Interview mit Thomas Holderegger
06.10.2025, 14:51 Uhr
Unterschätzte Cyberrisiken
Neueste Studienergebnisse zeigen, dass das Thema Cybersecurity in vielen Unternehmen vor sich hergeschoben wird. Alarmierend, wenn nicht sogar schockierend, findet Thomas Holderegger, Security Lead Switzerland bei Accenture.
Viele Unternehmen haben Mühe, Cybersecurity strategisch zu verankern und mit der Business-Strategie in Einklang zu bringen, so Thomas Holderegger.
(Quelle: Accenture)
Der aktuelle «State of Cybersecurity Resilience 2025»-Report von Accenture zeigt: Viele Unternehmen sind nicht reif genug für KI-Sicherheit. Thomas Holderegger erläutert im Gespräch, warum Security by Design entscheidend ist – und wie Firmen dadurch sogar Tempo gewinnen.
Computerworld: Thomas Holderegger, das Thema Cybersecurity ist ein Dauerbrenner. Welche neuen Erkenntnisse stehen im aktuellen Cybersecurity Resilience-Report von Accenture?
Thomas Holderegger: Der Report bringt verschiedene Aspekte auf den Punkt, welche wir auch in der Zusammenarbeit mit Unternehmen erleben. Ein Problem ist zum Beispiel, dass viele Organisationen Mühe haben, die richtigen Leute zu finden, welche Ihnen helfen können. Es wird erwähnt, dass 83 % der Befragten das Gefühl haben, sie finden keine geeigneten Skills mehr. Wir sprechen hier von mittelgrossen Unternehmen und grossen Banken. Es fehlen dort zunehmend qualifizierte Leute, um Cyber Operations zu betreiben und die Netzwerke zu überwachen. Das ist ein Phänomen, das man sehr schön im Bericht reflektiert sieht.
CW: Hat Cybersecurity inzwischen nicht fast überall höchste Priorität? Das Thema ist schliesslich nicht mehr neu.
Holderegger: Das könnte man durchaus meinen. Der Bericht zeigt aber, dass viele Unternehmen Mühe haben, Cybersecurity strategisch zu verankern und mit der Business-Strategie in Einklang zu bringen. Das hat mich persönlich schon erstaunt.
Thomas Holderegger: «Security by Design macht Sicherheit zum Erfolgsfaktor statt zum Bremsklotz.»
Quelle: Accenture
CW: Liegt es vielleicht daran, dass Sicherheitsmassnahmen im Business als Einschränkungen erlebt werden, welche die Digitalisierung bremsen?
Holderegger: Das ist häufig dort der Fall, wo ältere Technologien eingesetzt werden oder wo Security-Überlegungen erst im Nachhinein in schon vorhandene Prozesse einfliessen. Nachvollziehbar, dass man solche Massnahmen als blockierend empfindet. Das Mindset führt häufig dazu, dass man das Thema Sicherheit vernachlässigt oder versucht zu umgehen. Wer kennt nicht die cleveren Mitarbeiter, die genau wissen, wie man das System überlistet?
Anders sieht es aus, wenn Sicherheitskriterien von Anfang an «by Design» berücksichtigt werden und in die Entwicklung von Software oder Plattformen einfliessen. In diesem Fall wird Cybersecurity nicht als Bremsklotz empfunden, sondern wird zu einem Erfolgsfaktor und Enabler moderner Business Applications. Verschiedene Studien zeigen, dass Unternehmen schneller komplexe Change-Programme umsetzen können, wenn Sicherheitsrisiken von Anfang an durchdacht werden. In modernen Technologien, Tools und Entwicklungsumgebungen sind viele Security-Features bereits präventiv integriert. Security by Design verändert den Entwicklungs- und Implementierungsprozess von Software und Systemen grundlegend, so dass der Security Officer dann nicht am Ende zum Party-Crasher wird, wenn man produktiv gehen will.
CW: Hat sich das Thema Cybersecurity durch Künstliche Intelligenz in den letzten 12 Monaten stark verändert?
Holderegger: Ja und nein. Ich denke, dass sich die Herangehensweise hinsichtlich Umsetzung und Strategie nicht gross verändert hat. Also Punkte wie in Fähigkeiten denken, um das Unternehmen und Angriffsvektoren zu verstehen, ein Inventar zu haben, die Businessprioritäten zu kennen, relevante Systeme zu identifizieren – alles, was eben möglichst gut geschützt werden muss.
Sehr wohl verändert haben sich die Möglichkeiten, wie man das machen kann. Einen grossen Einfluss hat GenAI auch auf Detection und Response auf Cyberangriffe. Hier gibt es enorme Verbesserungen und Vereinfachungen. Oder wenn es darum geht, bei der Inventarisierung sein Unternehmen transparenter zu machen. Das kann man mit KI heute viel einfacher und automatisierter anpacken.
CW: Vermutlich nutzen auch Angreifer das Potenzial von KI ...
