Kurzfassung

Das Bundesamt für Cybersicherheit (BACS) veröffentlichte am 30. März 2026 seinen Halbjahresbericht für das zweite Halbjahr 2025. Die Cyberbedrohungslage der Schweiz bleibt auf hohem Niveau, wobei Angriffe zunehmend individualisiert und mit Künstlicher Intelligenz optimiert werden. Seit dem 1. April 2025 müssen Betreiber kritischer Infrastrukturen Cyberangriffe innerhalb von 24 Stunden melden – bislang gingen 325 Meldungen ein, davon 145 im Berichtszeitraum. Neue Angriffsformen wie SMS-Blaster und kompromittierte Open-Source-Komponenten verschärfen die Bedrohungslage zusätzlich.

Personen

  • Bundesamt für Cybersicherheit (BACS) (Schweizer Behörde)

Themen

  • Cybersicherheit
  • Kritische Infrastrukturen
  • Ransomware und Datenerpressung
  • Künstliche Intelligenz in Cyberangriffen
  • Open-Source-Software-Sicherheit

Clarus Lead

Die Schweizer Cyberbedrohungslage zeigt eine Verschiebung von Volumen zu Präzision: Angreifer nutzen KI und lokale Marktkenntnis, um Opfer gezielter auszuwählen. Mit der neuen Meldepflicht für kritische Infrastrukturen seit April 2025 gewinnt die Schweiz erstmals vollständige Transparenz über die tatsächliche Angriffsintensität – 325 gemeldete Vorfälle deuten auf ein systematisches Risiko hin, das Governance und internationale Kooperation erfordert. Die Bedrohung überschreitet Organisations- und Landesgrenzen, weshalb nationale Einzelmassnahmen an ihre Grenzen stossen.

Detaillierte Zusammenfassung

Die Cyberbedrohungen gegen die Schweiz haben sich qualitativ verändert. Täter nutzen Voice-Phishing und Real-Time-Phishing kombiniert mit betrügerischen Suchmaschinen-Anzeigen, um Nutzer auf gefälschte Webseiten zu locken. Besonders wirksam erweisen sich lokalisierte Angriffsvektoren – etwa die Nutzung bekannter Treueprogramme von Detailhändlern als Köder. Ab Sommer 2025 kam eine neue Technologie hinzu: SMS-Blaster-Geräte, die Mobilfunkantennen simulieren und Kurznachrichten unter Umgehung von Telekommunikations-Filtersystemen direkt an Geräte in der Umgebung versenden.

Ransomware bleibt eine zentrale Bedrohung. Im zweiten Halbjahr 2025 wurden 57 Ransomware-Vorfälle mit Datenerpressung gemeldet. Die Gruppierung Akira intensivierte ihre Aktivitäten durch Ausnutzung von Schwachstellen in SonicWall-Geräten. Ein kritischer Faktor: Sicherheitsupdates für eine bereits 2024 bekannte Schwachstelle wurden nicht flächendeckend umgesetzt, was zusätzliche Angriffsflächen schuf.

Ein neuer Schwerpunkt liegt auf Lieferketten-Angriffen. Cyberkriminelle kompromittieren nicht nur einzelne Schwachstellen, sondern auch etablierte Open-Source-Software-Komponenten (OSS), auf denen moderne Anwendungen basieren. Diese systemischen Lücken können weitreichende Auswirkungen haben. Parallel wurden vermehrt ORB-Netzwerke (Operational Relay Boxes) in der Schweiz identifiziert – mit Schadsoftware infizierte IoT-Geräte, Server und Router, die von Angreifern ferngesteuert und teilweise vermietet werden.

Die Meldepflicht für kritische Infrastrukturen offenbarte die tatsächliche Angriffslandschaft: 325 Meldungen seit April 2025 (145 im H2 2025). Hacking-Vorfälle dominieren mit 20 %, gefolgt von DDoS-Angriffen (16 %). Die meisten Meldungen stammen aus Verwaltung (25 %), IT/Telekommunikation (18 %) und Finanzsektor (15,7 %).

Kernaussagen

  • Cyberbedrohungen werden durch KI-gestützte Individualisierung präziser und schwerer abzuwehren
  • Neue Angriffsformen (SMS-Blaster, OSS-Kompromittierung, ORB-Netzwerke) erfordern technische und organisatorische Anpassungen
  • Meldepflicht für kritische Infrastrukturen schafft erstmals vollständige Transparenz über Angriffsvolumen und -muster
  • Lieferketten-Sicherheit ist zum Schlüsselfaktor geworden; veraltete Patches erhöhen das Risiko exponentiell
  • Cybersicherheit ist eine gesamtgesellschaftliche Aufgabe, die nationale und internationale Zusammenarbeit erfordert

Kritische Fragen

  1. Evidenz: Wie wurden die 325 Meldungen validiert und kategorisiert? Welche Qualitätskontrollmechanismen stellt das BACS sicher, um Doppelmeldungen oder Falschklassifizierungen auszuschliessen?

  2. Interessenskonflikte: Inwiefern könnte die 24-Stunden-Meldepflicht Betreiber dazu veranlassen, Vorfälle zu fragmentieren oder zu verharmlosen, um Eskalationskaskaden zu vermeiden?

  3. Kausalität: Der Bericht führt die Zunahme von Ransomware-Angriffen auf unzureichende Patch-Management zurück. Gibt es Belege dafür, dass flächendeckendes Patching die Akira-Aktivitäten tatsächlich senken würde, oder sind andere Faktoren (z. B. Angreifer-Ressourcen) entscheidender?

  4. Alternativen: Warum werden Open-Source-Komponenten stärker kompromittiert als proprietäre Software? Liegt das an besserer Sichtbarkeit oder schwächerer Governance in OSS-Projekten?

  5. Umsetzbarkeit: Wie können kleine und mittlere Unternehmen (KMU) in kritischen Infrastrukturen die Anforderung zur ORB-Netzwerk-Prävention technisch und wirtschaftlich erfüllen, wenn Geräte-Updates kostspielig sind?

  6. Geopolitik: Der Bericht erwähnt ein „angespanntes geopolitisches Umfeld", ordnet die Schweizer Bedrohungslage aber als „relativ stabil" ein. Welche staatlichen Akteure sind für die 325 Meldungen verantwortlich, und unterscheiden sich ihre Taktiken von kriminellen Gruppen?

  7. Governance: Welche Governance-Strukturen schlägt das BACS konkret vor, um die Koordination zwischen Staat, Wirtschaft und Gesellschaft zu verbessern?

Quellenverzeichnis

Primärquelle: Bundesamt für Cybersicherheit (BACS): Halbjahresbericht Cyberbedrohungslage Schweiz H2 2025 – https://www.news.admin.ch/de/newnsb/1qIx-8jjt9q5-qfFKHqCS

Verifizierungsstatus: ✓ 30.03.2026

Dieser Text wurde mit Unterstützung eines KI-Modells erstellt. Redaktionelle Verantwortung: clarus.news | Faktenprüfung: 30.03.2026