Die erste vollständige Bilanz unter der ISG-Meldepflicht ist kein Alarmsignal, sondern ein Röntgenbild und es zeigt ein digitales Skelett mit Stellen, die bisher niemand sehen konnte.
Ein Fenster, das vorher geschlossen war
Bis zum 1. April 2025 wusste die Schweiz über den Zustand ihrer kritischen Infrastrukturen im Cyberraum vor allem das, was Betroffene freiwillig mitteilten. Die Meldepflicht des revidierten Informationssicherheitsgesetzes (ISG) hat dieses Fenster aufgestossen. Am 30. März 2026 hat das Bundesamt für Cybersicherheit (BACS) mit dem BACS-Halbjahresbericht für das zweite Halbjahr 2025 erstmals eine vollständige Halbjahresbilanz unter dieser Pflicht vorgelegt. Die Zahlen verdienen eine differenzierte Lektüre, denn sie erzählen zwei Geschichten gleichzeitig: eine über die sichtbare Bedrohungslage und eine über die blinden Flecken, die erst durch das neue Meldewesen überhaupt erkennbar werden.
325 meldepflichtige Cybervorfälle hat das BACS seit Inkrafttreten der Pflicht bis Ende Dezember 2025 registriert, davon 145 im zweiten Halbjahr – dem ersten vollständigen Halbjahr unter dem neuen Regime. Daneben liefen 29’006 freiwillige Meldungen ein, was das Gesamtjahr 2025 auf 64’733 freiwillige Eingänge bringt. Das BACS selbst nennt die Lage «relativ stabil» und die Cyberresilienz «grösstenteils robust». Diese Einschätzung ist nicht falsch. Sie ist aber auch nicht beruhigend, wenn man versteht, was hinter den Aggregatzahlen steckt.
Was die Pflichtmeldungen zeigen und was nicht
Die 325 Meldungen seit April 2025 bilden keine repräsentative Stichprobe aller Cyberangriffe auf Schweizer Infrastrukturen. Sie bilden ab, was Betreiber kritischer Infrastrukturen in neun ISG-Sektoren als schwerwiegend genug einstufen, um die 24-Stunden-Frist auszulösen. Alles unterhalb dieser Schwelle – die Bagatellklausel des ISG schliesst Vorfälle mit geringer Auswirkung auf öffentliche Ordnung und Wirtschaft aus, bleibt im Dunkeln. Die 325 Meldungen sind also nicht die Gesamtheit der Angriffe, sondern deren oberes Segment.
Bei den Angriffsarten dominieren Hacking-Vorfälle mit 20 Prozent, gefolgt von DDoS-Attacken mit 16 Prozent und dem Diebstahl von Zugangsdaten mit 12 Prozent. Malware und Datenabfluss liegen bei je 10 Prozent, Ransomware bei 9 Prozent. Dass Ransomware in den Pflichtmeldungen nur den sechsten Rang belegt, ist kein Zeichen der Entspannung – Ransomware-Angriffe werden häufig zusätzlich über den freiwilligen Kanal gemeldet und tauchen in der separaten Ransomware-Statistik des BACS mit deutlich höherer Zahl auf. Die Pflichtmeldungen fangen ein breiteres Spektrum ein, und genau darin liegt ihr Wert: Sie zeigen, dass Hacking und Credential Theft im Alltag kritischer Infrastrukturen mindestens so präsent sind wie die spektakuläreren Erpressungsfälle.
Die überraschende Sektorverteilung
Die Verteilung der Melder nach Sektoren enthält die eigentliche Nachricht. 25 Prozent aller Pflichtmeldungen stammen aus der öffentlichen Verwaltung, 18 Prozent aus IT und Telekommunikation, 15.7 Prozent aus dem Banken- und Versicherungssektor. Dass die Verwaltung den ersten Platz belegt, überrascht auf den ersten Blick. Im ersten Kurzausweis nach Einführung der Meldepflicht, der 164 Vorfälle bis Herbst 2025 umfasste, lag der Finanzsektor noch vorn. Die Verschiebung hat mehrere Erklärungen.
Die öffentliche Verwaltung – Bund, Kantone und Gemeinden – ist erstens breit exponiert: Jede Gemeinde mit digitalen Diensten ist potenziell Ziel, und viele kommunale IT-Infrastrukturen operieren mit dünneren Sicherheitsdecken als Grossbanken. Zweitens melden Verwaltungseinheiten tendenziell pflichtbewusster, weil die politische Sichtbarkeit eines versäumten Vorfalls höher ist als in der Privatwirtschaft. Drittens zeigen 28 Vorfälle allein in der Bundesverwaltung, dass auch die zentrale Infrastruktur des Staates regelmässig unter Beschuss steht. Für Kantone und Gemeinden, die oft kleinere IT-Teams betreiben und sich Sicherheitsressourcen teilen, ist die Zahl ein Signal, das Investitionsentscheide beeinflussen sollte.
