg die Anzahl im Vergleich zum Vorjahr um 13’574 auf total 62’954 Meldungen. Die Schwankungen beruhen hauptsächlich auf der grossen Wellenbewegung des Phänomens «Fake-Anrufe im Namen von Behörden». Das Verhältnis der Meldungen aus der Bevölkerung (90 %) zu denjenigen von Unternehmen, Vereinen und Behörden (10 %) blieb stabil. Bei den Unternehmen war ein starker Anstieg bei den Meldungen zum Phänomen CEO-Betrug zu verzeichnen (2024: 719 / 2023: 487). Die am häufigsten gemeldeten Kategorien waren weiterhin «Betrug», «Phishing» und «Spam». Bei «betrügerischen Gewinnspielen» beobachtete das BACS im zweiten Halbjahr 2024 sogar eine Verdreifachung der eingegangenen Meldungen.

Bekannte Angriffsmethoden werden modernisiert

Neben klassischen E-Mails und SMS kommen vermehrt RCS (Rich Communication Services) und iMessage zum Einsatz, um etablierte SMS-Filter der grossen Provider umgehen können. Auch Telefonanrufe von angeblichen Bankmitarbeitern oder das Überkleben von QR-Codes auf Parkuhren gehören zu den aktuellen Betrugsmaschen. Eine weitere beobachtete Methode ist das Fluten von E-Mail-Konten mit Spam-Nachrichten, um anschliessend über digitale Kommunikationsplattformen Hilfestellungen anzubieten, in deren Verlauf die Opfer kompromittiert werden. Auch die Namen bekannter Schweizer Unternehmen wurden missbraucht, um in deren Namen Schadsoftware zu verteilen. Das BACS beleuchtet in seinen Wochenrückblicken, die jeweils dienstags erscheinen, die Vorgehensweisen genauer und gibt entsprechende Handlungsempfehlungen ab.

Zunehmendes Risiko aufgrund weltweiter digitaler Abhängigkeiten

Das fehlgeschlagene Software-Update von CrowdStrike im zweiten Halbjahr 2024 hat die weltweiten digitalen Abhängigkeiten eindrücklich vor Augen geführt: Rund 8,5 Millionen Computersysteme wurden ausser Betrieb gesetzt – der geschätzte wirtschaftliche Schaden beläuft sich auf mehrere Milliarden US-Dollar. Auch die jüngsten Entwicklungen beim US-amerikanischen CVE-Programm (Common Vulnerabilities and Exposures) verdeutlichen die Risiken einseitiger internationaler Abhängigkeiten. Diese Ereignisse unterstreichen die dringende Notwendigkeit verstärkter internationaler Zusammenarbeit im Bereich der Cybersicherheit.

Um negative Auswirkungen solcher Abhängigkeiten zu reduzieren, hat die Schweiz ihre Kooperation und bilateralen Austauschgespräche mit europäischen und internationalen Partnern intensiviert, um gemeinsame Frühwarnsysteme zu verbessern und Informationen über aktuelle Bedrohungslagen schneller auszutauschen.

Neue Meldepflicht harmonisiert mit internationalen Standards

Am 1. April 2025 trat die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in Kraft. Diese neue Regelung wurde in enger Abstimmung mit internationalen Standards und EU-Richtlinien entwickelt, um grenzüberschreitende Kompatibilität und Informationsaustausch zu gewährleisten. Betreiberinnen Kritischer Infrastrukturen wie Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen müssen dem BACS somit bestimmte Cyberangriffe innerhalb von 24 Stunden melden. Für die ersten sechs Monate, bis zum 1. Oktober 2025, bleibt das Unterlassen von Meldungen sanktionsfrei.

Weitere Informationen zum Thema:

Bundesamt für Cybersicherheit BACS, 06.05.2025
Halbjahresbericht 2024/II (Juli – Dezember),  Cybersicherheit – Lage in der Schweiz und international

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen

[datensicherheit.de, 28.01.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben „eine alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt, bei denen Steuerbehörden und andere Finanzinstitutionen in der Schweiz imitiert werden“. Ihre Erkenntnisse wurden in einem aktuellen „Security Brief“ veröffentlicht (s.u.).

