Wo CISOs 2026 Prioritäten setzen sollten

Cyberangriffe verändern sich rasanter als je zuvor – und zielen auf IT, Cloud, OT und KI‑Systeme. Die Anforderungen an CISOs steigen, Transparenz und Kontrolle über komplexe digitale Ökosysteme zurückzugewinnen. Der Swisscom Cybersecurity Threat Radar 2026 zeigt, wo die grössten Risiken liegen – und wie moderne TDR‑Ansätze Unternehmen wieder handlungsfähig machen.

April 2026, Text Andreas Heer            4 Min.

Zusammenfassung

2026 stehen Schweizer Unternehmen vor einer Cyberbedrohungslage, die sich gleichzeitig in IT, Cloud, OT, Lieferketten und KI Systemen manifestiert. Der Swisscom Threat Radar zeigt vier strategische Risikofelder: insecure AI, Supply Chain Risiken, digitale Souveränität und OT Security.
Um handlungsfähig zu bleiben, benötigen CISOs eine Sicherheitsstrategie, die Transparenz über alle Domänen schafft und TDR als zentrales Instrument verankert. Moderne Governance, Visibilität, State-of-the-Art Schutzmassnahmen, konvergente SOC Strukturen für IT und OT, eine einheitliche Telemetrie Basis und robuste Response Prozesse bilden über alle Bereiche des NIST-Frameworks hinweg das Fundament für Resilienz in einer zunehmend automatisierten und komplexen Welt.

Es ist kurz nach halb drei Uhr morgens, als in der Leitstelle eines grossen Schweizer Industriekonzerns mehrere Warnlampen gleichzeitig aufblinken. Zuerst ein Hinweis auf ungewöhnliche Login‑Versuche in einer Cloud‑Umgebung, Minuten später Anomalien im Produktionsnetz, dann ein plötzliches, automatisiertes Ausrollen eines «Routine‑Updates» in einer Software‑Komponente eines kritischen Steuerungssystems. Nichts davon allein wirkt auffällig. Doch zusammen ergeben die Aktionen ein Muster – eines, das sich erst spät erkennen lässt, weil die Signale verteilt über IT, Cloud, Operational Technology (OT) und externe Dienstleister in der Supply Chain auftreten.
Während die eilends aufgebotene Ingenieurin vor Ort prüft, ob eine Maschine nicht bereits manipuliert wurde, versucht das Security‑Team herauszufinden, ob es sich um Fehlalarme, ungesicherte KI‑Prozesse oder den Beginn einer Supply‑Chain‑Attacke handelt. Und bald zeigt sich: Es ist alles zusammen.
Diese fiktive Szene steht stellvertretend für die Realität, in der sich Schweizer Unternehmen 2026 bewegen. Die Bedrohungslage umfasst diverse Infrastruktur-Bereiche, verändert sich dynamisch – und verschiebt die Rolle von CISOs fundamental. Der Swisscom Cybersecurity Threat Radar 2026 zeigt: Wer resilient bleiben will, muss Threat Detection and Response (TDR) als zentrales Instrument verstehen und nicht als Technologieprojekt.

Das Führungsdilemma: Kontrolle behalten in einer volatilen Welt

CISOs stehen 2026 vor einer paradoxen Situation: Technologie schafft mehr Möglichkeiten denn je – gleichzeitig wächst die Abhängigkeit von Dritten, automatisierten Systemen und KI‑gestützten Entscheidungen, die kaum nachvollziehbar sind. Der Radar zeigt vier Risikofelder, die das CISO‑Mandat neu definieren: unsichere KI, Supply‑Chain‑Risiken, digitale Souveränität und OT‑Security.
Diese Felder sind weniger technische Themen als strategische: Sie betreffen Governance, Verantwortlichkeit, Sichtbarkeit und Resilienz. TDR wird damit zum Steuerungsinstrument, das Transparenz über die Risiken herstellt und damit die Basis für den sicheren wirtschaftlichen Betrieb liefert.

Die Risikofelder im Überblick:

Insecure AI – der neue Blindspot im CISO‑Radar

KI-Modelle und -Agenten treffen Entscheidungen, die weder dokumentiert noch überprüfbar sind. Das hat direkte Auswirkungen auf TDR:

  • Klassische Detection greift nicht mehr, weil die KI-Entscheide nicht nachprüfbar sind
  • Innerhalb der Organisation entstehen neue Angriffsflächen: KI-generierter Code («vibe Coding») kann Sicherheitslücken aufweisen, Datenabfluss durch Prompt Injection, KI-Agenten als Einfallstor
  • Shadow AI verschiebt die Security ausserhalb offizieller Prozesse, beispielsweise, wenn Mitarbeitende nicht freigegebene GenAI-Dienste mit vertraulichen Daten nutzen

Eine AI-Governance wird entscheidend, um den Umgang mit KI zu regeln, genauso wie die Inventarisierung und das Monitoring eingesetzter KI-Modelle und -Agenten.

Swisscom Cybersecurity Threat Radar 2026: KI-Risiken, Supply-Chain-Angriffe, digitale Souveränität und OT-Security – die wichtigsten Cybertrends im Überblick. 

Software‑Supply‑Chains – Transparenz als neue Führungswährung

Angriffe auf das npm‑Ökosystem (Node.js) und kürzlich die Kompromittierung der beliebten Python-Bibliothek LiteLLM zeigen, dass kompromittierte Module heute ein effektiver Angriffsvektor sind, um bösartigen Code in Unternehmensanwendungen und die Software-Entwicklung einzuschleusen. Es ist längst Realität, dass Unternehmen grosse Teile ihres Codes nicht mehr selbst kontrollieren.
Eine funktionierende TDR muss deshalb Build‑Pipelines, Lieferanten, SBOMs und Update‑Mechanismen abdecken. Die Integrität und Herkunft von Software-Komponenten werden zu strategischen Kennzahlen, vergleichbar mit finanzieller Revisionssicherheit.

