Wolkenfelder, kaum Regen16°
DE | FR
burger
Wirtschaft
Schweiz

Phishing-Welle trifft grössten Schweizer KMU-Software-Anbieter Bexio

Teaserbild Bexio Phishing-Welle im Mai 2026.
Bei Phishing-Attacken schnappen Cyberkriminelle die Logindaten zu Opfer-Konten, um sich dann unbemerkt dort einzuloggen.Bild: pd / watson

Phishing-Welle trifft Schweizer KMU – grosser Software-Anbieter ergreift Notfallmassnahmen

Der Business-Software-Anbieter Bexio muss seine mehr als 100'000 Firmenkunden vor einer aktuellen Angriffswelle warnen, bei der es bereits mehrere Betrugsopfer gab. Nun verschärfen die Verantwortlichen die IT-Sicherheitsmassnahmen.
08.05.2026, 20:4708.05.2026, 21:41
Daniel Schurter
Daniel Schurter

Dicke digitale Post für Bexio-Kunden.

Der Schweizer Software-Anbieter bestätigte am Freitagabend auf Anfrage von watson, dass eine grosse Phishing-Angriffswelle gegen die Kundinnen und Kunden laufe. Mehrere Betroffene haben Strafanzeige eingereicht, weil Cyberkriminelle in ihre Konten eindrangen und auf Daten zugriffen.

Bexio, eine Tochtergesellschaft der Versicherung Mobiliar, gilt als Marktführerin bei cloudbasierter Business-Software und hat gemäss eigenen Angaben landesweit über 100'000 Firmenkunden – kleine und mittlere Unternehmen (KMU).

Kommunikationschef Thommy Rüegg betonte, dass die Systeme des Software-Anbieters zu keinem Zeitpunkt kompromittiert worden seien: «Es gab keinen unbefugten Zugriff auf unsere Infrastruktur.» Die bislang unbekannten Cyberkriminellen würden über externe Server angreifen.

Das Ausmass der Angriffe sei unklar. «Da der Versand der gefälschten E-Mails über fremde Netzwerke erfolgt, können wir die exakte Anzahl der Nachrichten nicht beziffern.»

Welche Gegenmassnahmen trifft Bexio?

Der Telefon-Support des in Rapperswil-Jona SG angesiedelten Unternehmens bestätigte am Freitag bei einem Testanruf von watson, dass es zu Angriffen gekommen sei und warnte vor entsprechenden betrügerischen Mails. Kunden sollten keinesfalls in echt wirkenden Nachrichten auf Links klicken und – sofern noch nicht erfolgt – die Zwei-Faktor-Authentifizierung (2FA) aktivieren.

Wenige Stunden später verkündete der Bexios-Kommunikationschef gegenüber watson die sofortige Verschärfung der eigenen Sicherheitsmassnahmen.

«Wir haben als Sofortmassnahme die Zwei-Faktor-Authentifizierung (2FA) für alle Kunden zwingend implementiert. Das schützt betroffene Konten zukünftig vor unbefugtem Zugriff – selbst dann, wenn Nutzer ihre Zugangsdaten auf einer Phishing-Seite eingegeben haben.»

Parallel dazu würden die eigenen Spezialisten laufend die Lage analysieren, um bestmöglich reagieren zu können, versichert der Bexio-Kommunikationschef.

Wann werden betroffene Kunden informiert?

Am Freitagmittag hatte sich ein besorgter Bexio-Kunde bei watson gemeldet und von einem Hackerangriff auf sein Bexio-Konto erzählt. Der Phishing-Angriff habe sich bereits in der Vorwoche ereignet und er warte immer noch auf eine angemessene Reaktion des Software-Anbieters.

Am Freitagabend erklärte der Bexio-Kommunikationschef:

«Wir kommunizieren bereits proaktiv. Wir haben eine zentrale Informationsseite mit Sicherheitshinweisen für unsere Kunden aufgeschaltet. Zudem betreut unser Support-Team Nutzer, die uns verdächtige Aktivitäten melden, mit höchster Priorität.»

Täter stahlen Adressdaten

Der betroffene Kunde schildert gegenüber watson, dass sein Unternehmen die Lohnbuchhaltung, Buchhaltung und Adressverwaltung mit Bexio-Software betreibe. Dann musste er plötzlich herausfinden, dass unbekannte Cyberkriminelle die Kontodaten von Rechnungen verändert hätten. Ahnungslose Kontakte sollten so dazu gebracht werden, die geforderten Summen auf falsche Konten einzubezahlen.

Der Unternehmer, der nicht namentlich genannt werden kann, erzählt:

«Bei uns wurden [von den unbekannten Angreifern] IBAN-Nummern verändert sowie Personendaten entwendet. Wir haben unser E-Banking nicht mit dem Bexio-Konto verbunden, bei anderen betroffenen Unternehmen dürfte dies aber der Fall sein.»

watson liegt die E-Mail-Korrespondenz zwischen dem Bexio-Kunden und der Supportabteilung vor.