Holderegger: Das stimmt leider. Auf Angreiferseite wird KI nicht mehr nur punktuell eingesetzt, sondern als Basis für die Entwicklung komplexer Malware-Anwendungen. Viele IT-Firmen nutzen inzwischen auch KI für die Softwareentwicklung. Malware ist ja am Ende auch nichts anderes als Software. Zudem lassen sich die Input Controls von GenAI relativ leicht umgehen, und so lassen sich auch grosse LLMs dazu bringen, Malware-Code zu schreiben. KI wird auch für Deepfakes genutzt, um Menschen zu täuschen. Einen solchen Fall hat auch Accenture erlebt, bei dem Cyberkriminelle versuchten, über eine Video-Einbindung eine Person als CEO Julie Sweet darzustellen – mit dem Ziel, eine Führungskraft im Finanzbereich zur Genehmigung einer Zahlung zu bewegen. Solche Fälle nehmen zu. Das ist aber weniger ein technisches Sicherheitsrisiko, sondern eher ein operatives Problem der Unternehmenskultur. Das kann man lösen, wenn man die Prozesse überdenkt und die involvierten Personen trainiert.
CW: Irgendwann zieht diese Masche auch nicht mehr. Wie kritisch und schwierig ist es, systembezogene Angriffe festzustellen?
KI hilft, Angriffe schneller zu erkennen und zu stoppen, erklärt Thomas Holderegger.
Quelle: Accenture
CW: Kommen wir zurück zum Cybersecurity Resilience 2025 Report von Accenture. Was hat Sie persönlich am meisten überrascht?
Holderegger: Es sind vor allem die konkreten Zahlen. Der erwähnte Skill-Gap ist erstaunlich hoch. Ein weiteres Ergebnis hat mich fasziniert: Gemäss Report haben nur 36 % der Senior Leader das Gefühl, dass Künstliche Intelligenz ein Sicherheitsproblem darstellt. Das ist für mich unverständlich. Oder dass 90 % keine Maturität haben, um damit umzugehen. Immerhin stammen die Befragten aus grösseren Unternehmen und Konzernen. Das Ergebnis lässt tief blicken. Etwas schockierend war für mich auch, dass nach wie vor nicht einmal ein Drittel der Unternehmen an Security als Designkriterium denken, wenn sie Changes umsetzen oder Technologien entwickeln.
State of Cybersecurity Resilience 2025
Der «State of Cybersecurity Resilience 2025» Report wird jährlich von Accenture Security erstellt. Grundlage ist eine Befragung von 2'286 IT- und Sicherheitsverantwortlichen aus 24 Branchen und 17 Ländern – überwiegend CISOs und CIOs von grossen Unternehmen. Der Bericht untersucht, wie Unternehmen weltweit auf die wachsenden Cyberbedrohungen reagieren, insbesondere im Kontext von generativer KI. Der Report zeigt, dass Cyberbedrohungen schneller zunehmen, als Unternehmen sich schützen können – angetrieben durch generative KI, geopolitische Spannungen und komplexe Lieferketten. 72 % der Firmen melden steigende Angriffe, doch 90 % fehlt die nötige Reife, um KI-gestützte Bedrohungen abzuwehren. Nur 34 % verfügen über eine ausgereifte Sicherheitsstrategie, lediglich 13 % über fortgeschrittene Fähigkeiten. Die Mehrheit (63 %) befindet sich in der «Exposed Zone» und ist besonders anfällig für Ransomware, Betrug, Insider-Bedrohungen und Desinformation. Verstärkt wird die Lage durch den Fachkräftemangel: 83 % der Unternehmen beklagen fehlendes Sicherheitspersonal. Während die Einführung von KI rasant voranschreitet, hinken Investitionen in deren Absicherung hinterher – 2025 sollen die Ausgaben für generative KI die Sicherheitsbudgets um das 2,6-Fache übersteigen. Dadurch bleiben Organisationen unzureichend auf Risiken wie KI-Würmer, Deepfakes, Datenvergiftung und Modellmanipulation vorbereitet. Nur 10 % der Unternehmen zeigen echte Widerstandskraft: Sie kombinieren robuste Strategien mit technischen Fähigkeiten, sind 69 % seltener Opfer hochentwickelter Angriffe, erzielen höhere Renditen auf KI-Investitionen und stärken das Vertrauen ihrer Kunden.
CW: Fast unglaublich, anbetracht der Auswirkungen. Wie erklären Sie sich diese Werte?
Holderegger: Ich denke, das hat mit der Wahrnehmung von Security zu tun. Trotzdem frage ich mich ernsthaft, wie kann man im Verwaltungsrat oder einer Geschäftsleitung eines grösseren Unternehmens sitzen und Cyberrisiken nicht als ein existenzielles Risiko verstehen? Die Ignoranz des Risikopotenzials grenzt für mich an Verantwortungslosigkeit.
CW: Offenbar sind 63 % in der «exposed Zone» und nur 10 % haben eine echte Cyberstrategie, die zum Business passt. Auch erstaunlich, oder?