Abbildung: Proofpoint

Fake-Beispiel für cyber-kriminelle Erinnerung an Zahlung der Bundessteuer in der Schweiz

Cyber-Kriminelle geben sich als Eidgenössische Steuerverwaltung aus

Im Dezember 2024 entdeckte Proofpoint demnach eine Betrugskampagne, welche gezielt Schweizer Organisationen ins Visier nahm. Cyber-Kriminelle hätten sich dabei als Eidgenössische Steuerverwaltung ausgegeben und die Empfänger aufgefordert, vermeintliche Steuerschulden mittels Kreditkarte über die Zahlungsplattform „Revolut“ zu begleichen. Laut den Untersuchungsergebnissen von Proofpoint war das Ziel dieser Kampagne nicht der Diebstahl von Kreditkartendaten, „sondern die Umleitung von Zahlungen auf ein von den Angreifern kontrolliertes ,Revolut’-Konto“.

Diese Ergebnisse unterstrichen die raffinierten Methoden Cyber-Krimineller, um ihre Opfer zu täuschen und zu manipulieren. Insbesondere im Laufe der Steuersaison seien solche Taktiken effektiv, weil viele Menschen und Unternehmen mit Steuerbehörden und Finanzdienstleistern interagierten und daher eher geneigt seien, solche Köder für authentisch zu halten. Es sei daher von entscheidender Bedeutung, „dass Organisationen ihre Belegschaft über die häufig von Cyber-Kriminellen eingesetzten Techniken und Köder aufklären, um solche Angriffe abzuwehren“.

Steuerbezogene Inhalte während der weltweiten Steuersaison ein beliebter Cyber-Köder

„Steuerbezogene Inhalte sind während der weltweiten Steuersaison immer ein beliebter Köder, und Proofpoint beobachtet typischerweise einen Anstieg solcher Inhalte zu Beginn des Jahres. Dabei kann es sich um einen wirksamen Köder handeln, weil er die Dringlichkeit von Fristen mit der Androhung von zusätzlichen Gebühren, Geschäftsunterbrechungen oder Auswirkungen auf Zahlungen verbindet“, erläutert Selena Larson, „Staff Threat Researcher“ bei Proofpoint. Darüber hinaus seien Menschen eher geneigt, auf Inhalte zu antworten oder sich damit zu befassen, „wenn sie von einer als Autorität anerkannten Quelle wie einer Regierungsbehörde zu stammen scheinen“.

Es sei wichtig, „dass die Menschen besonders wachsam sind, wenn sie eine E-Mail in ihrem Posteingang finden, die den Anschein erweckt, dass sie etwas mit Steuern zu tun hat“. Denn Cyber-Kriminelle seien wirklich gut darin, überzeugende Köder zu verbreiten. Weil viele Unternehmen ihre Geschäfte per E-Mail abwickelten, erwarteten ihre Mitarbeiter solche Inhalte und gingen davon aus, „dass sie legitim sind“. Außerdem kombinierten Cyber-Kriminelle E-Mails oft mit Anrufen oder Textnachrichten und nutzten so mehrere Kanäle für ihre Angriffe.

Belegschaft sollte auf gängige Techniken Cyber-Krimineller achten

Unternehmen bzw. ihre Belegschaft sollten auf gängige Techniken Cyber-Krimineller achten, „wie gefälschte Domänen und Identitäten, eine aufdringliche und dringliche Sprache, die Weiterleitung auf Websites, die nicht offiziell von den vermeintlichen Personen betrieben werden, und die Aufforderung, Zahlungen an Anwendungen oder Websites von Drittanbietern zu leisten“. Larson betont: „Wenn Unternehmen diese Taktiken verstehen und wachsam bleiben, können sie die Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden, erheblich verringern und ihr Geld und ihre sensiblen Daten wirksam schützen.“ Diese Attacken zielten meist darauf ab, sensible Informationen zu stehlen bzw. finanzielle Gewinne zu erzielen. Um das Risiko eines erfolgreichen Angriffs zu verringern, empfiehlt Proofpoint folgende Maßnahmen:

