Eine Rechnung kommt per Mail. Mit einem ZIP-Archiv im Anhang, weil «die PDF zu gross für den Versand» war. Die Buchhaltung lädt sie runter, entpackt sie, und doppelklickt die Datei drin. Innerhalb von Minuten verteilt sich Schadcode im Firmennetz.
Das BACS hat am 17. März 2026 eine wachsende Welle solcher Angriffe in der Schweiz dokumentiert. Was die Sache spannend macht: betroffen sind nicht nur Endanwender, sondern explizit auch Unternehmen, und sogar das BACS selbst hat solche Mails bekommen. Die Methode ist simpel, aber die Erfolgsquote ist hoch.
Warum gerade jetzt ZIP-Anhänge
Mail-Filter und Antivirus-Software sind heute relativ gut darin, ausführbare Dateien (.exe, .scr, .com) im Anhang zu blockieren. Office-Dokumente mit Makros (.docm, .xlsm) sind ebenfalls gut überwacht. Was bleibt, sind Containerformate – ZIP, RAR, 7z, ISO, IMG. Diese werden vom Mail-Server oft nur oberflächlich geprüft, weil sie selbst keinen ausführbaren Code enthalten.
Im ZIP-Container kann dann praktisch alles liegen: ausführbare Programme, getarnte Skripte, Office-Dokumente mit Makros, Verknüpfungen (.lnk), die beim Öffnen externe Programme starten. Wer das Archiv entpackt und die Datei darin öffnet, umgeht alle Mail-Schutz-Layer.
Plus: ZIP-Anhänge wirken nach Geschäftsroutine. Tatsächlich kommen Rechnungen, Vertragsentwürfe oder Angebote oft als ZIP, weil die Dateien gross sind oder mehrere Anhänge zusammengefasst werden. Niemand wird stutzig.
Was im Archiv typisch ist
Aktuelle Beobachtungen aus der Schweizer Welle:
- Gefälschte Rechnungen mit echtem Logo – meist von bekannten Versorgern (Swisscom, Post, SBB) oder Behörden. Im ZIP liegt eine PDF, die beim Öffnen ein verstecktes Skript ausführt, oder eine .lnk-Datei, die wie ein Dokument aussieht.
- Bestellungen, die noch nie aufgegeben wurden, mit Hinweis «Korrektur in Anhang». Vor allem an Buchhaltungs-Adressen.
- Bewerbungen mit Lebenslauf im Archiv – an HR-Abteilungen. Im ZIP eine angebliche PDF, tatsächlich ausführbarer Code.
- Vermeintliche interne Mails mit CC an die ganze Abteilung, «Bitte prüft das im Anhang». Wer auf Klick wartet.
Was nach dem Klick passiert: meistens lädt eine erste Stage-Komponente weitere Schadkomponenten nach – Banking-Trojaner, Ransomware-Vorbereitung, Credential-Stealer, oder ein Foothold für späteren Zugriff. Bei Unternehmen ist der häufigste Folgeschaden Ransomware-Verschlüsselung – mit der ganzen Wirkungs-Kette von Wochen-Aufwand bis Lösegeldforderung.
Was technisch hilft
1. Mail-Filter-Konfiguration verschärfen. Bei Microsoft 365: Safe Attachments aktivieren (Defender for Office). Diese Funktion sandboxt eingehende Anhänge in einer Cloud-Umgebung und prüft das tatsächliche Verhalten – auch innerhalb von ZIP-Archiven. Kostet Mehraufwand und Lizenzen, lohnt sich für Unternehmen mit empfindlichen Workflows.
Bei On-Premises-Mailservern: vergleichbare Lösungen von Proofpoint, Mimecast, Barracuda oder kommerziellen Filter-Diensten. Reine Signatur-basierte Filter (klassische Antivirus-Engines) reichen heute nicht mehr.
2. Archive mit Kennwort blockieren. Eine zunehmend beliebte Tarnung: ZIP-Archive sind passwortgeschützt, das Passwort steht im Mail-Text. Damit wird die Sandbox-Analyse verhindert – der Filter kann das Archiv nicht öffnen, also nicht prüfen. Mail-Filter sollten passwortgeschützte Archive aus externen Absendern als Default blockieren oder zumindest in Quarantäne legen.
3. PowerShell-Restriktionen. Viele dieser Angriffe nutzen PowerShell zur Nachladung. Wenn auf den Endgeräten Constrained Language Mode aktiv ist und Skript-Ausführung nur signiert erlaubt wird, scheitern viele Stage-Komponenten direkt. Aufwändig in der Einführung, sehr wirksam im Schutz.
4. AppLocker oder WDAC. Whitelist-basierte Application Control auf Endgeräten erlaubt nur bekannte, signierte Programme zur Ausführung. Wer im Office-Netz keine speziellen Anforderungen hat, fährt damit gut – auch wenn die Einführung Disziplin verlangt.
Was organisatorisch hilft
Zwei Mitarbeitende statt einer für Mail-basierte Zahlungen. Klassisches Vier-Augen-Prinzip. Wenn die Buchhaltung jede ungewöhnliche Rechnung mit einer zweiten Person verifiziert, scheitern viele Maschen.
Erkennen-Reflex bei Mitarbeitenden. Schulungen mit echten aktuellen Beispielen, nicht generischen «Erkenne die Phishing-Mail»-Trainings. Die Mitarbeitenden sollen das aktuelle Muster (ZIP von angeblichen Lieferanten, Druck-Tonfall, «letzte Mahnung») als Warnsignal verinnerlichen.
Klar definierter Vorfalls-Prozess. Wer einen verdächtigen Anhang öffnet, soll wissen: nicht warten, nicht hoffen, nicht «vielleicht passiert nichts» – sofort die IT informieren. Bei vielen KMU ist genau das nicht klar – Mitarbeitende fürchten Konsequenzen und melden zu spät. Das ist ein Kulturthema, kein Technikthema.
Was das BACS empfiehlt
Aus der Meldung vom 17. März 2026:
- Bei jeder Rechnung im ZIP-Anhang: skeptisch werden, beim angeblichen Absender direkt zurückrufen (nicht über die Mail antworten oder die Nummer aus der Mail nehmen).
- Wenn die Rechnung tatsächlich erwartet wird: lieber den Lieferanten bitten, die PDF direkt anzuhängen oder ein bekanntes Portal zur Verfügung zu stellen.
- Bei Verdacht: nicht weiterleiten an Kollegen, sondern direkt an die IT zur Analyse geben.
- Vorfall melden via
antiphishing.choder dem BACS-Meldeformular.
Service-Bezug
UCC Pro berät bei Mail-Filter-Konfiguration im Rahmen IT-Betrieb-Beratung – mit Microsoft Defender for Office 365, Proofpoint oder vergleichbaren Lösungen, je nach bestehendem Stack. Das ist nicht unser Hauptangebot, aber Teil eines durchdachten Sicherheitskonzepts. Wer eine schwache Mail-Filter-Layer hat, wird über kurz oder lang Glück mit einem ZIP-Anhang haben – und das Glück ist meistens schlecht.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Meldung vom 17.03.2026: «Angreifer versuchen, Firmen und auch das BACS auszutricksen» (ncsc.admin.ch).