An der diesjährigen Risk-!n Konferenz 2026 wurde deutlich: Cybersecurity ist längst kein isoliertes IT-Thema mehr. Vielmehr entwickelt sie sich zu einer zentralen Frage der Unternehmensresilienz, der Governance und der strategischen Entscheidungsfähigkeit. Besonders eindrücklich zeigte dies die Keynote von Shira Kaplan mit dem Titel «Protecting what matters: The role of Cyber-Security in Today’s enterprise resilience» sowie das Gespräch zwischen Mario Keil und Stefan Gershater.
Shira Kaplan, Founder Cyverse AG, zeichnete ein Bild einer Unternehmenswelt, in der digitale Abhängigkeiten exponentiell wachsen. Früher seien Organisationen wie Burgen mit klar definierten Mauern gewesen: zentrale Rechenzentren, interne Netzwerke und klar kontrollierte Zugänge. Heute dagegen bestehe ein Unternehmen aus einem hochkomplexen «Distributed Trust Mesh» aus Cloud-Diensten, SaaS-Plattformen, externen Dienstleistern, Remote-Mitarbeitenden und zunehmend auch KI-Agenten. Dadurch vergrössere sich die Angriffsfläche massiv. Cyberresilienz bedeute deshalb nicht mehr, «alles» zu schützen, sondern genau zu verstehen, welche Systeme und Prozesse niemals ausfallen dürfen.
Wenn KI zur Angriffswaffe wird
Besonders kritisch sieht Kaplan die Geschwindigkeit der aktuellen Entwicklung. Vier Kurven würden gleichzeitig beschleunigen: die Fähigkeiten der Angreifer, die regulatorischen Anforderungen, die digitale Abhängigkeit und die Verbreitung von künstlicher Intelligenz. Seit der Veröffentlichung von ChatGPT habe sich die Zahl KI-generierter Phishing-Websites explosionsartig erhöht. Gleichzeitig würden neue Modelle wie Claude Mythos die Zeitspanne zwischen dem Auffinden einer Schwachstelle und deren Ausnutzung drastisch verkürzen. KI werde damit sowohl zur Verteidigungs- als auch zur Angriffswaffe. «KI greift KI an», brachte Kaplan die Situation auf den Punkt.
KI-Agenten als neue Risikoquelle
Ein zentrales Thema ihres Vortrags waren KI-Agenten. Unternehmen würden diese zunehmend als digitale Assistenten einsetzen, die E-Mails lesen, Workflows auslösen, Datenbanken verändern oder sogar Zahlungen anstossen können. Damit entstünden neue Sicherheitsprobleme. Kaplan verglich KI-Agenten mit «Junior-Mitarbeitenden»: schnell, effizient und nützlich, aber potenziell gefährlich ohne Aufsicht. Deshalb brauche es klare Identitäten, minimale Zugriffsrechte, menschliche Freigaben für kritische Entscheidungen sowie sogenannte «Kill Switches» (Notschalter), um Agenten im Notfall sofort deaktivieren zu können.
Die neue systemische Gefahr der Cloud-Abhängigkeit
Auch das Thema Cloud-Abhängigkeit spielte eine zentrale Rolle. Kaplan warnte vor unsichtbaren Konzentrationsrisiken durch Hyperscaler wie AWS, Microsoft Azure oder Cloudflare. Unternehmen würden sich zunehmend von wenigen globalen Plattformen abhängig machen. Fällt ein solcher Anbieter aus, könne dies ganze Branchen gleichzeitig treffen. Kaplan sprach in diesem Zusammenhang von einer neuen Form systemischer Risiken, vergleichbar mit den Mechanismen der Finanzkrise 2008. Deshalb entstehe nun ein neuer Markt für «System Failure Insurance», also Versicherungen gegen Ausfälle kritischer Technologieplattformen.
Warum klassisches Risikomanagement nicht mehr genügt
Parallel dazu zeigte das Gespräch zwischen Mario Keil, Head of Sales DACH Corporater, und Stefan Gershater, Head of Risk & Governance The Co-operative Group (UK), wie stark sich auch das Verständnis von Governance, Risk und Compliance verändert. Gershater, ehemaliger Risk Officer der britischen The Co-operative Group, stellte das klassische Risikomanagement grundlegend infrage. Er bezeichnete sich selbst als Autisten mit ADHS und «GRC-Skeptiker» und erklärte provokativ, dass die meisten Lösungen am Markt letztlich lediglich relationale Datenbanken mit unterschiedlichen Benutzeroberflächen seien. Der entscheidende Fehler vieler Systeme bestehe darin, dass sie mit Risiken beginnen, statt mit Unternehmenszielen und Wertschöpfung.
Entscheidungen statt Risikoregister
Für Gershater steht nicht das Risiko im Zentrum, sondern die Frage, wie Unternehmen schneller bessere Entscheidungen treffen können. Statt mit Risikoregister und Heatmaps habe er Gespräche mit Geschäftsleitern stets mit deren Zielen begonnen: Wachstum, Profitabilität oder neue Geschäftsmodelle. Risiken seien erst relevant, wenn klar sei, welchen Wert ein Unternehmen eigentlich schützen oder schaffen wolle. Dieses Denken habe er auch seinem eigenen Team vermittelt. Wer eine Diskussion mit «Was sind Ihre Risiken?» beginne, habe bereits verloren.
Skepsis gegenüber KI-Hype im Risk Management
Interessant war dabei auch seine skeptische Haltung gegenüber KI im Risikomanagement. Viele aktuelle KI-Anwendungen seien aus seiner Sicht vor allem Marketing. Den eigentlichen Mehrwert sieht Gershater künftig weniger in automatisierten Risikobewertungen als vielmehr in der Analyse von Kausalitäten: Wie beeinflusst ein externes Risiko interne Prozesse und letztlich die Unternehmensstrategie? Genau dort könnten Machine-Learning-Modelle künftig helfen, komplexe Zusammenhänge sichtbar zu machen.
Resilienz wird zur strategischen Kernkompetenz
Beide Beiträge machten deutlich, dass Unternehmen heute vor einer doppelten Herausforderung stehen. Einerseits wachsen die technologischen Risiken durch KI, Cloud-Abhängigkeiten und digitale Vernetzung rasant. Andererseits reichen traditionelle Governance- und Risikomodelle nicht mehr aus, um diese Komplexität zu steuern. Resilienz entsteht nicht mehr allein durch Firewalls oder Compliance-Checklisten, sondern durch ein tiefes Verständnis von Wertschöpfung, Abhängigkeiten und Entscheidungsprozessen.
Die Risk-!n Konferenz 2026 zeigte damit eindrücklich, dass Cybersecurity, Governance und Unternehmensstrategie zunehmend miteinander verschmelzen. Wer Risiken künftig erfolgreich steuern will, muss Technologie nicht nur absichern, sondern vor allem verstehen, welche Geschäftsziele und kritischen Prozesse geschützt werden müssen.
Binci Heeb
Lesen Sie auch: Wenn Bitcoin auf Quantenphysik trifft
Suche:
Sponsoren:
