Die Bedrohung durch Ransomware entwickelt sich im Jahr 2025 in einem hohen Tempo weiter. In der Schweiz zeigt sich deutlich, dass Angreifer zunehmend organisierter, technischer und strategischer vorgehen. Unternehmen aller Grössenordnungen geraten in den Fokus, wobei besonders kleine und mittlere Betriebe Schwierigkeiten haben, mit der Geschwindigkeit dieser Entwicklungen mitzuhalten. Die aktuellen Erkenntnisse aus dem Schweizer Cyberraum lassen darauf schliessen, dass sich die Angriffsmuster im Vergleich zu den Vorjahren spürbar verändert haben und neue Risiken entstanden sind.

Zunehmende Professionalisierung der Angreifergruppen

Ransomware-Gruppen agieren deutlich professioneller als noch vor wenigen Jahren. Viele Gruppierungen operieren wie Unternehmen mit klaren Strukturen, Zieldefinitionen und Arbeitsteilungen. Der Markt für Ransomware-as-a-Service wächst weiter, was dazu führt, dass auch technisch weniger versierte Akteure Zugang zu hochentwickelten Schadprogrammen erhalten. Dadurch steigt die Gesamtzahl potenzieller Angriffe, während gleichzeitig die Qualität der eingesetzten Malware zunimmt.

In der Schweiz fällt auf, dass Angriffe vermehrt auf spezifische Branchen zugeschnitten sind. Besonders betroffen sind Gesundheitswesen, Industrie, öffentliche Verwaltung und Bildung. Diese Sektoren verfügen häufig über ein komplexes Netzwerk aus Altsystemen, externen Dienstleistern und sensiblen Daten, was sie für Angreifer interessant macht.

Datenexfiltration vor Verschlüsselung

Ein markanter Trend im Jahr 2025 ist die verstärkte Nutzung von Doppel- und Mehrfacherpressung. Angreifer greifen immer seltener auf reine Verschlüsselung zurück. Stattdessen wird zuerst im Verborgenen eine grosse Menge sensibler Informationen exfiltriert, bevor der klassische Verschlüsselungsprozess beginnt. Daraus ergeben sich mehrere Risiken wie:

• Verlust sensibler Daten mit Reputationsfolgen
• Gefährdung von Kunden, Partnern oder Mitarbeitenden durch potenzielle Veröffentlichungen
• Informationspreisgabe an Konkurrenz oder kriminelle Organisationen

Darüber hinaus entwickeln einige Gruppen Modelle der Dreifach- oder Vierfacherpressung. Beispiele sind Angriffe, bei denen zusätzlich zu Datenveröffentlichung und Systemverschlüsselung auch Kunden oder Partner eines Unternehmens kontaktiert werden, um zusätzlichen Druck aufzubauen. Diese erweiterten Erpressungsmethoden hinterlassen weitreichende Auswirkungen, da sie sowohl den operativen Betrieb wie auch den Ruf eines Unternehmens beeinträchtigen.

KI-basierte Angriffsmethoden

Künstliche Intelligenz spielt in der Ransomware-Landschaft eine immer grössere Rolle. Angreifer nutzen KI-Modelle, um Netzwerke automatisiert zu analysieren, Sicherheitslücken schneller zu identifizieren und sich lateral auszubreiten. Auch Phishing-Kampagnen werden durch KI deutlich überzeugender. In vielen Fällen sind manipulierte E-Mails kaum noch von authentischen Nachrichten zu unterscheiden, was das Risiko des unbemerkten Eindringens stark erhöht.

Ein weiterer Aspekt sind automatisierte Angriffsketten, die KI verwenden, um Schwachstellen in Echtzeit auszuwerten und passende Exploits einzusetzen. Dieser Grad an Automatisierung sorgt dafür, dass Angriffe innerhalb kürzester Zeit eskalieren. Besonders relevant wird dies in Systemumgebungen, die auf mehrere Cloud- oder On-Premises-Komponenten verteilt sind, da Angreifer dort zugleich mehrere Wege nutzen können wie:

• kompromittierte Zugänge aus vorherigen Datenlecks
• automatisierte Passworttests mit KI-gestützten Wahrscheinlichkeitsmodellen
• Ausnutzung von Fehlkonfigurationen in Cloud-Rollen oder API-Schnittstellen

Angriffe über Drittanbieter und Lieferketten

Die Schweiz verzeichnet einen deutlichen Anstieg von Ransomware-Incidents, die über kompromittierte Dienstleister oder Lieferketten erfolgen. Angriffe auf kleinere externe IT-Dienstleister gelten als effektiver Zugangspunkt zu Unternehmen, da diese häufig administrative Berechtigungen oder direkten Netzwerkzugang besitzen. Sobald ein Dienstleister kompromittiert ist, lassen sich Angriffe breitflächig ausrollen.

Diese Entwicklung zeigt, dass Ransomware nicht mehr nur ein technisches Problem innerhalb der eigenen Infrastruktur ist. Vielmehr wird deutlich, dass auch das Sicherheitsniveau und die Prozesse externer Partner eine zentrale Rolle spielen. Unternehmen überprüfen daher vermehrt vertragliche Regelungen, Zugriffskonzepte und Audit-Mechanismen, um Schwachstellen in der Lieferkette zu reduzieren.

Steigende Bedeutung von Zero-Trust-Architekturen

Die Veränderungen im Angriffsumfeld führen dazu, dass klassische perimeterbasierte Sicherheitsmodelle zunehmend an ihre Grenzen stossen. Zero-Trust-Ansätze gewinnen dadurch an Bedeutung. Da Angreifer in vielen Fällen über gültige Zugangsdaten oder legitime Wege eindringen, müssen interne Netzwerke, Benutzeridentitäten und Anwendungen kontinuierlich überprüft werden.

Moderne Zero-Trust-Modelle gehen davon aus, dass keine Verbindung als vertrauenswürdig gilt, unabhängig davon, ob der Zugriff intern oder extern erfolgt. Diese Philosophie begrenzt das Risiko der Schadensausweitung deutlich, da Angreifer sich nicht mehr frei im Netzwerk bewegen können.

Cloud-Umgebungen im Visier

Mit der fortschreitenden Digitalisierung wachsen auch die Angriffsflächen in Cloud-Umgebungen. Schweizer Unternehmen nutzen zunehmend hybride oder vollständig cloudbasierte Modelle, was attraktiv für Angreifer ist. Fehlkonfigurationen, unzureichend gesicherte API-Schnittstellen und schwache Authentifizierungsmethoden eröffnen neue Angriffswege.

Angreifer versuchen vermehrt, Cloud-Sicherheitslücken auszunutzen, um Zugriff auf grosse Datenmengen zu erhalten oder über Cloud-Services in weitere Systeme vorzudringen. Dadurch wird deutlich, dass Sicherheitsstrategien lokale und Cloud-basierte Infrastrukturen gleichermassen berücksichtigen müssen, um den steigenden Anforderungen gerecht zu werden.

Dieser Beitrag basiert auf von IT-Experten geprüften Fakten. Für die kreative Ausgestaltung wurde ein KI-Tool herangezogen.