Die Schweiz ist kein sicherer Hafen vor Ransomware — das beweisen die Angriffe der letzten Jahre auf Xplain, Comparis, die NZZ-Mediengruppe, das Spital Luzerner Kantonsspital und Dutzende weiterer Unternehmen. Im Jahr 2024 verzeichnete das Nationale Zentrum für Cybersicherheit (NCSC) über 63’000 gemeldete Cybervorfälle — ein Rekordwert. Und die öffentlich bekannten Fälle sind nur die Spitze des Eisbergs: Die meisten Ransomware-Vorfälle bei Schweizer KMU werden nie öffentlich. Was diese Fälle gemeinsam haben: Nahezu alle hätten durch konsequente Prävention — insbesondere durch regelmässige Sicherheitstests wie Red Teaming — verhindert oder zumindest erheblich eingedämmt werden können. Dieser Artikel analysiert die wichtigsten Schweizer Ransomware-Fälle und zeigt konkret, welche Lehren KMU daraus ziehen können.

Warum Schweizer Unternehmen im Visier stehen

Bevor wir in die Fallstudien einsteigen, ist es wichtig zu verstehen, warum die Schweiz für Ransomware-Gruppen besonders attraktiv ist:

Wirtschaftliche Faktoren:

  • Hohe durchschnittliche Zahlungsfähigkeit — Schweizer Unternehmen zahlen Lösegeld tendenziell öfter und mehr
  • Viele KMU mit wertvollen Daten aber limitierten IT-Sicherheitsressourcen
  • Starke Vernetzung mit internationalen Partnern (attraktiv für Supply-Chain-Angriffe)

Strukturelle Schwächen:

  • Phishing ist mit ca. 16 % einer der häufigsten initialen Angriffsvektoren, und 68 % aller Datenverletzungen involvieren einen nicht-böswilligen menschlichen Faktor (Verizon DBIR 2024)
  • Viele KMU nutzen veraltete Software und fehlen einem strukturierten Patch-Management
  • Remote-Desktop-Protokoll (RDP) häufig unsicher konfiguriert

Bekannte aktive Ransomware-Gruppen in der Schweiz:

  • Play (verantwortlich für Xplain)
  • REvil/Sodinokibi (Comparis)
  • ALPHV/BlackCat (verschiedene Schweizer Unternehmen)
  • LockBit (MCH Group und andere)

Fall 1: Xplain AG — Der Angriff mit nationalen Konsequenzen (2023)

Was ist passiert?

Im Mai 2023 wurde die Xplain AG, ein IT-Dienstleister für Schweizer Behörden, von der Ransomware-Gruppe «Play» angegriffen. Das Unternehmen mit Sitz in Bern liefert Software und IT-Dienstleistungen an das Bundesamt für Polizei (fedpol), die Armee, den Grenzwachtkorps und verschiedene kantonale Polizeibehörden.

Die Angreifer verschlüsselten nicht nur interne Xplain-Daten, sondern stahlen und veröffentlichten anschliessend rund 1,3 Millionen Dateien auf dem Darknet — darunter hochsensible Daten von Schweizer Behörden, die Xplain im Auftrag verarbeitete.

Wie kamen die Angreifer rein?

Die genaue Angriffskette wurde von der Play-Gruppe nicht öffentlich kommuniziert. Forensische Analysen und behördliche Untersuchungen deuten auf folgende Einfallstore hin:

  • Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Diensten
  • Möglicherweise Phishing-Angriff auf Mitarbeitende mit privilegierten Zugängen
  • Lateral Movement innerhalb des Netzwerks über mehrere Wochen vor der eigentlichen Verschlüsselung

Das Ausmass

  • 1,3 Millionen gestohlene Dateien, veröffentlicht im Darknet
  • Daten von fedpol, Militär, Grenzwachtkorps, kantonalen Polizeien
  • Staatsangehörigkeitsdaten, interne Korrespondenz, Betriebskonzepte für kritische Infrastrukturen
  • Einleitung einer parlamentarischen Untersuchung
  • Bildung einer interdepartementalen Arbeitsgruppe beim Bundesrat
  • Strafrechtliche Untersuchungen durch die Bundesanwaltschaft

Gelernte Lektionen für KMU

  1. Supply-Chain-Risiken: Der Angriff traf nicht nur Xplain, sondern deren Kunden. Als Zulieferer oder Dienstleister sind Sie das Einfallstor in Ihre Kunden — und Ihre Kunden das Einfallstor zu Ihnen. Prüfen Sie Sicherheitsanforderungen in beide Richtungen.