1. Schulen Sie Ihre Mitarbeiter, bösartige E-Mails und SMS zu erkennen und zu melden!
Regelmäßige Schulungen und simulierte Angriffe könnten viele Angriffe stoppen und helfen, besonders gefährdete Personen zu identifizieren. Nachhaltige Simulationen ahmten reale Angriffstechniken nach. „Achten Sie auf Security-Lösungen, die auf realen Angriffstrends und den neuesten Bedrohungsdaten basieren. Angreifer nutzen auch SMS und bösartige QR-Codes, um Angestellte anzugreifen, daher ist es wichtig, diese Methoden in die Schulung einzubeziehen!“

2. Sie müssen davon ausgehen, dass die Angestellten trotzdem irgendwann auf einige der Bedrohungen klicken werden!
Angreifer würden immer neue Wege finden, die menschliche Natur auszunutzen. „Finden Sie eine Security-Lösung, die eingehende E-Mail-Bedrohungen, die auf Mitarbeiter abzielen, erkennt und blockiert, bevor sie den Posteingang erreichen. Investieren Sie in eine Lösung, die das gesamte Spektrum von E-Mail-Bedrohungen abdeckt, nicht nur Malware-Bedrohungen!“ Einige Angriffe wie BEC (Business Email Compromise) und andere Formen des E-Mail-Betrugs seien mit herkömmlichen Sicherheitstools nur schwer zu erkennen. „Ihre Lösung sollte sowohl externe als auch interne E-Mails scannen – Angreifer können kompromittierte Konten verwenden, um Benutzer innerhalb desselben Unternehmens zu täuschen. Web-Isolation kann ein wichtiger Schutz gegen unbekannte und riskante URLs sein.“

3. Verwalten Sie den Zugriff auf sensible Daten und interne Bedrohungen!
Ein „Cloud Access Security Broker“ könne helfen, „Cloud“-Konten zu sichern und die richtigen Zugriffsrechte für Benutzer und zusätzliche Anwendungen von Drittanbietern auf Grundlage der relevanten Risikofaktoren zu gewähren. Plattformen für das Insider-Risikomanagement könnten zum Schutz vor Insider-Bedrohungen beitragen, „auch für Nutzer, die durch Angriffe von außen gefährdet sind“.

4. Zusammenarbeit mit einem Anbieter von Bedrohungsdaten!
Gezielte Angriffe erforderten zur Abwehr fortschrittliche Bedrohungsdaten. „Verwenden Sie eine Lösung, die statische und dynamische Techniken kombiniert, um neue Angriffswerkzeuge, -taktiken und -ziele zu erkennen und daraus zu lernen!“

Weitere Informationen zum Thema:

proofpoint, Selena Larson, 28.01.2025
Security Brief: Threat Actors Take Taxes Into Account

[datensicherheit.de, 28.08.2019] Der Digitalcourage e.V. meldet, dass am 29. August 2019 mehrere Organisationen die „BigBrotherAwards“ in der Schweiz verleihen. Die Keynote hält demnach padeluun, Gründungsvorstand von Digitalcourage. Es sollen drei Negativ-Preise an politische und staatliche Akteure und Unternehmen vergeben werden: Der Publikumspreis, der Preis „Private-Public-Partnership“ und der Preis „Staat“.

Gesprächsangebot an Datenkraken

Die „BigBrotherAwards“ in der Schweiz verleihen laut Digitalcourage der Chaos Computer Club Schweiz, Digitale Gesellschaft, p≡p Stiftung und Stiftung für Konsumentenschutz am Freitag, dem 29. August um 19.00 Uhr in der Universität Zürich. Die Jury verstehe diese Preise als „Gesprächsangebot an Datenkraken“, um sie zum Umdenken zu bewegen.

