Wie das BACS die Cybersicherheit in der Schweiz weiter ausbauen will
Seit 2024 ist das BACS ein eigenständiges Bundesamt im Departement für Verteidigung, Bevölkerungsschutz und Sport. Im Jahresbericht legt die Behörde ihre Ziele und die wichtigsten Errungenschaften im Jahr 2024 dar.
Das Bundesamt für Cybersicherheit (BACS) hat seinen Jahresbericht für das Jahr 2024 veröffentlicht. Das ehemalige Nationale Zentrum für Cybersicherheit (NCSC) ist seit nun einem Jahr als eigenständiges Amt des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport (VBS) tätig. Der Bericht umfasst die bisherigen Arbeitsprozesse, Massnahmen und weiteren Ziele des BACS bezüglich der Cybersicherheit in der Schweiz.
Organisation und Finanzen
Im Jahr 2024 umfassten die Gesamtausgaben des BACS 13,3 Millionen Franken, wovon 2,6 Millionen für Betriebs- und 10,7 Millionen für Personalkosten verwendet wurden. Rund 88 Prozent der verfügbaren Gesamtmittel wurden dabei in die Prävention, Aufklärung und Nachbearbeitung von Cybervorfällen investiert. Budgeteinsparungen aufgrund verzögerter Projekte würden den Reserven für das Folgejahr zugutekommen, heisst es weiter. Zudem hat das BACS im Jahr 2024 rund 24 neue Mitarbeitende erhalten. Hochschulpraktika sollen ausserdem den beruflichen Nachwuchs fördern.
Hinsichtlich der Organisation des BACS habe sich die Einführung der OKR-Methode (Objectives and Key Results) zur strategischen Steuerung aller Organisationseinheiten im vierten Quartal 2024 als wichtige Entscheidung erwiesen. Sie habe wesentlich zur nationalen und internationalen Anerkennung der Arbeitsweisen und Strukturen des BACS beigetragen.
Vier strategische Säulen
Wie es im Bericht weiter heisst, fusste das Vorgehen des BACS im Jahr 2024 auf vier Grundsätzen:
- Cyberbedrohungen verständlich machen: Informationen und Aufklärung über die Website, Berichte und sieben erfolgte Sensibilisierungskampagnen sollen Unternehmen und die Bevölkerung über digitale Gefahren aufklären. Neue Sicherheitstechnologien wie Post-Quanten-Kryptografie sollen im Rahmen der Nationalen Cyberstrategie (NCS) vorangetrieben werden. Dazu fördert das BACS den Aufbau eines breiten Steuerungsausschusses mit fünf Arbeitsgruppen und die Organisation der Nationalen Cybersicherheitskonferenz.
- Mittel zur Verhinderung von Cyberangriffen zur Verfügung stellen: Das BACS unterstützt den Ausbau des Cyber Security Hubs (CSH), das 2024 insgesamt 1100 Unternehmen umfasste und 38 wöchentlich erschienene Lageberichte für Expertinnen und Experten erstellte. Zudem sollen Cyber Security Centres (CSC) für unterschiedliche Industriezweige den Informationsaustausch mit kritischen Infrastrukturen über Analyseplattformen wie antiphishing.ch ermöglichen. Rund 8116 Command-and-Control-Systeme von Cyberkriminellen konnten identifiziert und gesperrt werden. Damit werde auch die internationale Kooperation hinsichtlich der Früherkennung von grossangelegten Cyberangriffen und der grenzüberschreitende Austausch gefördert.
- Schäden aus Cybervorfällen reduzieren: Mit Incident Response, einem Pikettbetrieb für Behörden und kritische Infrastrukturen, wurde eine Anlaufstelle für Risikoanalysen, Abwehrmassnahmen und deren Koordination errichtet. Sie habe ihren Nutzen unter anderem im Rahmen der Cyberangriffe während des World Economic Forums (WEF) und der Bürgenstock-Konferenz zum Frieden in der Ukraine gezeigt.
- Sicherheit von digitalen Produkten und Dienstleistungen erhöhen: Das BACS fungiert als Sammelstelle für Meldungen über kritische Sicherheitslücken in Systemen. 2024 gingen so 62'954 freiwillige Meldungen über Cybervorfälle und 991'309 zu mit Schadsoftware infizierten Geräten ein. Im Rahmen der sogenannten Bug-Bounty-Programmen wurden im Jahr 2024 insgesamt 371 Schwachstellen gemeldet, von denen 239 validiert wurden. Dabei wurden 250'000 Franken an Prämien an beteiligte ethische Hacker ausbezahlt. Des Weiteren unterhielt das BACS eine Kooperation mit dem Nationalen Testinstitut für Cybersicherheit (NTC) zur Sicherheitsprüfung von IT-Produkten.
Ausblick und weitere Ziele
Für das Jahr 2025 geht das BACS von einem Gesamtbudget von 16,1 Millionen Franken aus, wobei man sich weiterhin auf eine gezielte Ressourcennutzung fokussieren wolle.
Wichtige strategische Handlungsfelder bilden dabei die Weiterentwicklung der digitalen Plattform, die Umsetzung der NCS einschliesslich eines ersten Umsetzungsberichts sowie eine zuverlässige operative Leistung mit Fokus auf kurz- und mittelfristiger Wirkung. Dafür wolle das BACS seine Rolle als Plattform und Multiplikator für Beiträge von Partnerorganisationen intensivieren und durch stärkere Koordination und Automatisierung eine interne Effizienzsteigerung erreichen.
Das BACS sieht vor allem die Prävention von Phishing als eine wichtige Priorität im Kampf gegen Cyberkriminelle. Vor Kurzem warnte es vor einer Zunahme von Chain-Phishing-Angriffe in Microsoft-365-Anwendungen, die vor allem für Unternehmen verheerende Folgen haben können – mehr dazu lesen Sie hier.
Update: Oracle bestreitet einen mutmasslichen Datendiebstahl – und warnt vor einem anderen
Init7 feiert 25-jähriges Bestehen in Winterthur
OpenAI schliesst grösste Finanzierungsrunde seiner Unternehmensgeschichte ab
Identitätssicherheit: Warum IAM und PAM entscheidend sind
KI in der Cybersecurity: Wohin geht die Reise?
Arctic Wolf tourt mit neuen Features durch die Schweiz
IT & OT im Visier: Warum Security für Schweizer Firmen entscheidend ist
IT-Sicherheit: Standardlösungen allein bringen es nicht mehr
Mit axont ein KMU-freundliches Access Management realisieren
