Phishing ist und bleibt die grösste Cyber-Bedrohung für Schweizer Unternehmen und KMU. Gemäss dem Verizon Data Breach Investigations Report (DBIR) 2024 ist Phishing mit ca. 16 % einer der häufigsten initialen Angriffsvektoren, und 68 % aller Datenverletzungen involvieren einen nicht-böswilligen menschlichen Faktor. Laut dem NCSC Halbjahresbericht 2024 wurden in der Schweiz über 63’000 Cyber-Vorfälle gemeldet — ein erheblicher Teil davon Phishing-Angriffe auf KMU. Der Schweizerische Versicherungsverband (SVV) beziffert die jährlichen Schäden durch Cyberangriffe auf die Schweizer Wirtschaft auf rund CHF 9.5 Milliarden.

«Phishing bleibt der häufigste Angriffsvektor gegen Schweizer Unternehmen. Die zunehmende Qualität KI-generierter Phishing-E-Mails macht Sensibilisierung und technische Schutzmassnahmen wichtiger denn je.» — Nationales Zentrum für Cybersicherheit (NCSC), Halbjahresbericht 2024

Für Schweizer Unternehmen mit 10 bis 250 Mitarbeitenden ist die Situation besonders kritisch: Sie verarbeiten geschäftskritische Daten, verfügen aber selten über eine dedizierte IT-Sicherheitsabteilung. Genau diese Kombination macht KMU zum bevorzugten Ziel von Cyberkriminellen. Laut einer gfs-Befragung im Auftrag von digitalswitzerland wurden 2024 rund 4 % aller Schweizer KMU Opfer eines schwerwiegenden Cyberangriffs — hochgerechnet über 24’000 Unternehmen. Nachfolgend: systematischer Phishing-Schutz von Sofortmassnahmen bis zur professionellen Sicherheitsüberprüfung durch Red Teaming.

Was ist Phishing und warum sind KMU besonders gefährdet?

Phishing ist die häufigste und erfolgreichste Angriffsmethode gegen Schweizer Unternehmen. Es bezeichnet den gezielten Versuch von Cyberkriminellen, über gefälschte Nachrichten — meist per E-Mail — an vertrauliche Informationen wie Passwörter, Kreditkartendaten oder Zugangsdaten zu Unternehmenssystemen zu gelangen. Der Begriff leitet sich vom englischen «fishing» (Angeln) ab: Die Angreifer werfen einen Köder aus und warten, bis ein Opfer anbeisst.

Schweizer KMU sind aus mehreren Gründen besonders attraktive Ziele:

  • Wertvolle Daten, wenig Schutz: KMU verfügen über Kundendaten, Bankverbindungen und Geschäftsgeheimnisse, investieren aber deutlich weniger in Cybersecurity als Grosskonzerne. Gemäss einer Studie von ICTswitzerland geben KMU im Schnitt weniger als 5 % ihres IT-Budgets für Sicherheit aus.
  • Hohes Vertrauen, geringe Skepsis: In kleineren Teams kennt man sich — eine E-Mail vom «Geschäftsführer» wird seltener hinterfragt als in einem Konzern mit formellen Prozessen.
  • Fehlende Redundanz: Wenn in einem 30-Personen-Betrieb eine einzige Person auf einen Phishing-Link klickt, kann das gesamte Netzwerk kompromittiert werden. Es gibt keine separate SOC-Abteilung, die den Angriff sofort erkennt.
  • Lieferketten-Effekt: KMU sind oft Zulieferer für grössere Unternehmen. Ein erfolgreicher Phishing-Angriff auf ein KMU kann als Sprungbrett für Angriffe auf die gesamte Lieferkette dienen.

Laut dem NCSC-Halbjahresbericht meldeten Schweizer Unternehmen im Jahr 2024 einen markanten Anstieg bei gezielten Phishing-Angriffen auf KMU — insbesondere in den Bereichen Fertigung, Gesundheitswesen und professionelle Dienstleistungen. Der IBM Cost of a Data Breach Report 2024 beziffert die durchschnittlichen Kosten eines erfolgreichen Phishing-Angriffs weltweit auf USD 4.88 Millionen — Schweizer Unternehmen liegen aufgrund des hohen Lohnniveaus sogar darüber.

Welche Arten von Phishing-Angriffen gibt es?

Cyberkriminelle setzen fünf Hauptvarianten von Phishing ein, die sich in Aufwand und Zielgenauigkeit unterscheiden. Jede Variante erfordert spezifische Gegenmassnahmen. Als Entscheider oder IT-Verantwortlicher in der Schweiz müssen Sie alle Varianten kennen:

E-Mail-Phishing (Massen-Phishing)

Die klassische Variante: Angreifer versenden Tausende identischer E-Mails, die eine bekannte Marke imitieren. In der Schweiz sind gefälschte E-Mails von der Post, SBB, Swisscom, Raiffeisen und UBS besonders verbreitet. Typische Betreffzeilen: «Ihr Paket konnte nicht zugestellt werden», «Ihre Rechnung ist überfällig» oder «Sicherheitswarnung: Ihr Konto wurde gesperrt».

Spear Phishing (Gezieltes Phishing)

Im Gegensatz zum Massen-Phishing richtet sich Spear Phishing gezielt gegen bestimmte Personen oder Unternehmen. Die Angreifer recherchieren im Vorfeld — über LinkedIn, die Unternehmenswebsite oder öffentliche Register — und erstellen massgeschneiderte Nachrichten. Eine Spear-Phishing-E-Mail an einen KMU-Geschäftsführer könnte beispielsweise den Namen eines echten Geschäftspartners verwenden und sich auf ein reales Projekt beziehen.

Whaling (CEO Fraud)

Whaling zielt auf die «grossen Fische» — Geschäftsführer, CFOs und andere Führungskräfte. Ein typisches Szenario: Der «CEO» schreibt per E-Mail an die Buchhaltung und bittet um eine dringende Überweisung von CHF 85’000 an einen «neuen Lieferanten». Diese Angriffe sind oft hochprofessionell und setzen auf Zeitdruck und Autorität. Schweizer KMU verlieren durch CEO Fraud jährlich Millionenbeträge — der EDÖB dokumentiert regelmässig solche Fälle.

Vishing (Voice Phishing)

Phishing per Telefon. Angreifer rufen an und geben sich als IT-Support, Bankmitarbeitende oder Behördenvertreter aus. In der Schweiz sind Anrufe verbreitet, bei denen sich Kriminelle als Mitarbeitende der Kantonspolizei oder des NCSC ausgeben und vor angeblichen Sicherheitsproblemen warnen.

Smishing (SMS-Phishing)

Phishing per SMS oder Messenger-Nachricht. Typische Varianten in der Schweiz: gefälschte Post-Benachrichtigungen mit einem Link zur «Paketverfolgung», gefälschte MFA-Codes oder dringende Nachrichten von der «Steuerverwaltung».

Wie erkennen Mitarbeitende Phishing-Angriffe? Die wichtigsten Warnsignale

Sechs klare Warnsignale helfen Ihren Mitarbeitenden, Phishing-Angriffe zu erkennen — selbst bei zunehmend professionellen, KI-generierten Nachrichten:

  • Absenderadresse prüfen: Die Domain stimmt nicht mit dem angeblichen Absender überein (z. B. «post-ch.delivery-notice.com» statt «post.ch»).
  • Dringlichkeit und Drohungen: «Ihr Konto wird in 24 Stunden gesperrt» oder «Sofortige Massnahme erforderlich» — legitime Unternehmen setzen selten derart unter Druck.
  • Ungewöhnliche Anfragen: Passwortänderungen, Überweisungen oder Datenfreigaben, die vom üblichen Prozess abweichen.
  • Sprachliche Auffälligkeiten: Obwohl KI-generierte Phishing-Mails immer besser werden, fallen manche Texte noch durch unübliche Formulierungen, fehlende Umlaute oder unpassende Anrede auf.
  • Verdächtige Links: Vor dem Klicken mit der Maus über den Link fahren (Hover) — zeigt die URL ein anderes Ziel als erwartet?
  • Unerwartete Anhänge: Insbesondere Office-Dokumente mit Makros (.docm, .xlsm) oder ausführbare Dateien (.exe, .bat, .ps1).

Schweizer Phishing-Beispiele aus der Praxis

Das NCSC dokumentiert regelmässig aktuelle Phishing-Wellen in der Schweiz. Einige besonders verbreitete Varianten:

  • Gefälschte Post-Benachrichtigungen: «Ihr Paket #CH-83729 wartet auf Zustellung. Bitte bestätigen Sie Ihre Adresse.» — Link führt zu einer täuschend echten Post.ch-Kopie.
  • Swisscom-Rechnungen: «Ihre Rechnung vom 15.02.2026 ist fällig. Betrag: CHF 127.50» — mit einem Link zu einer gefälschten Zahlungsseite.
  • SBB-Erstattungen: «Sie haben Anspruch auf eine Erstattung von CHF 23.40 für eine verspätete Verbindung» — fordert Kreditkartendaten.
  • Steuerverwaltung: «Ihre Steuerrückerstattung von CHF 1’340 wurde genehmigt» — vor allem im Frühling während der Steuererklärungszeit.

Welche 10 Massnahmen schützen Ihr KMU wirksam vor Phishing?

Ein wirksamer Phishing-Schutz erfordert die Kombination aus technischen, organisatorischen und menschlichen Massnahmen. Die folgenden zehn Massnahmen bilden eine erprobte Grundlage für jedes Schweizer KMU — priorisiert nach Wirksamkeit. Ergänzend finden Sie in unserer Cybersecurity-Checkliste für KMU weitere 25 konkrete Massnahmen.

1. Multi-Faktor-Authentifizierung (MFA) für alle Konten aktivieren

MFA ist die wirksamste Einzelmassnahme gegen Phishing. Selbst wenn ein Mitarbeitender sein Passwort auf einer gefälschten Seite eingibt, können Angreifer ohne den zweiten Faktor nicht auf das Konto zugreifen. Aktivieren Sie MFA für alle E-Mail-Konten, Cloud-Dienste, VPN-Zugänge und Geschäftsanwendungen. Bevorzugen Sie Authenticator-Apps oder Hardware-Tokens (z. B. YubiKey) statt SMS-basierter MFA.

2. E-Mail-Sicherheit professionell konfigurieren

Implementieren Sie SPF, DKIM und DMARC für Ihre Domain, um E-Mail-Spoofing zu erschweren. Nutzen Sie einen professionellen E-Mail-Filter, der eingehende Nachrichten auf Phishing-Indikatoren prüft. Konfigurieren Sie den Filter so, dass externe E-Mails mit einem deutlichen Banner gekennzeichnet werden: «Diese Nachricht stammt von ausserhalb Ihrer Organisation.»

3. Regelmässige Security-Awareness-Schulungen durchführen

Schulen Sie alle Mitarbeitenden mindestens zweimal jährlich im Erkennen von Phishing-Versuchen. Nutzen Sie praxisnahe Beispiele — idealerweise aktuelle Schweizer Phishing-Kampagnen. Neue Mitarbeitende sollten bereits in der Einführungsphase geschult werden.

4. Phishing-Simulationen durchführen

Testen Sie regelmässig, wie Ihre Mitarbeitenden auf simulierte Phishing-E-Mails reagieren. Dies ist keine Kontrolle zur Bestrafung, sondern ein Lernwerkzeug. Die Ergebnisse zeigen, wo zusätzlicher Schulungsbedarf besteht. Professionelle Phishing-Simulationen sind ein integraler Bestandteil von Red Teaming und liefern deutlich realistischere Ergebnisse als isolierte Simulations-Tools.

5. Klare Prozesse für kritische Aktionen definieren

Definieren Sie verbindliche Prozesse für finanzielle Transaktionen, Passwortänderungen und Datenweitergaben. Beispiel: Überweisungen über CHF 5’000 erfordern eine telefonische Bestätigung bei einer vorab definierten Telefonnummer — niemals über eine Nummer aus der E-Mail selbst.

