Article disponible en allemand

Cet article n'est actuellement disponible qu'en allemand. Nous travaillons à la traduction de notre contenu en français.

Lire en allemand

Cyber Awareness

Phishing-Angriffe in der Schweiz 2026: Zahlen, Trends und Schutz

· 11 Min. Lesezeit

Phishing bleibt auch 2026 die grösste Cyber-Bedrohung für Schweizer Unternehmen. Laut dem Bundesamt für Cybersicherheit (BACS, ehemals NCSC) wurden allein im zweiten Halbjahr 2024 über 12.000 Phishing-Meldungen in der Schweiz registriert – ein Anstieg von 56 % gegenüber dem Vorjahr. Die Dunkelziffer liegt laut Experten um ein Vielfaches höher. Für 2025 und 2026 setzt sich dieser Trend fort, verstärkt durch KI-gestützte Angriffsmethoden, die Phishing-Kampagnen täuschend echt wirken lassen.

Zentrale Statistik

Laut dem Verizon Data Breach Investigations Report (DBIR) 2024 beginnen 36 % aller Datenpannen weltweit mit Phishing. In der Schweiz liegt dieser Wert laut BACS-Halbjahresbericht sogar bei geschätzten 40 – 50 %, da viele Schweizer Unternehmen als besonders lukrative Ziele gelten.

Aktuelle Phishing-Statistiken für die Schweiz

Die Zahlen zeichnen ein beunruhigendes Bild. Basierend auf den jüngsten Berichten des BACS und internationalen Studien:

+56 %

Anstieg der Phishing-Meldungen beim BACS (H2 2024 vs. Vorjahr)

CHF 4,5 Mio.

Durchschnittliche Kosten einer Datenpanne in der Schweiz (IBM, 2024)

31 %

der Mitarbeitenden klicken auf simulierte Phishing-Mails (Proofpoint, 2024)

21 Min.

Medianzeit, bis ein Phishing-Opfer sensible Daten preisgibt (Verizon DBIR)

Die neuen Phishing-Trends 2026

Die Zeiten schlecht formulierter E-Mails mit offensichtlichen Rechtschreibfehlern sind vorbei. Moderne Phishing-Angriffe sind hochspezialisiert, technisch ausgefeilt und für traditionelle Sicherheitsmassnahmen kaum zu erkennen.

1. QR-Code-Phishing (Quishing)

Quishing – Phishing über QR-Codes – hat sich 2025 als einer der am schnellsten wachsenden Angriffsvektoren in der Schweiz etabliert. Angreifer platzieren manipulierte QR-Codes auf gefälschten Parkuhren-Aufklebern, in vermeintlichen Paketbenachrichtigungen oder sogar auf physischen Briefen, die als offizielle Korrespondenz von Banken oder Behörden getarnt sind.

Der Grund für die Effektivität: QR-Codes umgehen die meisten E-Mail-Sicherheitsfilter, da sie als Bilder und nicht als klickbare Links erkannt werden. Zudem scannen Mitarbeitende QR-Codes häufig mit ihren privaten Smartphones, die ausserhalb der Unternehmens-Sicherheitsinfrastruktur liegen.

Quishing-Statistik

Laut HP Wolf Security Threat Report stieg die Anzahl der QR-Code-basierten Phishing-Angriffe 2024 um über 600 % im Vergleich zum Vorjahr. In der Schweiz warnte das BACS im Oktober 2024 explizit vor gefälschten QR-Rechnungen und QR-Codes auf Parkuhren.

2. KI-gestütztes Phishing

Generative KI hat die Einstiegshürde für Phishing-Kampagnen dramatisch gesenkt. Angreifer nutzen Large Language Models, um:

  • Perfekte Sprache zu erzeugen: Phishing-Mails in fehlerfreiem Schweizer Hochdeutsch, inklusive regionaler Formulierungen und branchenspezifischem Vokabular.
  • Personalisierte Nachrichten zu generieren: Durch die Analyse öffentlich verfügbarer Informationen (LinkedIn, Handelsregister, Firmenwebsite) werden massgeschneiderte Spear-Phishing-Mails erstellt.
  • Konversationen zu führen: KI-Chatbots übernehmen die Kommunikation mit dem Opfer in Echtzeit, beantworten Rückfragen und bauen Vertrauen auf.

