Tool Einsatz ohne Strategie ist Ressourcenverschwendung

Knapp 65.000 Cybervorfälle meldeten Schweizer Unternehmen und Behörden dem Bundesamt für Cybersicherheit im Jahr 2025 (B2B Cyber Security). Gleichzeitig musste mehr als jedes zehnte Schweizer Unternehmen geplante Security-Massnahmen verwerfen – nicht weil die Technologie fehlte, sondern weil das Budget nicht reichte (swisscybersecurity.net). Das eigentliche Problem: Organisationen beschaffen Tools, stopfen Lücken, verbrauchen Budgets – und ihre Sicherheitslage verbessert sich trotzdem kaum. Was fehlt, sind Strategie und Struktur.

260 Angriffe auf kritische Infrastrukturen – das meldet das BACS mit Stand Februar 2026 seit April 2025. Betroffene Unternehmen beginnen nach einem entsprechendem Vorfall oft mit der Produktsuche: Ein neues Tool wird evaluiert, beschafft, eingeführt – und fügt sich in eine Umgebung ein, die bereits aus Dutzenden solcher Einzelentscheidungen besteht. Das Ergebnis ist kein Schutzkonzept, sondern ein Flickenteppich: viele Werkzeuge, wenig Verbindung, kaum Gesamtwirkung.

Das eigentliche Problem ist damit nicht der Mangel an Technologie. Es ist das Fehlen einer klaren Strategie, die vorgibt, was überhaupt schützenswert ist, welches Schutzniveau angestrebt wird – und wie Massnahmen priorisiert und mit vorhandenen Ressourcen abgestimmt werden.

Eine Security-Strategie definiert konkret, welche Systeme und Daten den höchsten Schutzbedarf haben, welche Lücken bestehen und in welcher Reihenfolge Massnahmen umgesetzt werden – abgestimmt auf Budget und Kapazität. Dieser Abgleich ist entscheidend: Nicht die umfangreichste Massnahme bringt den grössten Sicherheitsgewinn, sondern die richtige Massnahme zum richtigen Zeitpunkt.

Wer diesen Schritt überspringt und direkt in Architektur und Implementierung einsteigt, verliert den Massstab. Security-Audits liefern Befunde, aber keinen strategischen Kontext. Einzelmassnahmen werden umgesetzt, viele Risiken bleiben unbearbeitet – und Ressourcen verpuffen, weil die Grundlage fehlt.

Entscheidend sind drei klar getrennte Ebenen:

Erst wenn diese Ebenen sauber aufeinander abgestimmt sind, entsteht ein Sicherheitssystem, das im Alltag funktioniert – und Unternehmen handlungsfähig hält. 

Wie eine wirksame Security-Strategie aufgebaut wird und warum sie der entscheidende Schritt vor jeder Architektur- und Designentscheidung ist – auch im Umgang mit wachsenden KI-Workloads – zeigt das Axians AI Security Playbook für Schweizer CIOs & CISOs.

Diese Anforderung an strategische Klarheit wird durch den Einsatz von Künstlicher Intelligenz noch dringlicher. KI ist in Schweizer Unternehmen angekommen – als Assistent, als Analysewerkzeug, als Bestandteil automatisierter Prozesse. Damit entstehen neue Datenflüsse, neue Abhängigkeiten und neue Angriffsflächen, die klassische Sicherheitsmodelle nur teilweise abdecken.

Wer KI-Workloads einführt, ohne zu wissen, welche Daten wohin fliessen, wer Zugriff hat und wer im Fehlerfall verantwortlich ist, schafft strukturelle Risiken – unabhängig davon, wie gut die restliche Security-Architektur aufgestellt ist. AI Security ist damit keine separate Disziplin. Sie ist die logische Erweiterung einer durchdachten Security-Strategie: Governance, Transparenz und klare Verantwortlichkeiten gelten für KI-Systeme genauso wie für jede andere kritische Infrastruktur im Unternehmen.