Cyber-Schuld und digitale Souveränität – ein strategischer Handlungsdruck
In den vergangenen 20 Jahren haben viele Unternehmen eine erhebliche "Cyber-Schuld" aufgebaut. Gemeint sind Sicherheitsmassnahmen, die hätten umgesetzt werden sollen, jedoch unterblieben sind. Dieser Rückstand schwächt die Resilienz der Organisationen.
Zu Cyber-Schulden zählen grundlegende Schutzmassnahmen wie Multi-Faktor-Authentifizierung, regelmässige Backups, Endpoint-Management sowie klar definierte Sicherheitsverantwortlichkeiten und die Sensibilisierung der Mitarbeitenden. Dieser Rückstand schwächt die Resilienz der Organisationen in einem Umfeld, das von industrialisierten Bedrohungen und wachsendem regulatorischen Druck geprägt ist. Cyber-Schulden sind längst nicht mehr nur ein technischer Verzug. Sie stellen ein strategisches Risiko für die Geschäftskontinuität, die Reputation und die Wettbewerbsfähigkeit dar.
Der Aufstieg der künstlichen Intelligenz verschärft die Lage zusätzlich. Mitarbeitende nutzen KI zur Analyse oder Generierung von Inhalten, ohne sich der Risiken im Zusammenhang mit dem Abfluss sensibler Informationen oder von Geschäftsgeheimnissen bewusst zu sein. Wo Technologien ausserhalb klarer Governance-Strukturen eingeführt werden, vergrössert sich die Angriffsfläche erheblich.
Informationssicherheit ist nicht mehr allein eine Frage von Firewalls oder der IT. Sie ist Gegenstand einer integrierten Governance, die Risikomanagement, Technologiestrategie, regulatorische Compliance und Unternehmenskultur miteinander verbindet.
Von der Compliance zur Führungsverantwortung
In Europa verschärft die NIS-2-Richtlinie die Verpflichtungen wesentlicher und wichtiger Einrichtungen und nimmt die Unternehmensleitung unmittelbar in die Verantwortung. In der Schweiz steht das Informationssicherheitsgesetz (ISG) in derselben Dynamik. Die Geschäftsleitung muss heute ihre Fähigkeit nachweisen, Cyberrisiken zu steuern und kritische Geschäftsprozesse zu schützen.
Gefordert ist ein ganzheitlicher Risikoansatz, der interne Systeme wie auch die gesamte Lieferkette einschliesslich Lieferanten und Partner systematisch erfasst und steuert. In diesem Kontext wird die Business Impact Analysis (BIA) zu einem zentralen Instrument, um kritische Abhängigkeiten zu identifizieren, Prioritäten zu setzen und Sicherheitsinvestitionen konsequent an den strategischen Zielsetzungen auszurichten.
Digitale Souveränität und OT-Risikomanagement
In der Industrie steigern Digitalisierung und KI die Effizienz und Prognosefähigkeit. Doch die zunehmende Konzentration sensibler Betriebs- und Produktionsdaten in externen Cloud-Diensten wirft Fragen der digitalen Souveränität, der technologischen Abhängigkeit und der rechtlichen Exponierung auf.
Digitale Souveränität bedeutet deshalb, Transparenz über Datenstandorte, eingesetzte KI-Systeme und anwendbare Jurisdiktionen zu haben. Ebenso entscheidend sind Exit-Strategien und belastbare Alternativen bei regulatorischen oder geopolitischen Einschränkungen. Die risikobasierte Inventarisierung und Klassifizierung kritischer Daten wird zur strategischen Kernaufgabe.
Cybersicherheit, Business Continuity und operative Souveränität konvergieren zunehmend. Sicherheit entwickelt sich vom technischen Schutzmechanismus zum strategischen Hebel für unternehmerische Resilienz und nachhaltiges Kundenvertrauen.
"Sicherheit ist ein Geschäftsrisiko, kein reines IT-Thema"
Cyber-Schulden, Cloud-Abhängigkeiten und der sichere Umgang mit KI gehören heute zur Unternehmensrealität. Im Interview ordnet Eduardo Geraldi, CTO bei Spie ICS, ein, wie das Thema Sicherheit im Unternehmen verankert wird und Exit-Strategien für Cloud- und KI-Dienste sinnvoll aufgebaut werden können.
Interview: Dylan Windhaber
Wie können Unternehmen konkret ihre «Cyber-Schulden» priorisieren und schrittweise abbauen, ohne den laufenden Betrieb zu gefährden?