Laut einer Studie von SlashNext stieg das Volumen von Phishing-Mails seit der breiten Verfügbarkeit generativer KI-Tools um 1.265 %. Die Klickrate bei KI-generierten Phishing-Mails liegt laut Harvard-Forschern 60 % höher als bei herkömmlichen Phishing-Versuchen.

3. Deepfake-Stimmen und -Videos

Ein besonders besorgniserregender Trend sind Deepfake-basierte Angriffe. Angreifer klonen die Stimme eines CEO oder CFO und rufen die Finanzabteilung an, um eine dringende Überweisung zu veranlassen. Diese Technik wird als «Vishing» (Voice Phishing) bezeichnet und hat in den letzten zwei Jahren mehrere Schweizer Unternehmen getroffen.

Reale Fälle in der Schweiz

  • Energie-Unternehmen (2024): Mittels Deepfake-Stimme des deutschen Mutterkonzern-CEO wurde ein Schweizer Töchter-Geschäftsführer dazu gebracht, EUR 220.000 auf ein unbekanntes Konto zu überweisen.
  • Finanzdienstleister Zürich (2025): Eine KI-generierte E-Mail im Namen des FINMA-Regulators forderte vertrauliche Kundendaten an. Die E-Mail enthielt korrekte Fallnummern und regulatorisches Vokabular.
  • Logistik-KMU Basel (2025): Über gefälschte QR-Rechnungen im Design eines realen Lieferanten wurden in drei Monaten CHF 85.000 abgezogen, bevor der Betrug auffiel.

Warum traditionelle Schutzmassnahmen versagen

Die meisten Unternehmen setzen auf eine Kombination aus E-Mail-Filtern, Spam-Erkennung und grundlegendem Awareness-Training. Diese Massnahmen waren vor fünf Jahren wirksam – gegen die heutigen Angriffe reichen sie nicht mehr aus:

  • E-Mail-Filter: KI-generierte Phishing-Mails weisen keine typischen Spam-Merkmale auf. Sie bestehen die meisten automatisierten Prüfungen.
  • SPF/DKIM/DMARC: Wichtig, aber wirkungslos gegen Account-Kompromittierung (Business Email Compromise), bei der Angreifer tatsächliche Mailkonten übernehmen.
  • Jährliches Awareness-Training: Einmal jährlich eine Präsentation zu sehen, verändert das Verhalten nicht nachhaltig. Studien zeigen, dass der Lerneffekt nach 4 – 6 Monaten weitgehend verpufft.

Forschungsergebnis

Eine Studie der ETH Zürich (Lain et al., 2022) zeigte, dass eingebettete Phishing-Simulationen in Kombination mit sofortigem Feedback die effektivste Methode zur Reduktion der Klickrate sind. Reines Classroom-Training ohne praktische Simulation erzielte in der Studie keinen statistisch signifikanten Langzeiteffekt.

Warum Awareness-Training allein nicht ausreicht

Missverständnis: «Wir schulen unsere Mitarbeitenden einmal im Jahr – das reicht.» Die Realität sieht anders aus:

  • Wissensverfall: Laut der Vergessenskurve nach Ebbinghaus gehen 70 % des Gelernten innerhalb von 24 Stunden verloren, wenn es nicht wiederholt wird.
  • Theorie vs. Praxis: Mitarbeitende erkennen Phishing in Schulungsbeispielen, versagen aber bei realistischen Simulationen im Arbeitsalltag.
  • Evolving Threats: Die Angriffsmethoden ändern sich schneller, als jährliche Schulungen abdecken können.
  • Falsches Sicherheitsgefühl: Nach einer Schulung glauben Mitarbeitende, immun zu sein, und werden unvorsichtiger.

Was stattdessen nötig ist: ein kontinuierliches Programm aus realistischer Phishing-Simulation, sofortigem Feedback und adaptivem Training – abgestimmt auf die tatsächlichen Bedrohungen Ihrer Branche.

