Wer glaubte, Cyberkriminelle würden es im neuen Jahr ruhiger angehen lassen, sieht sich getäuscht. Schon der Januar 2026 zeigte eindrücklich, dass die Bedrohungslage für Schweizer Unternehmen und Bürger unvermindert hoch bleibt. Hacktivisten legten aus Protest Webseiten lahm, Erpresserbanden schlugen bei heimischen Firmen zu, Deepfake-Betrüger imitierten Stimmen mit Künstlicher Intelligenz – und selbst altbekannte Telefonmaschen forderten ihr nächstes Opfer. Ein Überblick über die prägenden Cybersecurity-Entwicklungen des Monats, mit Fokus auf die Schweiz.
Gleich zu Jahresbeginn rückte das World Economic Forum (WEF) in Davos ins Fadenkreuz von Hacker-Aktivisten. Parallel zum Gipfeltreffen attackierten Hackergruppen gezielt Schweizer Webseiten mit DDoS-Wellen. Besonders fiel dabei die prorussische Hacktivisten-Gruppierung NoName057 auf, die verschiedene Webplattformen lahmzulegen versuchte, um politische Botschaften zu platzieren. Solche Denial-of-Service-Angriffe auf Anwendungsebene (Layer 7) erzeugen unauffälligen Datenverkehr und werden oft erst spät erkannt. Offenbar diente der prestigeträchtige Anlass in Davos den Angreifern als Bühne, um medienwirksam ihre Agenda zu verbreiten. Schweizer Unternehmen waren somit erneut unfreiwillige Gastgeber digitaler Proteste. Die Angriffe zeigen aber auch: Politisch motivierte Cyberattacken machen vor neutralen Gastgebern wie der Schweiz nicht Halt.
Umso wichtiger ist es für Firmen und Behörden, vorbereitet zu sein. Gegen moderne DDoS-Kampagnen reicht es längst nicht mehr, nur die Bandbreite zu erhöhen. Sicherheitsverantwortliche raten zu dedizierten DDoS-Schutzlösungen, regelmässigen Stresstests und einer robusten, redundanten Hosting-Infrastruktur. Auch IP-Sperrlisten oder temporäres Geo-Blocking können helfen, unliebsamen Traffic auszusperren. Das WEF mag vorbei sein, doch die nächsten Grossereignisse werfen bereits ihre Schatten voraus. Experten warnen, dass beispielsweise im Umfeld der Winterolympiade 2026 vermehrt Aktivitäten von Ransomware-Banden, staatlichen Akteuren und Hacktivisten zu erwarten sind.
Schweizer Firmen unter Beschuss
Nicht nur politische Aktivisten trieben im Januar ihr Unwesen – auch Cyberkriminelle mit finanziellen Motiven hatten Schweizer Firmen im Visier. So wurde etwa die Trisa AG, ein Traditionsunternehmen aus dem Kanton Luzern, Opfer eines Ransomware-Angriffs. Anfang Februar bekannte sich die Ransomware-Bande Lynx zu einem Hack bei Trisa, das für seine Zahnbürsten und Hygieneprodukte bekannt ist. Trisa bestätigte den Vorfall kurz darauf. Immerhin: Der laufende Betrieb sei dank rascher Reaktion nie gefährdet gewesen. Die Dimension des Angriffs ist dennoch alarmierend – Trisa beschäftigt rund 1000 Mitarbeitende, davon 750 in der Schweiz. Fälle wie dieser unterstreichen, dass Ransomware weiterhin eine der grössten digitalen Bedrohungen für hiesige Unternehmen bleibt. Die Erpresserbanden machen auch vor KMU nicht halt.
Auch die Behörden registrieren eine anhaltend hohe Schlagzahl von Angriffen. Seit in der Schweiz im April 2025 eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen eingeführt wurde, gingen bereits 264 Meldungen ein. Pflicht zur Meldung haben etwa Betreiber von AKWs und Stromnetzen, Spitäler, Behörden und Banken – bei Unterlassen drohen Bussen bis 100’000 Franken. Laut Bundesamt für Cybersicherheit (Bacs) traf die Mehrheit der 264 registrierten Attacken den öffentlichen Sektor sowie IT-, Telekom- und Finanzdienstleister. Häufig handelte es sich um Schadsoftware-Infektionen, Datendiebstahl oder DDoS-Versuche, die Websites lahmlegen sollten. Interessant: Bislang ist kein relevanter Vorfall bekannt, der nicht gemeldet wurde – das Gesetz zeigt Wirkung.
