Am 23. Dezember 2015 fiel in der Ukraine pl\u00f6tzlich der Strom aus. Rund 230\u2019000 Menschen sassen im Dunkeln. Der Grund: Hacker, die vermutlich im Auftrag des russischen Geheimdiensts handelten, hatten die Computersysteme der Stromversorger angegriffen. Sie schalteten insgesamt 30 Umspannwerke aus. Es war der erste dokumentierte Fall, bei dem ein Cyberangriff eine Stromversorgung ausser Kraft setzte. \u00c4hnliche Angriffe gab es seither mehrfach. 2021 legten Kriminelle in den USA mit einem Cybererpressungsangriff die gr\u00f6sste Treibstoffpipeline des Landes lahm. Das Benzin wurde knapp, ganze Regionen waren betroffen.<\/p>\n
Diese Beispiele zeigen: W\u00e4hrend kritische Infrastrukturen fr\u00fcher physisch isoliert und nur vor Ort sabotiert werden konnten, sind sie heute \u00fcber vernetzte Steuerungssysteme und Internetschnittstellen von \u00fcberall auf der Welt angreifbar. Cyberangriffe auf kritische Infrastrukturen wie Energieversorgung, Gesundheitswesen oder Finanzdienstleistungen k\u00f6nnen Wirtschaft und Gesellschaft massiv beeintr\u00e4chtigen. Auch in der Schweiz k\u00f6nnen kritische Infrastrukturen Ziel von Cyberangriffen werden. Das Bundesamt f\u00fcr Cybersicherheit hat den Auftrag, die Cybersicherheit von kritischen Infrastrukturen zu st\u00e4rken. Um eine bessere \u00dcbersicht \u00fcber die Bedrohungslage zu erhalten und um die Betreiberinnen von kritischen Infrastrukturen fr\u00fchzeitig zu warnen, hat der Bundesrat am 1. April 2025 eine Meldepflicht f\u00fcr Cybervorf\u00e4lle eingef\u00fchrt.<\/p>\n
Bis zur Einf\u00fchrung der Meldepflicht setzte die Schweiz auf Freiwilligkeit: Betreiber kritischer Infrastrukturen konnten dem Bundesamt f\u00fcr Cybersicherheit Cyberangriffe melden. Schon vor Einf\u00fchrung der Meldepflicht bestand ein enges Vertrauensverh\u00e4ltnis zwischen dem Bundesamt f\u00fcr Cybersicherheit und vielen Betreiberinnen kritischer Infrastrukturen. Diese Zusammenarbeit erleichterte den erfolgreichen Start der Meldepflicht.<\/p>\n
Die Meldepflicht wurde mit der Revision des Informationssicherheitsgesetzes eingef\u00fchrt. Betreiberinnen kritischer Infrastrukturen m\u00fcssen Cyberangriffe innerhalb von 24 Stunden nach deren Entdeckung dem Bundesamt f\u00fcr Cybersicherheit melden. In den ersten sechs Monaten gingen bereits 164 Meldungen ein \u2013 im Schnitt eine Meldung pro Tag. Am st\u00e4rksten betroffen war bislang das Finanzwesen, gefolgt von der IT-Branche und dem Energiesektor. Weitere Meldungen stammen von den Beh\u00f6rden, dem Gesundheitssektor, den Telekommunikationsunternehmen sowie vereinzelt aus dem Postwesen, dem Transportsektor, der Medienbranche, der Nahrungsmittelversorgung und der Technologiebranche.[1]<\/a><\/p>\n International gibt es einen klaren Trend zu strengeren Cybersicherheitsvorschriften. Die EU hat mit ihrer NIS-2-Richtlinie<\/a> bereits 2023 die Regeln versch\u00e4rft. Rund 29\u2019000 Unternehmen in 18 Sektoren m\u00fcssen dort umfangreiche Sicherheitsmassnahmen umsetzen: Sie m\u00fcssen Risiken managen, technische Schutzmassnahmen installieren und ihre Lieferketten absichern. Die EU-Beh\u00f6rden kontrollieren die Einhaltung dieser Vorschriften. Wer sich nicht an die Vorgaben h\u00e4lt, zahlt als Strafe bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Umsatzes des betroffenen Unternehmens.<\/p>\n Die Schweiz geht einen anderen Weg. Die neue Meldepflicht dient ausschliesslich der Fr\u00fcherkennung von Angriffsmustern und der rechtzeitigen Warnung anderer Betroffener. Der Bundesrat stellte von Anfang an klar: Das Bundesamt f\u00fcr Cybersicherheit kontrolliert die Unternehmen nicht und macht ihnen keine Vorschriften, wie sie sich sch\u00fctzen m\u00fcssen.[2]<\/a> Es geht nur darum, dass Angriffe gemeldet werden. Bei Verst\u00f6ssen drohen Bussen bis zu 100\u2019000 Franken. Zudem sind die Sanktionen bewusst zur\u00fcckhaltend: Bussen werden nur als letztes Mittel gegen Organisationen verh\u00e4ngt und erst wenn mehrfache Aufforderungen vors\u00e4tzlich missachtet werden.<\/p>\n Der Unterschied zur EU ist also grundlegend: W\u00e4hrend die EU den Unternehmen vorschreibt, welche Sicherheitsmassnahmen sie ergreifen m\u00fcssen, um Angriffe zu verhindern, konzentriert sich die Schweiz darauf, Angriffe schnell zu erkennen und andere zu warnen.