Der einsame Hacker im dunklen Keller ist ein Mythos. Die Bedrohungslandschaft ist vielfältiger und differenzierter als oft dargestellt. Dieser Artikel fokussiert auf vier Akteurstypen, die für Schweizer KMU aktuell die grösste Bedrohung darstellen, mit sehr verschiedenen Motivationen und Methoden und entsprechend anderen Konsequenzen für Ihre Abwehrstrategie. Phishing-Mails und Vishing-Anrufe (betrügerische Telefonanrufe) sind dabei oft nur der initiale Kontaktpunkt; entscheidend ist, was dahinter steht.

Inhalt

Kurzfassung
Die Kernbotschaft
Typ 1: Cyberkriminelle – Das organisierte Verbrechen
Typ 2: Staatlich gesponserte Angriffe – Die geduldige Bedrohung
Typ 3: Hacktivisten – Die ideologisch motivierte Bedrohung
Typ 4: Insider Threats – Der Angreifer, der bereits drin ist
Die vier Bedrohungen im Überblick
Fazit: Eine Abwehrstrategie für vier verschiedene Gegner

Kurzfassung

Wer sein Unternehmen schützen will, muss verstehen, wer angreift und warum. Nicht jeder Angreifer will Geld. Nicht jeder lässt sich durch eine Firewall abschrecken. Und nicht jeder kommt von aussen. Vier Akteurstypen bestimmen die Bedrohungslage für Schweizer KMU, und jeder erfordert eine andere Abwehrlogik.

Typ 1: Cyberkriminelle

… agieren wie Unternehmer. Angreifer werfen Schleppnetze aus: massenhaft Phishing, automatisiertes Scanning nach ungepatchten Systemen, Credential Stuffing mit Milliarden gestohlener Zugangsdaten. Wer auffällt, wird angegriffen. Nicht weil er wichtig ist, sondern weil er verwundbar ist. Die Lieferkette ist arbeitsteilig organisiert: Spezialisierte Broker verkaufen Netzwerkzugänge, Ransomware-Plattformen stellen die Infrastruktur bereit, Verhandlungsteams übernehmen die Erpressung. Die Abwehr folgt einer einfachen Logik: Wer Angreifern den Aufwand erhöht (MFA, Patching, Credential Monitoring, Segmentierung und anderes), wird unrentabel und damit uninteressant.

Typ 2: Staatlich gesponserte Angriffe

… folgen einer anderen Logik. Hier geht es nicht um schnellen Profit, sondern um Wirtschaftsspionage, Technologiebeschaffung und geopolitische Positionierung. Staatliche Akteure sind geduldig, gut finanziert und operieren monatelang unentdeckt. Auch KMU sind Ziele, besonders wenn sie über proprietäres Know-how verfügen oder als Zulieferer grösserer Organisationen den einfacheren Einstiegspunkt bieten. Die klassische Prävention reicht hier nicht. Entscheidend sind Detektionsfähigkeiten (EDR, NDR), ein Screening der eigenen Mitarbeitenden, eine gute Kenntnis der Cyber-Maturität der Zulieferer und die Schaffung einer Security Awareness und Sicherheitskultur.

Typ 3: Hacktivisten

… kalkulieren keinen ROI. Sie greifen aus ideologischer Überzeugung an, oft mit DDoS-Attacken, Defacements oder Datenleaks, kombiniert mit medialer Kampagnenarbeit. Die technische Kompetenz variiert stark, aber der eigentliche Schaden ist oft ein Imageverlust. Unternehmen in politisch sensiblen Branchen brauchen neben technischer Härtung vor allem Threat Intelligence und einen vorbereiteten Krisenkommunikationsplan.

Typ 4: Insider Threats

… sind die am meisten unterschätzte Bedrohung. Der Angreifer ist bereits drin, mit legitimem Zugang und dem Vertrauen der Organisation. Es gibt drei Typen: böswillige Insider (Datendiebstahl, Sabotage), fahrlässige Mitarbeitende (Fehlverhalten, Schatten-IT) und Mitarbeitende, die erpresst werden oder mit Geld incentiviert werden, Angreifern ihre Accounts zur Verfügung zu stellen. . Firewalls und Perimeterschutz helfen hier nicht. Was hilft: Least Privilege, User Behaviour Analytics, Data Loss Prevention, ein strukturiertes Offboarding und ein kontinuierliches Monitoring.

Die Kernbotschaft

Es gibt keine universelle Verteidigung, weil es keinen universellen Angreifer gibt. Eine realistische Abwehrstrategie denkt in vier Dimensionen: unrentabel werden (gegen Cybercrime), Detektionsfähigkeit aufbauen (gegen Advanced Persistent Threats), Resilienz stärken (gegen alle) und sich von innen schützen (gegen Insider). Angemessene Datensicherheitsmassnahmen sind dabei nicht nur strategisch sinnvoll, sondern nach nDSG Art. 8 gesetzlich gefordert.

Der vollständige Artikel liefert zu jedem Akteurstyp konkrete Beispiele, Schweizer Fallreferenzen, eine Übersichtstabelle und die relevanten Meldepflichten.

Typ 1: Cyberkriminelle – Das organisierte Verbrechen

Ein Unternehmen wie jedes andere

Ransomware-Gruppen und ihre Ökosysteme funktionieren nach denselben betriebswirtschaftlichen Prinzipien wie legitime Unternehmen: Spezialisierung, Lieferketten, Umsatzbeteiligung, sogar Kundenservice. Der entscheidende Unterschied liegt im Geschäftsmodell.

Das Schleppnetz: Masse statt Präzision

Nicht jeder Angriff ist gezielt. Ein grosser Teil der Cyberkriminalität funktioniert nach dem Prinzip des breiten Fischens, und das gilt für weit mehr als nur Phishing:

• Massen-Phishing: Automatisierte Kampagnen werden an Zehntausende Empfänger verschickt. Wenn von zehntausend Personen nur zwei auf einen Link klicken, ist der Tag für den Angreifer bereits profitabel.
• Schwachstellen-Scanning: Wird eine kritische Sicherheitslücke in einer weit verbreiteten Komponente bekannt, wie bei den wiederholt ausgenutzten FortiGate-Schwachstellen, scannen Angreifer innerhalb von Stunden das gesamte Internet nach verwundbaren Instanzen. Wer nicht gepatcht hat, wird nicht gezielt ausgewählt, sondern einfach automatisch mit einbezogen.
• Credential Stuffing (automatisiertes Durchprobieren gestohlener Zugangsdaten): Milliarden von Zugangsdaten aus früheren Datenlecks werden automatisiert gegen Login-Portale getestet: Microsoft 365, VPN-Zugänge, Webmail. Ein einziger Treffer reicht für den Erstzugang.
• Offene Dienste: Fernzugriffsdienste (z. B. RDP, VPN, SSH), die direkt aus dem Internet erreichbar sind, werden rund um die Uhr mit automatisierten Login-Versuchen bombardiert. Gefunden werden sie durch massenhaftes Port-Scanning, häufig über Botnetze durchgeführt, oder über Dienste, die solche Informationen bereits indexiert bereitstellen.

Allen Varianten ist gemeinsam: Es braucht weder eine auf das Unternehmen zielende Recherche noch eine bewusste Zielauswahl. Genau deshalb ist niemand «zu klein» oder «zu unwichtig» oder «zu unbekannt», um betroffen zu sein.

Die Lieferkette des Verbrechens

Kein Angreifer baut heute noch alles selbst. Das Cyber Security as-a-Service-Ökosystem (CaaS) ist arbeitsteilig organisiert:

• Initial Access Broker (IAB): Spezialisierte Gruppen, die sich ausschliesslich auf den Erstzugang konzentrieren. Sie verkaufen den fertigen Netzwerkzugang im Darknet, oft für einige Hundert bis wenige Tausend Franken. Der Käufer muss nicht wissen, wie er reingekommen ist.
• Ransomware-as-a-Service (RaaS): Infrastruktur und Verschlüsselungssoftware werden als Service bereitgestellt. Der Affiliate führt den Angriff durch und behält typischerweise 60–80 % der Beute; der Plattformbetreiber kassiert die restlichen 20–40 % für Entwicklung und Infrastruktur. Gruppen wie LockBit oder BlackCat/ALPHV erreichten auf diese Weise industrielle Skalierung. Selbst nach deren Disruption durch internationale Strafverfolgung Ende 2023/2024 entstanden rasch Nachfolger wie RansomHub, was die Resilienz des Modells unterstreicht.
• Doppelte Erpressung (Double Extortion): Daten werden vor der Verschlüsselung exfiltriert. Selbst wer ein sauberes Backup hat, steht vor der Drohung einer öffentlichen Datenleak-Veröffentlichung, mit entsprechenden Datenschutz- und Reputationsfolgen. Wichtig: Werden dabei Personendaten exfiltriert und besteht voraussichtlich ein hohes Risiko für die Betroffenen, liegt eine meldepflichtige Datensicherheitsverletzung nach nDSG Art. 24 vor. Die Meldung an den EDÖB muss «so rasch als möglich» erfolgen. Bei Verarbeitung von EU-Personendaten gilt zusätzlich die 72-Stunden-Frist der DSGVO (Art. 33).
• Professioneller Kundenservice: Grössere Ransomware-Gruppen unterhalten eigene, professionell arbeitende Verhandlungsteams. Die Kommunikation mit Opfern ist häufig mehrsprachig, psychologisch geschult und auf maximale Zahlungsbereitschaft optimiert.

Der ROI-Kalkül: Warum auch KMU rentable Ziele sind

Jeder gezielte Angriff ist ein Investment Case, und genau so denken die Akteure auch. Bei einem Incident-Response-Einsatz für einen Industriezulieferer in der Deutschschweiz konnten wir den Ablauf rekonstruieren: Die Angreifer hatten einen VPN-Zugang für rund 800 Franken im Darknet gekauft und innerhalb von 72 Stunden das gesamte Netzwerk verschlüsselt. Der Angreifer kalkuliert:

ROI = (Eintrittswahrscheinlichkeit × erwartete Beute) – Investitionskosten (Zeit + Tools)

Für diesen Kalkül spielen drei Faktoren eine Rolle:

• Exploit-Potenzial: Im Darknet verfügbare Credentials (gestohlene Zugangsdaten wie Benutzernamen und Passwörter) aus früheren Leaks, ungesicherte Remote-Zugänge (VPN, RDP) und technisch ausnutzbare Schwachstellen, teilweise identifizierbar über Suchmaschinen wie Shodan oder Censys.
• Zahlungsbereitschaft: Hinweise auf Versicherungsschutz, kritische Lieferketten oder bekannte Zahlungshistorie erhöhen die erwartete Beute erheblich.
• Betriebskosten: Je aufwendiger die Recherche und das Vordringen im Netzwerk, desto schlechter die Marge.

Generative AI senkt zusätzlich die Hürden für überzeugendes Social Engineering, etwa durch sprachlich einwandfreie, lokalisierte Phishing-Mails, die früher muttersprachliche Verfasser erforderten. Zusammen mit Commodity-Malware und automatisierten Angriffs-Tools bedeutet das: Auch kleinste Unternehmen und Privatpersonen sind längst rentable Ziele.

Die Abwehrlogik: Sei ein schlechter Investment Case

Wer es Angreifern schwer macht, wird für deren Geschäftsmodell unrentabel. Unternehmen müssen keine uneinnehmbare Festung bauen; sie müssen lediglich eine schlechtere Investition darstellen als das nächste Ziel. Konkret bedeutet das:

• Keine exponierten Systeme mit bekannten Schwachstellen (Penetration Testing, Patch Management, Reduktion der Angriffsfläche)
• Keine verwertbaren Credentials im Darknet (Darknet Monitoring, Multi-Faktor-Authentifizierung/MFA)
• Keine einfachen Pivoting-Möglichkeiten, also kein Weiterbewegen von einem kompromittierten System zum nächsten (Segmentierung, Least Privilege)
• Klare Signale, dass eine Response-Kapazität vorhanden ist

Typ 2: Staatlich gesponserte Angriffe – Die geduldige Bedrohung

Andere Motivation, andere Logik

Staatlich gesponserte Akteure, oft als Advanced Persistent Threats (APT) bezeichnet, folgen einer fundamental anderen Logik als Cyberkriminelle. Ihr Ziel ist nicht kurzfristiger finanzieller Gewinn, sondern strategischer Informationsgewinn: Wirtschaftsspionage, geopolitische Einflussnahme, Vorbereitung kritischer Infrastrukturangriffe oder Beschaffung von Technologie.

