30.12.2025 - Traditionell blickt das BACS in seinem letzten Wochenrückblick des Jahres auf die Meldungen der vergangenen zwölf Monate zurück. Insgesamt gingen beim BACS knapp 65’000 Meldungen zu Cybervorfällen ein. Damit fällt der Anstieg gegenüber dem letzten Jahr deutlich geringer aus als noch in den Vorjahren. Das Jahr 2025 war zwar immer noch geprägt von Meldungen zu «Drohanrufen im Namen der Polizei», gerade in der zweiten Jahreshälfte wurden aber deutlich weniger Meldungen registriert. Dieser Rückgang wurde durch Meldungen von «Werbung für Online-Anlagebetrug» kompensiert. Auch wenn die quantitative Zunahme nicht mehr so gross ausfällt, ist die qualitative Entwicklung bemerkenswert.
Mit insgesamt knapp 65’000 Meldungen ist der Meldeeingang im Vergleich zum Vorjahr geringfügig angestiegen. Mit einem Anteil von 26 % sind «Anrufe im Namen von Fake-Behörden» nach wie vor das am häufigsten gemeldete Phänomen. Es folgen Phishing mit 19 % und «Werbung für Online-Anlagebetrug» mit 9 %. Das Verhältnis der Meldungen aus der Bevölkerung (90 %) zu denjenigen von Unternehmen, Vereinen und Behörden (10 %) bleibt weiterhin stabil. Bei den am häufigsten von Unternehmen gemeldeten Betrugsdelikten ist bei CEO-Betrug auch in diesem Jahr eine Zunahme zu verzeichnen (2025: 970 / 2024: 719). Nur leicht zugenommen haben hingegen die Meldungen zu Rechnungsmanipulationsbetrug (2025: 132 / 2024: 114). Nachdem im letzten Jahr Meldungen zu Ransomware deutlich abgenommen haben (2024: 92), sind die Meldungen in diesem Jahr mit 104 Meldungen wieder leicht angestiegen, bleiben aber immer noch unter dem Niveau von 2023 (109). Die Anzahl der Fälle sagt jedoch nichts über das Schadensausmass aus. Die Angreifer konzentrieren sich zunehmend auf lukrative Ziele, so dass der Schaden pro Fall in Zukunft steigen dürfte. Festzuhalten ist zudem, dass Ransomware-Angriffe mittlerweile fast immer mit einem Datenabfluss einhergehen, was das Schadensausmass zusätzlich erhöht. Rückläufig sind die Meldungen zu DDoS-Angriffen. Während im letzten Jahr noch 48 Meldungen eingingen, waren es in diesem Jahr noch 35.
Gezielter, komplexer, raffinierter
Während die Meldungen zu Betrug um rund 5’500 Fälle zurückgingen, stiegen die Meldungen zu Spam um etwa 6’500. Die übrigen Kategorien blieben nahezu unverändert. Der Rückgang bei Betrug ist fast ausschliesslich auf weniger Meldungen des Phänomens «Betrügerische Anrufe im Namen von Behörden» zurückzuführen. Auf der anderen Seite basiert die Zunahme bei Spam überwiegend auf dem Phänomen «Werbung für Online-Anlagebetrug», Meldungen zu Phishing blieben stabil. Die Zahlen wirken auf den ersten Blick unspektakulär, doch die Qualität der Angriffe verändert sich deutlich. Dies ist besonders beim Phänomen Phishing ersichtlich. Die Tendenz geht weg von Massenangriffen hin zu individuell zugeschnittenen Angriffen. Die Angreifer nehmen sich Zeit, um gezielt einzelne Opfer anzugreifen. Anscheinend lohnt sich der zunehmende Aufwand.
Dies wird deutlich bei Phishing-Angriffen in Zusammenhang mit Kleinanzeigen, die insbesondere im ersten Halbjahr 2025 zugenommen haben. Dabei geben sich Betrüger als Kaufinteressenten aus und täuschen beim Bezahlvorgang vor, dass man auf eine spezielle Seite gehen soll, um das Geld zu erhalten. Je nachdem, bei welcher Bank man ist, werden dann diverse Zugangsdaten für das E-Banking verlangt. In diesem Fall haben es die Betrüger aber nicht direkt auf das E-Banking abgesehen. Im Visier der Betrüger steht das TWINT-Konto des Opfers. Dieses ist in vielen Fällen mit dem Bankkonto gekoppelt. Im Unterschied zum Bankkonto werden die Zahlungen hier sofort ausgeführt. Die Höhe der Transaktionen ist lediglich durch die vom Opfer gesetzte Limite begrenzt. Zudem nutzen Täter gehackte TWINT-Konten, um Gelder zu waschen und den Ursprung der Zahlungen zu verschleiern.
Neue Dimension: Raffinierte Phishing-Angriffe mit SMS-Blastern
In diesem Jahr wurde ebenfalls eine neue Variante beobachtet, um Phishing-Nachrichten zu verbreiten. Ab Sommer gingen zahlreiche Meldungen zu SMS mit angeblichen Parkbussen in der Westschweiz beim BACS ein. Phishing-Versuche mit angeblichen Parkbussen waren dem BACS bereits bekannt, allerdings meist in Form von E-Mails. Neu war jedoch die gezielte Zustellung per SMS. Auffällig war insbesondere, dass sich die Empfängerinnen und Empfänger kurz vor Erhalt der Nachricht in denselben geografischen Gebieten aufgehalten hatten. Dies deutete darauf hin, dass die Cyberkriminellen technische Hilfsmittel einsetzten, um den Versand der SMS zu manipulieren. Wie sich später herausstellte, setzten die Angreifer sogenannte «SMS-Blaster» ein: mobile Geräte, die sich als legitime Mobilfunkstation ausgeben. So konnten die Angreifer gefälschte SMS direkt an die Geräte in der Umgebung senden. Die Opfer erhielten die Nachricht, ohne dass ihre Telefonnummer den Tätern bekannt war. Der in der Nachricht enthaltene Link führte auf eine täuschend echt gestaltete Zahlungsseite, die Kreditkartendaten abgriff.
Auch «unscheinbare» Daten als Ziel der Angreifer
Neben den bekannten Datenabflüssen beobachtete das BACS im vergangenen Jahr vermehrt Angriffe, bei denen Betrüger persönliche Informationen aktiv sammelten. Während klassisches Phishing primär auf die Übernahme von E-Banking- oder E-Mail-Konten abzielt, verfolgten diese Kampagnen ein anderes Ziel: den Aufbau eines möglichst vollständigen Datenprofils der Opfer. Die Täter erstellten täuschend echte Webseiten im Design vertrauenswürdiger Institutionen wie Banken, Versicherungen, Krankenkassen oder Zahlungsdienstleister. Unter dem Vorwand, Daten zu «verifizieren» oder zu «aktualisieren», wurden die Nutzer aufgefordert, umfangreiche Informationen preiszugeben. Die abgefragten Daten gingen weit über Zugangsdaten hinaus. In einem aktuellen Fall wurde auf einer gefälschten Seite in Zusammenhang mit einer angeblichen Rückerstattung neben persönlichen Angaben auch eine digitale Unterschrift verlangt. Die so erstellten Profile der Opfer sind für kriminelle Aktivitäten besonders wertvoll, da sie Identitätsdiebstahl, gezielte Social-Engineering-Angriffe oder den Weiterverkauf der Daten auf dem Schwarzmarkt ermöglichen. Je vollständiger die Informationen sind, desto höher ist der potenzielle Gewinn.
Firmennamen werden immer mehr missbraucht
Nicht nur Privatpersonen sind Ziel von Identitätsdiebstahl, sondern zunehmend auch Unternehmen. Der Grund liegt in der hohen Vertrauenswirkung eines etablierten Firmennamens, den Betrüger für ihre Zwecke missbrauchen. Besonders gefährdet sind Firmen ohne eigene Webseite, da sie im Internet kaum präsent sind und sich ihre Identität leicht imitieren lässt. Cyberkriminelle gehen dabei systematisch vor: Sie durchsuchen Handelsregister nach solchen Unternehmen, registrieren passende Domains und erstellen täuschend echte Webseiten. Um Seriosität vorzutäuschen, übernehmen sie offizielle Angaben wie Adresse und Handelsregisternummer der echten Firma. Auf dieser Basis starten sie vielfältige Betrugsmaschen - von fingierten Jobangeboten über gefälschte Online-Shops bis hin zu professionell gestalteten Investmentplattformen. Der Missbrauch einer real existierenden Unternehmensidentität senkt die Skepsis potenzieller Opfer erheblich und erhöht die Erfolgschancen der Täter, ohne dass diese selbst eine glaubwürdige Reputation aufbauen müssen.
Die Rolle künstlicher Intelligenz bei Cyberkriminalität
Künstliche Intelligenz spielt zwar eine zunehmende Rolle bei Cyberkriminalität, ist aber derzeit noch nicht so dominant, wie man erwarten könnte. Auffällig war im vergangenen Jahr vor allem der Einsatz von KI bei den Werbekampagnen für Online-Anlagebetrug. Dabei wurden beispielsweise täuschend echte Interviews mit bekannten Politikern generiert, die angeblich eine geheime Methode zur Geldanlage mit hohen Renditen empfahlen. Solche Deepfake-Inhalte nutzen das Vertrauen in prominente Persönlichkeiten, um Opfer zu manipulieren. Inzwischen gibt es auch erste Fälle, in denen kompromittierende Bilder mithilfe von KI erstellt wurden, um Menschen zu erpressen. Diese Entwicklung zeigt, dass künstliche Intelligenz den Cyberkriminellen neue Möglichkeiten eröffnet, ihre Angriffe glaubwürdiger und personalisierter zu gestalten. Angesichts der rasanten technologischen Fortschritte ist davon auszugehen, dass solche Methoden das BACS in den kommenden Jahren deutlich stärker beschäftigen werden. Es darf aber nicht ausser Acht gelassen werden, dass diese Möglichkeiten auch genutzt werden können, um Komplexität besser zu verstehen und Risiken frühzeitig zu senken.
Meldepflicht für Cyberangriffe auf kritische Infrastrukturen
Seit dem 1. April 2025 müssen Betreiberinnen und Betreiber von kritischen Infrastrukturen Cyberangriffe innerhalb von 24 Stunden dem BACS melden. Die bislang eingegangenen 221 Meldungen ermöglichen dem BACS sich eine verbesserte Übersicht über die Cyberbedrohungslage in der Schweiz und die Vorgehensweisen der Angreifer zu schaffen. Die gewonnen Erkenntnisse unterstützen sowohl die Bewältigung konkreter Vorfälle, die Einschätzung der nationalen Bedrohungslage sowie bei der frühzeitigen Warnung potenziell betroffener Organisationen. Besonders positiv ist zudem, dass sich seit Inkrafttreten der Meldepflicht eine wachsende Zahl von Organisationen (aktuell 1660) aktiv am Informationsaustausch beteiligen, den das BACS zur weiteren Stärkung der Cybersicherheit der Schweiz konsequent fortführen wird.
Das Bundesamt für Cybersicherheit dankt Ihnen für Ihr Vertrauen und Ihre Unterstützung und wünscht Ihnen ein betrugs- und virenfreies neues Jahr und einen guten Start ins 2026!
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 30.12.2025
