von Kathrin Schellenberg, Chefredaktorin tactuel

Auch Non-Profit-Organisationen sind vor Hackerangriffen nicht gefeit – das zeigt der Vorfall beim SZBLIND im Frühling 2025. IT-Security-Analyst Guiseppe Scalzi von Compass Security erklärt im Interview, wie Cyberkriminelle vorgehen, welche Risiken bestehen und welche Schutzmassnahmen er gerade kleinen Organisationen empfiehlt.

Herr Scalzi, im April 2025 wurde der SZBLIND Ziel eines Cyberangriffs. In Ihrer Funktion als IT Security Analyst bei Compass Security haben Sie den SZBLIND nach dem Vorfall eng begleitet. Wie beurteilen Sie den Cyberangriff?
Cyberangriffe sind längst keine Ausnahme mehr. Seit mehr als fünf Jahren beobachten wir eine deutliche Zunahme solcher Vorfälle – quer durch alle Branchen und Organisationsformen. Auffällig war in diesem Fall, dass die internationalen Cyberkriminellen keine Daten veröffentlicht haben. Das ist eher untypisch. Ob das damit zusammenhängt, dass der SZBLIND eine gemeinnützige Organisation ist, lässt sich nicht mit Sicherheit sagen. Doch es zeigt, wie wenig vorhersehbar die Angreifer agieren.

War es ein gezielter Angriff auf den SZBLIND?
Das halte ich für eher unwahrscheinlich. Es gibt weltweit zahlreiche Hackergruppen, die systematisch nach verwundbaren IT-Systemen suchen und zuschlagen, sobald sie eine Eintrittspforte finden. Cyberkriminelle handeln auch nicht unbedingt nach moralischen oder ethischen Grundsätzen. Selbst Spitäler, die lebenswichtige Dienstleistungen erbringen, waren schon betroffen. Entscheidend ist also nicht die Grösse, Branche oder Ausrichtung eines Unternehmens, sondern einzig, ob sich Hacker einen Zugriff auf das Netzwerk verschaffen können. Zwar gibt es Gruppen, die gezielt sehr grosse Organisationen ins Visier nehmen, um mit einzelnen Angriffen ein möglichst hohes Lösegeld zu fordern. Andere haben sich auf kleine und mittlere Unternehmen spezialisiert und setzen auf eine grosse Zahl von Angriffen.

Wie gehen Angreifer technisch vor?
In der ersten Phase, dem sogenannten Initialzugriff, nutzen Angreifer häufig bekannte Schwachstellen in Softwareprodukten. 2021 gab es zum Beispiel eine grosse Angriffswelle auf Unternehmen mit lokal betriebenen Microsoft-Exchange-Servern. Die Hacker konnten sich dort Zugriff auf den im Internet exponierten Exchange-Server verschaffen, Administratorrechte übernehmen und weitere Geräte im Netzwerk kompromittieren. Auch technische Mängel oder Fehlkonfigurationen an Netzwerken öffnen Tür und Tor für Angreifer. Ein weiterer, sehr häufiger Angriffsweg sind Phishing-Mails. Dabei werden die Empfängerinnen und Empfänger dazu verleitet, Schadsoftware wie sogenannte Information Stealer herunterzuladen. Diese Programme spähen unbemerkt Zugangsdaten oder andere sensible Informationen aus. In anderen Fällen werden Nutzerinnen und Nutzer unter Druck gesetzt, aktiv Zugangsdaten preiszugeben. Ein Beispiel dafür sind die gefälschten SMS, die im Namen der Schweizerischen Post verschickt werden. Verbreitet sind auch sogenannte Business-Email-Compromise-Angriffe. Dabei geben sich Cyberkriminelle als Führungskräfte aus und bringen Mitarbeitende dazu, Überweisungen zu tätigen oder vertrauliche Informationen herauszugeben. Mithilfe von künstlicher Intelligenz lassen sich heute sogar Stimmen imitieren oder real wirkende Videos erzeugen – und so gezielt Vertrauen erschleichen.

