Illustration: Erstellt durch inside-it.ch mit Midjourney
Falconfeeds hat für inside-it.ch die Zahl und Art der Cyberangriffe im letzten Jahr aufgeschlüsselt. DDoS liegt an der Spitze. Von den Ransomware-Banden schlug 8Base am häufigsten zu.
Für das Jahr 2024 verzeichnete die Monitoring-Plattform Falconfeeds.io 175 Cyber-Vorfälle in der Schweiz. Ausgewertet wurden Bekanntgaben von Cyberkriminellen im Darkweb, in Breachforen und auf Kanälen wie Telegram. Das Unternehmen hat für inside-it.ch die Zahlen aufgeschlüsselt. Verzeichnet wurden 60 DDoS-Attacken, 43 Data Breaches, 37 Ransomware-Angriffe, 22 Access Sales, 10 Data Leaks sowie 2 Defacements.
"Die Cybersicherheitslandschaft in der Schweiz im Jahr 2024 spiegelt eine Mischung aus globalen Trends und lokalisierten Angriffen", schreibt Falconfeeds. DDoS-Attacken seien nach wie vor die häufigste Art von Angriffen und würden kritische Dienste in allen Sektoren stören, während Ransomware sich weiterentwickelt.
Die drei am stärksten betroffenen Länder in Europa – die Ukraine, Grossbritannien und Frankreich – verzeichneten jeweils über 1000 Vorfälle. Die Schweiz rangiert bei den Cyber-Vorfällen innerhalb der europäischen Region auf Platz 16. "Die Zahl der Vorfälle in der Schweiz ist deutlich geringer als in ihren Nachbarländern wie Frankreich (1094), Italien (777), Deutschland (712) und Österreich (227)", erklärt Falconfeeds-CEO Nandakishore Harikumar gegenüber inside-it.ch.
Politisch motivierte DDoS-Angriffe
Anzahl der Vorfälle in der Schweiz im Jahr 2024 pro Monat. Grafik: Falconfeeds.io
Die Schweiz war in diesem Zeitraum vor allem gezielten DDoS-Angriffen sowohl von prorussischen als auch von antiisraelischen Gruppen ausgesetzt. Die prorussische Gruppe Noname057(16) hat laut Falconfeeds eine wichtige Rolle bei politisch motivierten Angriffen gespielt, insbesondere im Zusammenhang mit Veranstaltungen wie dem Weltwirtschaftsforum WEF im Januar und dem Ukraine-Friedensgipfel im Juni auf dem Bürgenstock.
"Ende 2024 war jedoch ein deutlicher Rückgang der DDoS-Aktivitäten in der Schweiz zu verzeichnen. Dies könnte darauf hindeuten, dass sich der Fokus der politisch motivierten Angreifer wieder auf andere Regionen oder Ereignisse verlagert, die ihren ideologischen oder geopolitischen Zielen entsprechen", so Harikumar.
Die Cyberangriffe in ihrer Gesamtheit trafen verschiedene Branchen und Organisationen. Am stärksten tangiert war der Sektor Verbrauchsgüter & Dienstleistungen (22 Vorfälle) knapp vor Technologie & IT-Dienstleistungen (21). Dahinter folgen Fertigung & Industrie (18 Vorfälle), Transport & Logistik (16), Regierung & Öffentlicher Sektor (15), das Finanzwesen (14) sowie weitere Branchen.
Zahlreiche aktive Ransomware-Banden
Bei den Ransomware-Angriffen in der Schweiz steht die Bande 8Base an der Spitze, gefolgt von Black Basta, Lockbit, Bashe, Ransomhub und zahlreichen weiteren Gruppen wie Akira, Cicada3301, Helldown oder Qilin. So bekannte sich Black Basta zu dem erfolgreichen Angriff auf die BKW-Tochter Swisspro. 8Base attackierte unter anderem die Zürcher Medtech-Firma Mikrona. Ransomhub steckte hinter dem Angriff auf das Thuner IT-Unternehmen Schneider Software, der Industriekornzern Hoerbiger wurde zum Opfer von Akira. Helldown nahm mit Hug-Witschi einen weiteren IT-Dienstleister ins Visier.
In der Schweiz aktive Ransomware-Banden und die Zahl der Angriffe 2024. Grafik: Falconfeeds.io
Lockbit sei zwar nach wie vor eine dominante Ransomware-Gruppe, doch ihre Aktivitäten haben nach der "Operation Cronos" durch internationale Justizbehörden abgenommen, erklärt Harikumar. Partner, die zuvor mit Lockbit verbunden waren, hätten sich anderen Ransomware-Betreibern zugewandt. Trotzdem bleibe die Bande mit 524 von ihr publizierten Vorfällen im Jahr 2024 eine der führenden Ransomware-Gruppen weltweit.
"Aufstrebende Gruppen wie Ransomhub haben erheblich an Zugkraft gewonnen. Diese relativ neue Ransomware-as-a-Service (RaaS)-Operation, die früher unter den Namen Cyclops und Knight bekannt war, hat einen rasanten Aufstieg erlebt und verzeichnete im Jahr 2024 mit insgesamt 530 die höchste Anzahl an Vorfällen", führt der Threat-Spezialist aus. Das kontinuierliche Auftauchen neuer Ransomware-Gruppen verdeutliche eine zunehmend fragmentierte und dynamische Bedrohungslandschaft, in der immer mehr Akteure aktiv in das Feld einsteigen und den Wettbewerb intensivieren.
Die reale Zahl dürfte deutlich höher sein
Nandakishore Harikumar.
Die von Falconfeeds ausgewerteten Kanäle erfassen vor allem Bekanntgaben, die durch die Cyberkriminellen selbst veröffentlicht wurden. Die reale Zahl in der Schweiz und anderen Ländern dürfte deshalb noch um einiges höher liegen. "Absolut", bestätigt Nandakishore Harikumar. Die Plattform könne wertvolle Einblicke in Ransomware-Aktivitäten bieten, aber diese Daten würden die tatsächliche Anzahl erfolgreicher Angriffe wahrscheinlich nicht korrekt wiedergeben. "Viele Vorfälle werden nicht gemeldet oder bleiben unentdeckt, weil es keine öffentlichen Bekanntmachungen durch die Täter gibt oder weil Unternehmen sich aus Gründen des guten Rufs dafür entscheiden, Verstösse nicht bekannt zu geben."
Mit Blick auf das Jahr 2025 erwarte Falconfeeds eine weitere Verfeinerung der Ransomware-Taktiken und einen verstärkten Einsatz von Erpressungstechniken, einschliesslich mehrschichtiger Angriffe, die Datenschutzverletzungen mit DDoS und Ransomware kombinieren. "Geopolitische Spannungen werden Hacktivismus-Kampagnen weiter vorantreiben, während neue Technologien neue Wege für Angriffe eröffnen könnten. Darüber hinaus erwarten wir eine Zunahme von Betrügereien, bei denen gestohlene Daten aus Datenschutzverletzungen genutzt werden, um Einzelpersonen und Organisationen anzugreifen, was die Bedrohungslandschaft weiter verkompliziert", prognostiziert Harikumar.