Abseits der systemrelevanten Infrastrukturen ist die Lage jedoch nicht minder brisant. Allein in der ersten Februarwoche 2026 gingen über 900 Meldungen zu Cybervorfällen aus der restlichen Wirtschaft und von Privaten ein. Die meisten davon betrafen Betrugsversuche, gefolgt von Phishing und Spam. Die schiere Menge zeugt davon, dass Cyberkriminalität mittlerweile im Alltag der Schweiz angekommen ist – vom Grosskonzern bis zum KMU und privaten Internetnutzer.
Kritische Schwachstellen
Während Angreifer unablässig nach Schwachstellen suchen, kommen auch durch Sicherheitsforscher immer wieder gefährliche Lücken ans Licht. Im Januar schlug besonders die Entdeckung gravierender Sicherheitslücken in Google Looker Wellen. Die Business-Intelligence-Plattform von Google wird weltweit von über 60’000 Unternehmen genutzt – auch so manches Schweizer Unternehmen dürfte darunter sein.
Das Cybersecurity-Unternehmen Tenable enthüllte zwei kritische Schwachstellen (Codename „LookOut“), die unautorisierten Zugriff auf Looker-Server und Datenexfiltration ermöglichen. Konkret fand Tenable eine Remote-Code-Execution-Kette, mit der Angreifer durch manipulierte Git-Hooks in fremde Benutzerkonten eindringen und sensible Daten auslesen könnten. Eine weitere Lücke erlaubte es, Daten aus der internen Looker-Datenbank abzufliessen. Brisant: Zusätzlich zu diesen zwei gibt es noch sieben weitere Schwachstellen in Looker, teils mit noch höherem Risiko. Betroffen sind zum Glück nur selbst gehostete Looker-Instanzen – wer Looker als Cloud-Service von Google nutzt, ist bereits automatisch abgesichert. Allen anderen bleibt nichts anderes übrig, als rasch zu patchen.
Deepfakes narren ihre Opfer
Nebst klassischen Hacks mussten wir im Januar einen deutlichen Trend beobachten: Cyberbetrüger setzen verstärkt auf Künstliche Intelligenz, um ihre Opfer zu täuschen. Ein prominenter Schweizer Fall von CEO-Fraud aus dem Kanton Schwyz machte Schlagzeilen: Angreifer kombinierten mehrere Kommunikationskanäle, echte Namen – und sogar eine mittels KI manipulierte Stimme, um eine Zahlungsanweisung in Millionenhöhe auszulösen. Mit solch perfekt imitierten Stimmen wird Chef-Betrug noch schwerer erkennbar und selbst gut geschulte Mitarbeitende könnten darauf hereinfallen. Was früher vielleicht an holprigen Formulierungen oder falscher Tonlage scheiterte, gelingt dank Deepfake-Technologie immer öfter. Der Betrug ist erst nach Abschluss der Zahlungen erkannt worden. Die Täterschaft ist bislang unbekannt, Ermittlungen laufen.
Tatsächlich waren Deepfake-Betrügereien 2025 die häufigste Art von KI-Missbrauch. Laut einer Analyse der AI Incident Database entfielen 81 % aller KI-bezogenen Betrugsfälle im vergangenen Jahr auf gefälschte Audio-, Bild- oder Videoinhalte. Von 132 dokumentierten KI-Betrugsfällen waren 107 Deepfakes – eine deutliche Mehrheit. Dabei imitierten Kriminelle etwa Politiker, CEOs und andere öffentliche Personen, aber auch Familienangehörige ihrer Zielpersonen. Viele dieser Coups waren erschreckend erfolgreich, weil die Fälschungen täuschend echt wirkten. So verlor etwa eine Frau in Florida 15’000 Dollar, nachdem Betrüger mit einer KI-Stimme vorgaben, ihre Tochter sei in Not. In Grossbritannien fiel eine Witwe auf einen perfiden Liebesschwindel herein und überwies einem vermeintlichen Hollywood-Star (Deepfake von Schauspieler Jason Momoa) über eine halbe Million Pfund. Diese Beispiele klingen bizarr – doch sie zeigen, wie Deepfakes das Vertrauen der Menschen untergraben, sowohl im privaten wie im geschäftlichen Umfeld.
