Nur wer weiss, welche Gefahren lauern, kann diesen effektiv entgegentreten. Der monatliche Bedrohungsradar von SwissCybersecurity.net zeigt, wovor man sich hüten sollte. Was im April die Schweizer Bedrohungslandschaft prägte, sagt Luca Cappiello, Head of Security bei Aveniq.
Was waren im vergangenen Monat die grössten IT-Bedrohungen für Schweizer Unternehmen?
Luca Cappiello: Ransomware mit Datenerpressung bleibt die dominante Bedrohung: Das ist nicht neu, aber weiterhin hochrelevant. Wir beobachten weiterhin Angriffe über IT-Dienstleister und kompromittierte Identitäten. Das eigentliche Signal des Monats kam jedoch aus dem KI-Bereich: Claude Mythos Preview wurde kontrolliert veröffentlicht und zeigt, wie stark KI die Suche nach Schwachstellen beschleunigen kann. Anthropic selbst beschreibt, dass Mythos Preview in der Lage ist, komplexe Schwachstellen und Exploits zu identifizieren. Copy Fail, eine Ende April bekannt gewordene Linux-Kernel-Schwachstelle, ist ein konkretes Beispiel dafür: Sie wurde gemäss dem Cybersecurity-Unternehmen Theori ebenfalls durch ein KI-System gefunden.
Wie kann man sich davor am besten schützen?
Der wirksamste Schutz bleiben die Grundlagen und konsequente Security-Hygiene. Unternehmen müssen wissen, welche Systeme sie betreiben, exponierte Systeme priorisiert patchen, ihre Dienstleister aktiv kontrollieren, Warnmeldungen aus Sicherheitslösungen wie EDR ernst nehmen und privilegierte Konten stark reduzieren. Mehrfaktorauthentifizierung sollte flächendeckend aktiv sein und für privilegierte Zugänge sind phishing-resistente Verfahren wie FIDO2 oder Passkeys der richtige Standard. Ebenso wichtig sind getestete Backups und Out-of-Band-Freigaben für Zahlungen.
Welche Lehren ziehen wir aus den Vorfällen?
Die zentrale Lehre ist, dass die Grundlagen weiterhin entscheidend sind. KI verändert zwar die Geschwindigkeit und Qualität von Angriffen, ersetzt aber nicht die klassischen Eintrittspunkte. Aktuelle Beispiele zeigen deutlich, dass das Zeitfenster zwischen Schwachstellensuche, Veröffentlichung und möglicher Ausnutzung kleiner wird. Wer nur monatlich oder quartalsweise reagiert, wird zunehmend zu langsam sein.
Was sollten Schweizer Unternehmen jetzt tun?
Schweizer Unternehmen sollten den Grundschutz konsequent umsetzen. Dazu gehören ein aktuelles Verzeichnis aller IT-Systeme, priorisiertes Patching, gut abgesicherte Admin-Zugänge, weniger globale Administratoren und ein klar definierter Incident-Prozess. Gleichzeitig wird Cybersicherheit zunehmend auch zu einer Frage der Geschwindigkeit: Unternehmen müssen schneller entscheiden und auf neue Risiken reagieren. Das ist nicht nur eine technische Herausforderung, sondern auch eine Frage der Unternehmenskultur. Wer heute noch in jährlichen Sicherheitszyklen denkt, wird mit einer KI-beschleunigten Bedrohungslage kaum mithalten können. Das Zusammenführen von offensiver und defensiver Security-Kompetenz, Purple Teaming, ist eine mögliche Vorgehensweise, um Verbesserungen teamübergreifend schneller umzusetzen.
Wie entwickelt sich die Bedrohungslandschaft?
Die Bedrohungslage wird schneller, automatisierter und zunehmend durch KI unterstützt. Ransomware bleibt zwar relevant, der erste Zugang erfolgt jedoch immer häufiger über kompromittierte Identitäten, SaaS-Zugänge, Tokens, Dienstleister und Social Engineering. Gleichzeitig werden Schwachstellen schneller entdeckt und ausgenutzt. Ein jährlicher Penetration Test reicht dafür nicht mehr aus. Unternehmen brauchen kontinuierliche Transparenz, kürzere Patch-Zyklen und schnellere Entscheidungswege.
Welche Risiken haben Sie besonders im Blick?
Ich schaue besonders auf drei KI-gestützte Risiken, welche durch die schnelle praktische Nutzung an Relevanz gewinnen: Erstens die Schwachstellensuche durch neue KI-Modelle, zweitens Voice- und Deepfake-Betrug, der sich gegen Finanz- und Führungsfunktionen richtet, und drittens automatisierte Identity-Kompromittierungen.
