23. Februar 2026
Dieser hervorragende, topaktuelle Artikel stammt von GalaxyWeb
Die Cyber-Gefahr 2026: Ransomware-Gangs agieren professioneller denn je. Erfahren Sie, warum die Schweiz im Fokus steht und wie mobile Infostealer via Twint und Deepfakes sogar private Smartphones bedrohen.
Das Jahr 2026 markiert einen weiteren Wendepunkt in der Cybersicherheit. Die Industrialisierung der Erpressung hat die DACH-Region fest im Griff. Während Angreifer auf künstliche Intelligenz und automatisierte Cloud-Attacken setzen, rückt eine neue Gefahr in den Fokus: das private Smartphone. Wir bei Galaxyweb beobachten eine massive Zunahme von Infostealern, die über Twint oder QR-Codes zuschlagen. In diesem Bericht beleuchten wir sieben kritischsten Trends, die jedes Unternehmen jetzt kennen muss.
Autonomous Extortion: KI findet Lücken selbstständig
Die Experten von Trend Micro und SentinelOne beobachten 2026 den endgültigen Durchbruch autonomer Angriffe. Früher mussten Hacker manuell nach Lücken suchen; heute übernehmen KI-Agenten diese Arbeit. Diese Programme scannen Netzwerke in Millisekunden nach Schwachstellen und entscheiden selbstständig, welcher Weg am effektivsten ist, um Daten zu stehlen. Besonders gefährlich ist laut SentinelOne die AI-driven Malware: Ein Schadcode, der erkennt, wenn er von einem Sicherheitsprogramm beobachtet wird, und daraufhin seinen Code oder sein Verhalten in Echtzeit anpasst, um unsichtbar zu bleiben.
Adaptives Ausweichen: Sobald die Malware auf einem Rechner landet, prüft sie, welche Sicherheitslösungen installiert sind. Sie verändert ihren eigenen Programmcode (Polymorphie), um genau die Verhaltensmuster zu vermeiden, die Alarm schlagen würden.
Zielgerichtete Datensuche: Anstatt stumpf alles zu verschlüsseln, sucht die KI gezielt nach High-Value-Daten. Sie erkennt automatisch, welche Excel-Listen Finanzdaten enthalten oder wo Backups liegen, um diese zuerst zu korrumpieren.
Autonome Entscheidung: Die Malware wartet nicht auf Befehle von einem Server (Command & Control), was sie extrem schwer zu blockieren macht. Sie entscheidet selbstständig, wann der beste Zeitpunkt für die Verschlüsselung ist – zum Beispiel nachts um 3:00 Uhr am Wochenende, wenn kein Admin vor dem Rechner sitzt.
Begriffserklärung für Einsteiger:
AI-driven Malware:Schadsoftware, die künstliche Intelligenz nutzt, um sich selbst zu steuern und Schutzprogramme auszutricksen.Monetarisierung:Der Prozess, wie die Hacker aus dem Angriff echtes Geld (Lösegeld) machen.Command & Control (C2):Ein Server der Hacker, der normalerweise Befehle an die Malware schickt. Moderne KI-Malware braucht diesen Kontakt oft gar nicht mehr.
In seinem aktuellen Global Threat Report 2025 beschreibt CrowdStrike eine Entwicklung, die die klassische Vorstellung vom Hacker im Kapuzenpulli endgültig begräbt. Wir haben es heute mit dem Enterprising Adversary (dem unternehmerischen Gegner) zu tun. Diese Gruppen, darunter berüchtigte Namen wie RansomHub oder Lazarus, sind mittlerweile wie moderne Tech-Konzerne organisiert. Sie verfügen über eigene Personalabteilungen (HR), die gezielt Spezialisten für Cloud-Architektur oder KI-Modellierung abwerben, und betreiben professionelles Marketing, um „Affiliates“ (Subunternehmer) für ihre Erpresser-Plattformen zu gewinnen.
