DDoS (Distributed Denial of Service)

Swisscom DDoS-Angriff (Twint-Ausfall)

Im Februar 2024 wurde Swisscom Ziel eines massiven DDoS-Angriffs, der auch den Zahlungsdienst Twint lahmlegte. Der Vorfall zeigt, wie selbst Schweizer Grosskonzerne verwundbar sind.

Swisscom DDoS-Angriff (Twint-Ausfall)

Was ist passiert?

Im Februar 2024 wurde die Swisscom – der grösste Telekommunikationsanbieter der Schweiz – Ziel eines massiven DDoS-Angriffs (Distributed Denial of Service). Die Angreifer überfluteten Swisscom-Server mit einem enormen Volumen an Anfragen, wodurch verschiedene Dienste für Stunden nicht oder nur eingeschränkt erreichbar waren.

Ein DDoS-Angriff funktioniert nach einem einfachen Prinzip: Tausende kompromittierte Computer (ein sogenanntes Botnetz) senden gleichzeitig Anfragen an ein Ziel, bis dessen Server unter der Last zusammenbrechen. Im Gegensatz zu Ransomware werden keine Daten gestohlen oder verschlüsselt – der Schaden entsteht durch den Ausfall der Dienste.

Die Auswirkungen waren weitreichend: Neben den Swisscom-eigenen Diensten war auch der mobile Zahlungsdienst Twint betroffen, der auf die Swisscom-Infrastruktur angewiesen ist. Millionen von Schweizerinnen und Schweizern konnten vorübergehend keine mobilen Zahlungen mehr durchführen – an Kassen, in Online-Shops und für Peer-to-Peer-Überweisungen.

Der Angriff wurde innerhalb weniger Stunden abgewehrt, doch die Kaskadeneffekte dauerten deutlich länger an und betrafen eine Vielzahl von Unternehmen und Privatpersonen.

Wer war betroffen?

Die Besonderheit dieses DDoS-Angriffs lag in seinen weitreichenden Auswirkungen auf Drittparteien:

  • Swisscom-Kunden: Millionen Privat- und Geschäftskunden mit eingeschränkter Konnektivität
  • Twint-Nutzer: Über 5 Millionen aktive Twint-Nutzer konnten keine Zahlungen durchführen
  • Einzelhändler und Gastronomen, deren Kunden an der Kasse nicht mehr mit Twint zahlen konnten
  • Online-Shops, die Twint als Zahlungsmethode anboten und Kaufabbrüche verzeichneten
  • Unternehmen, die ihre IT-Infrastruktur bei Swisscom hosten und deren Dienste ausfielen
  • Logistik- und Lieferdienste, deren Kommunikation über Swisscom lief

Besonders hart getroffen wurden kleine Detailhändler und Restaurants, die zunehmend auf bargeldlose Zahlungen via Twint setzen und keine Ausweichmöglichkeit hatten.

Wie gross war der Schaden?

DDoS-Angriffe verursachen im Vergleich zu Ransomware-Angriffen typischerweise geringere direkte Schäden, können aber durch Kaskadeneffekte erhebliche wirtschaftliche Auswirkungen haben:

  • Swisscom: Kosten für DDoS-Mitigation, verstärkte Infrastruktur und Krisenkommunikation
  • Twint: Entgangene Transaktionsgebühren, Reputationsschaden als «zuverlässige» Zahlungslösung
  • Einzelhandel und Gastronomie: Entgangene Umsätze durch ausgefallene Zahlungsterminals – geschätzt CHF 1–5 Mio. aggregiert über alle betroffenen Händler
  • Online-Handel: Kaufabbrüche und entgangene Umsätze durch fehlende Zahlungsoption
  • Gehostete Unternehmen: Betriebsunterbrechungen bei Firmen, die auf Swisscom-Cloud-Dienste angewiesen sind

Der aggregierte Schaden über alle betroffenen Parteien wird auf CHF 5–20 Mio. geschätzt, wobei der Reputationsschaden für Swisscom und Twint den grössten langfristigen Posten darstellt.

Hätte eine Cyberversicherung geholfen?

Für die direkt betroffene Swisscom ist die Versicherungsfrage weniger relevant – der Konzern verfügt über eigene Risikomanagement-Strukturen. Entscheidend ist die Frage für die indirekt betroffenen KMU: Händler, Gastronomen, Online-Shops und gehostete Unternehmen.

