Phishing Melden Schweiz: Was tun nach einem Phishing-Angriff?

Q: Warum Phishing-Meldungen in der Schweiz so wichtig sind

See section: Warum Phishing-Meldungen in der Schweiz so wichtig sind

Wenn Sie in der Schweiz Opfer eines Phishing-Angriffs geworden sind, zählt jede Minute: Trennen Sie betroffene Geräte sofort vom Netzwerk, ändern Sie alle kompromittierten Passwörter von einem sicheren Gerät aus, und melden Sie den Vorfall anschliessend beim Bundesamt für Cybersicherheit (BACS) unter antiphishing.ch sowie bei der Kantonspolizei. Das NCSC verzeichnete 2024 über 63’000 Cybervorfälle in der Schweiz — der durchschnittliche Schaden eines Datenschutzverstosses bei einem KMU beträgt CHF 84’000. Schnelles Handeln nach einem Phishing-Angriff kann diesen Schaden erheblich reduzieren.

Warum Phishing-Meldungen in der Schweiz so wichtig sind

Phishing ist kein abstraktes Problem: Laut Verizon Data Breach Investigations Report 2024 ist Phishing mit ca. 16 Prozent einer der häufigsten initialen Angriffsvektoren, und 68 Prozent aller Datenverletzungen involvieren einen nicht-böswilligen menschlichen Faktor. In der Schweiz werden täglich Hunderte von Phishing-Versuchen gemeldet — und dies ist nur die Spitze des Eisbergs, da die Dunkelziffer erheblich höher liegt.

Für Schweizer KMU sind die Konsequenzen eines nicht gemeldeten oder schlecht behandelten Phishing-Angriffs gravierend:

Finanzielle Verluste: IBM beziffert den durchschnittlichen Datenschutzverstoss in der Schweiz auf CHF 4,7 Millionen (2024) — bei KMU liegt der Median bei CHF 84’000.
Rechtliche Risiken: Das revidierte Datenschutzgesetz (nDSG), in Kraft seit September 2023, verpflichtet Unternehmen zur Meldung von Datenpannen innert 72 Stunden beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Reputationsschaden: Kunden und Geschäftspartner verlieren das Vertrauen, wenn ein Sicherheitsvorfall nicht professionell kommuniziert wird.
Folgeschäden: Ein nicht vollständig bereinigter Angriff öffnet Tür und Tor für Ransomware, Datendiebstahl und Business Email Compromise.

“Die meisten KMU unterschätzen, wie schnell Angreifer nach einem erfolgreichen Phishing-Login handeln. In unserer Erfahrung haben Cyberkriminelle innerhalb von Minuten Backdoors installiert und laterale Bewegungen im Netzwerk begonnen — die Meldung und Sofortreaktion muss daher ebenso schnell erfolgen.”

— Schweizer Cybersicherheitsexperte, Basel (2025)

Phishing-Meldungen helfen zudem den Behörden, Angriffswellen früh zu erkennen und andere Unternehmen zu warnen. Jede Meldung trägt zum kollektiven Schutz der Schweizer Wirtschaft bei.

Die ersten 60 Minuten: Sofortmassnahmen nach einem Phishing-Angriff

Handeln Sie systematisch und ruhig. Die folgende Checkliste führt Sie durch die kritischen ersten Schritte.

Schritt 1: Betroffene Systeme isolieren (Minuten 0–5)

Trennen Sie den betroffenen Computer oder das betroffene Gerät sofort vom Netzwerk:

Netzwerkkabel abziehen oder WLAN deaktivieren
Bei Mobilgeräten: Flugmodus aktivieren
Gerät nicht ausschalten (forensische Beweise könnten verloren gehen)
Andere Mitarbeitende sofort informieren, damit sie verdächtige E-Mails nicht öffnen

Falls Sie auf einen Link geklickt oder eine Datei heruntergeladen haben: Notieren Sie genau, welche Aktionen Sie ausgeführt haben — dies ist für die spätere Analyse entscheidend.