Digitale Souveränität – das strategische Fundament von TDR

Cloud‑Outsourcing, SaaS‑Modelle und der zunehmende Einsatz von KI‑Automatisierung erhöhen die Abhängigkeit von externen Dienstleistern und erschweren damit die direkte Kontrolle über Daten, Prozesse und Risiken. Gleichzeitig verlangen das Schweizer Datenschutzgesetz (DSG) und die europäische DSGVO Transparenz über die Datenverarbeitung.
Eine vollständige Kontrolle über alle digitalen Prozesse ist in global vernetzten Ökosystemen kaum erreichbar. Digitale Souveränität bleibt deshalb ein anspruchsvolles Ziel. Es setzt voraus, dass Unternehmen ihre Abhängigkeiten strategisch steuern, technisches Know‑how aufbauen und ihre Partner respektive die Supply Chain bewusst auswählen. Das bedingt, dass Unternehmen ihre Risiken aktiv managen.
TDR adressiert genau diese Abhängigkeiten und Risikofaktoren: Es schafft die notwendige Sichtbarkeit über Bedrohungen, Datenflüsse und Verhaltensmuster. Ohne diese Transparenz sind weder Kontrolle noch echte Resilienz möglich. TDR wird damit zur operativen Voraussetzung souveräner Entscheidungen.

OT‑Security – wenn Cybersecurity physisch wird

Produktionsumgebungen, Energieanlagen oder medizinische Systeme lassen sich nicht einfach patchen. Mit der zunehmenden Vernetzung verschwimmen aber die Grenzen zwischen IT und OT (Operational Technology) zunehmend – und bieten neue Angriffsflächen für Cyberkriminelle. Die Risiken sind sowohl operativ im Sinne von Produktionsausfällen und Versorgungsrisiken als auch reputationskritisch. Zudem nimmt der regulatorische Druck auf kritische Infrastrukturen zu – Stichwort IKT-Minimalstandard und NIS2-Richtlinie.
CISOs müssen IT und OT in der Gefahrenerkennung fusionieren, und zwar organisatorisch wie technisch. Das setzt ein konvergentes SOC voraus, abgestimmte Prozesse und OT‑spezifische Erkennungsmechanismen.

Die strategischen Prioritäten 2026

Die aktuellen Trends sowohl in der Cybersecurity als auch in der IT generell bestimmen die Agenda eines CISO und legen die strategischen Prioritäten fest. Weit oben auf dieser Liste sollten die folgenden Aspekte stehen:

Transparenz schaffen

  • Aufbau einer zentralen Daten-Infrastruktur fürs Monitoring in Form einer Unified Telemetry Fabric, die alle Sicherheitssignale aus IT, OT, Cloud und KI zusammenführt.
  • Inventare für KI-Modelle, Software‑Arten, Lieferketten und kritische Abhängigkeiten aufbauen.

Governance stärken

  • AI‑ und Supply‑Chain‑Governance werden feste Bestandteile der Cybersecurity-Strategie des Unternehmens. 
  • Rollen, Verantwortlichkeiten und Freigabeprozesse müssen neu definiert werden, um Risiken und Angriffsflächen auch aus KI-Systemen und OT zu integrieren.

TDR modernisieren

  • Einbindung von Software-Stücklisten (SBOM) und Überwachung der Entwicklungsprozesse (Pipeline-Monitoring), um Manipulationen frühzeitig zu erkennen.
  • Einsatz von KI-gestützter Verhaltensanalyse, um neuartige Angriffe abzuwehren, die selbst auf künstlicher Intelligenz basieren.

Organisationsstrukturen neu ausrichten

  • Aufbau eines konvergenten SOC, das die Überwachung der klassischen IT-Infrastruktur und von OT vereint.
  • Die interdisziplinäre Kooperation zwischen Cybersecurity, Softwareentwicklung (DevOps), Produktion, Rechtsabteilung und Data Science fördern, um komplexe Risiken ganzheitlich zu steuern.

Resilienz priorisieren

  • Dedizierte Incident-Response-Playbooks entwickeln für komplexe Szenarien wie KI-Manipulationen, Ausfälle in der Lieferkette oder Angriffe auf Produktionsanlagen.
  • Stresstests und Simulationen (Tabletop Exercises) etablieren, um die Entscheidungswege der Geschäftsleitung unter realistischem Zeitdruck zu trainieren.

TDR ist kein Tool, sondern Teil der Führungsarbeit

2026 zwingt CISOs, ihre Rolle breiter zu interpretieren: weg vom technischen Gatekeeper hin zum Enabler von Resilienz und Souveränität.
TDR bildet dabei das Rückgrat einer modernen Sicherheitsstrategie: Es stellt Alerts aus verschiedenen Quellen in einen Kontext und schafft damit Klarheit in einer Welt voller Intransparenz, Komplexität und automatisierter Risikoübertragung.
Wer TDR, Kontrolle und Governance über alle Domänen hinweg verbindet, stärkt nicht nur die Cyberdefence, sondern die Handlungsfähigkeit des gesamten Unternehmens.

Mit Threat Detection & Response Cyberangriffe erfolgreich abwehren

Reagieren Sie professionell auf Sicherheitsvorfälle, von der Analyse bis zur Incident Response.

Weitere interessante Artikel