Der entscheidende Unterschied: Das ROI-Kalkül greift hier nicht. Ein staatlicher Akteur, der im Auftrag einer Regierung handelt, erhält eine Fixvergütung unabhängig vom Erfolg. Er kann sich Wochen oder Monate nehmen, um eine einzelne Schnittstelle zu analysieren.

Motivation 1: Wirtschaftsspionage – Technologie-Transfer ohne Entwicklungskosten

Wirtschaftsspionage ist für viele Unternehmen die überraschendste Bedrohung, weil sie keine sichtbaren Symptome hinterlässt. Kein Lösegeld, keine verschlüsselten Systeme, kein Defacement. Das Unternehmen merkt den Schaden vielleicht erst Jahre später: Ein Wettbewerber aus einem bestimmten Land bietet plötzlich ein technisch identisches Produkt zu einem Bruchteil des Preises an. Eine Ausschreibung wird verloren, obwohl das eigene Angebot überlegen schien. Ein vielversprechender Wirkstoff taucht in einer ausländischen Patentanmeldung auf.

Besonders gefährdet sind Unternehmen mit proprietärem technischem Know-how, das schwer und teuer zu replizieren ist:

• Maschinenbau und Präzisionstechnik: Fertigungsverfahren, Konstruktionspläne und Prozessparameter, das Ergebnis jahrzehntelanger Entwicklung, sind für staatlich geförderte Wettbewerber von enormem Wert.
• Pharma und MedTech: Klinische Studiendaten, Wirkstoffformulierungen und Zulassungsunterlagen ersparen Konkurrenten hunderte Millionen an F&E-Kosten.
• Spezialsoftware und kritische Systeme: Nischenprodukte für Industrie, Energie oder öffentliche Verwaltung haben nachrichtendienstlichen Wert weit über ihren kommerziellen Preis hinaus.
• Ausschreibungs- und Verhandlungsspionage: Interne Preiskalkulationen, Verhandlungspositionen und Strategiepapiere können den Ausgang eines Geschäfts oder einer öffentlichen Ausschreibung entscheidend beeinflussen.

Motivation 2: Strategische und geopolitische Ziele

Neben dem direkten wirtschaftlichen Nutzen verfolgen staatliche Akteure auch längerfristige strategische Ziele, die für Schweizer Unternehmen relevant sind:

• Sanktionsumgehung: Zugang zu Technologien und Komponenten, die über offizielle Kanäle aufgrund von Exportkontrollen nicht beschaffbar sind. Schweizer Dual-Use-Güter sind hier ein bekanntes Risikoprofil.
• Vorbereitung kritischer Infrastrukturangriffe: Stromversorger, Wasserversorgung, Telekommunikation: Staatliche Akteure erkunden und kompromittieren kritische Systeme Jahre im Voraus, um im Eskalationsfall handlungsfähig zu sein.
• Finanz- und Treuhändersektor: Informationen über Strukturen, Vermögenswerte und Eigentumsverhältnisse haben höchsten nachrichtendienstlichen Wert, sei es für Sanktionsumgehung, politischen Druck oder gezielte Einflussnahme.
• Geografische Lage der Schweiz: Internationale Organisationen, Botschaften und NGOs mit Schweizer Sitz machen das Land zu einem nachrichtendienstlich dicht besiedelten Terrain. Zulieferer dieser Institutionen werden zum indirekten Angriffsziel.

Unternehmen in regulierten Branchen (Finanzsektor, kritische Infrastruktur, Gesundheitswesen) unterliegen zusätzlichen Meldepflichten, etwa gegenüber der FINMA oder dem BACS. Betreiber kritischer Infrastrukturen sind seit 2025 gesetzlich verpflichtet, Cyberangriffe dem BACS zu melden.

