Wie die Vorjahre war auch das vergangene Jahr geprägt von einer Vielzahl verschiedener Schwerpunktthemen, die im Zusammenhang mit neuen Technologien, steigenden regulatorischen Anforderungen und der wachsenden Bedrohungslage stehen.
Ein Blick nach vorne zeigt: Wer die Cybersicherheit 2026 verstehen will, kommt an einer präzisen Rückblende nicht vorbei.

FINMA und revDSG erklärt: Welche Pflichten gelten heute?

Das FINMA-Rundschreiben RS 2023/1 und das revidierte Datenschutzgesetz (revDSG) sind bereits länger in Kraft.

Die Anforderungen des FINMA-Rundschreibens RS 2023/1 werden durch aufsichtsrechtliche Prüfungen streng kontrolliert, und die FINMA veröffentlicht in unregelmässiger Frequenz Aufsichtsmitteilungen mit Hinweisen und Erläuterungen (z. B. FINMA-Aufsichtsmitteilung 05/2025 «Operationelle Resilienz bei Banken, Personen nach Art.1b BankG, Wertpapierhäusern und Finanzmarktinfrastrukturen»).

Finanzinstitute müssen ein Bündel von sich ergänzenden technischen und organisatorischen Massnahmen (TOMs) umsetzen, um ein ganzheitliches Management von Cyber- und IKT-Risiken, den Schutz von kritischen Daten, die durchgängige Incident-Behandlung (Erkennung, Analyse, Bewertung, Reaktion, Einhalten von Meldefristen) sowie ein effektives Risikomanagement von Dienstleistern nachzuweisen. Zusätzlich sind sie gefordert, die Resilienz zu stärken und diese regelmässig zu überprüfen.

Das revidierte Datenschutzgesetz (revDSG) warf medial keine allzu grossen Wellen. Jedoch verlangt dieses, dass die Verletzung der Datensicherheit (z. B. ein Datenabfluss im Rahmen einer Ransomware-Attacke) dem Eidgenössischen Öffentlichkeits- und Datenschutzbeauftragten (EDÖB) gemeldet werden muss, wenn ein hohes Risiko für betroffene Personen besteht.

NIS2 und DORA: Bekannte Anforderungen, verschärfte Durchsetzung in der Schweiz

Obwohl die Schweiz kein EU-Mitglied ist, werden NIS2 (Network and Information Security Directive 2) und DORA («Digital Operational Resilience Act» – NIS2 für den Finanzsektor) auch hierzulande relevant(er). Schweizer Unternehmen, welche in der EU tätig sind, müssen die entsprechenden Vorgaben wie strengere Meldepflichten, Resilienz-Tests, die durchgängige Ereignisbehandlung (Erkennung, Analyse, Bewertung, Reaktion) und ICT-Risikomanagement umsetzen.

Die nationale Umsetzung von NIS2 bringt diverse rechtliche, organisatorische und technische Herausforderungen für Unternehmen. Die Richtline ist bewusst technologieneutral und lässt den EU-Mitgliedsstaaten Interpretationsspielraum, was zu unterschiedlichen nationalen Mindeststandards führt. Aktuell haben diverse Staaten noch kein nationales Gesetz verabschiedet, was zu fehlender Rechtssicherheit führt.

CRA: Warum Produktsicherheit über den gesamten Lebenszyklus entscheidet

Unabhängig davon, dass die Schweiz kein EU-Mitglied ist und der Cyber Resilience Act (CRA) während einer Übergangsfrist zurzeit noch nicht verbindlich ist, müssen die Anforderungen im Lebenszyklus (von der Entwicklung über das Testen bis hin zur Wartung und Support) von Produkten berücksichtigt werden. Beschaffer in europäischen Unternehmen fordern bereits heute den Nachweis, dass die Sicherheit solcher Produkte während der gesamten Nutzungszeit sichergestellt ist.

KI im Alltag: Wenn Künstliche Intelligenz unsichtbar mitentscheidet

Der Einsatz von KI hat rapide zugenommen, sei es durch die Integration in Suchmaschinen, in Produktivitäts-Software (wie Microsoft Office) und Browser (z. B. Microsoft Edge) oder durch die Verwendung in Unternehmen zur Automatisierung bzw. Digitalisierung von Abläufen. Für Benutzer wird es zunehmend schwieriger zu erkennen, wo KI bereits Teil der Prozesse und Abläufe ist. Gleichzeitig befinden sich Unternehmen in dauerndem Wettlauf mit Anbietern von KI, um eine sichere und konforme Nutzung zu gewährleisten.