Erste Verleihung fand 1999 in Großbritannien statt

Die „BigBrotherAwards“ seien international: Die erste Verleihung in Großbritannien sei 1999 von Simon Davies organisiert worden; in Deutschland verleihe Digitalcourage gemeinsam mit anderen Organisationen seit 2000 jährlich die „BigBrotherAwards“ an Unternehmen, Behörden und Politiker. Nach zehnjähriger Pause würden 2019 erstmals wieder „BigBrotherAwards“ in der Schweiz verliehen.

Weitere Informationen zum Thema:

BIGBROTHERAWARDS.ch
Big Brother Awards Schweiz – 29. August 2019!

datensicherheit.de, 11.05.2019
BigBrotherAwards 2019 am Pfingstsamstag im Theater Bielefeld

datensicherheit.de, 21.04.2018
BigBrotherAwards 2018 im Stadttheater Bielefeld verliehen

datensicherheit.de, 20.03.2017
BigBrotherAwards 2017: Verleihung am 5. Mai 2017 in Bielefeld

[datensicherheit.de, 22.07.2019] Die Gefährdungslage für Schweizer Unternehmen und Behörden in Sachen Cybersicherheit gibt weiterhin Anlass zur Sorge. Das legen Untersuchungsergebnisse von Proofpoint nahe. Wenig überraschend: Vor allem der Finanzsektor in der Schweiz ist für Cyberkriminelle ein attraktives Angriffsziel. Darüber hinaus gibt es eine Vielzahl von Bedrohungen, die auch Eidgenossen nicht verschonen.

Hacker haben es in der Schweiz oftmals auf die Log-in-Daten von Bankkunden abgesehen

Im Verlauf der Untersuchungen zur derzeitigen Bedrohungssituation in der Schweiz, stellte das US-amerikanische IT-Sicherheitsunternehmen Proofpoint fest, dass es Hacker in der Schweiz oftmals auf die Log-in-Daten von Bankkunden abgesehen haben. Das beliebteste Werkzeug der Kriminellen dafür war in jüngster Zeit die Schadsoftware Retefe. Dabei handelt es sich um einen Banking-Trojaner, der zumeist über gezippte Datei-Anhänge verbreitet wird, die mit schadhaftem JavaScript versehen wurden oder aber über präparierte Word-Attachments. Nach einer Infektion leitet Retefe den Datenverkehr der betroffenen Banken über seinen eigenen Proxy um. Neben der Schweiz war Retefe in der Vergangenheit hauptsächlich in Österreich und Schweden aktiv – im Moment ist die Schweiz nach Datenlage jedoch offenbar das exklusive Ziel der Cyberkriminellen.

Emotet vermehrt unterwegs

Aber auch andere Varianten von Schadsoftware gefährden derzeit Unternehmer und Verbraucher in der Schweiz. So konnte festgestellt werden, dass auch in der Schweiz Emotet vermehrt sein Unwesen treibt. Emotet war zunächst eine sogenannte „General-Purpose-Malware“, also eine Schadsoftware, die sich mit vielerlei Modulen bestücken ließ, je nach gewünschtem Verwendungszweck der Kriminellen – sei es ein Banking-Trojaner, ein Information Stealer oder ein anderer Malware-Typ. In den letzten Jahren entwickelte sich Emotet allerdings von einem Banking-Trojaner hin zu einem eigenständigen Botnet, das vielen anderen Malware-Varianten den Rang abläuft. TA542 (Threat Actor 542), die Gruppe von Cyberkriminellen hinter Emotet, verbreitet die Schadsoftware seit Anfang 2019 in Abermillionen von E-Mails, die vor allem auf den Gesundheits- und Fertigungssektor abzielen.

