Was ist passiert?
Im Juni 2025 wurde die Stiftung Radix, eine national tätige Schweizer Organisation für Gesundheitsförderung und Prävention, Opfer eines Ransomware-Angriffs durch die Hackergruppe Sarcoma. Die Angreifer verschlüsselten Systeme der Stiftung und exfiltrierten vertrauliche Daten – darunter sensible Dokumente des Bundes, die im Rahmen von Mandaten bei Radix gespeichert waren.
Als die Stiftung die Lösegeldforderung nicht beglich, veröffentlichte Sarcoma die gestohlenen Daten auf ihrer Leak-Site im Darknet. Der Vorfall wurde damit zu einem Supply-Chain-Angriff: Nicht die Bundesverwaltung selbst wurde gehackt, sondern ein externer Dienstleister, der im Auftrag des Bundes tätig war. Die Auswirkungen trafen jedoch direkt die Bundesbehörden und deren Datenhoheit.
Sarcoma ist eine seit 2024 aktive Ransomware-Gruppe, die sich auf mittelgrosse Organisationen spezialisiert hat – insbesondere solche im Gesundheits- und Sozialwesen, die häufig über begrenzte IT-Sicherheitsbudgets verfügen, aber hochsensible Daten verarbeiten.
Der Fall erinnert an den Xplain-Vorfall von 2023, bei dem ebenfalls ein externer Dienstleister des Bundes gehackt wurde und Bundesdaten im Darknet landeten. Er zeigt, dass die Schweiz aus früheren Vorfällen nicht genügend Konsequenzen gezogen hat.
Wer war betroffen?
Die Stiftung Radix ist eine gemeinnützige Organisation, die im Auftrag von Bund, Kantonen und Gemeinden Programme zur Gesundheitsförderung und Suchtprävention entwickelt und umsetzt. Sie arbeitet eng mit dem Bundesamt für Gesundheit (BAG) und weiteren Bundesstellen zusammen.
Der Angriff betraf mehrere Ebenen:
- Die Stiftung Radix selbst: Operative Systeme wurden verschlüsselt, der Betrieb war wochenlang eingeschränkt. Projektdaten, interne Dokumente und Korrespondenz wurden kompromittiert.
- Bundesbehörden: Vertrauliche Dokumente, die im Rahmen von Bundesmandaten bei Radix gespeichert waren, landeten im Darknet. Dies betraf potenziell Programme zu Suchtprävention, psychischer Gesundheit und weiteren sensiblen Themen.
- Kantone und Gemeinden: Radix führt zahlreiche Projekte für kantonale und kommunale Auftraggeber durch. Auch deren Projektdaten waren betroffen.
- Zielpersonen der Programme: Menschen in vulnerablen Situationen – Suchtbetroffene, psychisch Belastete, Jugendliche in Präventionsprogrammen – deren Daten nun potenziell im Darknet einsehbar sind. Dies ist ethisch besonders gravierend.
- Vertrauen in den öffentlichen Sektor: Der Vorfall untergräbt das Vertrauen in die Fähigkeit des Staates, die Daten seiner Bürgerinnen und Bürger über die gesamte Lieferkette hinweg zu schützen.
Wie gross war der Schaden?
Der finanzielle Schaden für eine gemeinnützige Stiftung ist naturgemäss anders gelagert als bei einem Wirtschaftsunternehmen. Die Kosten verteilen sich auf direkte Aufwendungen und schwer quantifizierbare gesellschaftliche Schäden:
| Schadenskategorie | Geschätzte Kosten |
|---|---|
| Incident Response und Forensik | CHF 150’000–300’000 |
| Systemwiederherstellung und IT-Neuaufbau | CHF 100’000–250’000 |
| Rechtliche Beratung (DSG, Bundesdaten) | CHF 100’000–200’000 |
| Krisenkommunikation | CHF 50’000–100’000 |
| Benachrichtigung betroffener Personen | CHF 30’000–80’000 |
| Betriebsunterbrechung (Projektverzögerungen) | CHF 200’000–500’000 |
| Reputationsschaden und Vertrauensverlust | Schwer quantifizierbar |
| Politischer Schaden (Bund, Kantone) | Nicht monetär bezifferbar |
| Geschätzter Gesamtschaden (direkt) | CHF 630’000–1,4 Mio. |
Obwohl die direkten Kosten im Vergleich zu Grossunternehmen moderat erscheinen, können sie für eine Stiftung mit begrenztem Budget existenzbedrohend sein. Gemeinnützige Organisationen haben typischerweise keine finanziellen Reserven für Cybervorfälle, und Spendengelder sind zweckgebunden.
Der politische Schaden wiegt mindestens ebenso schwer: Der Bund muss seine Praxis der Datenauslagerung an externe Dienstleister grundsätzlich überprüfen.
Hätte eine Cyberversicherung geholfen?