<\/p>\n Die Meldepflicht gilt f\u00fcr viele verschiedene Organisationen. Das Informationssicherheitsgesetz orientiert sich dabei an der nationalen Strategie zum Schutz kritischer Infrastrukturen<\/a> und listet 21 Kategorien auf. Dazu geh\u00f6ren aus dem Bereich der \u00f6ffentlichen Hand und Bildung etwa Hochschulen sowie Bundes-, Kantons- und Gemeindebeh\u00f6rden. Im Bereich Sicherheit und Gesundheit m\u00fcssen Rettungsdienste, Spit\u00e4ler und medizinische Labors melden. Auch Energieversorger wie Stromanbieter sowie Verkehrsunternehmen wie Bahngesellschaften und Busunternehmen sind betroffen. Im Finanz- und Kommunikationsbereich geh\u00f6ren Banken, Medien und Telefongesellschaften zu den Meldepflichtigen. Schliesslich auch die digitale Infrastruktur, die Internetdomain-Betreiber, Cloudanbieter sowie Hard- und Softwarehersteller umfasst.<\/p>\n Damit die Regelung verh\u00e4ltnism\u00e4ssig bleibt, sieht die Cybersicherheitsverordnung detaillierte Ausnahmen vor. Kleine Organisationen sind von der Meldepflicht befreit, wenn ein Cyberangriff auf sie nur geringe Auswirkungen auf Wirtschaft oder Bev\u00f6lkerung h\u00e4tte. So sind im Bildungsbereich Hochschulen mit weniger als 2000 Studierenden ausgenommen. Im Energiesektor gelten Schwellenwerte: Kleinere Netzbetreiber und Gasversorger, die bestimmte Mengen nicht erreichen, sind befreit. Bei Verkehrsunternehmen sind solche ohne Systemaufgaben oder ohne gemeinsam durch Bund und Kantone bestellte Angebote ausgenommen. Auch Anbieterinnen und Betreiberinnen von Cloudcomputing, Suchmaschinen, digitalen Sicherheits- und Vertrauensdiensten sowie Rechenzentren\u00a0mit Sitz in der Schweiz, die ausschliesslich f\u00fcr die eigene Organisation arbeiten, m\u00fcssen nicht melden. Das gilt aber nur, sofern sie ihre Leistungen weder teilweise noch vollumf\u00e4nglich gegen Bezahlung f\u00fcr Dritte erbringen.<\/p>\n Des Weiteren gilt f\u00fcr Einrichtungen und Unternehmen aus den Bereichen Gesundheitswesen, Arzneimittelversorgung, Postdienste sowie Grundversorgung der Bev\u00f6lkerung mit unentbehrlichen G\u00fctern zudem eine allgemeine Kleinunternehmerregelung: Organisationen mit weniger als 50 Besch\u00e4ftigten und einem Jahresumsatz unter 10 Millionen Franken sind befreit. Diese differenzierten Ausnahmen zeigen, dass die Meldepflicht auf jene Organisationen beschr\u00e4nkt wird, deren Ausfall tats\u00e4chlich erhebliche Auswirkungen auf die Gesellschaft h\u00e4tte.<\/p>\n Nicht jeder Cyberangriff l\u00f6st eine Meldepflicht aus. Das Gesetz nennt vier Situationen, in denen gemeldet werden muss. Erstens wenn die Funktionsf\u00e4higkeit gef\u00e4hrdet ist, also wenn Systeme ausfallen und die Organisation nur noch mit Notfallpl\u00e4nen arbeiten kann. Zweitens wenn Unbefugte auf wichtige Daten zugreifen oder die Datensicherheit verletzt wird. Drittens wenn ein Angriff lange unentdeckt blieb, n\u00e4mlich \u00fcber 90 Tage, und so m\u00f6glicherweise weitere Angriffe vorbereitet werden. Viertens bei Erpressung, wenn Angreifer also drohen, erpressen oder n\u00f6tigen, wie das bei Ransomware-Attacken[3]<\/a> der Fall ist. Nicht meldepflichtig sind hingegen technische Fehlfunktionen oder normale IT-Probleme. Es geht nur um absichtliche Angriffe.<\/p>\n Organisationen m\u00fcssen einen Angriff innerhalb von 24 Stunden nach seiner Entdeckung beim Bundesamt f\u00fcr Cybersicherheit melden. Dies geschieht im Idealfall \u00fcber ein sicheres elektronisches System, den sogenannten Cyber Security Hub, der eine rasche Bearbeitung der Meldung gew\u00e4hrleistet. Falls nicht sofort alle Informationen verf\u00fcgbar sind, k\u00f6nnen Organisationen diese innerhalb von 14 Tagen nachreichen. Diese zweistufige Regelung ber\u00fccksichtigt, dass es Zeit braucht, um komplexe Angriffe zu verstehen. Die Meldung muss die betroffene Organisation nennen, Art und Ausf\u00fchrung des Angriffs beschreiben, seine Auswirkungen schildern und die bereits ergriffenen Massnahmen auff\u00fchren. Organisationen k\u00f6nnen auch spezialisierte IT-Sicherheitsfirmen mit der Meldung beauftragen, bleiben aber rechtlich verantwortlich.<\/p>\n Wer einen Angriff meldet, bekommt zudem Hilfe vom Bundesamt f\u00fcr Cybersicherheit. Es kann technische Analysen erstellen, bei der Behebung von Schwachstellen beraten und andere potenzielle Betroffene warnen. Diese Unterst\u00fctzung ist ein direkter Nutzen f\u00fcr die meldenden Organisationen.