6. Passwort-Policy durchsetzen

Setzen Sie eine moderne Passwort-Policy um: Mindestlänge 12 Zeichen, keine erzwungene regelmässige Änderung (nur bei Verdacht auf Kompromittierung), Einsatz eines unternehmensweiten Passwort-Managers und Abgleich gegen bekannte kompromittierte Passwörter (Have I Been Pwned-Datenbank).

7. Endpunkt-Sicherheit sicherstellen

Stellen Sie sicher, dass alle Geräte — einschliesslich privater Geräte im BYOD-Modell — mit aktueller Endpoint-Protection-Software ausgestattet sind. Aktivieren Sie automatische Updates für Betriebssysteme und Anwendungen. Blockieren Sie die Ausführung von Makros in Office-Dokumenten aus externen Quellen.

8. DNS-Filter und Web-Proxy einsetzen

Ein DNS-Filter blockiert den Zugriff auf bekannte Phishing-Domains, selbst wenn ein Mitarbeitender auf einen bösartigen Link klickt. Lösungen wie Cisco Umbrella, Quad9 oder Cloudflare Gateway sind auch für KMU erschwinglich und schnell implementiert.

9. Incident-Response-Prozess für Phishing etablieren

Definieren Sie einen klaren Prozess: Was tun Mitarbeitende, wenn sie eine verdächtige E-Mail erhalten oder versehentlich auf einen Phishing-Link geklickt haben? Der Prozess sollte niederschwellig sein — niemand sollte Angst haben, einen Vorfall zu melden. Schnelles Melden ist wichtiger als fehlerfreies Verhalten.

10. Regelmässige Sicherheitsüberprüfung durchführen

Lassen Sie Ihre Sicherheitsmassnahmen regelmässig durch unabhängige Experten überprüfen. Ein Penetrationstest prüft die technischen Schutzmassnahmen, doch nur ein gründliches Red Teaming testet auch die menschliche Komponente — einschliesslich der Anfälligkeit Ihrer Mitarbeitenden für Phishing.

Warum reichen traditionelle E-Mail-Filter nicht mehr aus?

Traditionelle E-Mail-Filter erkennen KI-generierte Phishing-Angriffe nicht zuverlässig. Moderne Phishing-E-Mails werden mit Künstlicher Intelligenz erstellt — sie sind grammatikalisch einwandfrei, verwenden den richtigen Tonfall und sind auf den Empfänger personalisiert. Signaturbasierte Filtersysteme sind dieser Entwicklung nicht gewachsen.

«Die klassischen technischen Schutzmassnahmen allein reichen nicht mehr aus. Unternehmen brauchen einen Gesamtansatz, der den Menschen als zentrale Verteidigungslinie einschliesst.» — Florian Schütz, Direktor des Bundesamts für Cybersicherheit (BACS)

Die Herausforderungen im Detail:

  • KI-generierte Texte: Large Language Models erstellen Phishing-E-Mails, die sprachlich nicht von legitimen Nachrichten zu unterscheiden sind — auch auf Deutsch und in Schweizer Schreibweise.
  • Polymorphe URLs: Angreifer generieren für jede E-Mail einzigartige URLs, die von signaturbasierten Filtern nicht erkannt werden.
  • Legitimate-Service-Missbrauch: Phishing-Links werden über bekannte Dienste wie Google Docs, SharePoint oder Dropbox verbreitet, die von Filtern als vertrauenswürdig eingestuft werden.
  • Zeitverzögerte Aktivierung: Links in E-Mails führen zum Zeitpunkt der Filterprüfung zu harmlosen Seiten und werden erst Stunden später auf Phishing-Seiten umgeleitet.
  • Deepfake-Vishing: KI-generierte Stimmen imitieren den CEO oder bekannte Geschäftspartner am Telefon — eine Bedrohung, die technische E-Mail-Filter naturgemäss nicht adressieren.

Diese Entwicklung bedeutet: Technische Filter sind notwendig, aber nicht hinreichend. Der einzige Weg, die tatsächliche Widerstandsfähigkeit Ihres Unternehmens gegen Phishing zu testen, ist eine realistische Angriffssimulation — also Red Teaming.

Warum ist Red Teaming der ultimative Phishing-Schutztest?