Die Perfektionierung des Angriffs: Identität statt Malware
Ein zentraler Aspekt der Professionalisierung ist der Fokus auf Identitätsdiebstahl. Anstatt mühsam eine Software-Sicherheitslücke zu suchen, konzentrieren sich die Angreifer auf den Diebstahl legitimer Zugangsdaten (Logins). Laut CrowdStrike basieren mittlerweile über 80 % aller erfolgreichen Einbrüche auf kompromittierten Identitäten. Sobald ein Hacker mit einem echten Passwort eingeloggt ist, verhält er sich im Netzwerk wie ein normaler Mitarbeiter („Living off the Land“). Das macht es für herkömmliche Schutzsysteme nahezu unmöglich, den Eindringling zu entdecken, da keine offensichtliche Schadsoftware ausgeführt wird.
Rekordtempo: Die 50-Sekunden-Grenze
Die Effizienz dieser Banden ist erschreckend: Die sogenannte Breakout-Zeit – die Zeitspanne, die ein Angreifer benötigt, um sich von einem ersten infizierten Computer auf andere Systeme im Netzwerk auszubreiten – ist im Jahr 2026 auf einen Durchschnittswert von unter 50 Sekunden gefallen. Das bedeutet: Sobald ein Mitarbeiter auf einen infizierten Link klickt, haben die Angreifer weniger als eine Minute später bereits Zugriff auf weitere Teile der Infrastruktur. Menschliche IT-Teams haben ohne hochentwickelte automatisierte KI-Abwehrsysteme faktisch keine Chance mehr, rechtzeitig zu reagieren.
24/7 Support für Opfer
Die Professionalisierung zeigt sich auch an der Kundenerfahrung. Viele Ransomware-Gangs betreiben im Darknet professionelle Helpdesks. Wenn ein Unternehmen verschlüsselt wurde, kann es mit den Hackern chatten, um über den Preis zu verhandeln oder technische Hilfe beim Kauf von Kryptowährungen zu erhalten. Diese Service-Orientierung dient einem einzigen Zweck: Den Prozess der Lösegeldzahlung so reibungslos wie möglich zu gestalten, um die eigene Gewinnmarge zu maximieren.
Begriffserklärung für Einsteiger:
Enterprising Adversary:Ein Begriff für Hackergruppen, die wie legale Unternehmen strukturiert sind (mit Hierarchien, Budgets und Strategien).Identity-based Attacks:Angriffe, bei denen keine Programme, sondern gestohlene Benutzernamen und Passwörter verwendet werden, um ins System zu gelangen.Breakout Time:Die Zeit, die ein Angreifer braucht, um nach dem ersten Einbruch tiefer in das Firmennetzwerk vorzudringen.Living off the Land (LotL):Eine Taktik, bei der Hacker keine eigenen Viren nutzen, sondern die bereits auf dem Computer vorhandenen Admin-Werkzeuge für ihre Zwecke missbrauchen.
Fokus Schweiz: Präzisionsangriffe und neue Bedrohungsphänomene
Das BACS bestätigt in seinen ersten Analysen für 2026 (Stand Februar), dass die Schweiz weiterhin im Zentrum von Cyberoperationen steht. Ein markanter Trend der ersten Wochen des Jahres 2026 ist das sogenannte Subscription Bombing. Hierbei fluten Angreifer das Postfach eines Opfers mit tausenden Bestätigungs-E-Mails für Newsletter, um eine einzige, kritische Nachricht zu tarnen – meist eine Benachrichtigung über einen unbefugten Kontozugriff oder eine Passwortänderung.
Zudem warnt das BACS im Februar 2026 vor einer massiven Phishing-Welle via Microsoft SharePoint, die gezielt Schweizer Unternehmen trifft. Die Angreifer nutzen dabei legitime Infrastrukturen, um das Vertrauen der Mitarbeitenden zu erschleichen. Ransomware bleibt laut den aktuellen BACS-Zahlen eine der Top-Bedrohungen des Monats, wobei die Täter verstärkt psychologische Manipulation einsetzen, um die neue Meldepflicht für Cyberangriffe (eingeführt 2025/2026) gegen die Unternehmen auszuspielen, indem sie mit einer frühzeitigen öffentlichen Eskalation drohen.
Begriffserklärung für Einsteiger:
Subscription Bombing:Ein Ablenkungsmanöver, bei dem das Opfer mit Spam überhäuft wird, damit es wichtige Sicherheitswarnungen übersieht.Meldepflicht:Gesetzliche Vorgabe für Betreiber kritischer Infrastrukturen in der Schweiz, schwere Cybervorfälle dem BACS zu melden.