Holderegger: Die Werte sind alarmierend. Die genannten 10 % der Unternehmen sind vermutlich solche, welche der regulatorische Druck dazu zwingt oder weil sie einen schwerwiegenden Angriff erlebt haben. Nach wie vor sind aber zwei Drittel der Grossunternehmen offenbar blauäugig unterwegs. Das heisst, sie sind Cyberangriffen komplett ausgeliefert. Aber ich möchte auch betonen, dass es sich beim Report um eine internationale Studie handelt; bei den Schweizer Unternehmen, welche wir betreuen, ist die Situation definitiv nicht so arg.
CW: Viele Unternehmen stehen beim Thema Künstliche Intelligenz noch am Anfang. Was beobachten Sie derzeit im Markt?
Holderegger: Ich sehe zwei Reaktionsmuster. Die einen schieben das Thema vor sich her, nach dem Motto «wir warten erst einmal ab». Die anderen – oft jüngere, innovationsgetriebene Teams – nutzen KI bereits heute. Was mir Sorge bereitet, ist die Laissez-faire-Haltung vieler Firmen. Mitarbeitende probieren Tools einfach aus, ohne dass klar ist, wie mit sensiblen Daten, geistigem Eigentum oder Personendaten umzugehen ist. Das birgt enorme Risiken. Erste Firmen – auch in der Schweiz – haben begonnen, KI-Agents wie echte Angestellte zu behandeln: Sie bekommen eine Identität im System, werden im HR-System erfasst, erhalten Policies und Regeln und erst dann die Berechtigungen für ihre Arbeit. Dieses Vorgehen reduziert Risiken und macht klar, wer verantwortlich ist.
CW: Wie verändert sich die Bedrohungslage?
Holderegger: Angreifer zielen vermehrt auf nicht-menschliche Nutzer – Service-Accounts oder eben Agents. Hinzu kommen neue Risiken: KI-Modelle können Dinge tun, die sie gar nicht sollten. Oder sie greifen auf Daten zu, die ein Mitarbeiter längst nicht mehr nutzen dürfte, ihm aber noch nicht entzogen worden sind. Plötzlich kombiniert ein KI-Agent alte Berechtigungen mit neuen und schafft Risiken, die bislang latent waren und daher dem betroffenen Mitarbeiter gar nie aufgefallen sind.
CW: Muss «Cybersecurity» neu definiert werden?
Holderegger: Wenigstens sollte er überdacht werden. Mit KI kommt ein zusätzlicher, gravierender Risikofaktor hinzu. Die Herausforderung liegt in den Strukturen: saubere Prozesse für Rollen, Berechtigungen, klare Verantwortlichkeiten. Wer KI einführt, ohne seine Prozesse im Griff zu haben, baut Sicherheitsrisiken direkt ins Geschäft ein. Ohne diese Hausaufgaben ist jede KI-Einführung gefährlich.
CW: Welchen Ratschlag würden Sie Unternehmern und IT-Verantwortlichen auf den Weg mitgeben?
Holderegger: Wenn Unternehmen Security als integralen Bestandteil ihrer Strategie begreifen, wird sie vom Bremsklotz zum Beschleuniger – und KI kann ihr volles Potenzial entfalten.
CW: Vielen Dank, Thomas Holderegger, für die profunden Einschätzungen.
Zur Person und Firma
Thomas Holderegger
Als Security Lead von Accenture Schweiz verantwortet Thomas Holderegger das Cybersecurity-Geschäft des Unternehmens in der Schweiz und unterstützt Kunden aus verschiedenen Branchen bei der Entwicklung und Umsetzung moderner Sicherheitsstrategien. Neben seiner Tätigkeit bei Accenture engagiert er sich als Präsident des Cybersecurity Committees von Digitalswitzerland und bringt dort seine Expertise in die nationale Debatte um digitale Sicherheit ein.
Als Security Lead von Accenture Schweiz verantwortet Thomas Holderegger das Cybersecurity-Geschäft des Unternehmens in der Schweiz und unterstützt Kunden aus verschiedenen Branchen bei der Entwicklung und Umsetzung moderner Sicherheitsstrategien. Neben seiner Tätigkeit bei Accenture engagiert er sich als Präsident des Cybersecurity Committees von Digitalswitzerland und bringt dort seine Expertise in die nationale Debatte um digitale Sicherheit ein.
Accenture Schweiz
Die Schweizer Niederlassung des globalen Beratungs- und Dienstleistungsunternehmens unterstützt Unternehmen aus verschiedenen Branchen bei der digitalen Transformation. Das Leistungsspektrum umfasst Strategie- und Managementberatung, Technologie-Implementierung, Cloud-, Daten- und KI-Lösungen sowie Security-Services. www.accenture.com
Die Schweizer Niederlassung des globalen Beratungs- und Dienstleistungsunternehmens unterstützt Unternehmen aus verschiedenen Branchen bei der digitalen Transformation. Das Leistungsspektrum umfasst Strategie- und Managementberatung, Technologie-Implementierung, Cloud-, Daten- und KI-Lösungen sowie Security-Services. www.accenture.com
