Am 16. Juni 2025 wurde die Schweizerische Gesundheitsstiftung Radix Opfer eines verheerenden Ransomware-Angriffs, der nicht nur die Organisation selbst, sondern auch sensible Daten der Bundesverwaltung kompromittierte. Die Hackergruppe „Sarcoma“ stahl etwa 1,3 Terabyte Daten, verschlüsselte Systeme und veröffentlichte die gestohlenen Informationen im Darknet, nachdem Lösegeldforderungen nicht erfüllt wurden. Dieser Vorfall reiht sich in eine besorgniserregende Serie von IT-Pannen und Cyberangriffen ein, die die Schweizer Bundesverwaltung und ihre externen Auftragnehmer in den letzten Jahren immer wieder erschüttert haben.
Der Cyberangriff auf Radix: Chronologie und Auswirkungen
Die Radix-Stiftung, eine Non-Profit-Organisation mit Sitz in Zürich, ist ein zentraler Akteur in der Schweizer Gesundheitsförderung. Sie betreibt Programme wie „SafeZone“ und „StopSmoking“ im Auftrag des Bundesamts für Gesundheit (BAG) und arbeitet mit verschiedenen Bundesstellen zusammen. Am 16. Juni 2025 traf ein gezielter Ransomware-Angriff die IT-Infrastruktur von Radix. Die Angreifer, die sich zur Gruppe „Sarcoma“ bekannten, extrahierten etwa 1,3 Terabyte an sensiblen Daten, verschlüsselten Systeme und drohten mit der Veröffentlichung, falls kein Lösegeld gezahlt würde. Am 29. Juni wurden die Daten schliesslich im Darknet veröffentlicht, was einen „erheblichen Schaden“ verursachte, wie Radix selbst mitteilte.
Zu den betroffenen Daten gehören Informationen von Bundesstellen, die Kunden von Radix sind.
Das Bundesamt für Cybersicherheit (BACS) betonte, dass die Angreifer keinen direkten Zugriff auf die Systeme der Bundesverwaltung hatten, da Radix keinen solchen Zugriff besitzt. Dennoch wurden Daten von Verwaltungseinheiten kompromittiert, was Fragen zur Sicherheit der Datenweitergabe an Dritte aufwirft. Derzeit analysieren das BACS und betroffene Stellen die geleakten Daten, um das genaue Ausmass zu ermitteln. Radix informierte zudem betroffene Personen, falls besonders schützenswerte Daten betroffen waren.
Der Angriff folgt dem typischen Muster von Ransomware-Attacken: Nach unbefugtem Zugriff werden Daten gestohlen, verschlüsselt, und die Opfer werden erpresst. Bleibt die Zahlung aus, erfolgt die Veröffentlichung im Darknet, um den Druck zu erhöhen. Der Vorfall zeigt, wie anfällig selbst Organisationen mit hohen Sicherheitsstandards, wie Radix sie angibt, für derartige Angriffe sind.
IT-Pannen und Cyberangriffe beim Schweizer Bund
Der Radix-Angriff ist kein Einzelfall, sondern Teil einer Kette von IT-Sicherheitsvorfällen, die die Schwächen der Schweizer Bundesverwaltung und ihrer Auftragnehmer offenlegen. Ein prominentes Beispiel ist der Xplain-Hack von 2023, bei dem die Ransomware-Gruppe „Play“ sensible Daten des Bundesamts für Polizei (Fedpol) und des Bundesamts für Zoll und Grenzschutz (BAZG) stahl und im Darknet veröffentlichte. Xplain, ein IT-Dienstleister für Sicherheitslösungen, war ähnlich wie Radix ein externer Auftragnehmer des Bundes. Der Vorfall führte zu erheblichen politischen und öffentlichen Debatten über die Vergabe von IT-Dienstleistungen an Dritte und die mangelnde Absicherung sensibler Daten.
