Inseya Rückblick 2025: Was Unternehmen aus einem turbulenten Jahr lernen müssen

2025 war ein Jahr, das die Schweizer Unternehmenslandschaft erneut auf die Probe gestellt hat. Die Bedrohungslage hat sich weiter verschärft. Nicht durch spektakuläre Zero-Day-Exploits, sondern durch Angriffe, die alltägliche Schwachstellen ausnutzen.

Gleichzeitig zeigt sich: Organisationen, die strategisch in Sicherheit investieren, überstehen Vorfälle messbar schneller.

Unser Jahresrückblick fasst die wichtigsten Entwicklungen zusammen, basierend auf öffentlichen Zahlen, internationalen Studien und konkreten Erfahrungen aus Incident-Response-Einsätzen in der Schweiz.

Unser Lagebild 2025: Ein Jahr im Schatten wachsender Angriffe

Cyberangriffe haben 2025 weltweit weiter zugenommen und die Schweiz war besonders stark betroffen.

Zentrale Entwicklungen:

Ransomware ist weltweit Angriffstyp Nr. 1 – und in der Schweiz noch häufiger
38 % aller untersuchten Fälle weltweit sind Ransomware-Angriffe, in der Schweiz ist der Anteil noch höher.
Fachkräftemangel als Risikofaktor
International liegt der Mangel an Fachpersonen nur auf Platz 11, in der Schweiz hingegen bereits auf Platz 4.

Besonders kritisch: der Mangel betrifft nicht nur die Gesundheitsbranche, sondern zunehmend auch IT-Security-Funktionen.
Datendiebstahl steigt drastisch
Weltweit wurden 2025 über 6’300 erfolgreiche Datendiebstähle registriert. Das ist ein massiver Anstieg gegenüber 5’100 im Vorjahr.

In der Schweiz liegt die Zunahme bei über 70 %.
Schweiz unter den Top-Zielländern
Zwischen dem 15. und 22. November lag die Schweiz auf Platz 2 der weltweit meistangriffenen Länder.
Akira als dominanter Akteur
In der Schweiz war die Ransomware-Gruppe Akira für die meisten erfolgreichen Angriffe verantwortlich, unter anderem auch für den vielbeachteten Diebstahl von Cloud-Backup-Daten bei einem grossen Firewall-Hersteller

Welche Angriffe Schweizer Unternehmen 2025 laut unserem SOC-Partner am stärksten getroffen haben

Ein Blick in die Incident-Response-Daten unseres Partners Arctic Wolf zeigt ein klares Bild:

«Wir sehen grösstenteils drei Typen von Angriffen: Ransomware, Network Intrusion und Business Email Compromise.», so Martin Münch, Incident Lead bei Arctic Wolf.

graphik-angriffstypen — Quelle: Arctic Wolf Threat Report 2025

1. Ransomware: der Klassiker, aber technisch oft simpel

So gelang Angreifern der Einstieg:

60 % über unsichere oder falsch konfigurierte Remote-Zugänge (RDP, VPN etc.)
33 % über externe Schwachstellen
93 % basierten auf technischen Verwundbarkeiten, nur 7 % auf menschlichem Fehlverhalten

graphic-root-causes-of-ransomware — Quelle: Arctic Wolf Threat Report 2025

2. Network Intrusion: vielfältiger, aber genauso gefährlich

40 % unsichere Remote-Zugänge
26 % Ausnutzung externer Schwachstellen
6 % Zero-Day-Exploits
24 % menschlicher Faktor (deutlich höher als bei Ransomware)

graphic-root-causes-of-intrusion-ir-cases — Quelle: Arctic Wolf Threat Report 2025

3. Business Email Compromise: Angriffe auf Identitäten

73 % Phishing
19 % kompromittierte Zugangsdaten
5 % Spoofing
2 % Social Engineering
→ 100 % menschlicher Faktor

graphic-root-causes-of-business-email-compromise-ir-cases — Quelle: Arctic Wolf Threat Report 2025

Damit zeigt sich:
Nicht komplexe Exploits dominieren, sondern alltägliche, vermeidbare Schwachstellen.

Die grössten Fehler in Schweizer Unternehmen 2025 aus unserer Sicht

Unser Senior Consultant Daniel Bieri ergänzt: «Die häufigsten Schwachstellen sind nicht exotisch. Es sind Basics, die fehlen.»

Typische Fehler:

schwache oder wiederverwendete Passwörter
fehlende Updates & Patches
keine oder nicht durchgängig aktivierte Multifaktor-Authentifizierung
fehlerhafte Cloud-Konfigurationen
fehlende Netzwerksegmentierung
mangelnde Awareness und Schulungen
IoT-Geräte ohne eigene Sicherheitskontrollen
ungetestete oder unzuverlässige Backups
fehlende interne Ressourcen
generelle Unterschätzung des Risikos

Diese Muster decken sich auffallend stark mit den Angriffsvektoren aus den IR-Daten.

Recovery 2025: Warum manche Firmen Tage brauchen und andere Wochen

Ein entscheidender Faktor ist die Frage, ob ein Unternehmen im Vorfeld strukturiert in Sicherheit investiert hat. Daniel Bieri erklärt: «Der Unterschied liegt fast immer in der Vorbereitung. Unternehmen, die Risiken kennen und Massnahmen systematisch umsetzen, sind bei der Wiederherstellung deutlich schneller.»

Besonders relevant sind:

aktuelle, geprüfte Backups
automatisierte Sicherheitskontrollen
transparente Netzwerkstrukturen
definierte Rollen und Eskalationsprozesse
klare Verantwortlichkeiten
Zugang zu einem SOC oder Incident-Response-Team

Worauf Unternehmen aus unserer Erfahrung 2026 unbedingt setzen sollten

Drei Massnahmen haben den grössten Einfluss, besonders bei begrenzten Ressourcen:

Konvergente cloudbasierte Sicherheitsarchitektur einführen
Moderne Plattformen, die Netzwerk und Security konsolidieren (z. B. SASE), senken Komplexität, Kosten und Risiken.
Anbindung an ein SOC prüfen
24/7-Überwachung, Anomalieerkennung und Incident-Response bringen einen Sicherheitsgewinn, der intern kaum abbildbar ist.
Klären, ob NIS2 relevant wird
Besonders Schweizer Firmen mit EU-Beziehungen (Niederlassungen, Lieferketten) müssen ab 2026 Anforderungen erfüllen.

Unser Fazit: 2025 war ein Weckruf – 2026 wird ein Umsetzungsjahr

Die Zahlen zeigen eine klare Entwicklung:

Angriffe werden häufiger
Einstiegspunkte bleiben banal
Schweiz ist attraktives Ziel
Recovery hängt stark von Vorbereitung ab

Wer 2026 richtig investieren möchte, sollte nicht auf noch mehr Tools setzen, sondern auf strategische Vereinfachung, Transparenz und Automatisierung.

Organisationen, die Monitoring, Netzwerkarchitektur und Identitätssicherheit konsolidieren, reduzieren Risiken messbar und verkürzen im Ernstfall die Wiederherstellung massiv.

Weiterführende Inhalte

Sprechen Sie mit uns über Ihre Sicherheitsstrategie 2026

Fordern Sie ein unverbindliches Beratungsgespräch an: