Die unterschätzte Bedrohung für den Schweizer Mittelstand
Die Schweiz gilt weltweit als Hort des Vertrauens – ein Wert, der tief in der Unternehmenskultur verwurzelt ist. Genau diese Stärke wird von Cyberkriminellen als Angriffsfläche genutzt. Laut dem Nationalen Zentrum für Cybersicherheit (NCSC) war Social Engineering im Jahr 2023 die häufigste Methode bei gemeldeten Cybervorfällen in der Schweiz. Besonders betroffen: kleine und mittlere Unternehmen (KMU), die das Rückgrat der Schweizer Wirtschaft bilden und über 99 Prozent aller Unternehmen ausmachen.
Im Gegensatz zu technischen Angriffen, die Sicherheitslücken in Software ausnutzen, zielt Social Engineering auf die menschliche Psyche ab. Angreifer manipulieren Mitarbeitende dazu, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder Schadsoftware zu installieren – ohne dass eine einzige Codezeile geknackt werden muss.
Was ist Social Engineering?
Social Engineering bezeichnet die gezielte psychologische Manipulation von Personen, um unbefugten Zugang zu Informationen, Systemen oder Ressourcen zu erlangen. Der Begriff stammt aus der Sozialwissenschaft und beschreibt, wie soziale Normen und Verhaltensweisen instrumentalisiert werden können.
"Der Mensch ist das schwächste Glied in der Sicherheitskette – aber auch das einzige, das lernen kann." – Kevin Mitnick, ehemaliger Hacker und Sicherheitsexperte
Die wichtigsten psychologischen Hebel, die Angreifer dabei einsetzen:
| Hebel | Beschreibung | Beispiel im KMU-Kontext |
|---|---|---|
| Autorität | Nachahmung von Vorgesetzten oder Behörden | CEO-Fraud: E-Mail scheinbar vom Geschäftsführer |
| Dringlichkeit | Künstlicher Zeitdruck verhindert rationales Denken | "Zahlung muss heute noch erfolgen!" |
| Reziprozität | Kleine Gefälligkeiten erzeugen Verpflichtungsgefühl | Gefälschter IT-Support bietet Hilfe an |
| Soziale Bewährtheit | "Alle anderen machen das auch" | "Ihr Kollege hat bereits zugestimmt" |
| Vertrautheit | Aufbau einer Scheinbeziehung über Zeit | Langfristiger E-Mail-Kontakt vor Angriff |
| Knappheit | Angst, eine Chance zu verpassen | "Nur noch heute verfügbar" |
Die häufigsten Angriffsmethoden in Schweizer KMU
1. CEO-Fraud (Business Email Compromise)
CEO-Fraud ist in der Schweiz besonders verbreitet und hat in den letzten Jahren zu Schäden in Millionenhöhe geführt. Dabei gibt sich ein Angreifer per E-Mail als Geschäftsführer oder leitende Führungskraft aus und fordert eine Mitarbeiterin oder einen Mitarbeiter der Buchhaltung zu einer dringenden Überweisung auf – oft auf ein ausländisches Konto.
Die Angriffe sind hochgradig personalisiert: Vor dem Angriff recherchieren die Täter auf LinkedIn, der Unternehmenswebsite und in sozialen Medien, wer im Unternehmen welche Rolle hat, wer gerade in den Ferien ist und welche Projekte aktuell laufen. Schweizer KMU sind besonders gefährdet, weil die flachen Hierarchien und das hohe gegenseitige Vertrauen solche Anfragen glaubwürdig erscheinen lassen.
Typisches Szenario: Die Buchhalterin erhält eine E-Mail von "[email protected]" (statt der echten Domain "firmaname.ch") mit dem Betreff: "Dringende Zahlung – vertraulich". Der Absender bittet um eine sofortige Überweisung von CHF 45'000 für eine angebliche Akquisition und betont, dass die Sache streng vertraulich sei.
2. Spear-Phishing mit Schweizer Kontext
Während generisches Phishing breit gestreut wird, ist Spear-Phishing gezielt auf eine bestimmte Person oder Organisation zugeschnitten. Angreifer nutzen dabei lokale Glaubwürdigkeitssignale:
- Gefälschte E-Mails der ESTV (Eidgenössische Steuerverwaltung) mit angeblichen Steuerrückerstattungen
- Nachahmung von PostFinance, UBS, Raiffeisen oder Kantonalbanken
- Falsche Rechnungen von bekannten Schweizer Lieferanten (Swisscom, SBB, Energie 360°)
- Gefälschte Behördenmitteilungen des SECO oder der SUVA
Die Erfolgsrate von Spear-Phishing liegt laut Studien bei bis zu 91 Prozent – verglichen mit rund 3 Prozent bei generischen Phishing-Kampagnen.
3. Vishing (Voice Phishing)
Beim Vishing rufen Angreifer direkt an und geben sich als IT-Support, Bankmitarbeiter oder Behördenvertreter aus. In der Schweiz werden dabei häufig Schweizerdeutsch-Kenntnisse eingesetzt, um Vertrauen zu schaffen. Mit dem Aufkommen von KI-gestützter Sprachsynthese können Angreifer mittlerweile sogar die Stimme bekannter Personen imitieren.
Bekannter Fall: Im Jahr 2022 wurden mehrere Schweizer Unternehmen durch Anrufe angeblicher Microsoft-Mitarbeiter dazu gebracht, Fernzugriffssoftware zu installieren. Der Schaden belief sich auf mehrere Hunderttausend Franken.
4. Pretexting und physisches Social Engineering
Pretexting bezeichnet das Erschaffen einer erfundenen Geschichte (Pretext), um Vertrauen zu gewinnen. Im physischen Bereich kann dies bedeuten, dass sich jemand als Techniker, Lieferant oder Auditor ausgibt und so Zugang zu Räumlichkeiten oder Systemen erhält.
Schweizer KMU mit Produktionsstätten, Lagerhallen oder mehreren Standorten sind besonders anfällig, da die Zugangskontrolle oft weniger strikt ist als in Grossunternehmen.
Warum Schweizer KMU besonders gefährdet sind
Hohe Vertrauenskultur: Die Schweizer Unternehmenskultur ist geprägt von Kollegialität und gegenseitigem Vertrauen. Mitarbeitende sind es gewohnt, Anfragen von Vorgesetzten ohne lange Rückfragen zu erledigen – ein Verhalten, das Angreifer gezielt ausnutzen.
Begrenzte Ressourcen für Sicherheit: Während Grossunternehmen eigene Security-Teams und ausgefeilte Awareness-Programme betreiben, fehlen vielen KMU die personellen und finanziellen Mittel für umfassende Sicherheitsmassnahmen.
Hohe Vernetzung in der Lieferkette: Schweizer KMU sind oft eng in internationale Lieferketten eingebunden. Ein kompromittiertes KMU kann als Einfallstor für Angriffe auf grössere Partner dienen.
Attraktive Ziele: Trotz ihrer Grösse verfügen viele Schweizer KMU über wertvolles geistiges Eigentum, Bankverbindungen mit hohen Salden oder Zugang zu sensiblen Kundendaten.
Schutzmassnahmen: Was KMU konkret tun können
Technische Massnahmen
- E-Mail-Authentifizierung: Implementierung von SPF, DKIM und DMARC verhindert, dass Angreifer E-Mails im Namen Ihrer Domain versenden können
- Multi-Faktor-Authentifizierung (MFA): Für alle geschäftskritischen Systeme und E-Mail-Konten obligatorisch
- E-Mail-Filter: Moderne Lösungen erkennen verdächtige Absenderdomains und Phishing-Muster automatisch
- Vier-Augen-Prinzip: Bei Zahlungsaufträgen ab einem definierten Betrag (z.B. CHF 5'000) ist eine zweite Genehmigung erforderlich
Organisatorische Massnahmen
- Klare Prozesse für Zahlungsaufträge: Telefonische Rückbestätigung bei ungewöhnlichen Anfragen über eine bekannte Nummer (nicht die in der E-Mail angegebene)
- Schulungen und Awareness-Programme: Regelmässige, praxisnahe Übungen, die reale Angriffe simulieren
- Meldepflicht ohne Schuldzuweisung: Mitarbeitende müssen verdächtige Vorfälle melden können, ohne Konsequenzen zu befürchten
- Lieferanten-Verifikation: Bei Änderungen von Bankverbindungen immer telefonisch beim bekannten Ansprechpartner bestätigen
Rechtliche und regulatorische Aspekte in der Schweiz
Seit dem 1. September 2023 ist das revidierte Datenschutzgesetz (revDSG) in Kraft. Es verpflichtet Unternehmen unter anderem dazu, Datenschutzverletzungen dem EDÖB zu melden und angemessene technische und organisatorische Massnahmen zu ergreifen. Das NCSC bietet zudem kostenlose Beratung und Ressourcen für KMU an und betreibt eine Meldestelle für Cybervorfälle unter www.ncsc.admin.ch.
Fazit: Sicherheit beginnt im Kopf
Social Engineering ist keine technische Bedrohung – es ist eine menschliche. Die wirksamste Verteidigung ist daher nicht ein neues Sicherheitsprodukt, sondern eine Kultur der kritischen Wachsamkeit, die auf allen Ebenen des Unternehmens verankert ist.
Schweizer KMU, die in die kognitive Sicherheit ihrer Mitarbeitenden investieren, schützen nicht nur ihre eigenen Daten und Finanzen, sondern stärken auch das Vertrauen ihrer Kunden und Partner. In einer Wirtschaft, die auf Vertrauen aufgebaut ist, ist das kein Luxus – es ist eine Notwendigkeit.
Haben Sie Fragen zur Sicherheitslage in Ihrem Unternehmen? Nehmen Sie Kontakt auf – wir beraten Schweizer KMU praxisnah und massgeschneidert.