Ein weiterer Schädling, der die Schweiz derzeit heimsucht ist der Loader Smoke. Smoke ist ein modularer Malware-Downloader, der erstmals 2011 beobachtet wurde und gewöhnlich von russischen Cyberkriminellen bei Angriffen auf Unternehmen wie auch einzelne Nutzer verwendet wird. Verkauft wird die Malware von einer Einzelperson, die sich hinter dem Decknamen „SmokeLdr“ verbirgt und angibt, nur an russische Akteure der Black-Hat-Szene zu verkaufen. Abhängig davon, welche Module erworben werden, bietet Smoke mannigfaltige Möglichkeiten für die Hacker. Zu diesen Möglichkeiten zählen beispielsweise optionale Fähigkeiten wie ein Password Stealer, DNS-Hijackings, Key-Logging sowie die Durchführung von DDoS-Attacken (Distributed Denial of Service). Bei Angriffen in der Schweiz lädt Smoke laut der Analysen von Proofpoint jedoch nach kurzer Zeit hauptsächlich den Banking-Trojaner Retefe nach.

 Top-Unternehmen schützen sich besser gegen Business Email Compromise

Doch es gibt auch erfreuliche Nachrichten: Wie Proofpoint feststellen konnte, unternahmen schweizerische Top-Unternehmen in den vergangenen sechs Monaten weitere Schritte, um sich besser gegen die sogenannte Chef-Masche beziehungsweise BEC (Business Email Compromise) zu schützen. Zu diesem Zweck implementierten insgesamt 17 der 20 im SMI gelisteten führenden Unternehmen der Schweiz den herstellerunabhängigen DMARC-Standard. Vor einem halben Jahr verfügten von den untersuchten Firmen lediglich 12 über einen DMARC-Eintrag. Dies entspricht einer Steigerungsrate von 25 Prozent und hilft den betreffenden Unternehmen dabei, sich, ihre Mitarbeiter, Partner und Kunden vor Cyberbetrug auf Basis von Domain Spoofing zu schützen – wenngleich nur vier Unternehmen auch aktiv betrügerische Mails blockieren und somit in Gänze DMARC-konform agieren.

Der öffentliche Sektor steht dem Betrug auf Basis von Domain Spoofing hingegen nahezu ungeschützt gegenüber. Nur zwei der von den 26 Kantonen genutzten Domains verfügen über einen DMARC-Eintrag. Dieses Versäumnis steigert natürlich die Gefahr, Opfer von Cyberattacken zu werden.

Weitere Informationen zum Thema:

Proofpoint
2019: The Return of Retefe

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht

[datensicherheit.de, 26.03.2016] Link11 warnt aus aktuellem Anlass vor DDoS-Erpressungen durch eine Gruppe namens „RedDoor“. Als Schutzgelderpresser setze diese seit Kurzem mehrere Unternehmen mit Drohschreiben unter Druck. Link11 liegen nach eigenen Angaben außerdem erste Hinweise auf Aktivitäten einer weiteren Erpresserbande in Deutschland vor.

Cyberkriminelle fordern zunächst 3,- Bitcoin Schutzgeld

Online-Händlern aus Deutschland drohe eine weitere Welle von DDoS-Erpressungen. Diesmal forderten Cyberkriminelle unter dem Namen „RedDoor“ drei Bitcoins Schutzgeld von den angeschriebenen Shops. Seit dem 23. März 2016 arbeite das Link11 Security Operation Center (LSOC) in Kooperation mit den betroffenen E-Commerce-Anbietern und den Behörden an den Ermittlungen.

Großvolumige DDoS-Attacken angedroht

„RedDoor“ gehe nach bekannten und bewährten Mustern von DDoS-Erpressungen vor: Die Kriminellen versendeten von einem anonymen Mail-Dienst eine E-Mail, in der sie drei Bitcoins forderten. Die angeschriebenen Unternehmen hätten 24 Stunden Zeit, um das Geld auf ein individuelles Bitcoin-Konto zu transferieren. Für den Fall, dass keine Zahlung erfolgt, kündige „RedDoor“ großvolumige DDoS-Attacken an. Die Erpresser drohten mit „UDP Floods“ von bis zu 400 bis 500 Gbps. Außerdem erhöhe sich die Forderung auf zehn Bitcoins und werde stündlich weiter steigen.

