Bexio macht 2FA zur Pflicht: Schweizer Plattform reagiert auf Phishing-Welle

Grund ist eine konzertierte Phishing-Kampagne, bei der Angreifer IBAN-Daten auf Rechnungen manipulierten. Das Unternehmen mit über 100.000 Firmenkunden bestätigte, dass die eigenen Systeme nicht kompromittiert wurden – dennoch sei eine plattformweite Sicherheitsmaßnahme nötig. Bexio hat den Vorfall bereits den zuständigen Behörden gemeldet, darunter das Bundesamt für Cybersicherheit (BACS) und den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Der Schritt zeigt einen grundlegenden Wandel: Freiwillige Sicherheitsmaßnahmen werden zur Pflicht. Und das nicht nur in der Schweiz.

Angesichts der zunehmenden Professionalisierung von Phishing-Angriffen müssen Unternehmen ihre IT-Sicherheit heute proaktiver denn je gestalten. Dieser kostenlose Ratgeber zeigt, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Gratis-E-Book: Cyber-Security-Trends und Schutzmaßnahmen für Unternehmen

Das Sicherheitsparadoxon: 74 Prozent vertrauen auf Passwörter

Die Dringlichkeit solcher Maßnahmen belegt eine aktuelle Erhebung: Während rund 74 Prozent der Deutschen klassische Passwörter noch für sicher halten, nutzen nur 25 Prozent tatsächlich eine 2FA. Diese Lücke zwischen gefühlter und tatsächlicher Sicherheit ist ein Paradies für Kriminelle.

Hinzu kommt ein wegweisendes Urteil: Das Landgericht Berlin entschied am 22. April 2026, dass Finanzinstitute – im konkreten Fall die Apobank – für Schäden aus Phishing-Angriffen haften können. Die Botschaft ist klar: Wer eine digitale Plattform betreibt, muss sie auch gegen zeitgemäße Bedrohungen absichern. Kein Wunder also, dass die Diskussion um Haftungsfragen in der Branche Fahrt aufnimmt.

KI-gestützte Ransomware: Wenn Hacker-Amateur zum Ernstfall wird

Die technische Bedrohungslage verschärft sich rasant. Sicherheitsforscher von Check Point warnen vor einer neuen Ransomware namens VECT, die erstmals Ende 2025 auftauchte. Das Besondere: Sie wird häufig von sogenannten „Hacker-Amateuren" eingesetzt, die KI-gestützte Code-Generatoren und Darknet-Plattformen nutzen.

Die Software ist technisch oft fehlerhaft – statt Daten nur zu verschlüsseln, zerstört sie große Dateien komplett. Ein funktionierender Entschlüsselungs-Code existiert meist nicht. Die Angriffe wirken dann wie ein digitaler Flächenbrand, bei dem nichts mehr zu retten ist.

Der Markt für KI-Pakete in Cloud-Workloads ist zwischen 2024 und 2025 um fast 500 Prozent gestiegen. Diese Entwicklung befeuert sowohl legitime Innovation als auch kriminelle Aktivitäten.

Europas digitale Souveränität: Zwischen Anspruch und Wirklichkeit

Die regulatorische Landschaft wird komplexer. In Baden-Württemberg plant die Landesregierung, rund 40 Prozent der Stellen beim Landesbeauftragten für Datenschutz und Informationsfreiheit (LfDI) zu streichen. Kritiker wie die Deutsche Vereinigung für Datenschutz (DVD) sehen darin einen verstoß gegen die DSGVO – mit möglichen Verzögerungen bei Compliance-Anfragen.

Gleichzeitig zieht die europäische Schraube an: Die NIS2-Richtlinie, seit Dezember 2025 in deutschem Recht, setzt höhere Sicherheitsstandards für zahlreiche Branchen. Jörg von der Heydt von Bitdefender DACH betont: „Die Kontrolle der Identitätsebene in der Cloud ist entscheidend für die Souveränität über sensible Daten.“

Ein positives Signal: Der Europäische Datenschutzausschuss (EDPB) hat am 8. Mai 2026 das „Europrivacy“-Siegel genehmigt. Unternehmen erhalten damit einen standardisierten Weg, DSGVO-Konformität nachzuweisen.

Whistleblower-Schutz: Fristen abgelaufen, erste Bußgelder verhängt

Seit Anfang 2026 gelten verschärfte Regeln: Mittelständische Unternehmen ab 50 Mitarbeitern müssen interne Meldekanäle nach dem Hinweisgeberschutzgesetz (HinSchG) eingerichtet haben. Im Frühjahr 2026 wurden erste Bußgelder von bis zu 50.000 Euro verhängt. Die Geschäftsführung haftet persönlich bei Verstößen.

Der Fall des Zürcher Whistleblowers André Plass, der Unregelmäßigkeiten in der Herzchirurgie aufdeckte, zeigt die Brisanz: Trotz Bestätigung seiner Vorwürfe sah er sich beruflicher Kritik ausgesetzt. Auch im Kanzleramt laufen Ermittlungen zu einem Leak im Zusammenhang mit den Nord-Stream-Ermittlungen.

Da die Übergangsfristen für das Hinweisgeberschutzgesetz abgelaufen sind, riskieren versäumte Meldewege nun empfindliche Bußgelder für die Geschäftsführung. Dieser Praxisleitfaden mit Checkliste hilft Ihnen, interne Meldestellen rechtssicher zu organisieren und typische Datenschutzfehler zu vermeiden. Kostenlosen Praxisleitfaden zum Hinweisgeberschutzgesetz (HinSchG) herunterladen

Ab dem zweiten Quartal 2026 erweitert der EU AI Act die Meldepflichten auf Hochrisiko-KI-Systeme.

Die neue Haftungsrealität: Gerichte ziehen die Zügel an

Die juristische Entwicklung ist eindeutig: Identitätsdiebstahl gilt nicht mehr als unvermeidbares Risiko, das allein der Endnutzer zu tragen hat. Das LG Berlin-Urteil zur Bankenhaftung setzt ein Signal: Wer eine Plattform bereitstellt, muss deren Sicherheit gewährleisten.

Das Bundesverwaltungsgericht entschied am 6. März 2026, dass private Krankenversicherungen Diagnosedaten von Bestandskunden nicht ohne ausdrückliche Einwilligung für Präventionsprogramme nutzen dürfen. Selbst für „wohltätige“ Zwecke bleibt die Kontrolle über die eigene Identität beim Individuum.

Die Organisation NOYB reichte am 7. Mai 2026 Klage gegen LinkedIn ein – ein weiterer Mosaikstein im systematischen Kampf gegen undurchsichtige Datenpraktiken großer Plattformen.

Ausblick: Fristen, die Unternehmen kennen müssen

Die EU-Richtlinie „Digital Omnibus VII“ setzt entscheidende Termine:
- 2. Dezember 2026: Verbot von Deepfake-Apps und Pflicht zur KI-Kennzeichnung
- 2. Dezember 2027: Compliance-Deadline für Hochrisiko-KI-Systeme

Für viele Unternehmen steht die Implementierung automatisierter Abwehrsysteme im Vordergrund. Große Konzerne wie Accenture und Hitachi Energy suchen derzeit spezialisierte Cybersicherheits-Analysten – die Nachfrage nach menschlicher Expertise bleibt hoch.

Die Botschaft aus der Schweiz ist deutlich: Die Ära der optionalen Hochsicherheit geht zu Ende. Wer compliant bleiben und Haftung vermeiden will, kommt an KI-gestützte Identitätssicherung und verpflichtender Authentifizierung nicht mehr vorbei.

de | wirtschaft | 69306176 |