In einem Mail an den Support schildert er, dass die Angreifer unter anderem bei verschiedenen Lieferantenrechnungen die IBAN änderten. Eventuell hätten dies die Cyberkriminellen auch bei Lieferanten-Kontakten getan.

Er habe nun Strafanzeige eingereicht.

Wie läuft eine Phishing-Attacke konkret ab?

Landesweite Angriffe

Die Angriffe gegen Bexio-Kunden sind in den Kontext einer grösseren, schweizweiten Welle von Cyberangriffen einordnen. Die IBAN-Manipulationen decken sich mit aktuellen Warnungen des Bundesamts für Cybersicherheit (BACS).

Im jüngsten Halbjahresbericht berichten die Cybersicherheitsfachleute des Bundes von einer massiven Zunahme des sogenannten «Business E-Mail Compromise» (BEC).

Das perfide Vorgehen der Täter:

  • Das Eindringen: Hacker verschaffen sich Zugriff auf die Konten von KMU (oft über Phishing oder schwache Passwörter ohne Zwei-Faktor-Authentifizierung).
  • Die Manipulation: Innerhalb der Software (wie Bexio) werden die hinterlegten IBAN-Nummern in den Stammdaten oder direkt auf Rechnungsentwürfen geändert.
  • Der Versand: Die Rechnungen sehen absolut echt aus, da sie direkt aus dem System des Opfers verschickt werden. Die Kunden der betroffenen Firma überweisen das Geld dann ahnungslos auf das Konto der Betrüger.

Gehackte Konten verursachen für die Betroffenen unter Umständen einen beträchtlichen Aufwand: Wenn die Gefahr einer Datenschutzverletzung besteht, müssen umfangreiche Abklärungen getroffen werden. Bei gravierenderen Fällen muss der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zwingend informiert werden.

Betroffene sollten Vorfälle zudem freiwillig beim BACS (über das offizielle Meldeformular auf ncsc.admin.ch) melden und bei der Kantonspolizei zur Anzeige bringen.

Insider-Informationen?
watson-Redaktor Daniel Schurter ist über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann verschlüsselte E-Mails verschicken.

Quellen

Angriff auf Schweizer IT-Dienstleister betrifft diverse Firmen und legt Gemeinde lahm
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Wie die Techkonzerne das Internet kaputtmachen
1 / 16
Wie die Techkonzerne das Internet kaputtmachen

Facebook-Gründer Mark Zuckerberg mag sich als Nerd verkleiden, doch das ändert nichts daran, dass der Techmilliardär ein Totengräber des freien Internets ist. In diesem Beitrag erfährst du, warum jede neue Plattform für uns User im Desaster endet...
quelle: keystone / nic coury
Auf Facebook teilenAuf X teilen
Elon Musks «Grok» überzeugt Mann, dass er in Lebensgefahr sei
Video: watson
Das könnte dich auch noch interessieren:
Du hast uns was zu sagen?
Hast du einen relevanten Input oder hast du einen Fehler entdeckt? Du kannst uns dein Anliegen gerne via Formular übermitteln.
6 Kommentare
Zum Login
user avatar
Dein Kommentar
YouTube Link
0 / 600
Hier gehts zu den Kommentarregeln.
Die beliebtesten Kommentare
avatar
International anerkannter Experte für ALLES
08.05.2026 21:18registriert Juli 2021
Geht grad ab in letzter Zeit… 2 local Privilege-Escalations im Linux Kernel in einer Woche, mehrere CVSS 10.0 Vulnerabilities seit Anfang Jahr, Phishing-Wellen (auch Spear-Phishing, Quishing etc.)

Meine Empfehlung: Wenn immer möglich von Username/Password zu PassKeys wechseln. Geht nicht überall (leider), aber dort wo es geht, lohnt es sich. Wo es nicht geht, mindestens MFA einschalten.

Disclaimer: Seit 25+ Jahren in der Cybersecurity tätig.
265
Melden
Zum Kommentar
6
Pünktlich zu den Eisheiligen wird es kühler – warum die Bauernregel trotzdem nicht stimmt
Wir blicken auf einen ziemlich milden und sonnigen Frühlingsbeginn zurück. Einer Bauernregel zufolge müssen sich Gärtnerinnen und Gärtner aber zu den Eisheiligen hin nochmals mit dem Thema Bodenfrost beschäftigen. Dieses Jahr könnte das sogar stimmen.
Die Eisheiligen kehren 2026 vom Montag, 11. Mai, bis Freitag, 15. Mai, in der Schweiz ein. Sie finden jedes Jahr zum gleichen Datum statt.
Zur Story