Nachahmer und Trittbrettfahrer

Die Erpresser-E-Mails von „RedDoor“ ähnelten den schon bekannten Schutzgeldforderungen von „DD4BC“; beim Vorgehen hingegen orientiere sich die Gruppe an „Armada Collective“. Es könnte sich daher um Nachahmer und Trittbrettfahrer der beiden international aktiven DDoS-Erpresserbanden handeln.
„Armada Collective“ sei seit dem 9. März 2016 erneut in der Schweiz aktiv. Im Fokus stünden dort Finanzunternehmen und Online-Shops. Erste Informationen deuteten darauf hin, dass „Armada Collective“ seit dem 24. März 2016 auch in Deutschland wieder Unternehmen unter Druck setze, so das LSOC. Erst im Dezember 2015 habe diese Tätergruppe die Betreiber von deutschen Rechenzentren in Aufruhr versetzt.

RedDoor-Fokus auf E-Commerce

„RedDoor“ konzentriere sich aktuell vor allem auf die E-Commerce-Branche. Das LSOC vermutet jedoch, dass sich die Erpressungsversuche auch auf weitere Branchen in Deutschland, Österreich und Schweiz ausweiten werden.

Weitere Informationen zum Thema:

Link 11
Erpresserschreiben von „RedDoor“ im Original

[datensicherheit.de, 04.05.2015] Viele europäische Liebhaber US-amerikanischer Fernsehserien reagieren verärgert auf den zeitlichen Versatz der Ausstrahlung in der Alten Welt – wenn sie denn überhaupt jemals erfolgt. Da liegt die Versuchung nahe, sich einen zeitlichen Vorteil zu verschaffen, wobei man sich durchaus auf rechtlich problematisches Terrain begeben kann.

Streaming-Portale erfreuen sich wachsender Beliebtheit

Gratisangebote greifen oft auf heimlich kopierte Filme zurück und bescheren neben zweifelhafter Qualität unter Umständen rechtliche Probleme – nicht von ungefähr gerieten solche Angebote „immer wieder in die Negativschlagzeilen“, so die Schweizer Zeitung „20 minuten“. In ihrem Beitrag vom 4. Juni 2013 werden Abofallen, Adware, Trojaner und dubiose Online-Glücksspiele als konkrete Gefahren benannt.

Ausweg: On-damand-Flatrate

Als Alternativen böten sich On-demand-Anbieter an, so „20 minuten“. In den USA gebe es z.B. Netflix oder Hulu, welche eine Flatrate für den unbegrenzten Genuss von Kinofilmen und Fernsehserien böten. Auf der jeweiligen Website ließe sich unter Angabe einer beliebigen US-Adresse ein Konto eröffnen – der erste Monat sei sogar gratis. Allerdings setzten Streaminganbieter in den USA eine Ländersperre ein, die umgangen werden müsse. Im Test der „20 minuten“ habe sich hierzu das Angebot von suissl.com/de bewährt. Dieser VPN-Dienst ermögliche für monatlich zehn Euro anonymes Surfen und sei mit PC, Mac, iPad, Android und Linux kompatibel.

Dem unzensierten Internet verpflichtet

Der Schweizer VPN-Service-Provider Suissl sieht sich nach eigenen Angaben der Internet-Sicherheit, Online-Privatsphäre und dem weltweit unzensierten Internet verpflichtet.
Versprochen wird ein hohes Maß an Datenschutz – keine Information über die Kunden werde „in irgendeiner Form weitergegeben“.
Explizit werden Grundwerte wie Sicherheit, Privatsphäre, Zuverlässigkeit, Benutzerfreundlichkeit und Nachhaltigkeit benannt. Mit Firmensitz in Zürich profitierten die Kunden zugleich von den besten Internet- und Datenschutzgesetzen auf der Welt, denn das Unternehmen unterstehe dem Schweizer Bundesgesetz über den Datenschutz (DSG) und gewährleiste somit den bestmöglichen Schutz der Privatsphäre weltweit.
Vielleicht lohnt es sich ja doch, gelegentlich mal bei unseren Nachbarn vorbeizuschauen und sich hinsichtlich Datenschutz und Servicequalität inspirieren zu lassen…