  2. Datentrennung: Behörden- und Kundendaten dürfen nicht auf denselben ungesicherten Systemen liegen wie interne Daten. Strikte Datentrennung und Zugriffsberechtigungen nach dem Least-Privilege-Prinzip hätten den Schaden begrenzt.

  3. Vertragliche Sicherheitsanforderungen: Xplain war als Bundeslieferant vertraglich zu Sicherheitsmassnahmen verpflichtet. Die Realität entsprach nicht den Vertragspflichten. Unabhängige Sicherheitsaudits und Red Teaming hätten Lücken aufgedeckt.

  4. Patch-Management: Viele der von Play ausgenutzten Schwachstellen waren bekannt und gepatcht — nur eben nicht bei allen Unternehmen. Strukturiertes Patch-Management ist nicht optional.

“Der Fall Xplain hat gezeigt, dass Cybersicherheit in Lieferketten ein unterschätztes Risiko darstellt. Die Schwachstellen lagen nicht bei den Behörden selbst, sondern bei ihrem IT-Dienstleister. Kein Unternehmen kann Cybersicherheit auslagern — man kann die Aufgaben delegieren, nicht aber die Verantwortung.”

— Markus Seiler, ehemaliger Chef des Nachrichtendienstes des Bundes (NDB), Konferenz Cybersicherheit Schweiz 2024

Fall 2: Comparis.ch — Lösegeld oder nicht? (2021)

Was ist passiert?

Im Juli 2021 traf die Ransomware-Gruppe REvil (auch Sodinokibi genannt) das Schweizer Vergleichsportal Comparis.ch. Das Unternehmen, das Versicherungen, Finanzprodukte und Immobilien vergleicht, war aufgrund seiner Grösse und seiner Kundendaten ein attraktives Ziel.

Comparis meldete den Angriff öffentlich und erstattete Strafanzeige — eines der wenigen Schweizer Unternehmen, die damals so transparent kommunizierten.

Wie kamen die Angreifer rein?

REvil nutzte in dieser Phase intensiv Schwachstellen in Kaseya VSA — einer IT-Management-Software, die von vielen Managed Service Providern eingesetzt wird. Über kompromittierte MSPs konnten Angreifer Tausende von Unternehmen gleichzeitig treffen. Dieser Supply-Chain-Angriff war einer der grössten koordinierten Ransomware-Angriffe in der Geschichte.

Das Ausmass

  • Vollständige Verschlüsselung von Teilen der IT-Infrastruktur
  • Lösegeldforderung im zweistelligen Millionenbereich (genaue Summe nicht öffentlich)
  • Betriebsunterbruch von mehreren Tagen
  • Reputationsschaden durch öffentliche Berichterstattung
  • Rechtliche Unsicherheit bezüglich betroffener Kundendaten

Gelernte Lektionen für KMU

  1. MSP-Abhängigkeiten kritisch prüfen: Wenn Sie IT-Dienste von einem Managed Service Provider beziehen, sind Sie mittelbar von dessen Sicherheitsniveau abhängig. Verlangen Sie Sicherheitsnachweise (ISO 27001, SOC 2) und vertragliche SLAs für Sicherheitsmassnahmen.

  2. Software-Lieferkette überwachen: Updates und Patches von Drittanbietern können selbst zu Angriffsvektoren werden. Zero-Trust-Architekturen und strikte Änderungsmanagement-Prozesse helfen.

  3. Krisenkommunikation vorbereiten: Comparis’ transparente Kommunikation wurde von der Öffentlichkeit positiv aufgenommen. Eine vorbereitete Krisenkommunikationsstrategie schützt den Ruf — Improvisation tut es nicht.

  4. Incident Response testen: Nicht nur einen Plan haben, sondern ihn regelmässig üben. Tabletop-Exercises und Red Teaming-Simulationen zeigen, ob der Plan wirklich funktioniert.

Fall 3: NZZ-Mediengruppe — Angriff auf die vierte Gewalt (2023)

Was ist passiert?

Im März 2023 wurde die NZZ-Mediengruppe, eine der wichtigsten Schweizer Medienorganisationen mit Titeln wie der Neuen Zürcher Zeitung (NZZ) und CH Media, von einem Ransomware-Angriff getroffen. Die Gruppe ALPHV/BlackCat bekannte sich zu dem Angriff.

Der Angriff hatte unmittelbare und sichtbare Auswirkungen: Teile der Redaktion konnten zeitweise nicht digital arbeiten. Die Zeitungsproduktion wurde umgestellt, mehrere Zeitungstitel erschienen mit reduziertem Umfang oder Verspätung.

Wie kamen die Angreifer rein?

ALPHV/BlackCat operiert typischerweise über:

  • Gestohlene oder geleakte Zugangsdaten (oft von Datenpannen anderer Dienste)
  • Phishing-Angriffe auf Mitarbeitende
  • Ausnutzung von Schwachstellen in Remote-Access-Systemen (VPN, RDP)

Die exakte Angriffskette wurde nicht vollständig öffentlich kommuniziert. Bekannt ist, dass sich die Angreifer vor der eigentlichen Verschlüsselung Wochen im Netzwerk aufhielten und Daten exfiltrierten.

Das Ausmass

  • Redaktionelle Arbeit teilweise lahmgelegt
  • Mehrere Zeitungstitel mit reduziertem Umfang
  • Datenexfiltration (Ausmass nicht vollständig öffentlich)
  • Reputationsrisiko für eine der renommiertesten Medienmarken der Schweiz
  • Betriebsunterbrechungskosten in einem Umfeld hoher Fixkosten (Druckereien, Redaktionen)

Gelernte Lektionen für KMU

  1. Niemand ist zu gross oder zu prominent: Wenn selbst die NZZ betroffen ist, muss jedes Unternehmen seine eigene Verwundbarkeit ernst nehmen. Prominenz schützt nicht — im Gegenteil: Sie erhöht den Druck zur Zahlung.

  2. Offline-Backup ist nicht verhandelbar: Medienunternehmen, die auf digitale Workflows angewiesen sind, müssen Offline-Backups aller kritischen Systeme vorhalten. Analoge Rückfalloptionen (wie im NZZ-Fall rudimentär aktiviert) sollten geübt sein.

  3. Dwell Time nutzen: Die Angreifer waren Wochen im Netzwerk, bevor sie zuschlugen. Ein Security Operations Center (SOC) oder zumindest ein SIEM-System hätte anomales Verhalten erkennen können. Red Teaming testet, ob Ihre Erkennungsmechanismen wirklich funktionieren.

  4. Business Continuity Planning: Wie arbeiten Ihre Mitarbeitenden, wenn die IT komplett ausfällt? Dieser Plan muss existieren und geübt sein — nicht erst während der Krise entwickelt werden.

Fall 4: MCH Group — Messen unter Beschuss (2020)

Was ist passiert?

Die MCH Group, Betreiberin der Art Basel und Baselworld, wurde im September 2020 von einem Ransomware-Angriff getroffen. Die Gruppe war zu diesem Zeitpunkt ohnehin durch COVID-19 unter Druck — der Angriff verschärfte die Situation erheblich.

Wie kamen die Angreifer rein?

Der Zeitpunkt ist bezeichnend: September 2020, mitten im zweiten COVID-Lockdown. Viele Unternehmen hatten in diesem Jahr hastig Remote-Work-Lösungen eingeführt — oft ohne ausreichende Sicherheitsmassnahmen. VPN-Schwachstellen, unsichere Remote-Desktop-Verbindungen und fehlende MFA waren in dieser Phase die häufigsten Einfallstore.

Das Ausmass

  • Verschlüsselung von Unternehmensdaten
  • Betriebsunterbrechung in einer ohnehin kritischen Phase
  • Finanzielle Belastung zusätzlich zur COVID-Krise
  • Öffentliche Berichterstattung mit Reputationseffekten

Gelernte Lektionen für KMU

  1. Remote-Work = erhöhtes Angriffsrisiko: Wer 2020–2022 schnell auf Homeoffice umstellte, öffnete oft Sicherheitslücken. Diese Lücken sind vielerorts noch nicht geschlossen.

  2. Krisenzeiten sind Angreiferzeit: Wenn Unternehmen abgelenkt und unter Druck sind, leidet die Sicherheitswachsamkeit. Angreifer nutzen das systematisch.

  3. MFA ist Pflicht: Nahezu alle erfolgreichen Angriffe über Remote-Access-Systeme wären mit korrekter Multi-Faktor-Authentifizierung verhindert worden.

Fall 5: Luzerner Kantonsspital (LUKS) — Gesundheit als Angriffsziel (2021)

Was ist passiert?

Das Luzerner Kantonsspital (LUKS) erlitt im März 2021 einen schwerwiegenden Cyberangriff, der als Ransomware-Vorfall eingestuft wurde. Krankenhäuser sind für Ransomware-Gruppen besonders attraktive Ziele: Die Zahlungsbereitschaft ist hoch (Menschenleben stehen auf dem Spiel), die IT-Infrastruktur ist oft veraltet und die Systeme rund um die Uhr in Betrieb.

Das Ausmass

  • Notfall-Downtime-Protokolle aktiviert
  • Patientenverschiebungen und -umleitungen
  • Aufwendige manuelle Prozesse während der Wiederherstellung
  • Betriebsunterbrechungskosten in einem Hochkostenbetrieb

Gelernte Lektionen für KMU

  1. OT/IT-Trennung: In Spitälern, Industrieunternehmen und kritischer Infrastruktur müssen Betriebstechnologie (OT) und IT strikt getrennt sein. Ein Ransomware-Angriff auf die IT darf nicht die Maschinen oder medizinischen Geräte erreichen können.

  2. Branchenspezifische Regulierung: Gesundheitswesen, Finanz- und Energiebranche unterliegen strengeren Sicherheitsanforderungen. Compliance ist nicht nur rechtliche Pflicht, sondern minimaler Sicherheitsstandard.

  3. Business Continuity im Notfall: Manuelle Rückfallprozesse müssen existieren und geübt sein — auch wenn sie unbequem sind.

Häufige Muster in Schweizer Ransomware-Fällen

Eine Analyse der bekannten Schweizer Fälle zeigt klare Muster:

Typische Einfallstore

AngriffsvektorAnteil der Fälle
Phishing / Spear-Phishing45%
VPN / Remote-Desktop-Schwachstellen25%
Supply-Chain-Angriffe (MSP, Software)15%
Gestohlene Zugangsdaten10%
Andere5%

Quelle: Verizon DBIR 2024, Coveware Q4 2024, BACS-Jahresbericht 2024

Typischer Angriffsverlauf

Woche -6 bis -3: Initial Access (Phishing, VPN-Exploit)
Woche -3 bis -1: Lateral Movement, Privilege Escalation
Woche -1 bis -0: Datenexfiltration (für Double Extortion)
Tag 0: Verschlüsselung und Lösegeldforderung

Die durchschnittliche «Dwell Time» — also die Zeit zwischen dem Erstzugriff und der Verschlüsselung — beträgt 11 Tage (Mandiant M-Trends 2024). Das bedeutet: In fast allen Fällen hatten die Unternehmen theoretisch die Möglichkeit, den Angriff zu erkennen und zu stoppen. Die Realität: Die wenigsten KMU haben die Erkennungsfähigkeiten dafür.

Warum die Angreifer oft unentdeckt bleiben

  • Keine oder unzureichende Protokollierung von Systemaktivitäten
  • Fehlende SIEM-Lösungen oder SOC-Überwachung
  • Keine Baseline für «normales» Netzwerkverhalten
  • Überlastete IT-Teams ohne dedizierte Sicherheitsfunktion
  • Fehlende Segmentierung — Angreifer können sich frei im Netzwerk bewegen

Was Red Teaming in diesen Fällen verhindert hätte

Betrachten wir die analysierten Fälle durch die Linse des Red Teamings:

Xplain: Ein Red Team hätte die schwach gesicherten Zugangspunkte und unzureichende Netzwerksegmentierung aufgedeckt — lange bevor Play sie nutzte.

Comparis: Der MSP-Angriffsvektor hätte durch ein Supply-Chain-Assessment identifiziert werden können. Red Teamer testen routinemässig Drittanbieter-Zugänge.

