Fünf Schweizer Präzisionshersteller wurden 2025 von der Akria-Ransomware attackiert. Wie die Angreifer vorgehen und warum sie Versicherungspolicen lesen.

Fünf Schweizer Präzisionshersteller wurden 2025 von derselben Ransomware-Gruppe angegriffen, zwei davon am selben Tag. Die Analyse der europäischen Bedrohungslandschaft in der Fertigungsindustrie durch Group-IB, die vollständig im Bericht «Inside Europe’s Manufacturing Cyber Threat Landscape» dokumentiert ist, zeigt ein Muster auf: Es erfolgen gezielt Angriffe auf Unternehmen mit wertvollem geistigem Eigentum, knappen IT-Sicherheitsressourcen und Cyber-Versicherungspolicen, welche Kriminelle mittlerweile lesen können, bevor sie ihre Lösegeldforderungen stellen.

Ein Muster, kein Zufall

Im September 2025 wurden die Keller Laser AG und Vardeco am selben Tag von der Ransomware-Gruppe Akira angegriffen. Die Abeco Zumtech Drucklufttechnik AG wurde später im selben Jahr attackiert, ebenso wie die J. Schneeberger Maschinen AG und die Pibor Iso SA. Fünf Schweizer Präzisionshersteller. Eine kriminelle Gruppe. Zwölf Monate.

Dies ist kein Zufall, es ist das Ergebnis koordinierter, paralleler Kampagnen, die von Akiras Netzwerk krimineller Partner (Affiliates) durchgeführt werden, wobei die Schweizer und europäische Fertigungsindustrie einen bewussten operativen Schwerpunkt bildet. Auf die Schweiz entfielen im Jahr 2025 sechs Prozent aller Ransomware-Vorfälle im europäischen Fertigungssektor, ein unverhältnismässig hoher Anteil für einen Markt dieser Grösse. Akira war im gleichen Zeitraum für zwölf Prozent aller Ransomware-Fälle in der europäischen Fertigungsindustrie verantwortlich.

Was Angreifer sehen, wenn sie ein Unternehmen betrachten

Um zu verstehen, warum Schweizer Präzisionshersteller angegriffen werden, hilft es, diese Unternehmen aus der Perspektive einer Gruppe von Angreifern zu betrachten. Präzisionshersteller verfügen über geschützte Konstruktionsdaten, die über Jahrzehnte hinweg entwickelt wurden, sie pflegen langjährige OEM-Beziehungen zu grossen Industriekunden und arbeiten in der Regel ohne spezialisierte interne Sicherheitsteams, trotz der kritischen Notwendigkeit, die kontinuierliche Betriebsfähigkeit aufrechtzuerhalten. Konstruktionszeichnungen, Produktionsprozesse, Kundenspezifikationen, Preise, all dies sind sowohl Wettbewerbsvorteile eines Herstellers als auch, in den Händen von Kriminellen, hochgradig monetarisierbare Vermögenswerte.

Akira verschlüsselt nicht einfach nur Dateien und fordert Lösegeld. Die Gruppe stiehlt zuerst Daten. Es ist die Drohung, diese gestohlenen Daten zu veröffentlichen, und der daraus resultierende Reputationsschaden, nicht der Verlust des Systemzugangs, der die meisten Opfer zur Zahlung bewegt. Von den fünf Schweizer Unternehmen, die 2025 von Akira angegriffen wurden, wurden bisher keine Daten veröffentlicht. Das ist kein Beweis dafür, dass die Taktik fehlgeschlagen ist, sondern dafür, dass sie funktioniert.

Warum Versicherungspolicen Teil der Angriffsstrategie sind

Die Gruppe legt nicht einfach ein Lösegeld fest, um dann nach unten zu verhandeln. Vor dem Einsatz der Ransomware verbringen die Affiliates Zeit im Netzwerk des Opfers, um die Cyber-Versicherungsunterlagen des Unternehmens ausfindig zu machen, die Deckungssummen in Erfahrung zu bringen und die Lösegeldforderung entsprechend festzulegen. Ihre Police ist zur Preisliste geworden. Ein Unternehmen mit einer Cyber-Deckung von 2 Millionen CHF erhält eine Forderung in etwa dieser Höhe; ein Unternehmen mit 5 Millionen CHF erhält proportional mehr. Eine Cyber-Versicherung bleibt ein wertvolles Instrument, um die finanziellen Folgen einer Sicherheitsverletzung zu bewältigen. Doch jede Führungskraft, die glaubt, dass sie mit Abschluss einer Police ihr Cyber-Risiko abwälzt, hat die Bedrohung missverstanden.

