BACS zieht erste Bilanz zur Meldepflicht für kritische Infrastrukturen
Seit April 2025 gilt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen in der Schweiz. Das Bundesamt für Cybersicherheit (BACS) verzeichnete seitdem 164 Vorfälle, wobei der Finanzsektor am stärksten betroffen ist. Ab Oktober drohen Sanktionen bei Meldeverstössen.
Ein halbes Jahr nach der Einführung der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen zieht das Bundesamt für Cybersicherheit (BACS) eine erste Bilanz. Das BACS erhielt in den vergangenen sechs Monaten 164 Meldungen von Betreibern kritischer Infrastrukturen, wie es mitteilt.
DDoS-Attacken führen mit 18,1 Prozent die Statistik an, gefolgt von Hacking (16,1 Prozent), Ransomware (12,4 Prozent), Credential Theft (11,4 Prozent), Datenlecks (9,8 Prozent) und Malware (9,3 Prozent). Das BACS registriert zudem "in mehreren Fällen" kombinierte Attacken wie etwa Ransomware-Angriffe mit gleichzeitigem Datenabfluss.
Finanzsektor führt Statistik an
Der Finanzsektor ist mit 19 Prozent der Meldungen am stärksten betroffen. Die IT-Branche folgt mit 8,7 Prozent, der Energiesektor mit 7,6 Prozent. Weitere Meldungen stammen von Behörden, dem Gesundheitssektor, Telkos, sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.
Die Betreiber kommen der Pflicht nach Angaben der Behörde fristgerecht nach. Besonders positiv falle auf, dass die Betreiber dafür den Cyber Security Hub des BACS nutzen würden, was die Bearbeitung deutlich vereinfache, lobt das Bundesamt.
Sanktionen gelten ab Oktober
Die Meldungen und deren statistische Auswertung helfen bei der Reaktion auf die jeweiligen Vorfälle und tragen dazu bei, die nationale Bedrohungslage besser einzuschätzen. So dienen sie gemäss dem BACS etwa der frühzeitigen Warnung anderer potenziell betroffener Organisationen. Seit Einführung der Meldepflicht beteiligen sich deutlich mehr Organisationen am direkten Informationsaustausch, wodurch Warnungen mehr Organisationen erreichen.
Ab dem 1. Oktober 2025 gilt es ernst; dann treten die Sanktionen gemäss Informationssicherheitsgesetz in Kraft. Bei Verstössen gegen die Meldepflicht drohen Bussen bis zu 100'000 Franken. Das BACS muss säumige Betreiber zunächst kontaktieren. Reagieren die Betreiber auch auf diese Kontaktaufnahme und auf die anschliessende Verfügung nicht, kann das BACS Strafanzeige erstatten.
Das könnte Sie ebenfalls interessieren: Programmierschnittstellen rücken ins Visier von Cyberattacken. Ein aktueller Bericht von Thales zeigt, dass es im ersten Halbjahr 2025 bereits über 40'000 API-Vorfälle gab. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Einladung zum Webinar: Die Anatomie eines Ransomware-Angriffs
Cent Systems feiert 40-jähriges Bestehen
BACS zieht erste Bilanz zur Meldepflicht für kritische Infrastrukturen
Swisscom und Salt siegen im Festnetztest von "Connect"
BACS nimmt Phishing ins Visier
ADN Distribution erweitert Dell-Portfolio und holt Experten an Bord
Schweizer E-Gov-Portale driften auseinander
Das war der Jurytag von Best of Swiss Apps 2025
Ein harter Schlag für die Krabbe