Red Teaming ist der einzige Sicherheitstest, der die gesamte Angriffskette eines Phishing-Angriffs realistisch simuliert — inklusive menschlicher Reaktionen und Prozess-Schwachstellen. Ein Penetrationstest prüft, ob Ihre Firewall und Ihre Server sicher konfiguriert sind. Doch er testet nicht, ob Ihre Buchhalterin eine perfekt gefälschte E-Mail vom «Geschäftsführer» erkennt. Er testet nicht, ob Ihr Empfang einem «Servicetechniker» Zugang zum Serverraum gewährt. Er testet nicht, ob Ihre Prozesse einen laufenden Angriff erkennen und stoppen können.

Genau das leistet Red Teaming. Ein professionelles Red Team Assessment umfasst:

  • Gezielte Phishing-Kampagnen: Realistische, auf Ihr Unternehmen zugeschnittene Phishing-E-Mails, die testen, wie Ihre Mitarbeitenden reagieren.
  • Social Engineering: Telefonanrufe, persönliche Besuche und andere Manipulationstechniken, die die menschliche Verteidigungslinie auf die Probe stellen.
  • Technische Angriffe: Ausnutzung der durch Phishing gewonnenen Zugänge, um zu zeigen, wie weit ein Angreifer im Netzwerk vordringen könnte.
  • Prozess-Evaluation: Wird der Angriff von Ihrem Team erkannt? Wie schnell wird reagiert? Funktioniert der Incident-Response-Plan?

Der entscheidende Unterschied zum isolierten Phishing-Test: Red Teaming zeigt die gesamte Angriffskette — vom ersten Phishing-Mail bis zur potenziellen Datenkompromittierung. Mehr über den Unterschied erfahren Sie in unserem Vergleich Red Teaming vs. Penetrationstest.

Red Teaming ab CHF 11’900 — Jetzt auch für Schweizer KMU

Professionelles Red Teaming war bisher Grosskonzernen vorbehalten — typische Kosten: CHF 40’000 bis 80’000. Für ein KMU mit 30 Mitarbeitenden war das schlicht nicht bezahlbar.

RedTeam Partners (CREST-zertifiziert, Zürich) macht Red Teaming jetzt auch für Schweizer KMU zugänglich — ab CHF 11’900, zum Preis eines herkömmlichen Penetrationstests.

Was Sie erhalten:

  • Realistische Phishing-Simulation als Teil eines detaillierten Angriffsszenarios
  • Social-Engineering-Tests, die Ihre menschliche Verteidigungslinie prüfen
  • Technische Überprüfung Ihrer gesamten Angriffsoberfläche
  • Detaillierter Bericht mit priorisierten Handlungsempfehlungen
  • Management-Summary für die Geschäftsleitung — verständlich, ohne IT-Jargon

Ein Red Team Assessment beantwortet die entscheidende Frage: «Können wir einem realistischen Angriff standhalten?» Nicht theoretisch, sondern praktisch getestet.

Jetzt Red Teaming anfragen — ab CHF 11’900 für Schweizer KMU

Fazit: Phishing-Schutz ist Chefsache

Phishing-Schutz ist keine rein technische Aufgabe. Er erfordert eine Kombination aus Technologie, Schulung, klaren Prozessen und regelmässiger Überprüfung. Die gute Nachricht: Viele der wirksamsten Massnahmen — MFA, Security-Awareness-Training, klare Prozesse — sind auch für KMU mit begrenztem Budget umsetzbar.

Die entscheidende Frage lautet nicht, ob Ihr Unternehmen angegriffen wird, sondern wann. Und dann zählt nur eines: Ist Ihr Unternehmen vorbereitet? Ein professionelles Red Teaming gibt Ihnen die Antwort — nicht als theoretische Risikoanalyse, sondern als realitätsnaher Belastungstest.

Beginnen Sie heute mit den Quick Wins aus unserer Cybersecurity-Checkliste für KMU und planen Sie eine professionelle Sicherheitsüberprüfung durch Red Teaming. Denn der beste Schutz gegen Phishing ist der, der einem echten Angriff standhält.

Weiterführende Ressourcen

Quellen