Warum auch KMU Ziel staatlicher Akteure sind

Die häufigste Fehlannahme, die wir in Erstgesprächen mit KMU hören: «Wir sind zu klein und zu unbekannt, um für staatliche Akteure interessant zu sein.» Diese Logik überträgt das ROI-Denken der Cyberkriminellen auf Akteure, für die es nicht gilt. Ein staatlicher Akteur mit einem klaren Auftrag zur Technologiebeschaffung interessiert sich nicht für Ihre Unternehmensgrösse, sondern für Ihr spezifisches Know-how. Hinzu kommt: KMU sind als Zulieferer grosser Konzerne oder öffentlicher Institutionen oft der einfachere Einstiegspunkt in ein eigentlich gut geschütztes grösseres Ziel.

Das Hauptmerkmal: Stealth und Persistenz

APT-Angriffe sind darauf ausgelegt, monatelang unentdeckt zu bleiben. Typische Merkmale:

• Living-off-the-Land (LotL): Angreifer nutzen legitime Systemtools (PowerShell, WMI, certutil), um keine Spuren zu hinterlassen.
• Niedrige und langsame Aktivität: Kein auffälliger Traffic, keine lauten Scans.
• Gezieltes Credential-Harvesting: Fokus auf privilegierte Accounts und Service Accounts.
• Supply-Chain-Kompromittierung: Einschleusen von Schadsoftware über Software-Updates oder Lieferanten. Supply-Chain-Angriffe werden von verschiedenen Akteurstypen eingesetzt: SolarWinds (staatlich, 2020), die XZ-Utils-Backdoor (jahrelange Infiltration eines Open-Source-Projekts, 2024) oder der Xplain-Vorfall 2023, bei dem über einen Schweizer IT-Dienstleister sensitive Daten von Bundesbehörden abflossen (Ransomware-Gruppe Play).

Das bedeutet: Der Schaden ist oft bereits eingetreten, bevor er bemerkt wird. Ein Compromise Assessment, also die aktive Suche nach Hinweisen, dass bereits ein Angreifer im Netzwerk ist, ist hier relevanter als eine reine Präventionsstrategie.

Was schützt gegen geduldige Angreifer?

Gegen einen staatlichen Akteur mit unbegrenzten Ressourcen und langem Atem reicht es nicht, ein schwieriges Ziel zu sein. Die Abwehr verschiebt sich von Prävention zu Detection und Response. Das beginnt mit der «Assume Breach»-Mentalität: der Annahme, dass eine Kompromittierung jederzeit möglich ist. Darauf aufbauend braucht es:

• Detektionsfähigkeiten auf Endpoint- und Netzwerkebene (EDR und NDR) bzw. am besten auf alle Systeme mit einem SOC
• Regelmässiges Threat Hunting, also die aktive Suche nach sich bereits in den eigenen Systemen befindlichen versteckten Angreifern
• Periodische Compromise Assessments auf ein spezifisches System
• Klare Incident-Response-Prozesse, die im Ernstfall schnell und effektiv greifen

Ehrlich gesagt: Für die meisten KMU unter 200 Mitarbeitenden ist ein vollständiges Threat-Hunting-Programm finanziell unrealistisch. Wer mit beschränktem Budget arbeitet, fährt mit einem jährlichen Compromise Assessment besser als mit einem unterdotierten SOC, das niemand betreut.

Typ 3: Hacktivisten – Die ideologisch motivierte Bedrohung

Wenn der ROI irrelevant ist

Hacktivisten sind in gewisser Weise die schwierigste Kategorie für Unternehmen, die ihren Schutz ökonomisch denken: Sie kalkulieren keinen Return on Investment. Ein militant motivierter Aktivist, der ein Unternehmen für ethisch verwerflich hält, investiert Zeit und Energie unabhängig von wirtschaftlichen Überlegungen.

Das Spektrum ist breit: Tierrechtsaktivisten gegen Pharmaunternehmen mit Tierversuchen, Klimaaktivisten gegen Energieproduzenten, politisch motivierte Gruppen gegen Unternehmen, die als Symbol für bestimmte Überzeugungen gelten. Es reicht von links- und rechtsextremen Bewegungen bis hin zu nationalistischen Hackerkollektiven.