<\/a><\/p>\n Am 23. Dezember 2015 fiel in der Ukraine pl\u00f6tzlich der Strom aus. Rund 230\u2019000 Menschen sassen im Dunkeln. Der Grund: Hacker, die vermutlich im Auftrag des russischen Geheimdiensts handelten, hatten die Computersysteme der Stromversorger angegriffen. Sie schalteten insgesamt 30 Umspannwerke aus. Es war der erste dokumentierte Fall, bei dem ein Cyberangriff eine Stromversorgung ausser Kraft […]<\/p>","protected":false},"author":13719,"featured_media":214835,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"ep_exclude_from_search":false,"footnotes":""},"post__type":[69,66],"post_opinion":[],"post_serie":[],"post_content_category":[240],"post_content_subject":[169],"acf":{"seco_author":13719,"seco_co_author":"","author_override":"","seco_author_post_ocupation_year":"","seco_author_post_occupation_de":"Rino Siffert, Leiter Rechtsdienst im Bundesamt f\u00fcr Cybersicherheit (BACS), Bern","seco_author_post_occupation_fr":"Chef du Service juridique de l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS), Berne","seco_co_authors_post_ocupation":null,"short_title":"","post_lead":"Seit 2025 gilt in der Schweiz eine Meldepflicht f\u00fcr Cyberangriffe auf kritische Infrastrukturen. Ziel ist es, Bedrohungen fr\u00fchzeitig zu erkennen und Abwehrmassnahmen besser zu koordinieren.","post_hero_image_description":"Betreiberinnen kritischer Infrastrukturen wie Elektrizit\u00e4tswerke m\u00fcssen Cyberangriffe innerhalb von 24 Stunden melden. ","post_hero_image_description_copyright_de":"Keystone","post_hero_image_description_copyright_fr":"","post_references_literature":"","post_kasten":null,"post_notes_for_print":"","first_teaser_header_de":"","first_teaser_header_fr":"","first_teaser_text_de":"","first_teaser_text_fr":"","second_teaser_header_de":"","second_teaser_header_fr":"","second_teaser_text_de":"","second_teaser_text_fr":"","kseason_de":"","kseason_fr":"","post_in_pdf":"","main_focus":[215155,215158],"serie_email":"","frontpage_slider_bild":"","artikel_bild-slider":null,"legacy_id":"","post_abstract":"","magazine_issue":null,"seco_author_reccomended_post":"","redaktoren":[9757],"korrektor":5357,"planned_publication_date":"2025-10-28 06:00:50","original_files":null,"external_release_for_author":"20251029","external_release_for_author_time":"00:03:00","link_for_external_authors":"https:\/\/dievolkswirtschaft.ch\/de\/exedit\/68de5fd711892"},"_links":{"self":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/214457"}],"collection":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/13719"}],"replies":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/comments?post=214457"}],"version-history":[{"count":12,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/214457\/revisions"}],"predecessor-version":[{"id":214852,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/posts\/214457\/revisions\/214852"}],"acf:user":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/5357"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/9757"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/users\/13719"}],"acf:post":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/215158"},{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/main_focus_post\/215155"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media\/214835"}],"wp:attachment":[{"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/media?parent=214457"}],"wp:term":[{"taxonomy":"post__type","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post__type?post=214457"},{"taxonomy":"post_opinion","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_opinion?post=214457"},{"taxonomy":"post_serie","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_serie?post=214457"},{"taxonomy":"post_content_category","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_category?post=214457"},{"taxonomy":"post_content_subject","embeddable":true,"href":"https:\/\/dievolkswirtschaft.ch\/de\/wp-json\/wp\/v2\/post_content_subject?post=214457"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Der Schweizer Weg: Fokus auf Fr\u00fcherkennung<\/h2>\n
Wer muss melden?<\/h2>\n
Was muss gemeldet werden?<\/h2>\n