Cloud-Intrusions: Die neue Goldmine direkt an der Quelle
Unternehmen in der DACH-Region haben ihre Infrastruktur massiv in die Cloud verlagert. Der Trend Micro Report 2026 macht deutlich: Die Cloud ist kein sicherer Hafen mehr, sondern das Hauptschlachtfeld. Hacker nutzen heute Cloud-native Angriffsmethoden, die speziell darauf ausgelegt sind, die Architektur von AWS, Azure und Google Cloud auszuhebeln.
Die Verlagerung von Malware zu Fehlkonfigurationen
Trend Micro betont, dass 2026 nicht mehr klassische Viren das grösste Problem sind. Die gefährlichsten Vorfälle entstehen durch Misconfigurations (Fehlkonfigurationen). Angreifer scannen automatisiert nach überprivilegierten Identitäten (Identities mit zu vielen Rechten) oder ungeschützten Schnittstellen (APIs). Ein einziger falsch gesetzter Haken in den Cloud-Einstellungen erlaubt es den Angreifern, sich lateral (seitwärts) durch das gesamte Unternehmen zu bewegen.
GPU-Hunger und Cloud-Ransomware
Ein ganz neuer Aspekt im 2026er Forecast ist das Interesse der Hacker an GPU-basierten Cloud-Ressourcen. Da KI-Rechenleistung extrem teuer und begehrt ist, kapern Angreifer Cloud-Accounts nicht mehr nur für Datenklau, sondern für AI-Mining oder um die Rechenleistung auf dem Schwarzmarkt weiterzuvermieten. Wenn sie jedoch auf Ransomware setzen, nutzen sie Techniken, die Backups in der Cloud direkt korrumpieren, bevor die eigentliche Verschlüsselung startet. So wird sichergestellt, dass das Opfer keine andere Wahl hat, als zu zahlen.
Exposed APIs: Die unsichtbaren Zapfsäulen für Daten
In der modernen IT-Architektur der Schweiz sind APIs (Application Programming Interfaces) das Nervensystem. Jede Mobile-App, jedes Web-Interface und jede Cloud-Anwendung kommuniziert über diese Schnittstellen. APIs sind jedoch zum primären Angriffsziel geworden, da sie oft unter dem Radar der klassischen Sicherheitsüberwachung laufen.
Das Problem: Entwickler erstellen unter Zeitdruck APIs, um Daten zwischen Systemen auszutauschen. Häufig werden diese Schnittstellen jedoch exponiert – also ohne ausreichende Authentifizierung oder ohne Ratenbegrenzung ins Internet gestellt.
Supply Chain Risks: Wenn der Helfer zum Verräter wird
Die grösste Gefahr für die Cloud-Sicherheit im Jahr 2026 liegt oft nicht in der eigenen Infrastruktur, sondern in der sogenannten Software-Lieferkette (Supply Chain). Moderne Cloud-Umgebungen wie Microsoft 365 oder AWS leben von Erweiterungen: kleine Tools für die Projektplanung, Analyse-Plugins oder SaaS-Connectoren, die Daten zwischen verschiedenen Programmen synchronisieren.
Das Risiko der Drittanbieter-Berechtigungen:
Um zu funktionieren, verlangen diese kleinen Tools oft weitreichende Berechtigungen (z.B. Lese- und Schreibzugriff auf alle SharePoint-Dateien). Hacker greifen gezielt die Entwickler dieser kleinen Nischen-Tools an. Wenn ein solcher Connector kompromittiert wird, erhalten die Angreifer über die bereits erteilten Berechtigungen sofortigen Zugriff auf die Cloud-Daten tausender Firmen, die dieses Tool nutzen.
Viele Schweizer Unternehmen vertrauen auf lokale oder spezialisierte SaaS-Anbieter. Wenn ein kleiner Schweizer Buchhaltungs-Cloud-Anbieter gehackt wird, sind alle angeschlossenen Kunden sofort mitgefährdet. Man bezeichnet dies als Insel-Hopping: Die Hacker springen vom schwächsten Glied der Kette (dem Connector) direkt ins Herz des Grossunternehmens.