Cyberangriffe im Wandel: Automatisierte Ransomware trifft Gross und Klein

Angreifer setzen vermehrt auf KI, um Phishing-Emails und Schadsoftware zu erstellen oder Sicherheitslösungen zu umgehen. Die Folge davon sind hochgradig personalisierte und automatisierte Ransomware-Angriffe mit deutlich erhöhter Erfolgsquote. Vermehrt fanden auch eine doppelte oder dreifache Erpressung mit den entwendeten Daten statt. Nicht zu vernachlässigen sind opportunistische Angriffe, die (nicht gepatchte) Schwachstellen ausnutzen. Das Ökosystem der Angreifer funktioniert weiterhin erfolgreich, und die Spezialisierung unter den Angreifergruppen wird sich noch verstärken.

Supply Chain und Cloud: Third Party Risk Management ist Pflicht

Heute verlässt sich kaum ein Unternehmen noch ausschliesslich auf eigene Ressourcen. Ohne die Nutzung von IT-Anbietern, externen Dienstleistern oder Cloud-Diensten ist ein modernes Geschäftsmodell kaum mehr möglich. Gleichzeitig haben Angriffe über Zulieferer, Dienstleister und Partner in den letzten Jahren stetig zugenommen. Das systematische Third-Party-Risk-Management (TPRM) wurde zum «Muss» für Unternehmen und ist nicht zuletzt in den Fokus der Regulatoren gerückt.

Cyber-Hygiene: Schwachstellenmanagement, Backups und Awareness als Fundament

Bewährte Verfahren zur Sicherstellung einer Basis-Resilienz – kurz Cyber-Hygiene genannt – stehen nach wie vor im Fokus. Insbesondere wenn es darum geht, ein Sicherheitsdispositiv rasch und zielgerichtet aufzubauen, das Angriffen erfolgreich widerstehen kann. Auch letztes Jahr wurden erfolgreiche Angriffe häufig durch grundlegende Mängel wie unzureichendes Schwachstellenmanagement und fehlende Backups ermöglicht. Defizite in Sicherheitskultur, Security Awareness und Monitoring verstärkten diese Wirkung zusätzlich.

Inicident Response und BCM: Stillstand oder Business Continuity?

Der Ausbau der Fähigkeiten zur schnellen Erkennung, Eindämmung und Reaktion auf Cybervorfälle hat sich fortgesetzt. Parallel dazu rücken Massnahmen zur Erhöhung der Ausfallsicherheit in den Fokus mit dem Ziel, die Geschäftskontinuität ganzheitlich zu adressieren. Bestehende Notfallplanungen wurden vermehrt überprüft und vertieft analysiert sowie um die Einbindung von Dienstleistern und Cloud-Diensten erweitert. Dies trug wesentlich dazu bei, die Cyberresilienz der Unternehmen gegen Angriffe nachhaltig zu stärken.

Wie schon 2024 standen Themen wie verschärfte regulatorische Anforderungen, Stärkung der Resilienz gegen Angriffe sowie die rasant wachsende Bedeutung von KI im Fokus.

Strategischer Ausblick: Was prägt Cybersicherheit ab 2026?

Unternehmen sind gefordert, ihr Sicherheitsdispositiv laufend zu überprüfen und konsequent nachzuschärfen. Nur wer identifizierte Schwachstellen systematisch behebt, bleibt angesichts einer dynamischen Bedrohungslage reaktionsfähig und cyberresilient.

Der Ausblick auf 2026 ordnet die prägenden Trends, Herausforderungen und Innovationen ein.

Datenhoheit und Datensouveränität: Wo Cloud-Nutzung rechtliche Unsicherheiten schafft

Die Nutzung von internationalen Cloud-Diensten (Microsoft, Google, Amazon, etc.) führt dazu, dass nicht immer nachvollziehbar ist, wo Daten physisch verarbeitet und gespeichert werden. Gleichzeitig unterliegen Daten zunehmend mehreren Rechtsordnungen parallel, wie beispielsweise jener der Schweiz, der EU und den USA. Die Bestimmung des jeweils anwendbaren Rechts erschwert sich erheblich und kann zu Unsicherheiten führen.

