Sechs Monate Meldepflicht für Cyberangriffe – erste Bilanz des BACS

Das BACS zeigt sich zufrieden mit der Umsetzung der neuen Vorgaben. «Die meisten Betreiber kommen der Pflicht fristgerecht nach und nutzen den Cyber Security Hub zur Meldung», heisst es von der Behörde. Dadurch habe sich die Bearbeitung vereinfacht und der Informationsfluss deutlich verbessert. Die gute Zusammenarbeit mit den Betreibern in den Jahren vor Einführung der Pflicht habe den Start zusätzlich erleichtert.

164 Meldungen in sechs Monaten

Von den 164 gemeldeten Vorfällen entfielen 18,1 Prozent auf DDoS-Angriffe, 16,1 Prozent auf Hacking, 12,4 Prozent auf Ransomware, 11,4 Prozent auf gestohlene Zugangsdaten, 9,8 Prozent auf Datenlecks und 9,3 Prozent auf Malware. Mehrfach traten kombinierte Szenarien auf, etwa Ransomware mit gleichzeitigem Datenabfluss. Am stärksten betroffen war das Finanzwesen (19 Prozent), gefolgt von der IT-Branche (8,7 Prozent) und dem Energiesektor (7,6 Prozent). Weitere Meldungen kamen aus Behörden, dem Gesundheitswesen, der Telekommunikation sowie vereinzelt aus Transport, Post, Medien, Lebensmittelversorgung und Technologie.

Mehrwert durch Informationsaustausch

Neben der konkreten Bearbeitung einzelner Fälle sieht das BACS im neuen System einen grossen Mehrwert für die nationale Lagebeurteilung. Die Meldungen werden statistisch ausgewertet, dienen der Früherkennung und ermöglichen es, Warnungen und Empfehlungen schneller an betroffene Organisationen weiterzugeben.

Sanktionen ab Oktober

Ab dem 1. Oktober 2025 gilt die nächste Stufe der Regulierung: Wer seiner Meldepflicht nicht nachkommt, riskiert eine Busse von bis zu 100'000 Franken. Bevor es so weit kommt, kontaktiert das BACS die betroffenen Betreiber und gibt ihnen Gelegenheit zur Nachmeldung. Erst wenn diese ausbleibt, kann eine Strafanzeige erfolgen.

Text: pd/red