Begriffserklärung für Einsteiger:
Lateral Movement:Die Technik, bei der sich ein Angreifer nach dem ersten Eindringen von einem System zum nächsten vorarbeitet, um wertvollere Ziele zu erreichen.API (Schnittstelle):Ein digitaler Übergangspunkt zwischen Programmen. Wenn dieser nicht bewacht ist, können Hacker dort Daten absaugen wie an einer Zapfsäule.Exposed API:Eine digitale Schnittstelle, die versehentlich ohne Passwort oder Schutz für jedermann im Internet erreichbar ist.SaaS-Connectoren:Kleine Verknüpfungen (Plugins), die verschiedene Cloud-Programme miteinander verbinden. Sie sind oft die Schwachstelle im System.Authentifizierung:Der Prozess, bei dem ein System prüft, ob ein Nutzer (oder eine App) wirklich die Identität besitzt, die sie vorgibt zu haben.
Deepfakes und Social Engineering 2.0: Die perfekte Täuschung
Während technische Schutzmassnahmen immer besser werden, rücken die Angreifer den Menschen als Schwachstelle wieder massiv ins Zentrum. Social Engineering hat sich von einfachen Betrugs-Mails zu hochkomplexen, KI-gesteuerten Inszenierungen entwickelt. Wir sprechen heute von Emotion Engineering – der gezielten Manipulation von Gefühlen durch täuschend echte digitale Fälschungen.
Business Video Compromise (BVC)
Der klassische Enkeltrick oder der CEO-Fraud per E-Mail ist zunehmend Geschichte. Heute nutzen Angreifer Echtzeit-Deepfakes. In einem Schweizer Fall vom Januar 2026 wurde ein Mitarbeitender der Finanzabteilung in einen Video-Call eingeladen, in dem scheinbar sein Vorgesetzter und zwei externe Anwälte zu sehen waren. Die Stimmen, die Mimik und sogar Hintergrundgeräusche aus dem Büro waren perfekt nachgeahmt. Die Aufforderung: Eine dringende, diskrete Überweisung für eine Firmenübernahme. Da die KI heute auch Schweizer Dialekte fehlerfrei beherrscht, bricht die letzte Bastion der Erkennung weg.
Agentic AI: Der Angreifer, der nie schläft
Ein weiterer Trend ist der Einsatz von Agentic AI für das sogenannte Pretexting. Früher musste ein Hacker Zeit investieren, um eine Beziehung zum Opfer aufzubauen. Heute übernehmen das KI-Bots. Diese Bots durchsuchen soziale Netzwerke (LinkedIn, Instagram), sammeln Insider-Infos über Hobbys, Projekte oder letzte Ferien und starten dann über Wochen hinweg automatisierte Chats. Wenn der eigentliche Angriff (z.B. das Senden eines infizierten Dokuments) erfolgt, ist das Vertrauen bereits so gross, dass alle Sicherheitswarnungen ignoriert werden.
Die Gefahr der Synthetic Personas
Wir warnen zudem vor Synthetic Personas. Das sind komplett künstlich erschaffene Identitäten mit einer lückenlosen digitalen Historie. Diese Personen bewerben sich auf Stellenanzeigen oder treten als Freelancer auf. Sobald sie Zugriff auf interne Tools wie Slack oder Teams erhalten, agieren sie als Schläfer und schleusen unbemerkt Infostealer ein oder exfiltrieren Daten. Da sie kein physisches Büro betreten, fallen sie in der hybriden Arbeitswelt kaum auf.
Begriffserklärung für Einsteiger:
Social Engineering:Die Kunst, Menschen so zu manipulieren, dass sie vertrauliche Informationen preisgeben oder Sicherheitsregeln verletzen.Deepfake:Medieninhalte (Video, Audio, Bild), die durch künstliche Intelligenz so manipuliert wurden, dass sie eine reale Person täuschend echt nachahmen.Emotion Engineering:Ein Fachbegriff für Angriffe, die gezielt psychologische Zustände wie extremen Zeitdruck, Angst vor Fehlern oder Vertrauen ausnutzen.Synthetic Persona:Eine rein digitale Identität, die nicht existiert, aber durch KI-generierte Bilder und Texte wie ein echter Mensch wirkt.