Seit dem russischen Angriffskrieg gegen die Ukraine 2022 verschwimmt zudem die Grenze zwischen Hacktivismus und staatlicher Steuerung. Pro-russische Gruppen wie NoName057(16) oder Killnet agieren zwar unter dem Label «Hacktivismus», erhalten aber teilweise staatliche Unterstützung oder Koordination. Für die betroffenen Unternehmen macht diese Unterscheidung im Ernstfall keinen Unterschied: Der Schaden ist derselbe.

Typisches Angriffsmuster

Das technische Niveau von Hacktivisten variiert stark, von einfachen DDoS-Angriffen mit gemieteter Infrastruktur bis hin zu Operationen, die APT-ähnliche Fähigkeiten zeigen. Im Durchschnitt liegt es jedoch unter dem Niveau staatlicher Akteure oder professioneller Ransomware-Gruppen. Typische Methoden:

• DDoS (Distributed Denial of Service): Kurzfristige Verfügbarkeitsstörungen durch Traffic-Überlastung. Häufig koordiniert mit öffentlichen Kampagnen in sozialen Medien, etwa die Angriffe von NoName057(16) auf Schweizer Parlaments- und Bundes-Websites 2023, die als Reaktion auf politische Entscheide erfolgten.
• Website-Defacement: Ersatz der Webseite durch politische Botschaften. Hoher Reputationsschaden bei geringem technischen Aufwand.
• Datenleck: Veröffentlichung gestohlener Daten, oft kombiniert mit Medienarbeit, um maximale öffentliche Aufmerksamkeit zu erzeugen.
• Credential Stuffing (Massenlogin mit gestohlenen Zugangsdaten): Nutzung öffentlich verfügbarer Credential-Leaks für Zugang zu Unternehmenssystemen.

Der unterschätzte Reputationsschaden

Was Hacktivist-Angriffe besonders gefährlich macht, ist die Verknüpfung von technischem Angriff und medialer Kampagne. Ein DDoS allein ist ein IT-Vorfall. Kombiniert mit gezielter Social-Media-Kommunikation, Pressemitteilungen und dem Framing einer breiteren gesellschaftlichen Debatte wird daraus ein Reputationsereignis, das weit über die technische Störung hinausgeht.

Schweizer Unternehmen in sensiblen Branchen (Nahrungsmittelproduktion, Pharmaindustrie, Energiesektor, Rüstungszulieferer, aber auch Unternehmen, die öffentlich mit kontroverser Steuer- oder Arbeitspolitik assoziiert werden) sollten diese Bedrohung aktiv auf dem Radar haben.

Wie bereitet man sich vor?

Technische Härtung hilft auch hier: Angreifer mit niedrigem technischem Niveau scheitern an gut gesicherten Systemen. Mindestens genauso wichtig ist aber die Vorbereitung auf den medialen Aspekt: Wer Kampagnen in sozialen Medien und einschlägigen Foren frühzeitig erkennt (Threat Intelligence), kann reagieren, bevor das Narrativ ausser Kontrolle gerät. Ein vorbereiteter Krisenkommunikationsplan macht den Unterschied zwischen einer souveränen Reaktion und einem PR-Desaster. Dazu kommen DDoS-Mitigation-Kapazitäten für kritische externe Dienste und die regelmässige Prüfung der eigenen Exponierung auf bekannten Leak-Plattformen mittels Darknet Monitoring.

Typ 4: Insider Threats – Der Angreifer, der bereits drin ist

Der grundlegende Unterschied

Alle bisher beschriebenen Akteure haben eines gemeinsam: Sie müssen zuerst in das Netzwerk eindringen. Der Insider hat dieses Problem nicht. Er verfügt bereits über legitimen Zugang zu Systemen, Daten, Gebäuden und oft auch zum Vertrauen seiner Kolleginnen und Kollegen. Das macht Insider Threats in vielerlei Hinsicht zur schwierigsten Bedrohung überhaupt.

Erschwerend kommt hinzu, und das sehen wir regelmässig in unserer Beratungspraxis, dass Unternehmen Insider-Vorfälle selten kommunizieren. Das erzeugt eine gefährliche Fehlwahrnehmung: Das Thema erscheint selten, weil es selten öffentlich wird, nicht weil es selten vorkommt. Unter vier Augen hören wir ganz andere Zahlen.

