Im vergangenen Jahr sind dem Bundesamt für Cybersicherheit (BACS) fast 63'000 Cybervorfälle in der Schweiz gemeldet worden. Das entspricht einer Zunahme von 13'500 Meldungen gegenüber dem Vorjahr. Von Juli bis Dezember verzeichnete das BACS über 28'000 Vorfälle. Etwas weniger als noch im ersten Halbjahr 2024.
Am häufigsten gemeldet wurden weiterhin Betrug, Phishing und Spam. Der Anstieg gegenüber dem Vorjahr beruhe hauptsächlich auf dem Phänomen Fake-Anrufe im Namen von Behörden mit fast 22'000 Meldungen, hiess es weiter. Im Vorjahr waren es noch rund 7000 Meldungen. Im Gegensatz dazu gingen Drohungen per E-Mail zurück. Im Jahresvergleich sank deren Zahl von über 10'000 auf rund 3800. Seit rund vier Jahren lasse sich ein Trend abzeichnen, dass Betrüger vermehrt das Telefon als Kanal nutzten.
Verdreifachung betrügerischer Gewinnspiele
Bei «betrügerischen Gewinnspielen» beobachtete das BACS im zweiten Halbjahr 2024 sogar eine Verdreifachung der eingegangenen Meldungen (neu rund 2400 Meldungen). In vielen Fällen wurden die Namen bekannter Lebensmittel- und Einzelhandelsunternehmen, Elektrohändler oder Transportunternehmen in der Schweiz missbraucht.
90 Prozent der Meldungen stammten aus der Bevölkerung. Der Rest kam von Unternehmen. Letztere hatten stark mit dem Phänomen «CEO-Betrug» zu kämpfen. Das sind angeblich dringende Zahlungsaufforderungen vom Chef oder der Präsidentin. 2024 waren Gemeinden und Kirchen übermässig von diesem Phänomen betroffen. Auch Telefonanrufe von angeblichen Bankmitarbeitenden oder das Überkleben von QR-Codes auf Parkuhren gehören zu den aktuellen Betrugsmaschen. Neben klassischen E-Mails oder SMS setzen Betrüger auch iMessage ein, um die SMS-Filter der grossen Provider zu umgehen.
Eine weitere Methode sei das Fluten von E-Mail-Konten mit Spam-Nachrichten, so BACS-Direktor Florian Schütz am Dienstag vor den Medien. Anschliessend werde über Kommunikationsplattformen im Internet technischer Support angeboten, durch welche die Opfer schädliche Software herunterladen könnten, wodurch die Kriminellen Zugang zur gewünschten IT-Umgebung erhielten.
25 Meldungen im ersten Monat
Seit dem 1. April 2025 gilt eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiberinnen und Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen müssen dem BACS bei bestimmten Cyberangriffen innerhalb von 24 Stunden Bericht erstatten. Geschieht dies nicht, drohen Sanktionen bis zu 100'000 Franken. Diese treten aber erst ab dem 1. Oktober 2025 in Kraft.
Die Meldepflicht gebe es, um besser zu verstehen, wo die Probleme bestünden und welche Technologien es brauche, zur Bewältigung der Attacken, so Schütz. Wenn Cyberangriffe abgewehrt würden, müsse keine Meldung gemacht werden, da dann nie eine richtige Gefährdung bestanden habe.
Im ersten Monat seit der Einführung verzeichnete das BACS 25 Meldungen. Bei vier dieser Meldungen gab es Hinweise darauf, wie gehackt wurde und zwei Meldende erhielten Unterstützung vom Bund. «Wir gehen davon aus, dass die Meldungen ansteigen werden», sagte der BACS-Direktor.