Resilienz-Strategie: Vom Schutz zur garantierten Wiederherstellung
In der Cybersecurity des Jahres 2026 herrscht ein neues Paradigma: Assume Breach – man geht davon aus, dass der Angreifer bereits im System ist oder früher oder später eindringen wird. Da KI-gesteuerte Ransomware Lücken in Millisekunden findet, reicht eine Firewall allein nicht mehr aus. Die moderne Strategie stützt sich auf zwei tragende Säulen: die proaktive Detektion und die unveränderliche Datensicherung.
Detektion durch Verhaltensanalyse (XDR)
Klassische Virenscanner suchen nach bekannten Fingerabdrücken von Viren. Doch Hacker nutzen fast nur noch identitätsbasierte Angriffe oder massgeschneiderte KI-Malware ohne bekannten Fingerabdruck. Hier setzt XDR (Extended Detection and Response) an.
Ein XDR-System überwacht nicht nur Dateien, sondern das gesamte Verhalten im Netzwerk. Wenn ein Benutzerkonto, das normalerweise nur Rechnungen schreibt, plötzlich anfängt, massenhaft verschlüsselte Verbindungen zu einem Server im Ausland aufzubauen oder Cloud-Konfigurationen zu ändern, schlägt das System sofort Alarm. Die Detektion erfolgt also über Anomalien im Nutzerverhalten, was es ermöglicht, Angreifer zu stoppen, bevor sie den Kill Switch (die Verschlüsselung) drücken können.
Die Lebensversicherung: Immutable Backups
Der Albtraum jedes Administrators ist, dass die Ransomware nicht nur die Live-Daten verschlüsselt, sondern auch die Backups löscht. Galaxyweb betont in seinem aktuellen Leitfaden, dass Backups heute unveränderlich (immutable) sein müssen.
Ein Immutable Backup nutzt eine Technologie, die Daten nach dem Schreiben für einen fest definierten Zeitraum (z.B. 30 Tage) physisch oder logisch vor jeder Änderung schützt. Selbst ein Hacker mit Administratorrechten oder eine bösartige KI kann diese Daten nicht löschen oder überschreiben. Dies ist die einzige Garantie, nach einem Totalausfall den Geschäftsbetrieb ohne Lösegeldzahlung wieder aufzunehmen.
Der Identity First-Ansatz
Da Identitäten (Logins) die neue Firewall sind, führen moderne Unternehmen ITDR (Identity Threat Detection and Response) ein. Dieses System schützt gezielt die Active Directory-Strukturen und Cloud-Identitäten. Es erkennt zum Beispiel Privilege Escalation – wenn ein normaler Nutzer plötzlich versucht, sich Admin-Rechte zu verschaffen. In Kombination mit Phishing-resistentem MFA (wie FIDO2-Sicherheitsschlüsseln) bildet dies den effektivsten Schutzwall gegen den Enterprising Adversary.
Begriffserklärung für Einsteiger:
Resilienz:Die Fähigkeit eines Unternehmens, nach einem schweren Cyberangriff so schnell wie möglich wieder voll arbeitsfähig zu sein.Immutable Backup:Eine Datensicherung, die für einen bestimmten Zeitraum absolut unlöschbar und unveränderbar ist.XDR (Extended Detection and Response):Eine Sicherheitslösung, die Daten aus verschiedenen Quellen (Endpunkte, Netzwerk, Cloud) kombiniert, um komplexe Angriffe zu erkennen.Privilege Escalation:Ein Vorgang, bei dem ein Angreifer versucht, von einem Konto mit niedrigen Rechten zu einem Konto mit Administrator-Rechten aufzusteigen.
Mobile Bedrohungen: Das Smartphone als Generalschlüssel
Galaxyweb beobachtet im aktuellen Jahr, dass Angreifer die intuitive Bedienung von Smartphones gegen die Nutzer zunehmend verwenden. Die folgenden fünf Techniken bilden dabei das gefährliche Quintumvirat des mobilen Betrugs:
Overlay-Attacken: Die unsichtbare Maske
Eine Overlay-Attacke ist technisch gesehen eine Täuschung der Benutzeroberfläche. Eine schädliche App (oft getarnt als Akku-Optimierer oder Gratis-Spiel) nutzt die Android-Berechtigung Über anderen Apps einblenden.