Dass IT- und Telekommunikationsunternehmen den zweiten Platz einnehmen, ist weniger überraschend als folgenreich. Wer die digitale Infrastruktur anderer betreibt – Cloud-Dienste, Rechenzentren, Managed Services -, wird zum Multiplikator: Ein erfolgreicher Angriff auf einen Telekomanbieter oder Cloud-Provider betrifft nicht nur das Unternehmen selbst, sondern potenziell Hunderte nachgelagerte Organisationen. Der BACS Halbjahresbericht unterstreicht diese Kettenlogik ausdrücklich: Cyberangriffe wirken entlang digitaler Abhängigkeiten und überschreiten Organisations-, Branchen- sowie Landesgrenzen.
Akira dominiert die Ransomware-Landschaft
Die Ransomware-Statistik des zweiten Halbjahrs 2025 wird von einer Gruppe beherrscht, die in der Schweiz seit Monaten eskaliert: Akira. Von 57 dem BACS gemeldeten Ransomware-Vorfällen im Berichtszeitraum gehen 26 auf das Konto dieser Bande – ein Sprung von 7 Angriffen im ersten Halbjahr. Die Gruppen Qilin, DragonForce und LockBit folgen mit jeweils 5 bis 6 dokumentierten Fällen weit abgeschlagen.
Akiras Erfolg in der Schweiz hat einen konkreten technischen Grund, den der Bericht benennt: die systematische Ausnutzung von Schwachstellen in SonicWall-Geräten. Eine Sicherheitslücke aus dem Jahr 2024, für die der Hersteller längst Patches bereitgestellt hatte, wurde von zahlreichen Betreibern nicht geschlossen. Akira Operateure scannten gezielt nach verwundbaren SonicWall-Appliances und nutzten den Zugang als Einfallstor. Dieses Muster ist lehrreich, weil es zeigt, wie wenig Ransomware-Gruppen auf Raffinesse angewiesen sind, wenn die Grundlagen nicht stimmen. Kein Zero-Day, keine KI-gestützte Umgehung – eine bekannte Schwachstelle, ein verfügbarer Patch und ein Unternehmen, das ihn nicht eingespielt hat, reichen aus.
Neben der SonicWall-Problematik hebt der BACS Halbjahresbericht die massenhafte Ausnutzung einer SharePoint-Schwachstelle hervor, die sowohl staatliche als auch kriminelle Akteure als Einstiegsvektor nutzten. Die Überlappung der Angreifertypen auf derselben technischen Schwachstelle unterstreicht einen Trend, der international seit zwei Jahren beobachtet wird: Die Grenzen zwischen Cyberkriminalität und staatlicher Spionage verschwimmen auf der taktischen Ebene, auch wenn die strategischen Ziele verschieden bleiben.
Die Bundesanwaltschaft führt seit April 2024 ein Strafverfahren gegen Unbekannt wegen mehrerer Ransomware-Angriffe auf Schweizer Unternehmen zwischen Mai 2023 und September 2025. Ob dieses Verfahren Akira-Fälle umfasst, ist öffentlich nicht bekannt, doch die Zeiträume überlappen sich.
Neue Angriffsvektoren: SMS-Blaster, ORB-Netzwerke, Deepfake-Betrug
Drei Entwicklungen im Bericht verdienen besondere Aufmerksamkeit, weil sie qualitativ neue Bedrohungsmuster für die Schweiz markieren.
SMS-Blaster sind portable, rucksackgrosse Geräte, die eine Mobilfunkantenne simulieren und schädliche Kurznachrichten direkt an Mobiltelefone in einem Umkreis von bis zu einem Kilometer senden – unter Umgehung der Filtersysteme der Telekomanbieter. Seit Sommer 2025 wurden solche Geräte in Schweizer Städten eingesetzt. Die Hintergründe sind ökonomisch: Die Filtermassnahmen der Schweizer Telkos gegen SMS-Phishing greifen immer besser, also weichen Kriminelle auf physische Präsenz aus. Für Unternehmen bedeutet das: SMS-basierte Authentifizierung, die ohnehin als schwächster zweiter Faktor gilt, verliert weiter an Verlässlichkeit.
ORB-Netzwerke (Operational Relay Boxes) bestehen aus kompromittierten IoT-Geräten, Routern und Servern, die Angreifer als Relaisstationen nutzen und teilweise an Dritte vermieten. Das BACS beobachtet eine kontinuierlich wachsende Zahl solcher Geräte in der Schweiz. ORB-Netzwerke verschleiern die Herkunft von Angriffen und erschweren die Attribution erheblich. Für Unternehmen, die ihre Netzwerkperimeter überwachen, heisst das: Ein Angriff, der scheinbar von einer Schweizer IP-Adresse ausgeht, kann von jedem Punkt der Welt gesteuert werden.
Der Online-Anlagebetrug hat sich verfünffacht. In der Kategorie «Werbung für Online-Anlagebetrug» registrierte das BACS im ersten Halbjahr 2025 bereits 3’485 Meldungen gegenüber 729 in der Vorjahresperiode. Die Methode verbindet klassisches Social Engineering mit Deepfake-Technologie: Gefälschte Tagesschau-Interviews mit bekannten Persönlichkeiten verleihen betrügerischen Anlageplattformen Glaubwürdigkeit. Für Unternehmen ist diese Entwicklung relevant, weil CEO-Betrug – 970 Meldungen im Gesamtjahr 2025 gegenüber 719 im Vorjahr – dieselben Deepfake-Werkzeuge einsetzt und zunehmend auf Geschäftsleitungen zielt.
