Der Halbjahresbericht des Bundesamts für Cybersicherheit liest sich nüchtern, wie immer. Aber wer zwischen den Zeilen liest, erkennt das Bild eines Bedrohungs-Umfelds, das sich gerade verfestigt – und das die Spielregeln für Schweizer KMU verändert.
Die Kernaussage der BACS-Meldung vom 30. März 2026: «Die Cyberbedrohungslage bleibt hoch. Angriffe werden gezielter und komplexer.» Das ist die freundliche Formulierung. Übersetzt: was 2024 noch Massenphänomen war, ist 2026 zunehmend Einzelfall-Optimierung – mit höherer Trefferquote pro Versuch.
Die wichtigsten Trends aus dem Bericht
1. Ransomware bleibt der Wirtschaftsmotor der Cyberkriminalität. Die Anzahl der Vorfälle stagniert oder geht leicht zurück – aber die Schadensummen pro Vorfall steigen. Was sich verändert: nicht mehr «alles verschlüsseln und Lösegeld fordern», sondern «Daten exfiltrieren, dann verschlüsseln, doppelt erpressen». Wer keine Lösung hat, das Daten-Leak zu verhindern, hat auch mit gutem Backup ein Problem.
2. Lieferketten und MSPs als Einfallstor. Ein wachsender Anteil schwerer Vorfälle in der Schweiz beginnt nicht direkt beim Opfer-Unternehmen, sondern bei einem Dienstleister – Software-Anbieter, MSP, Cloud-Provider. Der Angreifer kompromittiert einen Lieferanten und nutzt dessen Zugang ins Ziel-Unternehmen. Das ist effizienter als jede einzelne Phishing-Welle.
3. KI-gestützte Angriffstechnik wird Mainstream. Voice-Cloning, sprachlich perfekte Phishing-Mails, automatisch generierte Lookalike-Domains, KI-gestützte Social-Engineering-Konversationen. Was 2024 noch Spezialwerkzeug war, ist 2026 in den Standardrepertoires kleinerer krimineller Gruppen. Erkennungsmerkmale, die Mitarbeitende lernen sollten («schlechte Sprache», «generische Anrede»), funktionieren nicht mehr verlässlich.
4. Gezielte Vorbereitung von Angriffen über Wochen. Beim klassischen Massenphänomen war «innerhalb von Stunden im Unternehmen» das Bild. Aktuelle Vorfälle in der Schweiz zeigen Aufenthalte von 30-90 Tagen vor dem eigentlichen Schlag – mit detaillierter Recherche der Backup-Strategie, der Verantwortlichen, der Geschäftsprozesse. Das macht die Ransomware-Detonation viel schwerer auszuhebeln, weil Backups gleich mit kompromittiert werden.
5. Hacktivismus und staatlich motivierte Angriffe. Geopolitische Spannungen schlagen in Cyber-Aktivitäten durch. Auch Schweizer Unternehmen, die nicht direkt betroffen scheinen (Maschinenbau-KMU mit Zulieferung an internationale Konzerne, Banken, Verwaltung), kommen in den Fokus.
Was sich für KMU konkret ändert
Mehrere Aussagen aus dem Bericht haben unmittelbare Praxis-Implikationen:
Backup-Strategie reicht nicht mehr allein. Wer nur in Backup investiert, ist gegen die alte Ransomware-Bedrohung gewappnet, aber nicht gegen die neue. Daten-Exfiltration verhindern wird zur eigenen Disziplin: Network-Segmentation, DLP-Policies (Data Loss Prevention), Monitoring der ausgehenden Datenflüsse. Bei den meisten KMU schwach ausgeprägt.
Lieferanten-Risiko aktiv managen. Wer mit einem MSP arbeitet, mit einer SaaS-Plattform für kritische Geschäftsprozesse, mit einem Cloud-Backup-Anbieter: muss verstehen, wie der seinerseits gegen Übernahme geschützt ist. Sicherheits-Fragebögen, SOC-2-Berichte, regelmässige Audits – das ist nicht nur Compliance-Theater, das ist konkrete Risiko-Reduktion.
Awareness-Schulungen umstellen. Alte Methode: «So erkennst Du Phishing.» Neue Notwendigkeit: prozessuale Verifikation. Mitarbeitende sollten nicht trainiert werden, Mails zu erkennen, sondern Prozesse zu durchlaufen – «bei Sonderzahlung Rückruf an bekannte Nummer», «bei Login-Aufforderung nach Klick: schliessen», «bei dringender Anweisung des Chefs: zweite Person hinzuziehen». Das funktioniert auch dann, wenn die Mail technisch perfekt ist.