[datensicherheit.de, 02.08.2013] Als ursprünglich sicherer Bankenstandort mag die Schweiz Federn gelassen haben, aber gerade zu einer Zeit, in der Datenschutzskandale in der EU und in den USA auch in den als seriös geltenden Medien kritisch diskutiert werden, lohnt es sich bezüglich der Standortauswahl für die Unterbringung von virtuellen Vermögenswerten den Blick auf neutrale Staaten zu werfen. Während Wohlhabende aus EU-Ländern eventuell darüber nachdenken mögen, ob sie zur Absicherung ihres Lebensabends Edelmetalle in Barrenform in einem Zollfreilager in der Schweiz hinterlegen, um im Falle einer Währungsreform nicht bei null anfangen zu müssen, stellt sich für EU-Unternehmen eher die Frage, an welchem Standort ihr höchst volatiles Daten-Vermögen abgelegt werden soll.
Datenschutz und -sicherung sind Chefsache – es kann der Geschäftsführung bzw. dem Vorstand nicht egal sein, wo die Daten des Unternehmens in der berühmt-berüchtigten „Cloud“ lagern, denn in der „Cloud“ wird unter Umständen ganz legal „geklaut“, wenn verschärfte Sicherheitsgesetze des betreffenden Landes dies gestatten. Der durch Edward Snowden im Sommer 2013 publik gewordene Abhörskandal dürfte noch lange für Verunsicherung sorgen. Selbst wenn die breite Öffentlichkeit sich bald anderen Schlagzeilen in den Medien zuwenden mag, können Entscheider bei der Standortauswahl für ein Datencenter nicht mehr zurück in das behagliche Urvertrauen vergangener Zeiten – sie müssen wohlüberlegt und langfristig rechtssicher handeln.
Die Studie „Datentresor Schweiz“, Institut für Wirtschaftsstudien Basel AG / Oktober 2012, jedenfalls kommt zu dem Schluss, dass die Schweiz seit einigen Jahren einen „Boom der Rechenzentren (engl. Data Centers)“ verzeichne; in vielen Regionen – so etwa in den Großräumen Zürich und Genf – seien zahlreiche hochmoderne Datencenter zur Lagerung von Daten aus aller Welt errichtet worden. Sicher ist auch die Schweiz heute keine abgelegene „Insel der Glückseligen“ mehr, aber die Standortvorteile liegen auf der Hand, denn abgesehen von gelegentlichen Lawinen in den Bergregionen ist die Gefahr, dass Datencenter durch Naturkatastrophen beschädigt oder gar zerstört werden, äußerst gering. Die politische Stabilität und Sicherheit im Öffentlichen Raum sind trotz der Herausforderungen des 21. Jahrhunderts im Vergleich etwa zu den EU-Krisenstaaten im Süden Europas herausragend und damit ganz wesentliche Kriterien für eine Standortauswahl. Nicht zuletzt lockt auch die Währungsstabilität; während es ansonsten abwechselnd so scheint, als ob mal der Euro und mal der Dollar vom baldigen Untergang bedroht ist, zeigt sich der Franken wertbeständig.
Laut IWSB-Studie gelte die Tradition des hohen Schutzes der Privatsphäre als ein „Trumpf des Data Center-Standorts Schweiz im internationalen Wettbewerb“. Anbieter wie z.B. Artmotion mit Sitz in Zürich und Zug können mit einer langjährigen Präsenz am Markt, mit Diskretion und Professionalität, aufwarten – und werden so gewissermaßen zu den „Daten-Banken“ des 21. Jahrhunderts. Die Schweiz sei international bekannt dafür, den Schutz der Privatsphäre hoch zu gewichten – dies werde unter Marketing-Gesichtspunkten bereits heute im Standort-Wettbewerb ausgespielt, so die IWSB-Studie. Denn tatsächlich gälten die Schweizer Datenschutz-Bestimmungen als restriktiv, zumal ohne gerichtliche Anordnung kein Datenzugriff erfolgen dürfe.

Weitere Informationen zum Thema:

IWSB Basel, Oktober 2012
Datentresor Schweiz