Was «stabil» wirklich heisst
Das BACS wählt seine Worte mit Bedacht, wenn es die Lage als «relativ stabil» bezeichnet. Die Zahl der freiwilligen Meldungen stieg von 62’954 im Jahr 2024 auf 64’733 im Jahr 2025 nur leicht an. Die betrügerischen Drohanrufe – in den Vorjahren der grösste Einzelposten – gingen deutlich zurück. Auf der Oberfläche sieht das nach Stabilisierung aus.
Unter der Oberfläche verschieben sich die Gewichte. Die Angriffe werden individualisierter, unter anderem mit Hilfe von KI. Real-Time-Phishing greift Bankapplikationen an, indem Zugangsdaten in Echtzeit abgefangen werden, bevor sie verfallen – ein direkter Angriff auf die Multi-Faktor-Authentifizierung. «Double Phishing» nutzt einen soeben erfolgreichen Phishing-Vorfall, um das Opfer telefonisch ein zweites Mal zu schädigen. Die Lieferkette wird systematischer attackiert: Kriminelle kompromittieren breit genutzte Open-Source-Komponenten, weil ein einziges manipuliertes Paket Tausende nachgelagerte Anwendungen infizieren kann.
Stabilität bei steigender Komplexität und Professionalität der Angriffe ist nicht dasselbe wie Sicherheit. Sie bedeutet, dass die Verteidigung bisher Schritt gehalten hat – aber mit schrumpfender Marge. Wer die NIS2/ISG-Analyse der regulatorischen Anforderungen gelesen hat, weiss, dass parallel zur Bedrohung auch die Compliance-Dichte steigt. Der BACS Halbjahresbericht liefert dafür die empirische Grundlage.
Was daraus folgt
Für CISOs und Geschäftsleitungen lassen sich aus dem Bericht drei operative Schlussfolgerungen ziehen.
Erstens: Patch-Management ist kein Hygienethema, sondern eine strategische Priorität. Akiras Erfolg in der Schweiz basiert auf einer bekannten, gepatchten Schwachstelle. 26 erfolgreiche Angriffe durch eine einzige Gruppe über sechs Monate, weil Patches nicht eingespielt wurden, sind ein Befund, der auf Geschäftsleitungsebene gehört. Wer die Verantwortung für Patch-Zyklen in der operativen IT belässt, ohne Eskalationsmechanismen für kritische Schwachstellen zu definieren, akzeptiert ein Risiko, das bezifferbar ist.
Zweitens: Die Meldepflicht ist kein bürokratischer Akt, sondern ein Frühwarnsystem, das nur funktioniert, wenn die eigenen Prozesse stehen. Die 24-Stunden-Frist des ISG verlangt, dass Unternehmen im Krisenmoment wissen, wer meldet, über welchen Kanal und mit welchen Mindestangaben. Seit Oktober 2025 sind die Sanktionsbestimmungen in Kraft: Bussen bis 100’000 Franken bei Nichtbefolgung einer BACS-Verfügung. Die 325 Meldungen zeigen, dass das System funktioniert. Sie zeigen nicht, wie viele Vorfälle ungemeldet blieben.
Drittens: SMS-basierte Authentifizierung und statische Sicherheitsannahmen über Kommunikationskanäle sind zu überprüfen. SMS-Blaster, Real-Time-Phishing und Double Phishing greifen Mechanismen an, die viele Organisationen als «ausreichend sicher» betrachten. Die Angreifer haben diese Annahme widerlegt.
Eine Baseline, keine Entwarnung
Der BACS Halbjahresbericht 2025/2 ist das erste vollständige Halbjahres-Röntgenbild der Schweizer Cyberresilienz unter Meldepflicht. Er zeigt ein Land, dessen digitale Infrastruktur funktioniert, aber Lücken aufweist, die erst jetzt sichtbar werden – weil vorher niemand systematisch hingeschaut hat. Die 325 Pflichtmeldungen sind keine Alarmsirene. Sie sind eine Baseline, gegen die sich künftige Entwicklungen messen lassen.
Ob die nächste Bilanz besser oder schlechter ausfällt, hängt davon ab, was Unternehmen und Verwaltungen mit diesen Daten anfangen. Die Zahlen liegen jetzt auf dem Tisch. Die Entscheidungen, die daraus folgen, nicht.
Quellen: Bundesamt für Cybersicherheit (BACS), Halbjahresbericht 2025/2, veröffentlicht am 30. März 2026; Informationssicherheitsgesetz (ISG) und Cybersicherheitsverordnung (CSV); Pressemitteilung des BACS vom 30. März 2026; Bundesanwaltschaft, Medienmitteilung zum Strafverfahren Ransomware.
