Das Bundesamt für Cybersicherheit (BACS) stuft die Cyberbedrohungslage für die Schweiz weiterhin als hoch ein. Wie aus dem am Sonntag veröffentlichten Halbjahresbericht für das zweite Halbjahr 2025 hervorgeht, bleibt die Zahl der freiwillig gemeldeten Cybervorfälle auf hohem Niveau stabil. Gleichzeitig entwickeln sich die Angriffe weiter und werden gezielter und technisch komplexer.
Laut BACS setzen international agierende Tätergruppen vermehrt auf individualisierte Angriffsmethoden und bedienen sich zur Unterstützung Künstlicher Intelligenz. Im zweiten Halbjahr 2025 registrierte die Behörde erneut umfangreiche Voice-Phishing- und Real-Time-Phishing-Kampagnen. Diese seien teils mit betrügerischen Anzeigen in Suchmaschinen kombiniert worden, um Betroffene auf gefälschte Webseiten zu lenken. Dabei würden die Angreifer zunehmend auch lokale Bezüge nutzen, etwa bekannte Treueprogramme grosser Detailhändler. Neu sei ab Sommer 2025 in der Schweiz zudem der Einsatz sogenannter SMS-Blaster beobachtet worden. Diese Geräte simulieren laut BACS Mobilfunkantennen und ermöglichen es, schädliche Kurznachrichten unter Umgehung von Filtersystemen direkt an Mobiltelefone in der Umgebung zu senden.
Ransomware bleibt gemäss Bericht eine konstante Bedrohung für Schweizer Organisationen. Im zweiten Halbjahr 2025 wurden 57 entsprechende Fälle gemeldet. Besonders aufgefallen sei die Gruppierung "Akira", deren Aktivitäten sich im Berichtszeitraum verstärkt hätten. Als wichtiger Faktor nennt das BACS die Ausnutzung von Schwachstellen in Geräten von Sonicwall. Hierbei seien Sicherheitsupdates für eine bereits 2024 bekannte Lücke nicht überall konsequent umgesetzt worden.
Zunehmend beobachtet das Bundesamt zudem Angriffe auf internationale Software-Lieferketten. Neben der Ausnutzung klassischer Schwachstellen würden Cyberkriminelle vermehrt auch weit verbreitete Open-Source-Komponenten kompromittieren. "Da moderne Anwendungen auf zahlreichen OSS-Komponenten basieren, können darin enthaltene Sicherheitslücken weitreichende und systemische Auswirkungen haben" so das BACS. Auch verdeckte sogenannte ORB-Netzwerke (Operational Relay Boxes) werden laut BACS vermehrt in der Schweiz festgestellt. Dabei handelt es sich um Netzwerke aus kompromittierten internetfähigen Geräten, Servern und Routern, die ferngesteuert und teils an Dritte weitervermietet werden. Solche Infrastrukturen dienen als Ausgangspunkt für weitere Angriffe.
Erstmals weist der Halbjahresbericht auch die meldepflichtigen Cyberangriffe auf kritische Infrastrukturen aus. Seit dem 1. April 2025 müssen entsprechende Vorfälle innerhalb von 24 Stunden an das BACS gemeldet werden. Insgesamt gingen seit Einführung der Meldepflicht 325 Meldungen ein, davon 145 im zweiten Halbjahr 2025.
Die meisten dieser Meldungen stammten aus dem Verwaltungssektor (25 Prozent), von ICT-Unternehmen (18 Prozent) sowie Banken und Versicherungen (15,7 Prozent). Bei den Angriffsarten dominierten Hacking-Vorfälle (20 Prozent) und DDoS-Angriffe (16 Prozent), gefolgt von Diebstahl von Zugangsdaten (12 Prozent), Malware (10 Prozent), Datenabfluss (10 Prozent) und Ransomware (9 Prozent).
Das BACS hält fest, dass Cyberangriffe zunehmend entlang digitaler Abhängigkeiten wirken und damit Organisations-, Branchen- und Landesgrenzen überschreiten. Trotz des angespannten geopolitischen Umfelds bezeichnet die Behörde die Lage für die Schweiz insgesamt als relativ stabil und die Cyberresilienz erweise sich grösstenteils als robust. Entscheidend seien dabei aber klare Governance-Strukturen, funktionierende Reaktions- und Wiederherstellungsprozesse sowie eine enge nationale und internationale Zusammenarbeit zwischen Staat, Wirtschaft und Gesellschaft.
Der komplette Bericht kann
an dieser Stelle als PDF eingesehen werden.
(mw)
