Die Sicherheitslücken sind hausgemacht

Seit das US-Unternehmen Anthropic sein Modell Mythos Preview vorgestellt hat, herrscht in den Chefetagen von Schweizer Unternehmen Unruhe. Das System soll innert Stunden Zehntausende bisher unbekannte Sicherheitslücken in der IT-Infrastruktur aufspüren. Ein mächtiges Tool, wenn es in die falschen Hände gerät.

Eine Bedrohung, auf die reagiert werden muss. Auf Jobportalen häufen sich Stellenanzeigen für IT-Sicherheitsarchitekten, Cybersecurity-Analystinnen und Compliance Officers. Dabei sitzt die grösste Bedrohung im Unternehmen selbst, meist sogar in der Geschäftsleitung oder im Verwaltungsrat.

Und jetzt kommt Mythos – und alle sind überrascht. Dabei haben sie einfach geschlafen. Gemäss dem «PWC’s 29th Annual Global CEO Survey» vom Januar 2026 bezeichneten nur 28 Prozent der Schweizer Unternehmensleiter und -leiterinnen Cyberrisiken als ihre grösste Bedrohung. Weniger als noch im Jahr zuvor.

Viel grösser war die Sorge, genug schnell auf die Entwicklungen von künstlicher Intelligenz (KI) reagieren zu können. Die Frage, ob ihre Unternehmen genug rasch transformieren, trieb mit 54 Prozent mehr als die Hälfte der CEOs um. Knapp ein Drittel erachtete ihre KI-Investitionen als ausreichend, und nur 26 Prozent hatten das Gefühl, in der Lage zu sein, Toptalente aus der IT anziehen zu können.

Transformieren um jeden Preis

Führungsetagen fordern KI-Transformation. KI soll jeden Unternehmensbereich durchdringen, Prozesse neu denken, Workflows automatisieren. Diesen Druck zur Transformation spüren die Mitarbeitenden und handeln entsprechend. Das Resultat ist ein Wildwuchs.

Laut Salesforce Research nutzen 67 Prozent der Beschäftigten weltweit KI aktiv bei der Arbeit – aber nur 18 Prozent der Unternehmen haben eine formale KI-Sicherheitspolitik. Die Führung segnet sechs KI-Tools ab, tatsächlich laufen aber schon 36 im Unternehmen. Berichte von IBM und Gartner zeigen, dass fast 80 Prozent der Angestellten Tools einsetzen, welche die IT-Abteilung nie freigegeben hat. Ein grosser Teil der heutigen KI-Nutzung erfolgt ausserhalb formaler Richtlinien. Es ist ein IT-Ghetto voller Lücken.

Das Problem ist, dass die meisten Beschäftigten mit den vom Unternehmen sanktionierten Lösungen nicht zufrieden sind. Der Grund dafür sitzt in der Teppichetage. Führungskräfte können nicht einfach KI-Nutzung verordnen, ohne selbst die Kompetenz mitzubringen, die richtigen Tools und Rahmenbedingungen zu definieren.

Das ist das eigentliche Governance-Problem, in dem Sicherheitslücken entstehen: Unten wird gebastelt, oben fehlt das Verständnis. Cybersicherheit ist im 21. Jahrhundert ein Führungsthema. Wer das nicht einsieht, wird das nächste Aufwachen teuer bezahlen.