Die drei Untertypen

Nicht jeder Insider ist gleich. Die Abwehrmassnahmen unterscheiden sich je nach Typ erheblich:

• Böswillig und motiviert: Mitarbeitende, die gezielt Daten stehlen, Systeme sabotieren oder Zugänge an Dritte verkaufen. Häufige Auslöser sind bevorstehende Kündigungen und Konflikte mit dem Unternehmen. Besonders kritisch: die Phase zwischen Kündigung und tatsächlichem Austritt sowie fehlerhaftes Offboarding, das Zugänge länger aktiv lässt als nötig.
• Fahrlässig und unwissentlich: Mitarbeitende, die durch Fehlverhalten unbeabsichtigt Türen öffnen: falscher E-Mail-Empfänger, schwache Passwörter, ungesicherte Cloud-Ablagen, Nutzung privater Geräte für Geschäftsdaten (Schatten-IT). Kein böser Wille, aber realer Schaden.
• Erpressungsopfer oder finanziell motiviert: Mitarbeitende, die mit Geld incentiviert oder erpresst werden, stellen Angreifern ihre Accounts zur Verfügung. Technisch handelt es sich um einen Insider, faktisch steckt ein externer Angreifer dahinter. Diese Kategorie verbindet Insider Threats mit den anderen Akteurstypen und ist besonders schwer zu erkennen, weil das Verhalten zunächst legitim wirkt.

Warum klassische Abwehrmassnahmen hier versagen

Perimeterschutz, Firewalls und Patch Management helfen gegen Insider kaum, denn der Angreifer ist bereits auf der vermeintlich sicheren Seite der Mauer. Die relevanten Schutzmassnahmen sind grundlegend andere:

• Least Privilege: Mitarbeitende erhalten ausschliesslich die Zugriffsrechte, die sie für ihre Aufgaben tatsächlich benötigen. Keine administrativen Rechte als Standard, keine unnötigen Dateifreigaben.
• User Behaviour Analytics (UBA): Erkennung von Anomalien im Nutzerverhalten, etwa ungewöhnliche Zugriffszeiten, grosse Datenmengen, die kopiert oder versendet werden, Zugriffe auf unübliche Systeme.
• Data Loss Prevention (DLP): Kontrolle und Protokollierung von Datenbewegungen, insbesondere auf externe Datenträger, Cloud-Dienste und E-Mail.
• Strukturiertes Offboarding: Beim Austritt eines Mitarbeitenden sofortige Deaktivierung aller Zugänge (Cloud-Dienste, VPN, externe Systeme und geteilte Accounts).
• Kulturelle Massnahmen: Ein Umfeld, in dem Mitarbeitende verdächtiges Verhalten von Kolleginnen und Kollegen melden können, ohne negative Konsequenzen zu befürchten.

Die besondere Schwierigkeit: Verhältnismässigkeit und Vertrauen

Insider-Threat-Programme bewegen sich in einem sensiblen Spannungsfeld. Zu starke Überwachung untergräbt das Vertrauen im Unternehmen und schadet der Arbeitskultur. Zu wenig Kontrolle lässt reale Risiken unkontrolliert. Die Antwort liegt nicht in flächendeckender Überwachung, sondern in risikobasierter Kontrolle: erhöhte Aufmerksamkeit bei privilegierten Zugängen, in Austrittsphasen und bei Zugriffen auf besonders sensitive Daten.

Die vier Bedrohungen im Überblick

	Cyberkriminelle	Staatlich gesponsert	Hacktivisten	Insider Threats
Motivation	Finanziell	Strategisch / politisch	Ideologisch	Divers (Gewinn, Rache, Fahrlässigkeit)
Logik	ROI-Kalkül	Langfristig, geduldig	Keine Kostenlogik	Situativ
Primärer Schaden	Operational / finanziell	Existenziell / strategisch	Reputationsschaden	Datenverlust / Sabotage
Technisches Niveau	Mittel bis hoch	Sehr hoch (APT)	Tief bis mittel	Tief (legitimer Zugang)
Warnung sichtbar?	Ja (Verschlüsselung)	Nein (Stealth)	Ja (Defacement, DDoS)	Selten (verhaltensbasiert)
Abwehrlogik	Schlechter Investment Case werden	Detection & Response, Schwachstellen kennen (Mitarbeiter und Zulieferer), Awareness stärken	Monitoring & Krisenkommunikation	Least Privilege, User Behaviour Analytics, Offboarding