Künstliche Intelligenz im Wandel: Wenn Angreifer und Verteidiger im selben Tempo lernen

Der Einsatz von generativer KI steigt kontinuierlich an, gleichzeitig nehmen Risiken durch unkontrollierte („Shadow“-)KI-Nutzung zu: Mitarbeitende setzen KI-Tools ein, die nicht von der IT/Security kontrolliert sind bzw. kontrolliert werden können (insbesondere bei Bring-Your-Own-Device, BYOD).

Der Druck, Governance und effektive Kontrollen für die Nutzung von KI zu etablieren, wird immer grösser. Will ein Unternehmen eine eigene KI-Infrastruktur aufbauen und betreiben, so müssen die damit einhergehenden Risiken identifiziert, bewertet und adressiert werden.

Gleichzeitig nutzen Angreifer generative KI und zunehmend auch die nächste Entwicklungsstufe, namentlich agentische KI, für autonome Angriffe. Diese Techniken kommen dabei insbesondere für massgeschneiderte Phishing-Kampagnen, Deepfake-Betrug und weitere Angriffstechniken zur Anwendung. Unternehmen sollten KI nicht nur als unterstützende Tools, sondern dringend als Teil des Risikoumfelds betrachten. Der Einsatz von KI-unterstützter Bedrohungserkennung und automatisierte Abwehrmechanismen sind unentbehrlich, um angemessen und zeitnah reagieren zu können.

Tool-Landschaften: Wie weniger Komplexität mehr Sicherheit schafft

In den vergangenen Jahren und Jahrzehnten haben Unternehmen eine Unzahl spezialisierter Tools und Technologien eingesetzt, um adäquat auf neue Bedrohungen und Risiken zu reagieren. Dies hat zu einer erhöhten Heterogenität und Komplexität, Redundanzen, eingeschränkter Effizienz und stetig steigenden Kosten geführt. Stagnierende oder gar sinkende finanzielle Mittel erhöhen den Druck, Tool-Landschaften zu konsolidieren und Abläufe stärker zu automatisieren.

Cloud, Identitäten und Zero Trust: Kontrolle über System- und Anbietergrenzen

Die Nutzung von Cloud-Infrastrukturen wird weiter zunehmen. Dies erfordert neue Governance- und Kontrollmechanismen, da klassische Kontrollmodelle an ihre Grenzen stossen. Gleichzeitig eröffnen sich neue Angriffsmodelle, die eine Weiterentwicklung bestehender Sicherheitsdispositive erfordern. Eine besondere Herausforderung stellt die Verwaltung von Identitäten über Systemgrenzen hinweg dar. Konzepte wie Zero Trust Architecture (ZTA) werden zunehmend zur Notwendigkeit.

Jüngste Ausfälle bei Amazon und CloudFlare haben die Risiken eines Vendor Lock-ins deutlich gemacht. Im Ernstfall sind Unternehmen nicht mehr in der Lage, ihre Dienste bereitzustellen oder zentrale Geschäftsprozesse aufrechtzuerhalten.

Regulatorik und Compliance in der Chefetage – Aufschub geht nicht!

Im Einklang mit der zunehmenden Digitalisierung, grenzüberschreitenden Datenflüssen und allgegenwärtigem KI-Einsatz entwickeln sich die Regulatorik- und Compliance-Anforderungen, die Unternehmen erfüllen müssen, weiter. Damit rücken Fragen der regulatorischen Steuerung und Haftung zunehmend auch in die Verantwortung von Geschäftsleitungen und Führungsgremien:

• Stärkere Vorgaben für Kritische Infrastrukturen: Getrieben durch die laufenden Angriffe und Erpressungen dürften die Anforderungen an kritische Infrastrukturen weiter zunehmen (z. B. in den Bereichen Verkehr und Transport, EVU, Gesundheit, Wasserversorgung).
• KI-Gesetze: Die KI-Regulierungen (u. a. die KI-Verordnung der CH und EU) fordern von Unternehmen, dass sie Risikobewertungen für KI-Systeme durchführen. Besonders bei hochriskanten Anwendungen wie biometrischer Identifikation werden diese verpflichtend.
• NIS2: Mit der steigenden Anzahl an verabschiedeten nationalen Umsetzungsgesetzen wächst der Druck auf Unternehmen, die Konformität damit bestätigen zu können. Die teilweise unterschiedlichen Mindestanforderungen in den EU-Mitgliedstaaten werden zur Herausforderung, insbesondere für Unternehmen mit lokalen bzw. verteilten Infrastrukturen

Unternehmen müssen frühzeitig regulatorische Trends antizipieren und Massnahmen treffen, um rechtzeitig die geforderte Konformität sicherzustellen.

