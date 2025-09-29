Das Bundesamt für Cybersicherheit (Bacs) zieht Bilanz zum ersten halben Jahr der Meldepflicht. Diese gilt seit dem 1. April für Cyberangriffe auf kritische Infrastrukturen. Das Bacs zeigt sich in einer Mitteilung zufrieden mit der Umsetzung: "Die Betreiberinnen kritischer Infrastrukturen kommen der Pflicht fristgerecht nach und melden Cyberangriffe innerhalb von 24 Stunden."

Insgesamt gingen seit Anfang April 164 Meldungen ein. Am häufigsten wurde laut Bacs über DDoS-Angriffe berichtet (18,1%), gefolgt von Hacking (16,1%), Ransomware (12,4%), Credential Theft (11,4%), Datenlecks (9,8%) und Malware (9,3%). In mehreren Fällen seien kombinierte Phänomene beschrieben worden, wie zum Beispiel Ransomware-Angriffe mit gleichzeitigem Datenabfluss.

Finanzwesen am stärksten betroffen

Die Meldungen schlüsselt das Bacs wie folgt nach Branchen auf: Am stärksten betroffen sei bislang das Finanzwesen (19%), gefolgt von der IT-Branche (8,7%) und dem Energiesektor (7,6%). Weitere Meldungen würden von den Behörden stammen, vom Gesundheitssektor, Telekommunikationsunternehmen sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.

Damit bestätigt sich das Bild der Art der Cyberangriffe und der betroffenen Branchen, welche das Bundesamt nach 100 Tagen Meldepflicht im Juli gegenüber inside-it.ch aufgezeigt hatte. Zur Zusammenarbeit mit den kritischen Infrastrukturen hält das Bacs in der Mitteilung fest: "Besonders positiv fällt auf, dass die Meldenden den Cyber Security Hub nutzen, was die Bearbeitung für das Bacs deutlich vereinfacht." Seit Inkrafttreten der Meldepflicht würden sich auch viel mehr Organisationen direkt am Informationsaustausch beteiligen. "Dadurch erreichen Warnungen und Empfehlungen heute deutlich mehr Akteure auf direktem Weg."

Ab jetzt drohen Bussen

Mit der Bilanz zum ersten halben Jahr weist das Bacs auch auf ein wichtiges Datum hin: "Ab dem 1. Oktober 2025 treten die Sanktionen gemäss Informationssicherheitsgesetz in Kraft. Betreiberinnen kritischer Infrastrukturen, die ihrer Meldepflicht nicht nachkommen, können mit einer Busse von bis zu 100'000 Franken belegt werden."

Habe das Bacs Hinweise darauf, dass eine Meldung unterlassen wurde, sei es verpflichtet, die Betreiberinnen zuerst zu kontaktieren. "Erst wenn auf diese Kontaktaufnahme und auf die anschliessende Verfügung durch die Betroffenen nicht reagiert wird, kann das Bacs Strafanzeige erstatten", informiert das Bundesamt.