Wie Angreifer eindringen, und warum der Angriff bereits läuft

Die technischen Details eines Ransomware-Angriffs sind Sache der IT-Dienstleister. Für Führungskräfte ist es jedoch entscheidend, die gängigsten Einfallstore von Akira zu kennen. Der Erstzugang erfolgt in der Regel über einen von drei Wegen:

Veraltete Software: Ausnutzung bekannter Schwachstellen in Systemen mit Internetverbindung, wie VPNs oder Fernzugrifftools, die nicht aktualisiert wurden.

Kompromittierte Zugangsdaten: Verwendung gestohlener Mitarbeiter-Logins, die durch Phishing, Malware oder auf kriminellen Marktplätzen erworben wurden.

Gekaufter Netzzugang: Erwerb eines bereits bestehenden Zugangs zum Unternehmensnetzwerk von kriminellen Vermittlern (Initial Access Brokers).

Der gemeinsame Nenner ist die Exponiertheit an der Schnittstelle zwischen dem internen Netzwerk und der Aussenwelt. Gemeint sind jene Verbindungen, die mobiles Arbeiten, Lieferantenzugriffe und die externe IT-Verwaltung ermöglichen.

Das eigentliche Problem ist der Zeitfaktor. Bei mehreren Vorfällen befanden sich die Angreifer bereits Wochen vor der Ransomware im Netzwerk. In dieser Zeit bewegten sie sich unbemerkt: Sie kartierten Systeme, lokalisierten Backups, identifizierten geschäftskritische Daten und studierten die Versicherungsunterlagen, die später als Grundlage für die Höhe der Lösegeldforderung dienten.

Als die Verschlüsselung startete, war die entscheidende Phase des Angriffs bereits vorbei. Ein Angriff beginnt nicht erst mit der Ausführung der Ransomware, sondern bereits beim ersten unbemerkten Eindringen in ein Netzwerk, ein Vorgang, der meist völlig unentdeckt bleibt. Die Zeitspanne zwischen dem Erstzugriff, dem Datenabfluss (Exfiltration) und dem Auslösen der Schadsoftware verkürzt sich jedoch tendenziell, wobei dies je nach Affiliate-Modell der kriminellen Gruppe variiert.

Drei strategische Fragen an die Unternehmensleitungen

Die Fragen, die Ransomware für ein produzierendes Unternehmen aufwirft, sind nicht primär technischer Natur, sie gehören auf die Agenda der Unternehmensleitungen.

Erstens: Wie lange könnte der Betrieb ohne IT-Systeme aufrechterhalten werden?

Konstruktionsdaten, Produktionsplanung, Auftragsverwaltung, Lieferantenkommunikation: die Abhängigkeit von vernetzten Systemen ist meist tiefgreifender, als den meisten Führungskräften bewusst ist. Dies im Rahmen einer geplanten Übung durchzuspielen, ist deutlich kostengünstiger, als die Antwort erst während eines Angriffs herauszufinden.

Zweitens: Welche kommerziellen Auswirkungen hätte die Veröffentlichung vertraulicher Daten?

Für Unternehmen mit Verträgen in der Luft- und Raumfahrt oder im Verteidigungssektor erstrecken sich die Folgen bis hin zu massiven regulatorischen Verpflichtungen. Für Familienunternehmen, in denen Kundenbeziehungen über Jahrzehnte gewachsen sind, kann der Reputationsschaden durch ein Datenleck die rein operative Wiederherstellung um Jahre überdauern.

Und schliesslich: Spiegelt die Cyber-Versicherung das tatsächliche Risikoprofil wider?

Angesichts der Tatsache, dass kriminelle Gruppen mittlerweile routinemässig die Deckungssummen prüfen, bevor sie Forderungen stellen, lohnt sich ein direktes Gespräch mit dem Versicherer und IT-Anbieter. Es geht nicht zwingend darum, den Versicherungsschutz zu erhöhen, sondern zu verstehen, was tatsächlich gekauft wird und ob die Versicherung im Schadensfall wie erwartet reagieren würde.

Fazit

Die fünf Schweizer Unternehmen, die in unserer Untersuchung dokumentiert sind, sind keine Einzelfälle. Es handelt sich um Präzisionshersteller aus derselben Branche, mit demselben Grössenprofil und derselben Industriekultur wie viele der Betriebe, die diesen Artikel lesen. Group-IB arbeitet eng mit Europol und Interpol zusammen, um die kriminelle Infrastruktur hinter solchen Angriffen zu identifizieren und zu zerschlagen. Die vollständigen Daten sind im Bericht von Group-IB «Inside Europe’s Manufacturing Cyber Threat Landscape» verfügbar. Der entscheidende Schritt für jeden Hersteller bleibt jedoch derselbe: eine ehrliche Lagebeurteilung, bevor ein Vorfall diese Beurteilung übernimmt.