Lieferketten im Visier: Deshalb wird Vendor-Risk-Management unverzichtbar

Die wachsende Zahl erfolgreicher Angriffe auf Drittanbieter und Software-Lieferketten verschärft die Anforderungen an das Risikomanagement. Software-Bills-of-Material (SBOMs), Lieferketten-Transparenz und strukturierte Vendor-Risk-Management-Prozesse werden damit zur Voraussetzung.

Ransomware: Wenn die dauernde Bedrohung mehrere Eskalationsstufen erreicht

Ransomware-Angriffe bleiben eine dauerhafte Bedrohung. Ihre Ausprägung verändert sich jedoch durch die Verbreitung von Doppel- und Dreifach-Erpressungsmodellen, bei welchen Verschlüsselung, Datenveröffentlichung und DDoS-Attacken kombiniert werden. Besonders betroffen sind Kritische Infrastrukturen wie Banken, Spitäler und Energieversorger, wie Analysen des Bundesamts für Cybersicherheit (BACS) zeigen.

Quantencomputing: Deshalb will Post-Quantum-Kryptografie vorbereitet sein

Die Entwicklung von Quantencomputern schreitet stetig voran. Auch wenn zum heutigen Zeitpunkt nicht absehbar ist, wann Quantencomputer kommerziell verfügbar sein werden und somit aktuelle Verschlüsselungstechniken gefährden könnten, ist Vorsorge angezeigt. Unternehmen sind gefordert, Post-Quantum-Kryptographie zu evaluieren und Migrationspläne zu entwickeln.

Fachkräftemangel und Kompetenzen: Neue Fähigkeiten entscheiden über Resilienz

Der anhaltende Fachkräftemangel an Sicherheitsspezialist:innen stellt Unternehmen auch in Zukunft vor erhebliche Herausforderungen. Zusätzlich gewinnen neue Kenntnisse – etwa in den Bereichen KI-Sicherheit, Cloud-Identitäten und Threat Hunting – an Bedeutung, um auf aktuelle und künftige technologische Entwicklungen und Bedrohungen adäquat reagieren zu können. Gefragt sind deshalb gezielte Investitionen in die Weiterbildung der IT-Fachpersonen.

Alternativ lässt sich fehlende Fachkompetenz im Unternehmen durch einen punktuellen Einsatz externer Expertise sowie durch Organisationsmodelle kompensieren, die Defizite gezielt über Automatisierung und klare Priorisierung abfedern.

Identitätsmanagement: Authentifizierung via Passwort verliert an Bedeutung

Identitäten sind das digitale Gold für Angreifer: Gelangen Cyberkriminelle in den Besitz digitaler Identitäten einschliesslich Passwörtern, erhalten sie weitreichenden Zugriff auf Systeme und Daten. Ein grosses Risiko stellen insbesondere sogenannte Identitätsschulden. Dazu zählen übermässige Berechtigungen sowie veraltete, nicht deaktivierte oder gelöschte Konten, weshalb eine regelmässige Überprüfung von Identitäten und den damit verknüpften Berechtigungen zwingend ist.

Die passwortlose Authentifizierung wie Biometrie, FIDO2 oder Passkey wird sich mittelfristig durchsetzen und zum Standard werden. Aktuell steht dem noch die fehlende Interoperabilität im Weg.

Kostendruck: Trotz begrenzter Mittel bleibt Cyberresilienz unverhandelbar

Die herausfordernde Wirtschaftslage, geprägt durch die von den USA eingeführten Zölle, durch Inflation und steigende Arbeitslosigkeit, verschärft den Druck auf Unternehmen. Für nachhaltige Investitionen in die Informationssicherheit fehlen zunehmend die Mittel. Unabhängig von einer angespannten finanziellen Situation bleibt die Sicherstellung der Cyberresilienz gegenüber sich stetig weiterentwickelnden Angriffen eine nicht verhandelbare Aufgabe.

Eine strategische Checkliste: So handeln Sicherheitsverantwortliche proaktiv

Die kommenden Jahre bringen grosse Herausforderungen mit sich, die zugleich strategische Chancen eröffnen. Schweizer Unternehmen, welche die regulatorischen Vorgaben erfüllen, KI strategisch einsetzen und ihre Cyberresilienz systematisch stärken, reduzieren nicht nur inhärente Risiken, sondern sichern sich auch nachhaltige Wettbewerbsvorteile.

