Seit einem Jahr gilt in der Schweiz die Meldepflicht für Cyberangriffe auf kritische Infrastrukturen. Betreiber aus Finanzen, Energie, Gesundheit, Telekommunikation und Transport müssen dem Bundesamt für Cybersicherheit (BACS) innerhalb von 24 Stunden melden, wenn ihre Systeme angegriffen werden. Was als bürokratische Pflicht hätte versanden können, hat die erste belastbare Datenbasis zur Cyberbedrohungslage der Schweiz geschaffen.
Über 260 Meldungen sind seit April 2025 beim BACS eingegangen. In den ersten sechs Monaten 164, bis Februar 2026 bereits 264. Fast ein Vorfall pro Tag. Die Zahlen stammen aus dem Halbjahresbericht 2025/2 des BACS.
DDoS-Attacken machen 18,1 Prozent der gemeldeten Vorfälle aus, Hacking 16,1 Prozent, Ransomware 12,4 Prozent. Dazu Credential Theft (11,4 Prozent), Datenlecks (9,8 Prozent) und Malware (9,3 Prozent). Am häufigsten betroffen ist der Finanzsektor mit 19 Prozent aller Meldungen, gefolgt von IT (8,7 Prozent) und Energie (7,6 Prozent).
Auffällig ist nicht die Art der Angriffe, sondern ihre Regelmässigkeit. Keine Grossereignisse prägen das Bild, sondern die Summe täglicher Vorfälle. Die Meldepflicht macht sichtbar, was vorher niemand zählte. Das BACS verarbeitete 2025 zusätzlich 64'733 freiwillige Meldungen, rund 2'000 mehr als im Vorjahr, darunter auch Unternehmen, die gar nicht meldepflichtig sind.
Der Swisscom Cybersecurity Threat Radar 2026 ergänzt die BACS-Zahlen um eine strategische Perspektive. Vier Risikobereiche stehen im Fokus: der Missbrauch von KI durch Angreifer, Schwachstellen in Lieferketten, OT-Security und die digitale Souveränität.
Beim Thema KI geht es um einen konkreten Qualitätssprung bei Phishing. Angreifer nutzen generative KI, um personalisierte Kampagnen in grossem Massstab zu erzeugen. Was früher an schlechter Grammatik scheiterte, ist heute kaum noch von echten E-Mails zu unterscheiden. Mitarbeiterschulungen als alleinige Gegenmassnahme reichen nicht mehr. Es braucht technische Schutzmechanismen, die ohne menschliche Aufmerksamkeit funktionieren.
Der Threat Radar warnt ausserdem vor der Abhängigkeit von globalen Cloud-Anbietern. Ein Grossteil geschäftskritischer Daten liegt in Clouds unter US-Gerichtsbarkeit (Cloud Act) oder chinesischem Einfluss. Wer regulatorische Anforderungen erfüllen muss oder sensible Kundendaten verarbeitet, kommt am Thema Datenstandort nicht vorbei.
Laut dem Mandiant M-Trends Report 2026 beträgt die mediane Zeit zwischen dem ersten Zugang zu einem System und der Weitergabe an eine zweite Angreifergruppe 22 Sekunden. 2022 waren es über acht Stunden.
Cyberangriffe folgen einer arbeitsteiligen Logik. Initial Access Broker verschaffen sich den Zugang, Ransomware-Gruppen kaufen und nutzen ihn. Mandiant identifizierte dieses Modell in 9 Prozent aller untersuchten Fälle, gegenüber 4 Prozent 2022. Gruppen wie Akira und Qilin gehen dabei gezielt gegen Backup-Infrastrukturen und Identitätsdienste vor, bevor sie die Verschlüsselung starten. Wer seine Backups nicht aktiv schützt, verliert im Ernstfall die letzte Möglichkeit zur Wiederherstellung.
Die Meldepflicht gilt formal nur für Betreiber kritischer Infrastrukturen. Die Bedrohungen treffen aber alle. Ein KMU mit 50 Mitarbeitenden ist denselben Ransomware-Gruppen ausgesetzt wie ein Energieversorger.
Ransomware bleibt bei 12,4 Prozent der Meldungen die häufigste schwerwiegende Angriffsart. Jeder einzelne Vorfall kann den Betrieb für Tage lahmlegen. Der BlackFog State of Ransomware Report Q1 2026 verzeichnet einen weltweiten Anstieg um 30 Prozent. Die Schweiz ist davon nicht ausgenommen.
Gestohlene Zugangsdaten sind laut Mandiant in 38 Prozent aller Fälle der Einstiegspunkt. Wer Backup-Systeme mit denselben Credentials wie die Produktivumgebung betreibt, gibt Angreifern direkten Zugriff auf die Sicherungskopien. Bei 22 Sekunden Übergabezeit bleibt für manuelle Reaktionen kein Spielraum.
Jedes Unternehmen muss davon ausgehen, dass ein Angriff irgendwann durchkommt. Dann zählt, ob die Daten trotzdem verfügbar bleiben.
Backups, die im selben Netzwerk liegen, mit denselben Zugangsdaten erreichbar sind und von denselben Administratoren verwaltet werden, helfen im Ernstfall nicht. Es braucht eine physisch und logisch getrennte Sicherungskopie, die auch mit Admin-Rechten nicht gelöscht werden kann.
Bei Backup ONE liegen Ihre Backup-Daten in unserer georedundanten Swiss Cloud in Zürich und Genf, vollständig getrennt von Ihrer Produktivumgebung. Die Verschlüsselung erfolgt nach dem Zero-Knowledge-Prinzip: Wir speichern Ihre Daten verschlüsselt, haben selbst aber keinen Zugriff auf den Schlüssel. Auf Wunsch sichern Sie Ihre Backups zusätzlich mit S3 Object Lock, der die Daten für eine frei wählbare Aufbewahrungszeit unveränderlich macht. Selbst ein Angreifer mit gestohlenen Zugangsdaten kann diese Sicherungen weder verändern noch löschen.
Ein Jahr Meldepflicht hat die Cyberlage der Schweiz nicht verändert, aber erstmals messbar gemacht. Angriffe sind Alltag. Wer seine Daten mit getrennten Backup-Zugangsdaten, unveränderlichem Speicher und einer Architektur schützt, die auch den schlimmsten Fall übersteht, kann nach einem Angriff weitermachen.
Das sind weitere Beiträge, die Sie interessieren könnten.
Zur Blogübersicht