Alle achteinhalb Minuten wird ein Cybervorfall gemeldet
Bern – Die Zahl der Betrugsversuche im Cyberraum ist rasch gestiegen, Tatwerkzeug ist oft das Telefon. Bis Ende Oktober 2024 erhielt das zuständige Bundesamt alle achteinhalb Minuten eine freiwillige Meldung zu einem Vorfall. Zahlen zu vollendeten Straftaten und Schäden hat der Bund nicht.
Im ersten Halbjahr 2024 wurden dem Bundesamt für Cybersicherheit (Bacs) 34’789 Cybervorfälle gemeldet. Stand Anfang November waren es bereits rund 52’700, mehr als im ganzen Vorjahr, wie Bacs-Direktor Florian Schütz vor den Medien in Bern sagte.
Falsche Behördenanrufe
Allein am Donnerstagvormittag habe sein Bundesamt 133 Meldungen erhalten, davon 63 zu Telefonbetrügereien, berichtete Schütz. Rund zwei Drittel der im ersten Halbjahr gemeldeten Vorfälle waren Betrugsversuche, häufig begangen am Telefon. Auffällig waren falsche Behördenanrufe.
In 13’730 Fällen im ersten Halbjahr gaben sich Betrüger als Behördenmitarbeiter aus. Das Vorgehen ist zweistufig: Ein Roboter der Kriminellen ruft zuerst zahlreiche Nummern an. Den Angerufenen wird vorgeschwindelt, dass sie in ein Strafverfahren verwickelt seien. Für das weitere Vorgehen müssten sie auf ihrem Telefon die Taste#1 drücken.
Tun die Angerufenen das und zeigen sie sich damit eher anfällig für einen Betrug, werden sie mit einem echten Betrüger verbunden, wie Schütz schilderte. Dieser drängt dazu, eine Fernzugriffs-Software auf ihrem Computer zu installieren. Über diese haben die Kriminellen dann Zugriff auf das E-Banking und können Zahlungen auslösen.
«Das ist ein Business», sagte der Bacs-Direktor. Aus den Statistiken sei klar ersichtlich, dass die Kriminellen an Werktagen zwischen dem frühen Morgen Schweizer Zeit und etwa 16.00 Uhr anrufen. An Wochenenden hingegen kämen keine Anrufe.
Phishing mit Schneeballsystem
Im Zunehmen ist auch Phishing, oft mit falschen Benachrichtigungen von Paketzustellungen oder vorgegebenen Rückerstattungen. 6643 Meldungen gingen in der ersten Jahreshälfte 2024 zu dieser Form der Internetkriminalität ein, etwa 2800 mehr als im Vorjahreszeitraum.
Phishing umschreibt das Sammeln von Zugangsdaten, Finanzinformationen und anderen vertraulichen Daten von Nutzern und Nutzerinnen ohne deren Wissen. Ausgetrickst werden sie häufig mit Absenderadressen bekannter Unternehmen, zum Beispiel der SBB, von Postdiensten oder Steuerverwaltungen.
Verbreitet ist laut dem Bacs zurzeit sogenanntes Chain-Phishing: Dabei werden aus einem kompromittierten Mail-Postfach sofort Phishing-Nachrichten ans ganze Adressbuch verschickt, und ein Schneeballsystem wird ausgelöst.
Leicht weniger Meldungen als im Vorjahr gab es zu erpresserischen Software-Angriffen auf Firmen. Dabei machen Cyberkriminelle mit einer Verschlüsselung Schadsoftware Daten auf IT-Systemen unbrauchbar. Immer häufiger drohen sie laut Schütz, gewonnene Daten zu veröffentlichen oder zu verkaufen. «Das erzeugt mehr Druck.»
Meldepflicht kommt im 2025
Während im ersten Halbjahr 2023 56 Ransomware-Meldungen eingingen, waren es ein Jahr später noch 39. Opfer gab es in allen Branchen, und Unternehmen unterschiedlicher Grösse waren betroffen. Das Ausmass des Schadens ist laut Bacs unterschiedlich gross, kann aber die Existenz bedrohen. Hinzu kommen können Reputationsschäden.
Neun von zehn beim Bacs eingegangene Meldungen kamen von Privatpersonen, die übrigen von Unternehmen, Vereinen und Behörden. Einen Cybervorfall mitzuteilen, ist heute freiwillig. Das 2023 vom Parlament gutgeheissene Informationssicherheitsgesetz bringt im Lauf von 2025 für Betreiber kritischer Infrastrukturen eine Meldepflicht.
Zum Erfolg von Cyberangriffen und dadurch entstandenen Schäden hat das Bacs keine Zahlen. Noch seien die Meldungen ja freiwillig, sagte Schütz dazu. Die Meldepflicht könnte dazu beitragen, künftig genauere Angaben zu erhalten.
Cybersicherheit und der Schutz vor Cyberrisiken seien eine stetige Herausforderung für Wirtschaft, Staat und Gesellschaft, schreibt das Bacs. Das Bundesamt gibt es seit Anfang 2024. Hervorgegangen ist es aus dem Nationalen Zentrum für Cybersicherheit. (awp/mc/ps)