Der Mechanismus: Eine schädliche App (oft getarnt als harmloses System-Tool wie Batterie-Optimizer oder Gratis-Spiel) nutzt legitime Android-Berechtigungen, um sich über andere Anwendungen zu legen. Sobald Sie eine Finanz-App oder Ihr E-Banking öffnen, erkennt die Malware dies in Millisekunden und legt eine exakte, aber gefälschte Kopie der Login-Maske über die echte App.
Die Folge: Sie glauben, Ihre PIN in die gesicherte Umgebung Ihrer Bank einzugeben, übermitteln diese jedoch direkt an die Server der Angreifer. Moderne Varianten manipulieren sogar nur Teilbereiche des Bildschirms, um Sie dazu zu verleiten, eine im Hintergrund vorbereitete Transaktion zu autorisieren.
Quishing (QR-Phishing): Der gefährliche Scan
Der Begriff Quishing ist ein Kofferwort aus QR-Code und Phishing. Da QR-Codes für uns zum Alltag gehören, ist das Misstrauen beim Scannen oft gefährlich niedrig.
Die Methode: Da das menschliche Auge das Ziel eines QR-Codes nicht vorab prüfen kann, führt der Scan direkt auf eine präparierte Webseite. Diese ist darauf ausgelegt, Zugangsdaten abzufischen oder einen automatisierten Download von Malware (Drive-by-Download) zu starten.
BACS-Warnung 2026: Das Bundesamt für Cybersicherheit warnt aktuell vor Quishing-Mails, die als dringende Sicherheitswarnungen getarnt sind. Die Angreifer nutzen QR-Codes gezielt, um klassische E-Mail-Filter zu umgehen, die zwar Links in Textform, aber keine Bildinhalte scannen.
QR-Manipulations-Betrug: Die physische Falle
Im Gegensatz zum digitalen Quishing findet der QR-Manipulations-Betrug im physischen Raum statt und betrifft Schweizer Unternehmen und deren Mitarbeitende besonders im Aussendienst oder auf Geschäftsreisen.
Das Szenario: Kriminelle überkleben echte QR-Codes auf Parkuhren, Ladestationen für Elektroautos oder an öffentlichen Plakatwänden mit täuschend echten Aufklebern.
Der Schaden: Wenn Sie beispielsweise eine Parkgebühr begleichen möchten, landen Sie auf einer gefälschten Bezahlseite. Ihre Kreditkartendaten werden abgegriffen, während die eigentliche Gebühr nie bezahlt wird. Dies führt oft zu einem doppelten Schaden: Dem Diebstahl der Finanzdaten und einer zusätzlichen Umtriebsentschädigung durch den Parkhausbetreiber.
Banking-Trojaner & E-Banking-Hijacking
Moderne Banking-Trojaner (wie die Nachfolger von Grandoreiro oder Medusa) haben es im Jahr 2026 auf sämtliche E-Banking-Apps abgesehen. Diese Schadprogramme nutzen die sogenannten Accessibility-Services (Bedienungshilfen) von Android, um den Bildschirminhalt systematisch auszulesen. Wenn Sie sich in Ihr Bankkonto einloggen, liest der Trojaner im Hintergrund mit. Er ist sogar in der Lage, Überweisungen in Echtzeit zu manipulieren: Während Sie auf Ihrem Display eine harmlose Zahlung von beispielsweise 50 CHF an einen Bekannten sehen, sendet der Trojaner im Hintergrund 500 CHF an ein Auslandskonto und fängt die Bestätigungs-SMS ab, sodass Sie den Betrug erst beim nächsten Blick auf den Kontoauszug bemerken.
MFA-Bypass durch Session-Stealer
Eine der akuten Gefahren für Unternehmen ist der Diebstahl von Session-Tokens. Viele Ihrer Mitarbeitenden nutzen das Smartphone für die Zwei-Faktor-Authentifizierung (2FA). Mobile Infostealer stehlen jedoch nicht das Passwort, sondern den bereits autorisierten Sitzungsschlüssel. Damit umgehen Angreifer die 2FA-Hürde komplett. Die Kriminellen loggen sich an ihrem eigenen Rechner in Ihr Microsoft 365- oder Salesforce-Konto ein, und das System verlangt keinen zweiten Faktor mehr, da es fälschlicherweise davon ausgeht, die Sitzung sei über das Smartphone bereits rechtmässig bestätigt worden.
Quelle: GalaxyWeb