Für eine Organisation wie die Stiftung Radix hätte eine Cyberversicherung einen wesentlichen Teil der direkten finanziellen Belastung auffangen können. Gerade für gemeinnützige Organisationen mit begrenztem Budget kann eine Cyberversicherung den Unterschied zwischen Fortbestand und Auflösung bedeuten.
Kostenanalyse und Versicherungsdeckung
| Kostenposition | Geschätzte Kosten | Von Cyberversicherung gedeckt? |
|---|---|---|
| Incident Response & Forensik | CHF 150’000–300’000 | ✅ Ja – Kernleistung jeder Police |
| Systemwiederherstellung & IT-Neuaufbau | CHF 100’000–250’000 | ✅ Ja – in der Regel gedeckt |
| Rechtliche Beratung (DSG, Bundesdaten) | CHF 100’000–200’000 | ✅ Ja – Rechtsschutzkomponente |
| Krisenkommunikation | CHF 50’000–100’000 | ✅ Ja – häufig inkludiert |
| Benachrichtigung betroffener Personen | CHF 30’000–80’000 | ✅ Ja – regulatorische Pflichtleistung |
| Betriebsunterbrechung | CHF 200’000–500’000 | ✅ Ja – bis zur Deckungssumme |
| Reputationsschaden | Schwer quantifizierbar | ❌ Nein – nicht versicherbar |
| Politischer Fallout | Nicht monetär | ❌ Nein – nicht versicherbar |
| Geschätzter Gesamtschaden | CHF 630’000–1,4 Mio. | ~70–85 % potenziell gedeckt |
Fazit: Eine Cyberversicherung mit einer Deckungssumme von CHF 1–2 Millionen (Jahresprämie ca. CHF 3’000–8’000) hätte den Grossteil der direkten Kosten aufgefangen und der Stiftung eine professionelle Krisenbewältigung ermöglicht. Gerade der sofortige Zugang zu Incident-Response-Spezialisten, den eine Cyberversicherung bietet, ist für Organisationen ohne eigene IT-Sicherheitsabteilung von unschätzbarem Wert.
Lehren für Schweizer KMU
Der Radix-Fall hat Bedeutung weit über den Gesundheitssektor hinaus. Er illustriert fundamentale Risiken, die jedes Unternehmen betreffen, das im Auftrag grösserer Organisationen arbeitet:
-
Supply-Chain-Angriffe treffen die Schwächsten: Angreifer attackieren gezielt kleinere Dienstleister, um an die Daten grosser Auftraggeber zu gelangen. Jedes Unternehmen, das Kundendaten verarbeitet, muss sich als potenzielles Einfallstor betrachten.
-
Bundesdaten und behördliche Daten erfordern besonderen Schutz: Wer im Auftrag des öffentlichen Sektors arbeitet, unterliegt erhöhten Sorgfaltspflichten. KMU, die Mandate von Bund, Kantonen oder Gemeinden ausführen, sollten ihre Cybersicherheit entsprechend aufrüsten – oder riskieren den Verlust dieser lukrativen Aufträge.
-
Gemeinnützige Organisationen sind besonders verwundbar: NGOs, Stiftungen und Vereine verfügen selten über dedizierte IT-Sicherheitsbudgets, verarbeiten aber oft hochsensible Daten (Gesundheit, Soziales, Jugendschutz). Eine Cyberversicherung ist für diese Organisationen besonders sinnvoll.
-
Datensegmentierung ist Pflicht: Mandatsbezogene Daten sollten strikt getrennt gespeichert werden. Wenn ein System kompromittiert wird, darf nicht der gesamte Datenbestand betroffen sein.
-
Der Xplain-Vorfall hat nichts verändert: Bereits 2023 zeigte der Xplain-Fall die Risiken von Daten bei externen Dienstleistern. Wer aus den Vorfällen anderer nicht lernt, wird selbst zum Opfer. Regelmässige Sicherheitsaudits und Penetrationstests sind keine Kür, sondern Pflicht.
-
Meldepflicht und Transparenz: Der Vorfall muss dem BACS und dem EDÖB gemeldet werden. Betroffene Personen haben ein Recht auf Information. Eine Cyberversicherung unterstützt bei der Einhaltung aller regulatorischen Pflichten.
Schützen Sie Ihr Unternehmen
Der Radix-Fall zeigt: Auch kleine Organisationen können durch einen Cyberangriff zum Zentrum einer nationalen Datenschutzkrise werden. Besonders wenn Sie im Auftrag von Behörden oder grösseren Unternehmen arbeiten, müssen Sie Ihre Cybersicherheit auf dem aktuellen Stand halten.
Lassen Sie sich unverbindlich beraten. Die Experten der BTAG Versicherungsbroker AG in Bern analysieren Ihr individuelles Risikoprofil und finden die passende Cyberversicherung für Ihre Organisation – unabhängig und transparent.