Ein verheerender Cyberangriff auf die Zürcher Non-Profit-Organisation Radix hat 1,3 Terabyte an sensiblen Regierungsdaten kompromittiert und zeigt erneut die wachsende Bedrohung für staatliche Institutionen durch Angriffe auf deren Dienstleister. Die Ransomware-Gruppe Sarcoma verschaffte sich am 16. Juni 2025 Zugang zu den Systemen der Organisation und veröffentlichte später gestohlene Daten im Dark Web.
Anatomie des Sarcoma-Angriffs auf Radix
Die in Zürich ansässige Radix-Organisation, die sich auf Gesundheitsförderung spezialisiert hat, wurde zum Ziel einer klassischen Double-Extortion-Attacke. Das Unternehmen betreibt acht Kompetenzzentren und führt verschiedene Projekte für Bundes-, Kantons- und Gemeindebehörden durch, was es zu einem attraktiven Ziel für Cyberkriminelle machte.
Die Angreifer folgten dem bewährten zweistufigen Vorgehen: Zunächst exfiltrierten sie umfangreiche Datenmengen aus den Unternehmenssystemen, bevor sie diese verschlüsselten. Als die Lösegeldforderungen nicht erfüllt wurden, veröffentlichten die Cyberkriminellen am 29. Juni 2025 die gestohlenen Informationen auf ihrer Dark-Web-Plattform.
Umfang der Datenkompromittierung
Das Ausmaß der Datenschutzverletzung ist beträchtlich. Die 1,3 Terabyte kompromittierter Informationen umfassen verschiedene kritische Datentypen:
• Digitalisierte vertrauliche Dokumente und Berichte
• Detaillierte Finanzinformationen und Budgetdaten
• Verträge mit Regierungsorganisationen
• Interne Kommunikation und E-Mail-Korrespondenz
Das Nationale Zentrum für Cybersicherheit (NCSC) der Schweiz führt derzeit eine umfassende Schadensbewertung durch, um alle betroffenen Bundesbehörden zu identifizieren und das Risiko für weitere Sicherheitsverletzungen zu bewerten.
Sarcoma: Aufstieg einer neuen Ransomware-Bedrohung
Die Sarcoma-Ransomware-Gruppe etablierte sich erst im Oktober 2024 in der Cyberkriminalitätslandschaft, bewies jedoch schnell ihre Gefährlichkeit. Innerhalb des ersten Monats ihrer Aktivität kompromittierte die Gruppe 36 Unternehmen, was ihre aggressive Vorgehensweise und technische Kompetenz unterstreicht.
Zu den bemerkenswerten Angriffen der Gruppe gehört die Kompromittierung des taiwanesischen Leiterplattenherstellers Unimicron, was ihre Fähigkeit demonstriert, auch große Industrieunternehmen erfolgreich anzugreifen.
Sofortmaßnahmen und Sicherheitsempfehlungen
Radix hat individuelle Benachrichtigungen an alle betroffenen Parteien verschickt und empfiehlt für die kommenden Monate erhöhte Sicherheitsmaßnahmen:
• Verstärkte Wachsamkeit gegenüber verdächtigen E-Mails und Nachrichten
• Schutz vor gezielten Phishing-Angriffen zur Passwort-Kompromittierung
• Keine Preisgabe von Kreditkarten- oder Bankdaten bei unverifizierten Anfragen
• Sofortige Aktualisierung von Zugangsdaten für kritische Systeme
Wachsende Bedrohung für Regierungsdienstleister
Dieser Vorfall markiert bereits den zweiten erfolgreichen Angriff auf Schweizer Regierungsauftragnehmer in den letzten Jahren. 2023 kompromittierte die Play-Ransomware-Gruppe das IT-Unternehmen Xplain, das Technologielösungen für verschiedene Regierungsbehörden und das Militär bereitstellt. Diese Attacke führte zur Veröffentlichung von 6.500 vertraulichen Regierungsdateien.
Die zunehmende Häufigkeit solcher Angriffe verdeutlicht eine kritische Schwachstelle in der nationalen Cybersicherheitsstrategie. Cyberkriminelle nutzen gezielt die oft weniger geschützten Drittanbieter als Einfallstor zu sensiblen Regierungsdaten. Diese Entwicklung erfordert eine grundlegende Überarbeitung der Sicherheitsanforderungen für Regierungsauftragnehmer und die Implementierung regelmäßiger Sicherheitsaudits zur Risikominimierung.
Der Radix-Vorfall unterstreicht die Notwendigkeit einer ganzheitlichen Cybersicherheitsstrategie, die nicht nur staatliche Institutionen, sondern auch deren gesamtes Partnernetzwerk einbezieht. Nur durch verstärkte Sicherheitsstandards und kontinuierliche Überwachung können ähnliche Datenschutzverletzungen in Zukunft verhindert werden.
