Cybersecurity befindet sich in einer Phase struktureller Transformation. Technologische Entwicklungen wie Künstliche Intelligenz, Large Language Models (LLMs), agentenbasierte Systeme, Model Context Protocols (MCP) sowie hochentwickelte Deepfake-Technologien verändern die Bedrohungslandschaft grundlegend. Maschinen begegnen Maschinen. Angriffe werden automatisierter, skalierbarer und zugleich präziser. Die Eintrittsbarrieren für professionelle Angriffswerkzeuge sinken, während sich gleichzeitig die Angriffsflächen durch Cloud-Transformation, digitale Ökosysteme und vernetzte Operational-Technology-Umgebungen kontinuierlich erweitern.

Die Spielregeln werden angepasst

Künstliche Intelligenz schreibt heute täuschend echte Phishing-Mails. Deepfakes imitieren Stimmen und Bildübertragung von CEOs in Echtzeit. Autonome Agenten analysieren Angriffsflächen, Large Language Models und Protokolle wie MCP erweitern nicht nur die Möglichkeiten von Unternehmen sie erweitern auch die Möglichkeiten von Angreifern.

Cyberangriffe sind nicht mehr nur primär technisch komplex. Sie werden zunehmend skalierbarer, adaptiver und ökonomisch effizienter.

Und dennoch bleibt der Kern unverändert: Am Ende geht es um 0 und 1. Um Daten. Um geschäftskritische Informationen. Um Systeme, die funktionieren müssen. Cybersecurity ist keine Frage maximaler Absicherung, sondern eine Frage des bewusst definierten Risikoappetits. Sie ist eine strategische Entscheidung:

• Wie resilient wollen wir sein?
• Wie abhängig sind wir digital?
• Welche Risiken sind wir bereit zu tragen und welche nicht?

Werte integral geschützt zu Wissen – das Bedürfnis.

Wer Cybersecurity heute als rein operative IT-Aufgabe versteht, unterschätzt ihre Tragweite. Sie entscheidet über Handlungsfähigkeit, regulatorische Stabilität, Vertrauen im Markt und letztlich über Unternehmenswert.

Genau hier setzen wir an

Im vergangenen Jahr haben unsere Red, Blue und Titanium Teams in einer Vielzahl anspruchsvoller Mandate gezeigt, was moderne Sicherheitsarbeit leisten muss und kann. Realitätsnahe Red-Team-Engagements haben nicht nur technische Schwächen aufgezeigt, sondern Entscheidungsprozesse getestet. Purple-Team-Formate haben Silos aufgebrochen und Detection- sowie Response-Fähigkeiten messbar verbessert. OT-Initiativen haben Produktionsumgebungen resilienter gemacht. Sicherheitsbewertungen im Kontext von LLMs und KI-Systemen haben neue Risiken greifbar und steuerbar gemacht.

Die konkrete Projektliste ist lang. Entscheidend ist etwas anderes: Wirkung.

Herausforderung KI in Red Teamings

Ein ähnliches Prinzip gilt für technisch anspruchsvolle Red-Team-Projekte. Ein unkontrolliert agierendes rogue KI-Device oder ein autonomer Agent im eigenen Netzwerk ist kein Innovationsbeweis, sondern wird ein zusätzliches Risiko. In unseren zahlreichen, oftmals zeitintensiven Red-Team-Mandaten, zeigt sich immer wieder: Erfolgreiche Angriffe entstehen nicht durch Zufall, sondern durch präzise technische Analyse und die systematische Verkettung mehrerer Schwachstellen. Initial Access, Privilege Escalation, Credential Abuse, laterale Bewegung oder das Ausnutzen impliziter Vertrauensstellungen sind selten isolierte Einzelereignisse, sie bilden strukturierte Angriffspfade.

Unsere Engagements sind bewusst realitätsnah konzipiert mit klar definierten Zielbildern, strengen Rules of Engagement und tiefgehender technischer Durchführung. Dass wir bislang in jedem Mandat die vereinbarten Ziele erreichen konnten, ist kein Hinweis auf spektakuläre Einzellücken, sondern auf methodische Konsequenz und technische Exzellenz. Vor allem aber zeigt es, wie reproduzierbar komplexe Angriffsketten selbst in reifen Organisationen sind.

Vor diesem Hintergrund können KI-Agenten operative Subtasks durchaus beschleunigen, etwa bei Reconnaissance, der Analyse grosser Identitäts- und Berechtigungsstrukturen oder der systematischen Variation von Angriffsmustern. Doch Automatisierung ersetzt weder Erfahrung noch taktisches Urteilsvermögen. Autonome Systeme dürfen nicht eigenständig Eskalationsentscheidungen treffen oder Persistenz Strategien etablieren. Maschine gegen Maschine ist kein Fakt der in einer produktiven Umgebung derzeit Realität ist. Offensive Sicherheitsarbeit bleibt ein kontrollierter, präzise gesteuerter Prozess.

Und genau hier liegt die Management-Dimension: Red Teaming ist kein technisches Selbstzweck-Experiment, sondern ein Instrument zur Validierung strategischer Resilienz. Es beantwortet nicht nur die Frage, ob ein Angriff möglich ist, sondern wie wahrscheinlich, mit welchem Aufwand und mit welchen geschäftlichen Auswirkungen. Die daraus gewonnenen Erkenntnisse sind Grundlage für Priorisierung, Investitionsentscheidungen und die bewusste Definition des eigenen Risikoappetits. Technische Exzellenz schafft Transparenz, strategische Führung schafft Konsequenz.

