Neue Ransomware-Bande BravoX attackiert Schweizer Softwarefirma Soreco

Die aufstrebende Ransomware-Gruppe BravoX hat die Zürcher Softwarefirma Soreco über eine VPN-Schwachstelle angegriffen. Das Unternehmen zahlt kein Lösegeld.

Was ist passiert?

Die Zürcher Softwarefirma Soreco aus Schwerzenbach ist Opfer eines Ransomware-Angriffs geworden. Hinter der Attacke steckt die neue Ransomware-Gruppe BravoX, die erst seit Februar 2026 aktiv ist und ihre ersten Opfer im Dark Web veröffentlicht hat. Soreco war das achte Unternehmen auf der Opferliste der Gruppe.

Der Angriff wurde Mitte Februar 2026 entdeckt. CEO Claude Sieber bestätigte: «Wir haben diesen Mitte Februar bemerkt. Die Angreifer sind über eine VPN-Lücke eingedrungen.»

Soreco ist spezialisiert auf Business-Software für Finanz- und Dokumentenmanagement und zählt damit zu den Unternehmen, die besonders sensible Geschäftsdaten verarbeiten.

Wer ist betroffen?

Betroffen waren primär Entwicklungsserver des Unternehmens. Die verschlüsselten Daten umfassten hauptsächlich:

  • Programmcode
  • Produktdokumentationen

Die Betriebsauswirkungen waren laut CEO Sieber «minimal» — der Geschäftsbetrieb wurde kaum beeinträchtigt. Ob auch Kundendaten kompromittiert wurden, ist aus den bisherigen Berichten nicht eindeutig ersichtlich.

Reaktion des Unternehmens

Soreco hat vorbildlich reagiert:

  • Kein Lösegeld bezahlt — das Unternehmen verweigerte jede Zahlung
  • Sofortige Sicherheitsmassnahmen unter Anleitung externer Spezialisten
  • Anzeige bei der Polizei erstattet
  • Meldung an das BACS (Bundesamt für Cybersicherheit)

Über die Ransomware-Gruppe BravoX

BravoX ist eine neue Ransomware-Bande, die nach dem Ransomware-as-a-Service (RaaS)-Modell operiert. Sie setzt auf doppelte Erpressung: Daten werden nicht nur verschlüsselt, sondern zuvor auch exfiltriert und mit Veröffentlichung gedroht.

Sicherheitsexperten stufen BravoX als Gruppe in einem frühen Stadium ein. Seit Anfang 2026 sind neben BravoX insbesondere Qilin (drei Schweizer Opfer) und Akira (zwei Schweizer Opfer) die aktivsten Ransomware-Gruppen in der Schweiz.

Einordnung und Versicherungsbezug

Der Fall Soreco zeigt mehrere typische Muster:

VPN als Einfallstor: Unsichere oder ungepatchte VPN-Zugänge bleiben einer der häufigsten Angriffsvektoren. Schweizer KMU sollten ihre VPN-Infrastruktur regelmässig aktualisieren und auf Zero-Trust-Architekturen umstellen.

Neue Banden, gleiche Gefahr: Auch wenn BravoX noch jung ist, operiert die Gruppe hochprofessionell. In der Schweiz waren 2025 bereits 32 verschiedene Ransomware-Gruppen aktiv — mit 80 registrierten Angriffen, Tendenz steigend.

Warum eine Cyberversicherung hilft:

  • Betriebsunterbrechungskosten — auch bei «minimalen» Auswirkungen entstehen interne Kosten
  • Forensische Untersuchung — externe Spezialisten sind teuer, aber notwendig
  • Rechtsberatung — insbesondere bei potenzieller Kompromittierung von Kundendaten
  • Wiederherstellungskosten — Systeme neu aufsetzen, Backups einspielen, Sicherheitslücken schliessen

Lehren für Schweizer KMU

  1. VPN-Zugänge absichern — Multi-Faktor-Authentifizierung ist Pflicht, regelmässige Patches unerlässlich
  2. Segmentierung — Entwicklungsserver und produktive Systeme strikt trennen
  3. Backups testen — nur getestete Backups schützen vor Ransomware
  4. Incident-Response-Plan erstellen — Soreco konnte schnell reagieren, weil Prozesse definiert waren
  5. Cyberversicherung prüfen — sie deckt Kosten, die selbst bei glimpflichen Angriffen erheblich sein können

Haben Sie Fragen zu Cyberversicherungen?

Unsere Partner bei BTAG Versicherungsbroker AG beraten Sie gerne — kostenlos und unverbindlich. Kein Verkaufsdruck, nur Expertise.

Mehr erfahren Oder berechnen Sie zuerst Ihre Kosten

Ein Service der BTAG Versicherungsbroker AG, Bern — unabhängige Beratung seit 1990.

BTAG Versicherungsbroker AG Mitglied SIBA FINMA Register-Nr. 12229
Beratung anfragen →