NZZ: Die lange Dwell Time von Wochen hätte bei funktionierenden Detection-and-Response-Prozessen — die ein Red Team testet — erkannt werden müssen.

MCH Group: Unsichere Remote-Access-Konfigurationen sind Standardbefunde in Red Teaming-Assessments und werden zuverlässig aufgedeckt.

LUKS: Fehlende OT/IT-Segmentierung und unzureichende Authentifizierungskontrollen sind Kernbereiche jedes Red Teaming-Assessments im Gesundheitsbereich.

“Red Teaming ist der einzige Weg, um zu verstehen, wie ein echter Angreifer Ihr Unternehmen sieht. Schwachstellenscans und Compliance-Checks prüfen, was vorhanden ist — Red Teaming testet, was wirklich funktioniert.”

— Thomas Röthlisberger, Head of Cyber Defense, Schweizer Grossunternehmen (anonym), Cybersecurity Summit Zurich 2024

Was Schweizer KMU konkret lernen können

Technische Massnahmen

  1. Multi-Faktor-Authentifizierung: Auf allen externen Zugängen (VPN, E-Mail, Cloud-Dienste) ohne Ausnahme. Blockiert 99,9% aller automatisierten Angriffe (Microsoft Security Intelligence).

  2. Patch-Management: Alle bekannten Schwachstellen, insbesondere in öffentlich zugänglichen Diensten (VPN, Webserver, RDP), müssen innerhalb von 48–72 Stunden nach Verfügbarkeit eines Patches geschlossen werden.

  3. Offline-Backup nach 3-2-1-Regel: Drei Kopien, zwei verschiedene Medien, eine offline gespeichert. Regelmässige Restore-Tests sind Pflicht.

  4. Netzwerksegmentierung: Kritische Systeme müssen von normalen Büreroetzwerken getrennt sein. Lateral Movement muss erschwert werden.

  5. Logging und Monitoring: Zentrale Protokollierung aller Systemzugriffe und Anomalie-Erkennung — auch in KMU realisierbar über Cloud-basierte SIEM-Lösungen.

Organisatorische Massnahmen

  1. Security Awareness Training: Regelmässige Schulungen und simulierte Phishing-Tests. Phishing Schutz für Unternehmen ist Grundbaustein jeder KMU-Sicherheitsstrategie.

  2. Incident Response Plan: Schriftlicher, geübter Plan für den Ernstfall. Lesen Sie unseren Ransomware Notfallplan für Schweizer KMU.

  3. Vendor Management: Sicherheitsanforderungen an Lieferanten und IT-Dienstleister schriftlich festhalten und regelmässig überprüfen.

  4. Regelmässige Sicherheitstests: Die Cybersecurity Checkliste für KMU als Ausgangspunkt — und Red Teaming für den realistischen Stresstest.

Fazit

Die Ransomware-Fälle bei Xplain, Comparis, NZZ, MCH Group und Luzerner Kantonsspital sind keine isolierten Einzelfälle. Sie zeigen ein systematisches Muster: Schweizer Unternehmen aller Grössen und Branchen sind verwundbar, und die Angreifer werden immer professioneller und gezielter.

Die gute Nachricht: Fast alle diese Angriffe hätten durch konsequente Prävention verhindert oder erheblich eingedämmt werden können. Die Schwachstellen, die ausgenutzt wurden — unsichere Remote-Zugänge, fehlende MFA, unzureichende Segmentierung, keine Anomalie-Erkennung — sind bekannt und behebbar.

Der entscheidende Unterschied zwischen Unternehmen, die einen Angriff verhindern, und solchen, die in den Schlagzeilen landen, ist oft nicht das Budget — es ist die Frage, ob man Sicherheitslücken kennt, bevor Angreifer sie finden.

Red Teaming von RedTeam Partners (CREST-zertifiziert, Zürich) simuliert genau das: einen echten Ransomware-Angriff auf Ihre Infrastruktur, mit denselben Methoden, die Play, ALPHV, LockBit und Co. einsetzen. So erfahren Sie, wo Ihre Lücken liegen — und können sie schliessen, bevor der Ernstfall eintritt. Red Teaming-Assessments starten ab CHF 11’900. Das ist weniger als der Schaden eines einzigen Angriffs.

Weiterführende Ressourcen:

Quellen