Weitere historische IT-Pannen umfassen:
2018: Schwachstellen in der IT-Infrastruktur des Bundes: Eine Untersuchung des Schweizer Rechnungshofs deckte erhebliche Mängel in der IT-Sicherheit des Bundes auf, darunter unzureichende Firewalls und veraltete Software. Diese Schwächen erhöhten das Risiko für Cyberangriffe.
2020: Datenleck bei der Schweizer Armee: Persönliche Daten von Rekruten wurden auf unsicheren Servern gespeichert, was zu einem öffentlichen Skandal führte.
2024: Anstieg von CEO-Betrug und Chain Phishing: Laut dem BACS-Halbjahresbericht 2024 nahmen gezielte Angriffe auf Unternehmen und Verwaltungen zu, darunter Techniken wie Chain Phishing, die mehrere Zugangsdaten gleichzeitig erbeuten.
Diese Vorfälle verdeutlichen ein systemisches Problem
Die Schweizer Bundesverwaltung ist auf externe Dienstleister wie Radix oder Xplain angewiesen, doch die Sicherheitsstandards dieser Auftragnehmer sind oft nicht ausreichend, um hochentwickelten Cyberangriffen standzuhalten. Die Abhängigkeit von Dritten, gepaart mit unzureichender Überwachung und Standardisierung, schafft Schwachstellen in der digitalen Lieferkette.
Der Radix-Angriff wirft mehrere kritische Fragen auf:
Unzureichende Sicherheitsmassnahmen bei Auftragnehmern: Trotz Radix’ Behauptung, „sehr hohe Sicherheitsstandards“ zu haben, konnte die Sarcoma-Gruppe erfolgreich eindringen. Dies deutet auf Schwächen in der IT-Infrastruktur oder im Sicherheitsmanagement hin. Die genaue Angriffsmethode ist noch unklar, was die Notwendigkeit einer transparenten Untersuchung unterstreicht.
Datenweitergabe an Dritte: Die Bundesverwaltung übergibt sensible Daten an externe Partner wie Radix, ohne dass diese offenbar ausreichend gesichert sind. Der Xplain-Vorfall zeigte bereits, dass solche Datenweitergaben ein hohes Risiko darstellen.
Reaktive statt proaktive Cybersicherheit: Das BACS wurde erst nach dem Angriff informiert, was auf eine reaktive Haltung schliessen lässt. Präventive Massnahmen wie regelmässige Sicherheitsaudits bei Auftragnehmern scheinen unzureichend zu sein.
Mangelnde Transparenz: Obwohl Radix und das BACS die Öffentlichkeit „zu gegebener Zeit“ informieren wollen, bleibt unklar, welche Daten genau betroffen sind und wie gross der Schaden ist. Diese Intransparenz schürt weiteres Misstrauen.
Ein Muster der NachlässigkeitDie wiederholten IT-Pannen des Bundes deuten auf ein tief verwurzeltes Problem hin: eine Kultur der Nachlässigkeit in der IT-Sicherheit. Während die Schweiz als technologisch fortschrittliches Land gilt, hinkt die öffentliche Verwaltung in der Cybersicherheit hinterher. Der Xplain-Hack 2023 und der Radix-Angriff 2025 zeigen Parallelen:
- Beide betrafen externe Auftragnehmer mit Zugang zu sensiblen Daten.
- In beiden Fällen wurden die Daten im Darknet veröffentlicht, was den Schaden erheblich verschärfte.
- Die Reaktion der Behörden war reaktiv, mit unzureichender Kommunikation über das Ausmass des Schadens.
Diese Muster legen nahe, dass der Bund seine Vergabepolitik und Sicherheitsstandards für Auftragnehmer überdenken muss. Die Abhängigkeit von externen Dienstleistern wie Radix oder Xplain erfordert strengere Audits, einheitliche Sicherheitsprotokolle und eine bessere Überwachung.Empfehlungen für die Zukunft.