Fazit: Eine Abwehrstrategie für vier verschiedene Gegner

Es gibt keine universelle Antwort auf Cyberbedrohungen, weil es keinen universellen Angreifer gibt. Wer seine Sicherheitsinvestitionen ausschliesslich auf Prävention und Perimeterschutz ausrichtet, ist gegen Ransomware-Gruppen möglicherweise gut aufgestellt. Gegen einen staatlichen Akteur, der bereits seit drei Monaten im Netzwerk ist, oder gegen einen Mitarbeitenden mit übermässigen Zugriffsrechten hilft diese Strategie jedoch kaum.

Eine realistische Abwehrstrategie für ein Schweizer KMU denkt in vier Dimensionen:

• Werden Sie unrentabel: MFA, Patching, Credential Monitoring und Netzwerksegmentierung verteuern den Angriff für opportunistische Gruppen überproportional.
• Bauen Sie Detektionsfähigkeit auf: EDR/NDR oder sogar ein SOC, systematisches Logging und regelmässiges proaktives Threat Hunting sorgen dafür, dass auch stille Angreifer nicht ewig unentdeckt bleiben.
• Schützen Sie sich von innen: Least Privilege und strukturiertes Offboarding schliessen die Lücken, die eine Firewall nicht sieht.
• Stärken Sie Ihre Resilienz: Getestete Backups, ein definierter Krisenplan und forensische Beweissicherung vor der Systembereinigung entscheiden darüber, ob ein Angriff ein Vorfall bleibt oder existenziell wird.

Angemessene Datensicherheitsmassnahmen sind dabei nicht nur strategisch sinnvoll, sondern nach nDSG Art. 8 gesetzlich gefordert. Perfekte Sicherheit ist weder möglich noch nötig. Aber Sie müssen wissen, wen Sie sich als Gegner vorstellen, auch wenn der Gegner bereits im Haus ist.

Meldepflichten auf einen Blick

Szenario	Meldepflicht	An wen	Frist	Rechtsgrundlage
Ransomware mit Datenexfiltration (Personendaten, hohes Risiko)	Ja	EDÖB; betroffene Personen falls zu deren Schutz erforderlich	So rasch als möglich	nDSG Art. 24
Datenexfiltration mit EU-Personendaten	Ja	Zuständige EU-Aufsichtsbehörde; betroffene Personen bei hohem Risiko	72 Stunden ab Bekanntwerden	DSGVO Art. 33/34
Cyberangriff auf kritische Infrastruktur	Ja	BACS	24 Stunden	ISG (rev.), Art. 74e
Cyberangriff auf beaufsichtigtes Finanzinstitut (Banken)	Ja	FINMA	24 Stunden	FINMA-RS 2023/1; AM 05/2020
Datenleck durch Hacktivisten (Personendaten, hohes Risiko)	Ja	EDÖB; betroffene Personen falls zu deren Schutz erforderlich	So rasch als möglich	nDSG Art. 24
Insider-Datendiebstahl (Personendaten, hohes Risiko)	Ja	EDÖB; betroffene Personen falls zu deren Schutz erforderlich	So rasch als möglich	nDSG Art. 24

Werden die Credentials Ihrer Mitarbeitenden bereits im Darknet gehandelt? Sind Ihre exponierten Systeme auf dem aktuellen Stand? Hat ein stiller Angreifer möglicherweise bereits Fuss gefasst?

Redguard unterstützt Sie mit Darknet Monitoring, Compromise Assessments und Penetration Tests, zugeschnitten auf Ihre Bedrohungslage. Wenn Sie Ihre Cyber Maturität ganzheitlich steigern wollen, empfehlen wir Ihnen als ersten Schritt eine Standortbestimmung nach IKT Minimalstandard. Für ein kontinuierliches Monitoring Ihrer Systeme und schnelle Reaktion auf Incidents bietet unsere Tochtergesellschaft FusionOne ein SOC as a Service an. Vereinbaren Sie mit uns ein unverbindliches Gespräch – Wir freuen uns über Ihre Kontaktaufnahme.