Dem Bundesamt für Sicherheit wurden von Betreibern kritischer Infrastrukturen im Jahr 2005 insgesamt 222 Cyberangriffe gemeldet. Dies geht aus dem aktuellen Jahrebericht des BACS hervor. Die Lage bleibt weiterhin angespannt, wie erste Zahlen für 2026 belegen.
Seit dem 1. April 2025 gilt in der Schweiz eine gesetzliche Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Meldepflichtige Organisationen – etwa Energie- oder Trinkwasserversorger, Transportunternehmen oder Verwaltungsbehörden – müssen dem BACS seither Cyberangriffe innerhalb von 24 Stunden melden. Das BACS hat laut dem letzte Woche veröffentlichten Jahresbericht 2025 im vergangenen Jahr insgesamt 222 solcher Meldungen erhalten.
Die Meldungen ermöglichen dem BACS eine verbesserte Analyse der Cyberbe-
drohungslage in der Schweiz, wie es im heisst. Angriffsmuster auf kritische Infrastrukturen werden dadurch frühzeitig erkannt und potenziell betroffene Organisationen können rechtzeitig gewarnt werden können.
Das Risikoniveau bleibt hoch – 2026 bereits 42 Meldungen
Dass die Risiken nicht abnehmen, zeigen erste Zahlen für 2026. Im gesamten Zeitraum seit Einführung der Meldepflicht gingen beim BACS nämlich 264 Meldungen ein, wie aus einem vom Bundesamt bestätigten Bericht der Zeitung «Blick» hervorgeht. Damit wurden – abzüglich der 222 Meldungen von 2025 – bis zum Ende der ersten Februarwoche des laufenden Jahres bereits 42 Meldungen verzeichnet. Betroffen waren insbesondere der öffentliche Sektor, IT und Telekommunikation sowie der Finanz- und Versicherungsbereich, wie eine Sprecherin des Bundesamts dem Blick auf Anfrage mitteilte.
Bei Unterlassung einer Meldung müssen Organisationen mit bis zu 100'000 CHF Busse rechnen. Allerdings sind laut dem Blick-Bericht bislang keine Vorfälle bekannt, die nicht gemeldet wurden. Am häufigsten sind Attacken, bei denen die Angreifer mit grossen Datenmenge Websites und Server ausser Betrieb setzen. Auch Angriffe mit Schadsoftware sowie das Abgreifen von persönlichen Daten sind keine Seltenheit.
Betroffene Organisation können Angriffe dem BACS über eine dafür vorgesehene Plattform auf dem Cyber Security Hub melden. Dies vergrössert laut dem Bundesamt den Anreiz für Betreiber kritischer Infrastrukturen, sich auf der Plattform zu registrieren. Die Einführung der Meldepflicht fördert dadurch den generellen Informationsaustausch und hat einen Impact, der über die Erfüllung der rechtlichen Pflicht hinausreicht.
End-to-End-Security schützt auch kritische Infrastrukturen
Zwar sind Private und Firmen ohne systemrelevante Infrastruktur wesentlich häufiger Opfer von Attacken aus dem Cyberspace, als Betreiber kritischer Infrastrukturen, wie das BACS schreibt. So gingen alleine in der ersten Februarwoche 2026 über 900 Meldungen aus dieser Gruppe beim BACS ein, so der «Blick». Meistens handelte es sich dabei um Betrugsversuche, Phishing und Spam kommen ebenfalls häufig vor.
Unabhängig von der Art der Organisation gilt jedoch: Eine bewährte Ent-to-End-Security-Lösung, wie Bitdefender, bietet Schutz vor unerwünschten Eindringlingen und Zugriffen –
seien die Angegriffenen Private, KMU-Btriebe oder Betreiber kritischer Infrastrukturen.
