Cyberangriffe auf kritische Infrastrukturen – Sanktionen treten in Kraft
Seit dem 1. April 2025 gilt in der Schweiz die gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Das Bundesamt für Cybersicherheit (BACS) zieht nach den ersten sechs Monaten eine positive Bilanz. Bisher sind insgesamt 164 Meldungen von kritischen Infrastrukturen eingegangen. Ab dem 1. Oktober 2025 treten die vorgesehenen Sanktionen bei Nichtmeldung in Kraft.
Seit sechs Monaten gilt die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Insgesamt zeigt sich das Bundesamt für Cybersicherheit (BACS) zufrieden mit der Umsetzung: Die Betreiberinnen kritischer Infrastrukturen kommen der Pflicht fristgerecht nach und melden Cyberangriffe innerhalb von 24 Stunden. Besonders positiv fällt auf, dass die Meldenden den Cyber Security Hub nutzen, was die Bearbeitung für das BACS deutlich vereinfacht. Bereits vor der Einführung der Meldepflicht bestand ein enges Vertrauensverhältnis zwischen dem BACS und vielen Betreiberinnen kritischer Infrastrukturen. Diese langjährige Zusammenarbeit bildete die Grundlage für den erfolgreichen Start der Meldepflicht.
164 Meldungen von kritischen Infrastrukturen
Insgesamt gingen seit Anfang April 164 Meldungen von kritischen Infrastrukturen beim BACS ein. Am häufigsten wurde über DDoS-Angriffe berichtet (18.1%), gefolgt von Hacking (16.1%), Ransomware (12.4%), Credential Theft (11.4%), Datenlecks (9.8%), und Malware (9.3%). In mehreren Fällen wurden kombinierte Phänomene beschrieben wie zum Beispiel Ransomware-Angriffe mit gleichzeitigem Datenabfluss. Die betroffenen Branchen sind vielfältig. Am stärksten betroffen war bislang das Finanzwesen (19%), gefolgt von der IT-Branche (8.7%) und dem Energiesektor (7.6%). Weitere Meldungen stammen von den Behörden, dem Gesundheitssektor, den Telekommunikationsunternehmen, sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.
Stärkung des Informationsaustausches
Die eingehenden Meldungen werden statistisch erfasst und analysiert. Die dadurch gewonnenen Informationen helfen nicht nur bei der konkreten Reaktion auf einen Vorfall, sondern tragen auch dazu bei, die nationale Bedrohungslage besser einzuschätzen und dienen der frühzeitigen Warnung anderer potenziell betroffener Organisationen. Seit Inkrafttreten der Meldepflicht beteiligen sich viel mehr Organisationen direkt am Informationsaustausch. Dadurch erreichen Warnungen und Empfehlungen heute deutlich mehr Akteure auf direktem Weg.
Sanktionen bei Meldeverstössen gelten ab dem 1. Oktober 2025
Ab dem 1. Oktober 2025 treten die Sanktionen gemäss Informationssicherheitsgesetz in Kraft. Betreiberinnen kritischer Infrastrukturen, die ihrer Meldepflicht nicht nachkommen, können mit einer Busse von bis zu 100’000 Franken belegt werden. Hat das BACS Hinweise darauf, dass eine Meldung unterlassen wurde, ist es verpflichtet, die Betreiberinnen kritischer Infrastrukturen zuerst zu kontaktieren. Erst wenn auf diese Kontaktaufnahme und auf die anschliessende Verfügung durch die Betroffenen nicht reagiert wird, kann das BACS Strafanzeige erstatten.
Quelle: Bacs