Kostenanalyse und Versicherungsdeckung (Perspektive KMU)

KostenpositionGeschätzte Kosten (pro KMU)Von Cyberversicherung gedeckt?
Umsatzverlust durch ZahlungsausfallCHF 1’000–20’000⚠️ Teilweise – abhängig von der Definition «Cybervorfall»
IT-Notfallmassnahmen (Umschaltung, Workarounds)CHF 500–5’000✅ Ja – Incident-Response-Leistung
Kundenkommunikation & BeschwerdemanagementCHF 200–2’000✅ Ja – Krisenkommunikation
Betriebsunterbrechung (gehostete Dienste)CHF 2’000–50’000✅ Ja – wenn der Ausfall durch einen Cybervorfall beim Provider verursacht wurde
Entgangene Online-BestellungenCHF 1’000–30’000⚠️ Teilweise – je nach Police-Formulierung
Vertragsstrafen (SLA-Verletzungen)CHF 0–10’000✅ Ja – Haftpflichtkomponente
Eigener DDoS-Schutz (nachrüsten)CHF 1’000–10’000❌ Nein – präventive Massnahme
Geschätzter Schaden pro KMUCHF 5’000–120’000~40–60 % potenziell gedeckt

Fazit: Die entscheidende Frage bei DDoS-Angriffen auf Drittanbieter ist, ob die eigene Cyberversicherung auch Schäden durch Ausfälle bei IT-Dienstleistern und Infrastrukturanbietern abdeckt. Moderne Policen enthalten diese «Contingent Business Interruption»-Klausel – ältere oft nicht. Lassen Sie Ihre Police prüfen.

Lehren für Schweizer KMU

Der Swisscom-DDoS-Fall offenbart eine oft übersehene Dimension der Cybersicherheit – die Abhängigkeit von Dritten:

  1. DDoS ist nicht «nur» ein Grosskonzern-Problem: Auch KMU werden direkt mit DDoS-Angriffen attackiert. Ein Online-Shop, der für wenige Stunden ausfällt, kann Tausende Franken Umsatz verlieren. DDoS-Attacken können heute für wenige hundert Franken im Darknet «bestellt» werden.

  2. Kaskadeneffekte treffen alle: Selbst wenn Ihr Unternehmen nicht direkt angegriffen wird – wenn Ihr Zahlungsanbieter, Cloud-Provider oder Telekomanbieter ausfällt, steht auch Ihr Geschäft still. Eine Cyberversicherung mit «Contingent Business Interruption»-Deckung schützt vor diesen Drittpartei-Risiken.

  3. Bargeldlose Abhängigkeit: Die zunehmende Abhängigkeit von digitalen Zahlungssystemen wie Twint macht Unternehmen verwundbar. Halten Sie immer eine Backup-Zahlungsmethode bereit (alternative Kartenleser, Barbezahlung).

  4. Redundanz als Strategie: Unternehmen, die auf einen einzigen Provider setzen, tragen ein Klumpenrisiko. Zwei unabhängige Internetanschlüsse oder ein Failover auf einen Zweitanbieter können die Auswirkungen eines DDoS-Angriffs massiv reduzieren.

  5. DDoS als Ablenkungsmanöver: In einigen Fällen nutzen Angreifer DDoS-Attacken als Ablenkung, während sie gleichzeitig Daten stehlen oder Ransomware installieren. Behandeln Sie jeden DDoS-Angriff als potenziellen Hinweis auf einen grösseren Vorfall.

  6. Versicherungspolice genau prüfen: Nicht jede Cyberversicherung deckt DDoS-Schäden gleich ab. Achten Sie auf: DDoS-spezifische Sublimits, Wartefristen (z. B. «Deckung erst nach 8 Stunden Ausfall»), und die Abgrenzung zwischen eigenem DDoS-Angriff und Ausfall beim Provider.

Schützen Sie Ihr Unternehmen

DDoS-Angriffe nehmen in Häufigkeit und Intensität zu. Die Kombination aus eigenem DDoS-Schutz, Redundanzplanung und einer passenden Cyberversicherung bietet den besten Schutz für Ihr Unternehmen.

Lassen Sie sich unverbindlich beraten. Die Experten der BTAG Versicherungsbroker AG in Bern prüfen Ihre bestehende Police auf DDoS-Deckungslücken und finden die optimale Lösung für Ihr Geschäftsmodell – ob Detailhandel, Gastronomie oder Online-Business.

Haben Sie Fragen zu Cyberversicherungen?

Unsere Partner bei BTAG Versicherungsbroker AG beraten Sie gerne — kostenlos und unverbindlich. Kein Verkaufsdruck, nur Expertise.

Mehr erfahren Oder berechnen Sie zuerst Ihre Kosten

Ein Service der BTAG Versicherungsbroker AG, Bern — unabhängige Beratung seit 1990.

BTAG Versicherungsbroker AG Mitglied SIBA FINMA Register-Nr. 12229
Beratung anfragen →