Cyberkriminalität: Hackergruppe AKIRA intensiviert ihre Aktivitäten
17.10.2025 | von Bundesamt für Cybersicherheit (BACS)
Lesezeit: 4 Minuten
17.10.2025, Gemeinsame Medienmitteilung BA, fedpol, BACS - Die Hackergruppe AKIRA hat in den letzten Monaten ihre Aktivitäten in der Schweiz intensiviert. Ungefähr 200 Unternehmen wurden Opfer von Ransomware-Angriffen. Der Schaden beläuft sich derzeit auf mehrere Millionen Schweizer Franken und weltweit auf mehrere hundert Millionen Dollar. Seit April 2024 führt die Bundesanwaltschaft (BA) ein Strafverfahren. Die Ermittlungen werden unter Koordination des Bundesamts für Polizei (fedpol) in enger Zusammenarbeit mit dem Bundesamt für Cybersicherheit (BACS) und den Behörden verschiedener mitwirkender Länder geführt. Die schweizerischen Behörden erinnern daran, wie wichtig es ist, sich vor Ergreifen jeglicher Massnahmen mit ihnen in Verbindung zu setzen und Strafantrag zu stellen.
Seit April 2024 führt die BA ein Strafverfahren gegen Unbekannt wegen mehrerer Ransomware-
Angriffe auf schweizerische Unternehmen zwischen Mai 2023 und September 2025. Solche Angriffe,
zu denen sich die Hackergruppe namens AKIRA bekannt hat, laufen nach wie vor und haben sich in
den letzten Monaten noch intensiviert. Die Behörden haben eine Zunahme der Fallzahlen im
Zusammenhang mit dieser Ransomware festgestellt (vier bis fünf Fälle pro Woche – ein Rekord in
der Schweiz), was belegt, dass die fragliche Gruppe sehr aktiv ist. Ungefähr 200 Unternehmen in der
Schweiz wurden bereits Opfer dieser Angriffe. Der Schaden beläuft sich derzeit auf mehrere Millionen
Schweizer Franken und weltweit auf mehrere hundert Millionen Dollar.
Die BA hat mehrere kantonale Strafverfahren übernommen, die im selben Zusammenhang eröffnet
wurden. Das Verfahren gegen Unbekannt wird geführt wegen unbefugter Datenbeschaffung (Art. 143
StGB), Datenbeschädigung (Art. 144bis StGB) und Erpressung (Art. 156 StGB) sowie hilfsweise
versuchter Erpressung (Art. 22 cum 156 StGB). Die Ermittlungen werden unter Koordination des
Bundesamts für Polizei (fedpol) in enger Zusammenarbeit mit dem Bundesamt für Cybersicherheit
(BACS) und den Behörden verschiedener mitwirkender Länder geführt.
Die Hackergruppe AKIRA ist im März 2023 erstmals aufgetaucht und wurde schnell in mehreren
Artikeln der Fachpresse thematisiert. Sie agiert mittels spezieller und eigens entwickelter Software
und verfügt über eine IT-Infrastruktur, die international über mehrere Länder verteilt ist. Sie praktiziert
die so genannte doppelte Erpressung, bei der Daten des Opfers erst entwendet und dann
verschlüsselt werden. Nach der Verschlüsselung der Daten ist für das Opfer nur noch die teilweise
oder vollständige Blockade seines IT-Netzwerks festzustellen, was die Geschäftstätigkeit des
betroffenen Unternehmens verunmöglichen kann. Wird das Lösegeld nicht innert der gesetzten Frist
entrichtet, wird dem Opfer nicht nur der Entschlüsselungscode zu den Daten weiter vorenthalten;
sondern AKIRA publiziert diese Daten zudem auf einem Blog im Darknet. Der Name dieses Blogs
lautet «DLS» für «Data Leak Site». Die Zahlung des Lösegelds erfolgt in Kryptowährung, meistens in
Bitcoin.
Zahlen Sie kein Lösegeld – melden Sie den Angriff an die Behörden
Im Hinblick auf die bislang im Rahmen der Ermittlungen erhobenen Informationen gehen die
Behörden von einer gewissen Dunkelziffer aus. Dies ist darauf zurückzuführen, dass die Opfer der
Hackergruppe aus Angst um ihren Ruf das geforderte Lösegeld zahlen und/oder auf Strafantrag
verzichten. Die BA, fedpol und das BACS betonen, dass sich dank der Einreichung eines
Strafantrags die Anzahl möglicher Ermittlungsansätze erhöhen lässt, womit die Erfolgschancen im
Kampf gegen solche kriminellen Gruppen steigen. Die Behörden weisen darauf hin, dass man kein
Lösegeld bezahlen soll, denn dieses dient der Finanzierung der kriminellen Aktivitäten. Es wird
folglich empfohlen, die Behörden zu Rate zu ziehen, bevor Massnahmen in Reaktion auf
Lösegeldforderungen bei einem Ransomware-Angriff unternommen werden.
Konkrete Massnahmen
Bei solchen Ransomware-Angriffen handelt es sich zwar in der Regel um komplexe Angriffe, aber die
Mehrzahl davon lässt sich vermeiden. Der Zugriff bei solchen Angriffen erfolgt meistens über nicht
aktualisierte Systeme und Fernzugriffe wie VPNs (Virtual Private Networks) und RDPs (Remote
Desktop Protocols), die nicht durch eine Zwei-Faktor-Authentifizierung (2FA) geschützt sind. Bei
einem solchen Vorfall müssen zunächst sämtliche Internetverbindungen (Web, E-Mail, Fernzugriffe
und Site-to-Site-VPN) gekappt werden. Datensicherungen (Backups) müssen unverzüglich geprüft
und gesichert werden. Die Systeme gehören ebenfalls schnellstmöglich physisch vom infizierten
Netzwerk getrennt. Das Hauptziel der Vorfallsbewältigung sind das Auffinden des Infektionsweges
sowie die Verhinderung einer neuen Infektion. Die Behörden empfehlen, in jedem Fall Strafanzeige
einzureichen.
Adresse für Rückfragen:
Kommunikation des Bundesamts für Cybersicherheit
+41 58 465 53 56
media@ncsc.admin.ch
Kommunikationsdienst der Bundesanwaltschaft
+41 58 464 32 40
info@ba.admin.ch
Kommunikationsdienst fedpol
+41 58 463 13 10
media@fedpol.admin.ch
Fazit zu diesem Artikel: « Cyberkriminalität: Hackergruppe AKIRA intensiviert ihre Aktivitäten »
Kommunikation des Bundesamts für Cybersicherheit
+41 58 465 53 56
media@ncsc.admin.ch
Kommunikationsdienst der Bundesanwaltschaft
+41 58 464 32 40
info@ba.admin.ch
Kommunikationsdienst fedpol
+41 58 463 13 10
media@fedpol.admin.ch
Fazit zu diesem Artikel: « Cyberkriminalität: Hackergruppe AKIRA intensiviert ihre Aktivitäten »
Quelle: Bundesamt für Cybersicherheit (BACS), Pressemitteilung