Spielt Künstliche Intelligenz bei Angriffen generell eine Rolle?
Ja, auf beiden Seiten. Angreifer nutzen KI, um raffinierte Phishing-Angriffe mit gefälschten Video- oder Sprachnachrichten vorzubereiten. KI hilft auch in der ersten Zugriffsphase, in der Angreifer viele Informationen über ein bestimmtes Ziel sammeln müssen. Aber auch in der Abwehr spielt KI eine zentrale Rolle. Moderne Sicherheitslösungen wie EDR (Anm. d. Redaktion: Endpoint Dectection and Response; der Nachfolger klassischer Antivirenprogramme) arbeiten mit maschinellem Lernen, um verdächtige Aktivitäten zu analysieren und automatisch Alarm auszulösen.

Wie läuft ein solcher Angriff typischerweise ab?
Nach dem ersten Zugriff verschaffen sich die ­Angreifer einen Überblick über die IT-Infrastruktur: Welche Server existieren? Welche Benutzerkonten gibt es? Wer hat Administratorrechte? Das Hauptziel ist meist der sogenannte Domain Controller – das Herzstück des Netzwerkes, das sämtliche Passwörter verwaltet. Einmal im System, haben die Angreifer die volle Kontrolle. Sobald sie genug Informationen gesammelt haben, beginnen sie mit der Verschlüsselung der Daten mit Ransomware. Anschliessend fordern sie meist Lösegeld, auf Englisch «ransom». Die Höhe der Forderung richtet sich oft nach den Finanzinformationen, die sie im Vorfeld ausgelesen haben.

Welche konkreten Risiken ergeben sich daraus für eine Organisation?
Ein erfolgreicher Cyberangriff kann eine Organisation über Wochen oder Monate lahmlegen. Ohne funktionierende Back-ups, sowohl für lokale Server als auch für die Cloud, sind wichtige Daten im schlimmsten Fall dauerhaft verloren. Ebenso problematisch ist die mögliche Veröffentlichung von Firmeninterna oder personenbezogenen Daten – mit entsprechenden existenzbedrohenden beziehungsweise reputationsbezogenen Folgen. Werden Zugangsdaten zu externen IT-Diensten kompromittiert, können diese auch für Folgeangriffe genutzt werden. Die eigentliche Attacke ist dann nur der Anfang einer längeren Kette von Sicherheitsvorfällen.

Lassen sich Schäden begrenzen, wenn Daten bereits veröffentlicht wurden?
Sobald personenbezogene Daten im Darknet auftauchen, ist es entscheidend, betroffene ­Personen rasch zu informieren und für mögliche Risiken zu sensibilisieren. Transparente Kommunikation – sowohl intern als auch extern – ist in einer solchen Situation essenziell.

Was können kleinere oder gemeinnützige Organisationen konkret tun, um sich zu schützen?
Einige grundlegende Schutzmassnahmen sollten unbedingt umgesetzt werden: starke Passwörter ohne erkennbare Muster mit mindestens zwölf Zeichen, Zwei-Faktor-Authentifizierung, regelmässige Updates und eine Endpoint-Detection-and-Response-Lösung, die verdächtiges Verhalten auf Geräten erkennt und meldet. Zudem sollte es klare IT-Richtlinien zur Nutzung von Programmen und zur Vergabe von Benutzerrechten geben. Die regelmässige Schulung der Mitarbeitenden ist ebenso zentral, damit Phishing-Versuche frühzeitig erkannt werden. Ein oft unterschätzter Aspekt: Auch externe IT-Dienstleister können zur Schwachstelle werden und Organisationen gefährden. Unternehmen sollten deshalb nur mit verlässlichen Partnern, die im Idealfall auch Echtzeitüberwachung und Bedrohungserkennung anbieten, zusammenarbeiten.
Wir bei Compass Security machen zudem Penetrationstests, bei denen wir IT-Systeme aus der Perspektive eines Angreifers überprüfen – einschliesslich Netzwerken, Geräten und dem Verhalten der Mitarbeitenden. KMU und alle anderen Arten von Unternehmen können von unseren Penetrationstests profitieren und das Sicherheitsniveau ihres Unternehmens erhöhen. Für grössere Organisationen mit einer bereits ausgereiften IT-Sicherheitskultur simulieren wir im Red Teaming ganze Angriffsszenarien, um Schwachstellen in Abwehr und Notfallmanagement aufzudecken. Compass Security hat auch ein eigenes Security Operation Center mit einem Managed-Detection-and-Response-Service, der KMU und grösseren Unternehmen hilft, Cyberangriffe 24/7 zu erkennen und darauf zu reagieren.
Und ganz zentral: Ohne regelmässige, sichere Back-ups ist keine IT-Strategie vollständig.