Schritt 2: Passwörter ändern — aber richtig (Minuten 5–20)

Verwenden Sie für alle Passwortänderungen ein anderes, nicht kompromittiertes Gerät:

E-Mail-Konto (höchste Priorität — häufigster Einfallstor)
Microsoft 365 / Google Workspace
Bankkonten und Zahlungsdienstleister
VPN und Fernzugriffskonten
Alle weiteren Business-Konten

Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) überall, wo dies noch nicht eingerichtet ist. Informieren Sie Ihre IT-Abteilung oder Ihren IT-Dienstleister umgehend.

Schritt 3: Den Schaden einschätzen (Minuten 20–40)

Beantworten Sie diese Fragen so präzise wie möglich:

Welche Zugangsdaten wurden möglicherweise kompromittiert?
Welche Dateien oder Systeme wurden möglicherweise aufgerufen?
Wurden E-Mails aus Ihrem Konto versendet?
Wurden finanzielle Transaktionen ausgelöst oder autorisiert?
Welche anderen Mitarbeitenden könnten betroffen sein?

Machen Sie Screenshots aller verdächtigen E-Mails, Links und Dateien — als Beweise für die spätere Meldung. Bewahren Sie originale E-Mail-Dateien als .eml-Dateien auf, falls möglich.

Schritt 4: Interne Eskalation (Minuten 40–60)

Informieren Sie unverzüglich:

Geschäftsleitung: Über das Ausmass des möglichen Schadens
IT-Sicherheit / IT-Dienstleister: Für technische Sofortmassnahmen
Rechtliche Abteilung / Datenschutzbeauftragter: Bezüglich nDSG-Meldepflichten
HR (falls Mitarbeiterdaten betroffen): Für interne Kommunikation
Versicherung: Viele Cyberpolicen haben kurze Meldefristen

Phishing melden: Die offiziellen Kanäle in der Schweiz

BACS / Antiphishing-Meldung (antiphishing.ch)

Das Bundesamt für Cybersicherheit (BACS) — früher bekannt als NCSC — betreibt die Plattform antiphishing.ch. Hier können Sie:

Phishing-E-Mails melden (inkl. Weiterleitung verdächtiger E-Mails an antiphishing@ncsc.admin.ch)
Gefälschte Websites melden
Betrugsversuche via SMS (Smishing) und Telefon (Vishing) melden

So melden Sie eine Phishing-E-Mail beim BACS:

Rufen Sie antiphishing.ch auf
Klicken Sie auf «Phishing melden»
Geben Sie die URL des Phishing-Links oder den Inhalt der E-Mail ein
Alternativ: E-Mail weiterleiten an antiphishing@ncsc.admin.ch

Das BACS wertet alle Meldungen aus, koordiniert mit Hosting-Providern zur Abschaltung von Phishing-Websites und informiert andere Behörden.

Meldung beim NCSC-Meldeformular

Für schwerwiegendere Vorfälle — insbesondere wenn Geschäftsdaten kompromittiert wurden oder ein finanzieller Schaden entstanden ist — nutzen Sie das allgemeine Meldeformular des BACS unter meldeformular.ncsc.admin.ch.

Bereiten Sie folgende Informationen vor:

Information	Details
Art des Vorfalls	Phishing, CEO-Fraud, Ransomware, etc.
Zeitpunkt	Wann wurde der Angriff bemerkt? Wann erfolgte vermutlich die Kompromittierung?
Betroffene Systeme	Welche Geräte, Konten, Netzwerke?
Schaden	Finanzielle Verluste, gestohlene Daten, Betriebsunterbrechung
Kontaktdaten	Für Rückfragen des BACS

Strafanzeige bei der Kantonspolizei

Bei finanziellen Schäden oder Datendiebstahl empfiehlt sich zusätzlich eine Strafanzeige bei der zuständigen Kantonspolizei oder via cybercrime.ch. Die meisten Kantonspolizeien haben spezialisierte Cybercrime-Abteilungen.

Wichtig: Eine Strafanzeige erhöht die Chance, gestohlenes Geld zurückzuerhalten — insbesondere bei CEO-Fraud und Business Email Compromise, wo schnelles Handeln entscheidend ist. Lesen Sie dazu auch unseren Artikel zu CEO-Fraud in der Schweiz.

Meldung an den EDÖB (Datenschutz)

Falls Personendaten Dritter (Kunden, Mitarbeitende, Lieferanten) kompromittiert wurden, greift das nDSG:

Meldung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) innert 72 Stunden
Betroffene Personen müssen informiert werden, wenn erhebliche Risiken bestehen
Dokumentation des Vorfalls und der getroffenen Massnahmen

Unsere nDSG-Checkliste für KMU führt Sie durch alle Pflichten nach einem Datenschutzvorfall.