Für eine praxisnahe Orientierung benennt die folgende Checkliste die künftigen Prioritäten für CISOs, CIOs und IT-Sicherheitsverantwortliche.

• Regulatorische Compliance sicherstellen
  ▪️ FINMA-, NIS2-, DORA- und CRA-Anforderungen umsetzen
  ▪️ Organisationen wie Energieversorgungsunternehmen (EVU) auf neue Vorgaben vorbereiten
  ▪️ Datenhoheit/Datensouveränität sicherstellen
• KI und Automatisierung nutzen
  ▪️ KI-gestützte Abwehrsysteme einführen
  ▪️ Agentic KI und autonome Bedrohungen aktiv verfolgen
• Ransomware- und Lieferkettenrisiken minimieren
  ▪️ Zero-Trust-Architekturen implementieren
  ▪️ Drittanbieter regelmässig prüfen
  ▪️ Unabhängigkeit von Lieferanten sicherstellen
• Identitätsmanagement und Quantenresistenz vorbereiten
  ▪️ IAM-Systeme bereinigen
  ▪️ Zero Trust Architecture (ZTA) evaluieren, insbesondere für Cloud-Dienste
  ▪️ Post-Quantum-Kryptographie evaluieren
• Kostendruck und Fachkräfte
  ▪️ Sicherstellung der finanziellen Mittel trotz der angespannten Wirtschaftslage
  ▪️ Reduktion der Komplexität und Kosten in den eingesetzten Technologien
  ▪️ Sicherstellen des Know-hows und der Kompetenzen im Unternehmen 

Die 3 Handlungsfelder der Cyber Security – eine Daueraufgabe auf C-Level

Die Informationssicherheit bleibt weiterhin ein dynamisches und sich ständig weiterentwickelndes Feld. Für die Führungsverantwortlichen ist es entscheidend, als Organisation agil zu bleiben und sich kontinuierlich über neue Bedrohungen und technologische Entwicklungen zu informieren.

Eine regelmässige Prüfung und Entwicklung des Sicherheitsdispositivs ist notwendig, um die Integrität, Vertraulichkeit und Verfügbarkeit von Informationen und Systemen und somit die Business Continuity zu gewährleisten. Annahmen sollten kritisch hinterfragt und Massnahmen konsequent nachgeschärft werden. Cybersicherheit ist kein abgeschlossener Zustand, sondern eine kontinuierliche Management- und Resilienzaufgabe.

Entscheidend ist dabei eine strukturierte, risikoorientierte Herangehensweise, die über punktuelle Sicherheitsmassnahmen hinausgeht.

In der Praxis bewährt, hat sich insbesondere der Fokus auf drei zentrale Handlungsfelder:

• Regulatorische Konformität und Governance sicherstellen:
  Anforderungen aus FINMA-Rundschreiben, NIS2, DORA oder Datenschutzvorgaben systematisch einordnen, umsetzen und nachweisfähig verankern.
• Cyberresilienz und Incident-Response-Fähigkeiten stärken:
  Erkennungs-, Reaktions- und Wiederherstellungsprozesse gezielt ausbauen, Business Continuity absichern und Abhängigkeiten von Dienstleistern und Cloud-Anbietern berücksichtigen.
• Technologische Risiken priorisieren und Komplexität reduzieren:
  Identitätsmanagement, Cloud- und Lieferkettenrisiken sowie KI-basierte Bedrohungen ganzheitlich bewerten und Sicherheitsarchitekturen konsolidieren.

Verschaffen Sie sich Klarheit über den Sicherheitsstatus Ihrer Organisation. Mit einer fundierten Standortbestimmung identifizieren Sie den Handlungsbedarf. Unsere Sicherheitsspezialist:innen unterstützen Sie bei der Weiterentwicklung Ihrer Cyberresilienz, um Ihre Handlungsfähigkeit auch unter zunehmendem regulatorischem und wirtschaftlichem Druck zu sichern.

Cyber Security Assessment

Über weitere Entwicklungen und aktuelle Analysen zur Cybersicherheit können Sie informiert bleiben. Einfach unsere Blog-Updates abonnieren und die neuesten Artikel in Ihrem Postfach abrufen! Wir freuen uns auf Sie.