Der am Dienstag veröffentlichte Halbjahresbericht des Bundesamtes für Cybersicherheit (BACS) zeigt, wie die Bedrohungslage in der digitalen Welt ist.
Demnach sind dem BACS im vergangenen Jahr fast 63'000 Cybervorfälle in der Schweiz gemeldet worden. Das entspricht einer Zunahme von 13'500 Meldungen gegenüber dem Vorjahr. Von Juli bis Dezember verzeichneten die Fachleute beim Bund über 28'000 Vorfälle. Etwas weniger als noch im ersten Halbjahr 2024.
Am häufigsten gemeldet wurden weiterhin Betrug, Phishing und Spam. Der Anstieg gegenüber dem Vorjahr beruhe hauptsächlich auf dem Phänomen Fake-Anrufe im Namen von Behörden mit fast 22'000 Meldungen, hiess es weiter. Im Vorjahr waren es noch rund 7000 Meldungen. Im Gegensatz dazu gingen Drohungen per E-Mail zurück. Im Jahresvergleich sank deren Zahl von über 10'000 auf rund 3800. Seit rund vier Jahren lasse sich ein Trend abzeichnen, dass Betrüger vermehrt das Telefon als Kanal nutzten.
Bei «betrügerischen Gewinnspielen» beobachtete das BACS im zweiten Halbjahr 2024 sogar eine Verdreifachung der eingegangenen Meldungen (neu rund 2400 Meldungen). In vielen Fällen wurden die Namen bekannter Lebensmittel- und Einzelhandelsunternehmen, Elektrohändler oder Transportunternehmen in der Schweiz missbraucht.
90 Prozent der Meldungen stammten aus der Bevölkerung. Der Rest kam von Wirtschaftsunternehmen und anderen Institutionen. Diese hatten stark mit dem Phänomen «CEO-Betrug» zu kämpfen. Das sind angeblich dringende Zahlungsaufforderungen vom vermeintlichen Chef oder der Präsidentin. 2024 waren Gemeinden und Kirchen übermässig von diesem Phänomen betroffen.
Auch Telefonanrufe von angeblichen Bankmitarbeitenden oder das Überkleben von QR-Codes auf Parkuhren gehören zu den aktuellen Betrugsmaschen. Neben klassischen E-Mails oder SMS setzen Betrüger auch Apples Messenger-Dienst «Nachrichten» (iMessage) ein, um die SMS-Filter der grossen Provider zu umgehen.
Eine weitere Methode sei das Fluten von E-Mail-Konten mit Spam-Nachrichten, sagte BACS-Direktor Florian Schütz am Dienstag vor den Medien. Anschliessend werde über Kommunikationsplattformen im Internet technischer Support angeboten: Die Opfer sollen dazu gebracht werden, Schadsoftware auf ihre Computer herunterzuladen, wodurch die Kriminellen Zugang zur gewünschten IT-Umgebung erhielten. Diese Methode wurde etwa bei Cyberkriminellen aus dem Umfeld der Ransomware-Bande Black Basta festgestellt.
Gemäss BACS bleiben Ransomware-Attacken die relevanteste Bedrohung für Unternehmen. Akteure und Angriffsmethoden im Umfeld von Erpressungen mit gestohlenen und verschlüsselten Opferdaten passten sich laufend den aktuellen Gegebenheiten an.
Eine weitere beobachtete internationale Tendenz sei die Verwendung von Ransomware durch Bedrohungsakteure, die nicht profitorientiert handeln.
Dies sei mutmasslich bei der chinesischen Gruppe «Chamel Gang» sowie bei nordkoreanischen, iranischen oder russischen Gruppierungen der Fall.
Die Namen von bekannten Schweizer Unternehmen wie Krankenkassen und Inkassounternehmen wurden missbraucht, um in deren Namen Schadsoftware an Empfänger bösartiger E-Mails zu verteilen, warnt das BACS.
Auf gefälschten oder kompromittierten Webseiten würden die Besucherinnen und Besucher durch gefälschte «CAPTCHAs» verleitet, bösartige Skripte manuell auszuführen und ihr Gerät dadurch zu infizieren.
Über QR-Codes, die auf Briefsendungen aufgedruckt waren, versuchten Cyberkriminelle, die Empfänger dazu zu bewegen, eine infizierte «Alertswiss»-Applikation auf ihren Android-Mobiltelefonen zu installieren.
Seit dem 1. April 2025 gilt eine Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiberinnen und Betreiber kritischer Infrastrukturen wie Energie- oder Trinkwasserversorgung, Transportunternehmen sowie kantonale und kommunale Verwaltungen müssen dem BACS bei bestimmten Cyberangriffen innerhalb von 24 Stunden Bericht erstatten. Geschieht dies nicht, drohen Sanktionen bis zu 100'000 Franken. Diese treten aber erst ab dem 1. Oktober 2025 in Kraft.
Die Meldepflicht gebe es, um besser zu verstehen, wo die Probleme bestünden und welche Technologien es brauche, zur Bewältigung der Attacken, so Schütz. Wenn Cyberangriffe abgewehrt würden, müsse keine Meldung gemacht werden, da dann nie eine richtige Gefährdung bestanden habe.
Im ersten Monat seit der Einführung verzeichnete das BACS 25 Meldungen. Bei vier dieser Meldungen gab es Hinweise darauf, wie gehackt wurde und zwei Meldende erhielten Unterstützung vom Bund. «Wir gehen davon aus, dass die Meldungen ansteigen werden», sagte der BACS-Direktor.
Fachleute sprechen von der «Time-To-Exploit» (TTE), einer wichtigen Kennzahl im Bereich des Schwachstellen-Managements. Ziel ist es, bekannte Sicherheitslücken in Software möglichst schnell zu schliessen.
Überlastungsangriffe auf die Websites von Kantonen und Gemeinden, aber auch auf Webdienste für Finanzdienstleistungen, schränkten deren Verfügbarkeit für eine gewisse Zeit ein, wie das BACS festhält. Sogenannte «Distributed Denial of Service2» Angriffe (DDoS) würden durch verteilte Angriffsinfrastruktur – meist in Form eines Botnetzes wie «Gorilla» – ermöglicht.
Am 19. Juli 2024 kam es gemäss BACS-Bericht zum «disruptivsten IT-Ausfall der Geschichte».
Neben Auswirkungen bei Organisationen wie Spitälern und Industriebetrieben seien speziell die Luftfahrt in der Schweiz wie auch weltweit über mehrere Stunden stark eingeschränkt gewesen.
(dsc/rbu/sda)
