Was ist passiert?
Seit Anfang 2024 überrollt eine beispiellose Ransomware-Welle der Gruppe Akira die Schweizer KMU-Landschaft. Mit einer Kadenz von 4 bis 5 neuen Opfern pro Woche gehört Akira zur grössten und anhaltendsten Cyberbedrohung, der Schweizer Unternehmen je ausgesetzt waren. Bis Anfang 2026 sind schätzungsweise rund 200 Schweizer KMU betroffen – die Dunkelziffer dürfte erheblich höher liegen, da viele Vorfälle nicht öffentlich bekannt werden.
Akira ist eine seit März 2023 aktive Ransomware-Gruppe, die sich bewusst auf kleine und mittlere Unternehmen konzentriert. Im Gegensatz zu Gruppen wie LockBit oder BlackCat, die vor allem Grossunternehmen angreifen, zielt Akira auf Organisationen mit 20 bis 500 Mitarbeitenden – genau die Grössenordnung, in der professionelle IT-Sicherheit oft fehlt, aber genug Umsatz für Lösegeldzahlungen vorhanden ist.
Das typische Angriffsmuster von Akira in der Schweiz:
- Erstzugang über VPN-Schwachstellen: Akira nutzt bekannte Schwachstellen in Cisco-VPN-Gateways und anderen Fernzugriffslösungen, die von Schweizer KMU häufig eingesetzt werden. Oft fehlt die Multi-Faktor-Authentifizierung (MFA).
- Schnelle Ausbreitung: Nach dem Erstzugang bewegen sich die Angreifer innerhalb von Stunden bis wenigen Tagen lateral durch das Netzwerk. KMU-Netzwerke sind oft flach strukturiert (keine Segmentierung), was die Ausbreitung erleichtert.
- Datenexfiltration: Vor der Verschlüsselung werden vertrauliche Daten kopiert – Kundenlisten, Buchhaltungsdaten, Personalakten, Vertragsunterlagen.
- Verschlüsselung und Erpressung: Sämtliche erreichbaren Systeme werden verschlüsselt. Die Lösegeldforderungen liegen typischerweise zwischen CHF 50’000 und CHF 500’000 – kalkuliert so, dass eine Zahlung für das betroffene KMU gerade noch tragbar erscheint.
- Double Extortion: Bei Nichtzahlung droht Akira mit der Veröffentlichung der Daten auf ihrer Leak-Site.
Wer war betroffen?
Die Akira-Welle trifft Schweizer KMU quer durch alle Branchen und Regionen. Besonders häufig betroffen sind:
- Produktionsbetriebe: Maschinenbauer, Zulieferer und Fertigungsunternehmen, deren vernetzte Produktionsanlagen besonders anfällig sind und bei denen Produktionsausfall sofort hohe Kosten verursacht.
- Treuhand- und Beratungsunternehmen: Besonders attraktive Ziele, weil sie vertrauliche Finanzdaten Hunderter Mandanten verwalten. Ein erfolgreicher Angriff kompromittiert nicht nur das Treuhandbüro, sondern potenziell alle Mandanten.
- E-Commerce- und Handelsunternehmen: Online-Shops und Handelsbetriebe, deren Kundendaten (Adressen, Zahlungsinformationen, Bestellhistorien) wertvoll für Kriminelle sind.
- Handwerksbetriebe und Dienstleister: Elektroinstallateure, Architekten, Ingenieure – Unternehmen, die sich traditionell nicht als Cyberangriffsziele betrachten, aber zunehmend digitalisiert arbeiten.
- Arztpraxen und Gesundheitsdienstleister: Besonders schützenswerte Patientendaten machen sie zu lohnenden Zielen.
Die betroffenen Unternehmen teilen typische Merkmale: 20 bis 200 Mitarbeitende, kein dediziertes IT-Sicherheitspersonal, IT-Betreuung durch einen externen Dienstleister und keine Cyberversicherung. Genau dieses Profil macht sie für Akira zum idealen Ziel.
Wie gross war der Schaden?
Der Gesamtschaden der Akira-Welle für die Schweizer Wirtschaft ist erheblich. Basierend auf öffentlich bekannten Fällen und Branchenschätzungen lässt sich der typische Schaden pro betroffenem KMU wie folgt beziffern:
Durchschnittlicher Schaden pro KMU
| Schadenskategorie | Typische Kosten |
|---|---|
| Betriebsunterbrechung (5–15 Tage) | CHF 50’000–250’000 |
| Incident Response und Forensik | CHF 30’000–80’000 |
| Systemwiederherstellung | CHF 20’000–100’000 |
| Lösegeldforderung (falls bezahlt) | CHF 50’000–500’000 |
| Rechtliche Beratung und Datenschutz | CHF 10’000–30’000 |
| Kundenbenachrichtigung | CHF 5’000–20’000 |
| Krisenkommunikation | CHF 5’000–15’000 |
| Typischer Gesamtschaden pro KMU | CHF 170’000–1 Mio. |
Hochrechnung Gesamtschaden Schweiz
| Kennzahl | Wert |
|---|---|
| Geschätzte Anzahl betroffener KMU (2024–2026) | ~200 |
| Durchschnittlicher Schaden pro Vorfall | ~CHF 400’000 |
| Geschätzter Gesamtschaden | ~CHF 80 Mio. |
| Anteil der KMU mit Cyberversicherung | ~5–10 % |
| Unversicherter Schaden | ~CHF 72–76 Mio. |
Die Zahlen zeigen ein dramatisches Bild: Der Grossteil des Schadens trifft KMU, die keine Cyberversicherung haben. Für viele dieser Unternehmen ist ein Ransomware-Angriff existenzbedrohend. Schätzungen zufolge müssen 20–30 % der betroffenen KMU innerhalb von zwei Jahren nach einem schweren Ransomware-Angriff den Betrieb aufgeben oder werden übernommen.