Und wenn es trotz aller Schutzmassnahmen zu einem Angriff kommt – was ist zu tun?
Zuerst: Ruhe bewahren. Dann Back-ups sofort temporär vom Netz trennen und auf Unversehrtheit prüfen. Falls möglich, Internetzugang deaktivieren, um eine Ausbreitung der Schadsoftware zu verhindern. Zudem müssen VPN-Verbindungen und andere externe Zugänge abgeschaltet, Systeme aktualisiert und Schutzmassnahmen verschärft werden. Ziel ist es, den Schaden zu begrenzen und die Kontrolle zurückzugewinnen.

Welche Stellen müssen in einem solchen Fall informiert werden?
Sind personenbezogene Daten betroffen, gilt eine Meldepflicht gegenüber der Datenschutzbehörde oder dem Dateninhaber. Je nach Branche und Unternehmensstruktur sind weitere Meldestellen zu berücksichtigen. Die Frist für solche Meldungen beträgt in der Regel 24 bis 72 Stunden. Weitere Informationen dazu bietet das Nationale Zentrum für Cybersicherheit. Auch eine Meldung bei der Kantonspolizei ist möglich.

Welche Lehre sollte das Blindenwesen aus dem Angriff auf den SZBLIND ziehen?
Cyberangriffe können jede Organisation treffen – ganz gleich, wie gross sie ist, in welchem Bereich sie tätig ist oder ob sie gemeinnützig arbeitet. Die entscheidende Frage lautet nicht «Warum wir?», sondern «Sind wir vorbereitet?».

Nach dem Cyberangriff hat der SZBLIND die IT-Sicherheit nochmals deutlich erhöht. Welche drei Massnahmen sollten andere Organisationen jetzt auch umsetzen?
Erstens: eine solide technische Grundlage schaffen – mit sicheren Passwörtern, Zwei-Faktor-­Authentifizierung, aktuellen Systemen, klaren IT-Richtlinien und einem wirksamen Bedrohungsschutz. Zweitens: eine realistische Einschätzung der eigenen IT-Infrastruktur – durch externe Fachleute, idealerweise via Penetrationstest oder Red Teaming. Drittens: ein durchdachter Notfallplan, der allen Beteiligten bekannt ist, regelmässig getestet und bei Bedarf angepasst wird. Bonus-Tipp: Vergessen Sie nicht, einen Blick auf die Sicherheitswarnungen Ihrer Tools zu werfen.

---

Compass Security – Dienstleistungen im Bereich Cybersicherheit und Cyberabwehrdienste

Die Compass Security ist ein Schweizer Unternehmen mit über 70 Mitarbeitenden an den Standorten in der Schweiz, in Deutschland und in Kanada. Es ist weltweit tätig im Bereich IT-Security und bietet Dienstleistungen wie Penetrationstests, Red Teaming, Echtzeitüberwachung und Bedrohungserkennung, Trainings, Zweitmeinungen zu Security-Konzepten sowie Unterstützung im Cybernotfall (Sofortmassnahmen und digitale Forensik). Weitere Informationen unter www.compass-security.com

---