Eduardo Geraldi: Sie lassen sich nur strukturiert und risikobasiert abbauen. Zunächst braucht es Transparenz über Systeme, Schwachstellen und Risiken. Darauf aufbauend wird eine an Standards orientierte Cyber-Roadmap erstellt und in einem realistischen Umsetzungsplan in den Betrieb integriert, mit Fokus auf die grundlegenden Sicherheitsmassnahmen. Entscheidend ist ein ganzheitlicher Ansatz entlang von People, Process und Technology.
Wie kann die Verantwortung für Informationssicherheit von einer rein technischen Aufgabe zu einer dauerhaften Führungsaufgabe im gesamten Unternehmen transformiert werden?
Damit sie zur Führungsaufgabe wird, braucht es einen Perspektivenwechsel: Sicherheit ist ein Geschäftsrisiko, kein reines IT-Thema. Sie muss auf Ebene der Geschäftsleitung strategisch verankert und sichtbar gemacht werden. Diese Visibilität entsteht durch gezielte Awareness sowie durch klar definierte Security-KPIs, die regelmässig rapportiert werden und eine wirksame Steuerung ermöglichen.
Welche Kriterien und Prozesse sollten bei der Entwicklung von Exit-Strategien für Cloud- und KI-Dienste berücksichtigt werden, um digitale Souveränität gegenüber regulatorischen und geopolitischen Risiken zu gewährleisten?
Exit-Strategien für Cloud- und KI-Dienste müssen frühzeitig, bereits bei der Anbieterauswahl, berücksichtigt werden. Zentrale Kriterien sind Datenportabilität in standardisierten Formaten sowie die Vermeidung von proprietären Abhängigkeiten, insbesondere bei KI-Modellen. Vertraglich sind klare Regelungen zu Kündigung, Datenhaltung, Datenbearbeitung, Datenrückgabe, Löschung und Unterstützung beim Exit entscheidend. So lassen sich regulatorische und geopolitische Risiken gezielt kontrollieren und digitale Souveränität sichern.
In welchem Umfang und mit welchen Instrumenten sollten Lieferanten und Partner in die Business Impact Analysis eingebunden werden, um kritische Abhängigkeiten frühzeitig zu identifizieren und zu steuern?
Lieferanten und Partner sollten konsequent risikobasiert in die Business Impact Analysis eingebunden werden, mit Fokus auf kritische Drittparteien. Abhängigkeiten in den Geschäftsprozessen müssen frühzeitig transparent gemacht und bewertet werden. Dies idealerweise bereits vor der Beschaffung durch ein strukturiertes Security- und Risiko-Assessment. Ergänzend unterstützen standardisierte Assessments, Audits, Zertifizierungen sowie klare vertragliche Sicherheitsanforderungen dabei, kritische Abhängigkeiten von Anfang an gezielt zu steuern.
Wie lässt sich die Nutzung von KI-Tools durch Mitarbeitende so regulieren, dass Innovationspotenziale erschlossen werden, gleichzeitig aber das Risiko von sensiblen Datenabflüssen und Geschäftsgeheimnissen minimiert wird?
KI-Tools sollten nicht verboten, sondern verantwortungsvoll ermöglicht werden. Klare Leitlinien sind entscheidend, insbesondere, welche Daten verwendet werden dürfen und wie mit sensiblen Informationen umzugehen ist. Gleichzeitig sollten Unternehmen geprüfte und freigegebene Tools bereitstellen, um Schatten-IT/-KI zu vermeiden. Zentral ist dabei die Sensibilisierung der Mitarbeitenden sowie der Einsatz technischer Schutzmassnahmen wie Data Loss Prevention und Zugriffskontrollen. Der Schlüssel liegt in einer klaren Governance, die KI-Nutzung kontrolliert ermöglicht und so Innovation und Sicherheit in Einklang bringt.
OpenAI führt günstigere Abostufe für ChatGPT Pro ein
Digitale Transformation umsetzen und steuern
Wenn KI-Agenten zu viel dürfen – die "Rule of Two" als Sicherheitsleitlinie
ETH Zürich entwickelt neue Chips gegen Deepfakes
Cyber-Schuld und digitale Souveränität – ein strategischer Handlungsdruck
Bechtle Index of Sovereignty (BIoS): Der neue Standard für strategische IT-Orientierung
Datenräume in der Realität – zwischen Machbarkeit und Mehrwert
Back on-prem: Die Renaissance hybrider Sicherheitsarchitekturen
Lausanner Legaltech Lawcodex lanciert Schweizer Rechts-KI