Effektiver Phishing-Schutz: Der RedTeam Partners-Ansatz

Bei RedTeam Partners Cyber Awareness Training setzen wir auf einen dreigliedrigen Ansatz, der nachweislich die Widerstandsfähigkeit gegen Phishing erhöht:

Phase 1: Baseline-Assessment

Wir führen eine unangekündigte Phishing-Simulation durch, um die aktuelle Anfälligkeit Ihrer Organisation zu messen. Dabei verwenden wir Angriffsvektoren, die spezifisch für Ihre Branche und Region relevant sind – inklusive Quishing, Spear-Phishing und Business Email Compromise.

Phase 2: Gezieltes Training

Basierend auf den Ergebnissen erhalten Abteilungen und Einzelpersonen massgeschneiderte Schulungsmodule. Mitarbeitende, die auf die Simulation hereingefallen sind, erhalten sofort kontextbezogenes Feedback – in dem Moment, in dem die Lernbereitschaft am höchsten ist.

Phase 3: Kontinuierliche Simulation

Regelmässige, zunehmend anspruchsvolle Phishing-Simulationen halten das Bewusstsein aufrecht. Die Schwierigkeit passt sich automatisch an: Abteilungen mit niedrigen Klickraten erhalten realistischere Angriffe, vulnerable Gruppen mehr Förderung.

Ergebnis

Unsere Kunden verzeichnen nach 12 Monaten kontinuierlicher Simulation eine durchschnittliche Reduktion der Phishing-Klickrate um 82 %. Die Meldequote verdächtiger E-Mails steigt im gleichen Zeitraum um den Faktor 4.

Sofortmassnahmen für Schweizer Unternehmen

Unabhängig davon, ob Sie bereits ein Awareness-Programm haben – diese Massnahmen sollten Sie sofort umsetzen:

  • Multi-Faktor-Authentifizierung (MFA): Für alle Konten, insbesondere E-Mail und VPN. Phishing-resistentes MFA (FIDO2/WebAuthn) ist der Goldstandard.
  • Meldeprozess etablieren: Mitarbeitende brauchen einen einfachen, schnellen Weg, verdächtige Nachrichten zu melden – idealerweise ein Ein-Klick-Button in Outlook oder Gmail.
  • QR-Code-Richtlinie: Definieren Sie klare Regeln zum Umgang mit QR-Codes in geschäftlichen Dokumenten, E-Mails und physischer Post.
  • Überweisungsfreigaben: Implementieren Sie ein Vier-Augen-Prinzip für alle Überweisungen über einem definierten Schwellwert.
  • Regelmässige Simulationen: Starten Sie mit einer Bedrohungsanalyse, um den aktuellen Stand zu ermitteln.

Fazit: Phishing ist beherrschbar – mit dem richtigen Ansatz

Phishing wird nicht verschwinden. Im Gegenteil: KI und neue Technologien machen Angriffe noch überzeugender. Aber Unternehmen, die auf kontinuierliche Simulation, technische Schutzmassnahmen und eine starke Sicherheitskultur setzen, können das Risiko auf ein beherrschbares Niveau senken.

Wie anfällig ist Ihr Unternehmen für Phishing? Kontaktieren Sie uns für eine kostenlose Ersteinschätzung – oder erfahren Sie mehr über unser Cyber Awareness Training mit realistischen Phishing-Simulationen.

🏔️ Weiterführende Ressourcen

RedTeam Partners ist stolzer Träger des Alpine-Excellence-Siegels für herausragende Schweizer Cybersicherheit.

Prêt à Voir ce que les Attaquants Voient ?

Réservez une analyse gratuite de 30 minutes sur les cyber menaces. Nous vous montrons exactement ce qu'un attaquant pourrait faire dans votre environnement dans les 30 premières minutes, et comment l'arrêter.

Aucune obligation, pas de discours commercial, uniquement des informations de sécurité exploitables

Appel vidéo de 30 minutes avec un expert en sécurité certifié CREST

Analyse des menaces personnalisée basée sur votre infrastructure

Réserver une Analyse Gratuite

Répondez à quelques questions rapides pour commencer

100% Gratuit
Sécurisé et Confidentiel