Darum gehts
- Kriminelle nutzen SMS-Blaster seit Sommer 2025 für Phishing in Schweizer Städten
- SMS-Blaster täuschen Mobilfunkantennen vor und umgehen Sicherheitsfilter
- Im zweiten Halbjahr 2025 wurden total 29'006 Cyberbedrohungen gemeldet
Ein schwarzes Auto fährt durch Schweizer Städte. Im Kofferraum liegt ein unscheinbares Gerät. Es sendet ein Signal und zwingt Handys im Umkreis von bis zu einem Kilometer, sich zu verbinden. Dann erhalten alle Eingewählten eine Phishing-SMS. Der Inhalt? Vertraut: Paketbenachrichtigungen oder Warnungen angeblich im Namen der Post, von der UBS, der Migros oder von Behörden. Neu ist der Weg, auf dem sie ankommen.
Ab Sommer 2025 taucht die Methode erstmals in der Schweiz auf. SMS-Blaster nennt das Bundesamt für Cybersicherheit (Bacs) das Gerät. Weil die Schweizer Telecomfirmen ihre Phishing-Filter massiv verschärft haben, kurven Kriminelle jetzt durch Schweizer Städte. Der Clou: Diese SMS-Blaster geben sich als beste verfügbare Mobilfunkantenne aus. Verbundene Handys werden dann auf den hier veralteten 2G-Standard herabgestuft. Dort klafft eine Lücke, eine sogenannte Null-Cipher. Über sie lassen sich SMS zustellen, ohne dass der Mobilfunkanbieter eingreifen kann. Phishing-Filter greifen ins Leere. Im November 2025 schnappte die Kantonspolizei Basel-Landschaft einen Verdächtigen mit einem SMS-Blaster im Auto.
Meldepflicht zeigt Wirkung
Der am Montag veröffentlichte Halbjahresbericht des Bacs zeigt: Die Cyberbedrohungslage bleibt hoch. 29'006 freiwillige Meldungen gingen in der zweiten Jahreshälfte 2025 ein, etwas mehr als im gleichen Zeitraum im Vorjahr. Erstmals flossen Cybervorfälle von Betreibern kritischer Infrastrukturen in den Bericht ein: 325 Meldungen gab es, seit die Meldepflicht am 1. April 2025 in Kraft trat. Florian Schütz, Direktor des Bundesamtes für Cybersicherheit, sieht einen klaren Nutzen. «Wenn wir sehen, dass es einen Angriff auf Gemeinde X gibt, können wir schneller auch andere Gemeinden warnen.»
Die Akira-Gang legt zu
Besonders aktiv war im zweiten Halbjahr die Ransomware-Gruppe Akira. 26 Angriffe auf Schweizer Organisationen schreibt das Bacs der Gruppe zu: fast viermal so viele wie im ersten Halbjahr. Akira verschlüsselt Daten, droht mit deren Veröffentlichung und verlangt Lösegeld. Der Einstieg gelingt ihr oft über eine Schwachstelle in Geräten des Herstellers Sonicwall. Dies ist zwar bereits seit August 2024 bekannt und Sicherheitsupdates sind vorhanden, von vielen Firmen wurden sie aber nie eingespielt.
Was Cyberangriffe anrichten können, zeigt ein Fall aus Grossbritannien: Ein Ransomware-Angriff auf Jaguar Land Rover legte die Produktion wochenlang lahm. Über 5000 Zulieferer waren betroffen. Der wirtschaftliche Schaden betrug rund 1,9 Milliarden Pfund. Die britische Regierung musste mit einer Kreditgarantie einspringen. Hierzulande blieb ein Vorfall dieser Grössenordnung bisher aus, so das Bacs.
Der Router als Tatwaffe
Kriminelle nutzen Schweizer Infrastruktur auch als Abschussrampe für Angriffe im Ausland: Heimrouter und vernetzte Geräte werden unbemerkt gekapert und zu sogenannten ORB-Netzwerken verknüpft. Die Besitzer ahnen nichts. «Wir sehen eine Zunahme des Phänomens, dass die Schweiz verwendet wird, um Angriffe zu fahren», sagte Schütz vor den Medien. Gegenmittel: den Router regelmässig aktualisieren.
Betrug dominiert Bilanz
Das häufigste Phänomen bleibt Betrug: 15'090 Meldungen gab es im 2. Halbjahr. Zwar weniger als im Vorjahreszeitraum, weil Drohanrufe im Namen von Behörden zurückgingen. Dafür nahm eine andere Masche zu: der Rückforderungsbetrug. Opfer von Online-Anlagebetrug werden erneut kontaktiert, mit dem Versprechen, das gestohlene Geld zurückzuholen. 325 solche Fälle vermeldete das Bacs: mehr als doppelt so viele wie im ersten Halbjahr. In einem Fall verlor ein Opfer zunächst 10'000 Franken bei einem Anlagebetrug. Zwei Jahre später stellten die Kriminellen in Aussicht, das verlorene Geld samt Gewinn, insgesamt 600'000 Franken, zurückzuholen. Dafür verlangten sie erneut 22'000 Franken «Gebühren».