Sichtbarkeit als Voraussetzung. Wer keine zentrale Log-Aggregation hat, sieht eine 30-90-Tage-Vorbereitung nicht. SIEM oder zumindest Log-Sammlung mit Anomalie-Alerting wird vom Nice-to-have zum Pflicht-Layer für jedes Unternehmen, das überhaupt eine Chance haben will, gezielten Angriff zu bemerken.
Was im Halbjahresbericht zusätzlich auffällt
Drei Beobachtungen aus dem Bericht, die in der allgemeinen Aufmerksamkeit oft untergehen:
Schweizer Branchen-Hotspots. Die Bedrohungslage ist nicht in allen Sektoren gleich verteilt. Finanzdienstleister, Gesundheitswesen, öffentliche Verwaltung und KMU im Maschinenbau (mit US/EU-Auftraggebern) sind aktuell besonders im Fokus. Wer in diesen Bereichen arbeitet, sollte das auf der Risiko-Karte deutlich höher gewichten.
Häufige Erstvektoren. Phishing bleibt Nummer eins, gefolgt von Schwachstellen in extern erreichbaren Systemen (VPN, Webserver, RDP – ja, auch 2026 noch direkt im Internet erreichbarer RDP) und Lieferketten-Angriffen. Wer die Top-3 Erstvektoren absichert, fängt einen Grossteil der Angriffe ab.
Reaktionszeit als Indikator. Unternehmen, die Vorfälle früh erkennen (Stunden bis erste Tage), kommen mit deutlich kleineren Schäden raus. Spät erkannte Vorfälle (Wochen bis Monate) führen oft zu vollständiger Verschlüsselung, Datendiebstahl und mehrwöchigen Betriebsausfällen. Sichtbarkeit zahlt sich messbar aus.
Fünf konkrete Schritte für Q2/2026
Aus dem Bericht und der praktischen Erfahrung der letzten Quartale, was sinnvoll ist:
- Lieferanten-Inventur. Welche externen Anbieter haben technischen Zugang in unsere Systeme? MSPs, SaaS, Software-Wartung, Cloud-Backup. Liste erstellen, Sicherheitslevel pro Anbieter dokumentieren, kritische Beziehungen vertraglich nachschärfen.
- Externe Angriffsfläche scannen. Was haben wir öffentlich erreichbar? VPN, Mail, Webserver, Remote-Desktop-Gateway. Sicherheitsstand, Patch-Level, Hardening prüfen. Nicht erreichbare Dienste komplett vom Netz nehmen.
- Backup-Test wieder durchspielen. Ein Restore eines kritischen Servers, von Anfang bis Ende. Nicht nur «Backup läuft», sondern «Restore funktioniert in akzeptabler Zeit». Vorzugsweise mit AirGap-Komponente.
- Awareness-Refresh mit aktuellen Beispielen. Mitarbeitende über die Trends informieren – nicht generisch, sondern mit konkreten Mustern: KI-Stimmenklon, ZIP-Phishing, ClickFix, gefälschte Job-Inserate. 30-Minuten-Schulung pro Quartal.
- Logging und Monitoring auf den Stand bringen. Wenn nichts da ist: zentrale Log-Aggregation einrichten (kann auch ein Open-Source-SIEM wie Wazuh sein). Wenn schon da: Alerting auf die wichtigsten Anomalien (ungewöhnliche Logins, Privilege-Escalation, Mass-Reads aus Datenbanken).
Service-Bezug
UCC Pro begleitet KMU bei Sicherheits-Inventur, Härtung der externen Angriffsfläche und Backup-Architektur mit AirGap-Komponente über den UCC Secure Vault. Was wir nicht machen: Forensik nach einem aktiven Vorfall – dafür gibt es spezialisierte Anbieter, mit denen wir bei Bedarf koordinieren. Was wir machen: das Tagesgeschäft, das Vorfälle deutlich seltener und schadensärmer macht.
Quelle: NCSC – BACS Bundesamt für Cybersicherheit, Halbjahresbericht und Meldung vom 30.03.2026: «Cyberbedrohungslage bleibt hoch – Angriffe werden gezielter und komplexer» (ncsc.admin.ch).