Cyberbetrug-Meldungen haben sich fast verdoppelt

Die Anzahl der Berichte über Cyberbetrug hat sich im zweiten Halbjahr 2023 fast verdoppelt. Angesichts dieser Zahlen präsentierte der Chef des neuen Bundesamtes für Cybersicherheit (Bacs), Florian Schütz, nach gut vier Monaten im Amt eine neue Strategie.

30'331 Meldungen zu Cybervorfällen seien im zweiten Halbjahr über das offizielle Meldeformular beim damaligen Nationalen Zentrum für Cybersicherheit (NCSC) eingegangen, gegenüber 16'951 im gleichen Vorjahreszeitraum, hiess es in einer Medienmitteilung vom Montag. Verantwortlich dafür seien vor allem betrügerische Stellenangebote und vermeintliche Anrufe der Polizei gewesen.

Unternehmen hätten vor allem sogenannte CEO-Betrüge und Rechnungsmanipulationsbetrügereien gemeldet. Rückläufig seien hingegen die Ransomware-Angriffe auf Unternehmen gewesen. Diese seien von 54 auf 42 zurückgegangen.

Ebenfalls verdoppelt hätten sich im Berichtszeitraum die Phishing-Meldungen, von 2179 auf 5536. Das Bacs machte dabei auf das sogenannte Chain Phishing aufmerksam, bei dem Phisher über gehackte E-Mail-Postfächer E-Mails an alle gespeicherten Adressen schicken.

Noch relativ gering seien die Betrugsversuche mithilfe von Künstlicher Intelligenz (KI). Dabei gehe es zum Beispiel um Sextortion-Versuche mit KI-generierten Bildern oder dem Vortäuschen von Prominenten-Anrufen oder Investitionsbetrug im Namen von prominenten Persönlichkeiten.

Das NCSC gehe aber davon aus, dass Cyberkriminelle die Betrugs-Möglichkeiten durch KI zurzeit ausloteten, um sie später für Cyberangriffe einzusetzen. Das NCSC wurde per 1. Januar 2024 ins Bacs und damit aus dem Finanz- ins Verteidigungsdepartement überführt.

Das Ziel des neuen Bundesamtes sei es aber weiterhin, die Cybersicherheit von kritischen Infrastrukturen, Wirtschaft, Bildungswesen, Bevölkerung und Behörden zu stärken. Eine der aktuellen Herausforderungen sei die hohe Verwundbarkeit von IT-Systemen der Wirtschaft, der Behörden, von Bildungsinstitutionen und der Bevölkerung im Cyberraum.

Auch die unzureichende Reaktionsfähigkeit bei systemrelevanten Cybervorfällen und eine oft mangelnde Transparenz seien ein Problem. Dazu komme ein «nur punktuell ausgereiftes Verständnis von Cybersicherheit in Wirtschaft, Gesellschaft und Politik». «Sehr viele Vorfälle sind viel zu einfach», sagte Bacs-Direktor Schütz der Sendung «Info 3» von Radio SRF. Es gehe etwa darum, dass bei Sicherheitslücken Systeme nicht aktualisiert würden.

Ein Fall wie jener um die IT-Firma Xplain, bei dem heikle Daten in die Hände von Hackern gerieten, werde sich wiederholen, gab sich Schütz in dem Gespräch überzeugt. Wann dies geschehe, lasse sich jedoch nicht voraussagen.

Der Fokus seines Bundesamts liege ganz klar bei der Prävention, sagte der Bacs-Direktor. Er präsentierte am Montag auch die neue Strategie zur Umsetzung der Nationalen Cyberstrategie (NCS). Das Bundesamt konzentriere sich dabei auf vier Bereiche: Cyberbedrohungen verständlich zu machen, Mittel zur Verhinderung von Angriffen zur Verfügung zu stellen, Schäden zu reduzieren und die Sicherheit von digitalen Produkten und Dienstleistungen zu verbessern.

Die Anzahl der Meldungen mit Schäden nehme pro Jahr durchschnittlich um 30 Prozent zu. Das Bundesamt habe im letzten Jahr insgesamt 187'000 Meldungen über die Webseite antiphishing.ch bearbeitet und 8223 Webseiten in der Schweiz ausser Betrieb genommen.

Im Durchschnitt werde dem Bacs alle 40 Stunden eine Malware-Infektion gemeldet. Vor allem KMU gerieten immer mehr ins Visier von Cyberkriminellen. Angesichts der immer stärkeren Nutzung des digitalen Raumes seien diese Zahlen nachvollziehbar, und die Schweiz befinde sich damit im internationalen Vergleich im Mittelfeld.