BACS zieht erste Bilanz zur Meldepflicht für kritische Infrastrukturen
Seit April 2025 gilt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz. Das Bundesamt für Cybersicherheit (BACS) verzeichnete seitdem 164 Vorfälle, wobei der Finanzsektor am stärksten betroffen ist. Ab Oktober drohen Sanktionen bei Meldeverstössen.
Ein halbes Jahr nach der Einführung der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen zieht das Bundesamt für Cybersicherheit (BACS) eine erste Bilanz. Das BACS erhielt in den vergangenen sechs Monaten 164 Meldungen von Betreibern kritischer Infrastrukturen, wie es mitteilt.
DDoS-Attacken führen mit 18,1 Prozent die Statistik an, gefolgt von Hacking (16,1 Prozent), Ransomware (12,4 Prozent), Credential Theft (11,4 Prozent), Datenlecks (9,8 Prozent) und Malware (9,3 Prozent). Das BACS registriert zudem "in mehreren Fällen" kombinierte Attacken wie etwa Ransomware-Angriffe mit gleichzeitigem Datenabfluss.
Finanzsektor führt Statistik an
Der Finanzsektor ist mit 19 Prozent der Meldungen am stärksten betroffen. Die IT-Branche folgt mit 8,7 Prozent, der Energiesektor mit 7,6 Prozent. Weitere Meldungen stammen von Behörden, dem Gesundheitssektor, Telkos, sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.
Die Betreiber kommen der Pflicht nach Angaben der Behörde fristgerecht nach. Besonders positiv falle auf, dass die Betreiber dafür den Cyber Security Hub des BACS nutzen würden, was die Bearbeitung deutlich vereinfache, lobt das Bundesamt.
Sanktionen gelten ab Oktober
Die Meldungen und deren statistische Auswertung helfen bei der Reaktion auf die jeweiligen Vorfälle und tragen dazu bei, die nationale Bedrohungslage besser einzuschätzen. So dienen sie gemäss dem BACS etwa der frühzeitigen Warnung anderer potenziell betroffener Organisationen. Seit Einführung der Meldepflicht beteiligen sich deutlich mehr Organisationen am direkten Informationsaustausch, wodurch Warnungen mehr Organisationen erreichen.
Ab dem 1. Oktober 2025 gilt es ernst; dann treten die Sanktionen gemäss Informationssicherheitsgesetz in Kraft. Bei Verstössen gegen die Meldepflicht drohen Bussen bis zu 100'000 Franken. Das BACS muss säumige Betreiber zunächst kontaktieren. Reagieren die Betreiber auch auf diese Kontaktaufnahme und auf die anschliessende Verfügung nicht, kann das BACS Strafanzeige erstatten.
Das könnte Sie ebenfalls interessieren: Programmierschnittstellen rücken ins Visier von Cyberattacken. Ein aktueller Bericht von Thales zeigt, dass es im ersten Halbjahr 2025 bereits über 40'000 API-Vorfälle gab. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Ein Partner für die IT von morgen
Autonomes Fahrzeug von Planzer und Loxo erreicht nächste Automatisierungsstufe
Daten sammeln für die NASA
Flappie bedient seine ersten 2500 Kunden
Swico warnt vor Schweizer Sonderregeln für KI
Update: Var Group vollzieht Integration von 4IT Solutions
Schweizer Strafverfolger beteiligen sich an Europol-Aktion gegen cyberkriminelles VPN
SwissAI fordert Verankerung digitaler Souveränität in der öffentlichen Beschaffung
Schwachstellen aufdecken, bevor Cyberkriminelle sie ausnutzen