Die Schweizer Sicherheits-Community reagiert zunehmend alarmiert auf diese Entwicklung. Klassische Sensibilisierungsmassnahmen allein reichen nicht mehr aus, um KI-gestützte Betrügereien zu verhindern. Unternehmen setzen verstärkt auf gezielte Schulungen für Schlüsselpersonen, reduzieren allzu freizügige Informationen über interne Abläufe in sozialen Medien und führen bei ungewöhnlichen Zahlungsaufforderungen strikt das Vier-Augen-Prinzip ein. Konkret heisst das: Eine angebliche dringende Bitte per E-Mail vom CEO sollte immer via zweiten Kanal verifiziert werden. So banal es klingt – gesunder Zweifel ist derzeit die beste Verteidigung gegen KI-Tricks.
EU vs. Meta
Auch regulatorisch blieb die Lage dynamisch. In Brüssel hat die EU-Kommission im Januar eine klare Ansage in Richtung Meta gemacht – was auch in der Schweiz mit Interesse verfolgt wird. Konkret geht es um die Frage, wie KI-Dienste in WhatsApp eingebunden werden. Meta bietet seit kurzem in WhatsApp einen hauseigenen Chatbot namens „Meta AI“ an, der ähnlich wie ChatGPT Texte zusammenfassen, übersetzen und Fragen beantworten kann. Gleichzeitig hat Meta aber angekündigt, Drittanbietern den Zugang zu WhatsApp zu verwehren, wenn deren primärer Dienst KI-basiert ist. Mit anderen Worten: Konkurrenz-KI hat auf der WhatsApp-Plattform von Meta nichts zu suchen.
Die EU-Kommission sieht darin einen Wettbewerbsverstoss und droht nun mit einstweiligen Zwangsmassnahmen gegen Meta, um fairen Wettbewerb zu erzwingen. Brüssel argumentiert, Meta nutze seine Marktmacht aus, um andere KI-Anbieter auszubremsen – was dem dynamischen KI-Markt „schweren und irreparablen Schaden“ zufügen könnte. Sollte Meta nicht einlenken, könnten Aufsichtsbehörden theoretisch anordnen, WhatsApp für externe KI-Dienste zu öffnen. Meta selbst weist die Vorwürfe zurück. Es gebe genug alternative Kanäle für KI-Tools – App-Stores, Betriebssysteme, Webplattformen – sodass ein Eingreifen unnötig sei, lässt ein Sprecher ausrichten. Unabhängig vom konkreten Ausgang zeigt dieser Fall, wie sehr KI-Initiativen der Tech-Giganten unter Beobachtung stehen.
St. Gallen – Alte Masche mit neuer Technik
Den wohl skurrilsten und zugleich tragischsten Cyber-Fall des Monats lieferte jedoch ein Klassiker der Kriminalität: der alte Telefonbetrug. Im Kanton St. Gallen fiel ein 65-jähriger Mann auf eine Variante herein, die aktueller kaum sein könnte. Der Täter gab sich Ende Januar am Telefon als Bankmitarbeiter aus und behauptete, auf dem Konto des Seniors habe es einen Sicherheitsvorfall gegeben. Man wolle helfen, das Problem zu lösen – doch dafür müsse der Angerufene dringend eine Fernwartungssoftware installieren. Gutgläubig folgte das Opfer der Anweisung und lud AnyDesk auf seinen PC. Damit war der Betrüger am Ziel: Per Fernzugriff übernahm er den Computer und loggte sich ins E-Banking ein. In der kurzen Zeit zwischen dem 26. und 29. Januar 2026 plünderte die unbekannte Täterschaft das Konto des 65-Jährigen und erbeutete über eine halbe Million Franken. Eine horrende Summe – und doch leider kein Einzelfall.
2026 wird in Sachen Cybersecurity kaum eine Atempause gönnen. Die Bedrohungslandschaft bleibt komplex – von politisch motivierten Attacken über High-Tech-Betrug bis zu altbewährten Scams reicht das Spektrum. Immerhin gibt es auch positive Signale: Behörden greifen durch (Meldepflicht, EU-Druck auf Tech-Konzerne), Unternehmen investieren in Abwehr und Schulung, und viele potenzielle Opfer sind wachsamer geworden. Letztlich wird es darauf ankommen, dass wir alle – IT-Verantwortliche, Staat und jeder Einzelne – den Angreifern stets einen Schritt voraus sind. Der Januar hat gezeigt, worauf wir achten müssen. Bleiben wir also wachsam, kritisch und vorbereitet – dann stehen die Chancen gut, dass die Angreifer in der Schweiz auch 2026 mehrheitlich scheitern.