Meldung an Ihre Cyberversicherung

Falls Sie eine Cyberversicherung abgeschlossen haben: Melden Sie den Vorfall unverzüglich. Viele Policen haben kurze Meldefristen (oft 24–72 Stunden). Eine verzögerte Meldung kann zur Leistungsverweigerung führen.

Interne Incident-Response: Was als nächstes zu tun ist

Nach den unmittelbaren Sofortmassnahmen folgt die strukturierte Incident-Response. Dieser Prozess ist entscheidend für eine vollständige Bereinigung und die Verhinderung von Folgeschäden.

Forensische Analyse

Beauftragen Sie — falls intern nicht möglich — externe Cybersicherheitsexperten mit einer forensischen Analyse:

Welche Systeme wurden kompromittiert?
Wie lange hatten Angreifer Zugriff?
Welche Daten wurden exfiltriert?
Wurden Backdoors oder Malware installiert?

Wichtig: Schalten Sie betroffene Systeme nicht voreilig aus oder neu auf, bevor eine forensische Sicherung erstellt wurde. Flüchtige Daten im Arbeitsspeicher können entscheidende Hinweise liefern.

Systembereinigung und Wiederherstellung

Malware-Scan: Vollständiger Scan aller potenziell betroffenen Systeme
Neuinstallation: Bei schwerwiegender Kompromittierung empfiehlt sich ein komplettes Neuaufsetzen betroffener Systeme
Backup-Wiederherstellung: Nutzen Sie ausschliesslich Backups, die vor dem Angriff erstellt wurden und als sauber bestätigt sind
Patch-Management: Alle Systeme auf aktuellen Stand bringen
Zugangsdaten zurücksetzen: Alle privilegierten Konten zurücksetzen, nicht nur direkt betroffene

Mitarbeitersensibilisierung nach dem Vorfall

Ein erfolgreicher Phishing-Angriff ist eine Lerngelegenheit für das gesamte Unternehmen:

Debriefing: Ohne Schuldzuweisungen besprechen, wie der Angriff ablief
Schulung: Betroffene Mitarbeitende und das gesamte Team zum Thema Phishing erkennen schulen
Aktualisierte Prozesse: Interne Richtlinien für den Umgang mit verdächtigen E-Mails überarbeiten

Besondere Szenarien: Was tun bei…

…einem CEO-Fraud via Phishing?

CEO-Fraud — bei dem Angreifer sich als Geschäftsführer ausgeben — kombiniert oft Phishing mit Social Engineering. Falls eine Zahlung bereits ausgeführt wurde:

Sofort: Bank kontaktieren und Zahlung stoppen lassen
Strafanzeige erstatten (Zeit ist kritisch — innerhalb von Stunden)
Den empfangenden Korrespondenzbanken melden (Interpol-Kanal für schnelle Banksperrungen)
BACS und Kantonspolizei informieren

Mehr dazu in unserem Leitfaden zu CEO-Fraud Schweiz.

…einem Spear-Phishing-Angriff auf das KMU?

Spear-Phishing ist gezielter und gefährlicher als Massen-Phishing. Bei einem gezielten Angriff:

Nehmen Sie an, dass der Angreifer bereits Informationen über Ihr Unternehmen gesammelt hat
Prüfen Sie alle Systeme, nicht nur das direkt betroffene
Erwägen Sie eine externe Bedrohungsanalyse (Threat Intelligence)

…Phishing via Microsoft 365?

Microsoft 365 ist das häufigste Ziel von Phishing-Angriffen auf Schweizer KMU. Bei einem M365-Kompromittierung:

Sofortige Passwortänderung und MFA-Aktivierung für alle Konten
Alle aktiven Sitzungen (OAuth-Tokens) widerrufen
Mailweiterleitungsregeln prüfen (häufig von Angreifern eingerichtet)
E-Mail-Postfächer auf verdächtige Aktivitäten prüfen
Microsoft Secure Score überprüfen und verbessern

Präventive Massnahmen: Damit der nächste Angriff scheitert

Technische Schutzmassnahmen

Nach einem Phishing-Vorfall sollten Sie folgende technische Massnahmen umsetzen:

Multi-Faktor-Authentifizierung (MFA) für alle Konten aktivieren
E-Mail-Sicherheitslösungen implementieren (SPF, DKIM, DMARC)
DNS-Filtering zur Blockierung bekannter Phishing-Domains
Endpoint Detection & Response (EDR) auf allen Geräten
Privilegien-Management: Minimalprinzip für alle Benutzerkonten

Mitarbeiterschulungen

Laut Verizon DBIR sind geschulte Mitarbeitende der effektivste Schutz gegen Phishing:

Regelmässige Phishing-Simulationen (mindestens quartalsweise)
Klickrate als KPI verfolgen und gezielt verbessern
Schulungen zu Phishing-Schutz und sicheren Verhaltensweisen
Klare interne Meldewege für verdächtige E-Mails etablieren

Red Teaming als Vorsorgemassnahme

Der effektivste Weg, die eigene Phishing-Resilienz zu testen, ist ein professioneller Red-Teaming-Test. Dabei simulieren Sicherheitsexperten echte Phishing-Angriffe gegen Ihr Unternehmen — bevor es echte Cyberkriminelle tun.

“Red Teaming ist der Stresstest für die Cybersicherheit eines Unternehmens. Wir decken systematisch auf, welche Mitarbeitenden, Systeme und Prozesse anfällig für Phishing sind — und liefern konkrete Handlungsempfehlungen, bevor ein echter Angreifer diese Schwachstellen ausnutzt.”

— Red-Teaming-Experte, Zürich (2025)

Hier erfahren Sie mehr über Red Teaming als Schutzmassnahme und wie professionelle Angriffssimulationen Schweizer KMU schützen.

Phishing Melden: Schnellreferenz

Hier die wichtigsten Meldestellen und Kontakte auf einen Blick:

Meldestelle	Zweck	Kontakt
BACS Antiphishing	Phishing-E-Mails und -Websites melden	antiphishing.ch / antiphishing@ncsc.admin.ch
BACS Meldeformular	Schwerwiegende Cybervorfälle	meldeformular.ncsc.admin.ch
Kantonspolizei / cybercrime.ch	Strafanzeige, finanzielle Schäden	Je nach Kanton
EDÖB	Meldepflicht nach nDSG (Datenpannen)	edoeb.admin.ch
Ihre Cyberversicherung	Versicherungsleistung auslösen	Policennummer bereithalten
Ihre Bank	Zahlungen stoppen (CEO-Fraud)	24/7-Notfallnummer der Bank

Weiterführende Ressourcen

Um Ihr Unternehmen langfristig gegen Phishing-Angriffe zu wappnen, empfehlen wir folgende Leitfäden:

Fazit

Phishing-Angriffe auf Schweizer KMU sind Realität — mit 63’000 gemeldeten Cybervorfällen im Jahr 2024 und einem durchschnittlichen Schaden von CHF 84’000 pro Vorfall ist das Risiko greifbar. Die gute Nachricht: Mit dem richtigen Vorgehen nach einem Angriff lässt sich der Schaden erheblich begrenzen.

Die wichtigsten Punkte im Überblick:

Sofort handeln: Systeme isolieren, Passwörter ändern, IT-Sicherheit alarmieren
Behörden informieren: BACS, Kantonspolizei und bei Datenpannen den EDÖB
Versicherung melden: Fristen einhalten
Vollständig bereinigen: Forensische Analyse, keine Abkürzungen
Prävention verbessern: MFA, Schulungen, Phishing-Simulationen

Der sicherste Weg, die eigene Widerstandsfähigkeit gegen Phishing zu kennen und zu verbessern, ist ein professioneller Sicherheitstest. Mit Red Teaming simulieren wir echte Phishing-Angriffe auf Ihr Unternehmen — bevor echte Angreifer es tun. Kontaktieren Sie uns für eine unverbindliche Erstberatung und erfahren Sie, wo Ihre grössten Schwachstellen liegen.

Quellen

Verizon Data Breach Investigations Report (DBIR) 2024: https://www.verizon.com/business/resources/reports/dbir/
IBM Cost of a Data Breach Report 2024: https://www.ibm.com/reports/data-breach