Hätte eine Cyberversicherung geholfen?
Die Antwort ist eindeutig: Ja. Für Schweizer KMU bieten Cyberversicherungen bei Ransomware-Vorfällen eine sehr gute Deckung. Die typische Schadenssumme eines KMU-Ransomware-Angriffs liegt genau im Bereich, den Cyberversicherungen abdecken.
Kostenanalyse und Versicherungsdeckung (typisches KMU)
| Kostenposition | Typische Kosten | Von Cyberversicherung gedeckt? |
|---|---|---|
| Incident Response & Forensik | CHF 30’000–80’000 | ✅ Ja – Kernleistung jeder Police |
| Betriebsunterbrechung (5–15 Tage) | CHF 50’000–250’000 | ✅ Ja – bis zur Deckungssumme |
| Systemwiederherstellung | CHF 20’000–100’000 | ✅ Ja – in der Regel gedeckt |
| Lösegeldforderung | CHF 50’000–500’000 | ⚠️ Teilweise – abhängig von Police |
| Rechtliche Beratung & Datenschutz | CHF 10’000–30’000 | ✅ Ja – Rechtsschutzkomponente |
| Kundenbenachrichtigung | CHF 5’000–20’000 | ✅ Ja – regulatorische Pflichtleistung |
| Krisenkommunikation | CHF 5’000–15’000 | ✅ Ja – häufig inkludiert |
| Typischer Gesamtschaden | CHF 170’000–1 Mio. | ~70–90 % potenziell gedeckt |
Kosten-Nutzen-Rechnung
| Kennzahl | Wert |
|---|---|
| Typische Jahresprämie (KMU, 50 MA) | CHF 3’000–8’000 |
| Typische Deckungssumme | CHF 1–5 Mio. |
| Durchschnittlicher Schaden Akira-Angriff | ~CHF 400’000 |
| Return on Investment im Schadenfall | 50- bis 130-fach |
Fazit: Für Schweizer KMU ist eine Cyberversicherung angesichts der Akira-Bedrohung keine optionale Zusatzversicherung, sondern eine betriebswirtschaftliche Notwendigkeit. Bei einer Jahresprämie von CHF 3’000–8’000 und einem durchschnittlichen Schadenspotenzial von CHF 400’000 ist das Kosten-Nutzen-Verhältnis ausserordentlich günstig. Besonders wertvoll ist der sofortige Zugang zu Incident-Response-Spezialisten, den die Versicherung bietet – ein Service, den sich die meisten KMU als Einzelleistung nicht leisten können.
Lehren für Schweizer KMU
Die Akira-Welle ist ein Weckruf für die gesamte Schweizer KMU-Landschaft. Die folgenden Massnahmen sind dringend empfohlen:
-
VPN-Zugänge sofort absichern: Akira nutzt bekannte Schwachstellen in VPN-Gateways. Alle Fernzugriffslösungen müssen aktualisiert und mit Multi-Faktor-Authentifizierung (MFA) versehen werden. Ungenutzte VPN-Zugänge sind zu deaktivieren.
-
Netzwerksegmentierung implementieren: Flache Netzwerke ermöglichen Akira die schnelle Ausbreitung. Mindestens eine Trennung zwischen Büro-IT, Produktions-OT und Backup-Systemen ist unerlässlich. Das Backup-Netzwerk muss physisch vom Hauptnetzwerk getrennt sein (Air-Gap oder Immutable Backups).
-
Offline-Backups sind überlebenswichtig: Akira verschlüsselt gezielt auch erreichbare Backups. Nur Offline-Backups oder unveränderbare (immutable) Backup-Lösungen schützen zuverlässig. Testen Sie regelmässig die Wiederherstellung.
-
IT-Dienstleister in die Pflicht nehmen: Viele betroffene KMU verlassen sich auf externe IT-Partner, die selbst keine ausreichenden Sicherheitsstandards einhalten. Fordern Sie von Ihrem IT-Dienstleister ein dokumentiertes Sicherheitskonzept und regelmässige Audits.
-
Mitarbeitende schulen: Phishing bleibt ein häufiges Einfallstor. Regelmässige, praxisnahe Schulungen – nicht nur ein jährliches PDF – sind nötig. Simulierte Phishing-Angriffe zeigen, wo noch Lücken bestehen.
-
Cyberversicherung abschliessen – jetzt: Bei 4–5 neuen Akira-Opfern pro Woche ist die Frage nicht ob, sondern wann Ihr Unternehmen betroffen sein könnte. Eine Cyberversicherung sichert Ihre Existenz und gibt Ihnen im Ernstfall sofort Zugang zu professioneller Hilfe.
Schützen Sie Ihr Unternehmen
Die Akira-Welle zeigt unmissverständlich: Schweizer KMU stehen im Fadenkreuz professioneller Cyberkrimineller. Die Angreifer sind organisiert, effizient und kennen die typischen Schwächen kleiner Unternehmen genau. Die Kombination aus technischen Grundschutzmassnahmen und einer Cyberversicherung ist der beste verfügbare Schutz.
Lassen Sie sich unverbindlich beraten. Die Experten der BTAG Versicherungsbroker AG in Bern analysieren Ihr individuelles Risikoprofil und finden die passende Cyberversicherung für Ihr KMU – unabhängig und transparent. Warten Sie nicht, bis Ihr Unternehmen auf der Akira-Leak-Site erscheint.