Herausforderung Vibe Coding

Die Grundlage belastbarer Cybersecurity bleibt das fundierte Verständnis der eingesetzten Technologien. Insbesondere in einer Zeit, in der KI-Modelle produktionsnah wirkenden Code in Sekunden generieren. Ob Infrastruktur-as-Code (IaC), API-Integrationen, Automatisierungsskripte oder komplexe Business-Logik: Der generierte Output ist häufig syntaktisch korrekt und folgt gängigen Framework-Konventionen. Doch er basiert auf statistischer Wahrscheinlichkeit, nicht auf kontextuellem Sicherheitsverständnis.

In der Praxis zeigen sich typische Muster: Fehlende oder unzureichende Eingabevalidierung, unsichere Deserialisierung, ungeschützte Endpunkte, Hardcoded Secrets oder über privilegierte Service-Accounts. Autorisierungsprüfungen werden vereinfacht oder ausgelassen, Trust Boundaries nicht klar definiert, Default-Konfigurationen unreflektiert übernommen. Logging-Mechanismen erfassen sensible Informationen im Klartext, während Fehlerbehandlungen funktional korrekt, aber sicherheitstechnisch unvollständig bleiben.

Im Kontext von LLM-gestützten Anwendungen entstehen zusätzliche Risiken: Unzureichend mitigierte Prompt-Injection-Angriffe, fehlende Output-Validierung, indirekte Datenabflüsse über Retrieval-Mechanismen oder Tool-Integrationen mit weitreichenden Berechtigungen. Der Code erfüllt teilweise die fachliche Anforderung erweitert jedoch unter Umständen die Angriffsfläche oder etabliert implizite Abhängigkeiten, die architektonisch nie vorgesehen waren.

Wer Programmiersprachen, Sicherheitsarchitekturen und Prinzipien wie Least Privilege, Defense in Depth oder Secure by Design beherrscht, erkennt diese Schwachstellen frühzeitig. Anhand strukturiertem Threat Modeling, sauberen Code-Reviews und gezielter Refaktorierung wird aus generiertem Code belastbare, überprüfbare Implementierung. Genau hier entsteht Mehrwert: Durch Einordnung, Validierung und bewusste Steuerung.

Hier schliesst der Kreis. Technologische Geschwindigkeit entbindet nicht von strategischer Verantwortung. Der Einsatz KI-generierter Komponenten ist keine rein operative Entscheidung, sondern eine Frage des definierten Risikoappetits.

• Welche Abhängigkeiten akzeptieren wir?
• Welche impliziten Risiken tolerieren wir?
• Welche Kontrollmechanismen etablieren wir verbindlich?

KI kann zum Effizienztreiber mit unklarem Risikoprofil werden. Mit klarer Governance wird sie zum strategischen Instrument innerhalb eines kontrollierten Sicherheitsrahmens. Technologie kann Code erzeugen. Verantwortung entsteht durch Verständnis, Kontrolle und bewusste Steuerung.

Wir verbinden offensive Perspektive mit defensiver Exzellenz und strategischer Einordnung. Wir denken nicht in Einzelmassnahmen, sondern ganzheitlich.

Kein Nachlassen

Auch in diesem Jahr steigt die Nachfrage nach genau diesem Ansatz. Zahlreiche neue Initiativen sind bereits gestartet oder in Planung, Mandate zugewiesen und neue Technologietrends unter Beobachtung. Von KI-Governance über Red- und Purple Teaming, über resiliente Cloud-Architekturen, über Maschine gegen Maschine Testzyklen, bis hin zu strategischen Sicherheitsbewertungen im Rahmen digitaler Transformationen.

Unternehmen suchen nicht nur Tests oder Reports. Sie suchen Orientierung. Sie suchen Partner, die technologische Entwicklungen verstehen, einordnen und in belastbare Entscheidungen übersetzen können.

Konkreter Mehrwert entsteht dort, wo Sicherheit strategische Klarheit schafft.

Wenn neue KI-Initiativen eingeführt werden und Governance-Fragen offen sind. Wenn Applikationen auf Ihre Sicherheit getestet werden müssen und eine aussagekräftige Beurteilung benötigt wird. Wenn der Verwaltungsrat ein belastbares Bild der tatsächlichen Resilienz benötigt. Wenn OT-Umgebungen modernisiert werden, ohne die Produktionsstabilität zu gefährden. Oder wenn bestehende Security-Programme zwar existieren, ihre Wirksamkeit jedoch nie realitätsnah validiert wurde. In genau diesen Situationen schaffen wir Transparenz, Priorisierung und Entscheidungsgrundlagen technisch fundiert und managementtauglich aufbereitet.

Stetige Weiterentwicklung

Deshalb investieren wir konsequent in unsere eigene Weiterentwicklung. Wir hinterfragen unsere Prozesse. Wir optimieren unsere Methoden. Wir entwickeln eigene Tools und Softwarelösungen weiter, um Effizienz und Präzision zu erhöhen. Interne Research-Projekte sorgen dafür, dass wir Trends nicht erst dann diskutieren, wenn sie Mainstream sind. Wir analysieren, bevor sie regulatorisch gefordert werden. Wir evaluieren, bevor sie zum Risiko werden.

In einer digitalisierten Wirtschaft ist Vertrauen kein weicher Faktor mehr. Es ist ein strategischer Vermögenswert.

Cybersecurity ist für uns kein reaktives Geschäft. Sie ist ein aktiver Beitrag zur unternehmerischen Zukunftsfähigkeit.

Unser Anspruch ist klar:

• Wir wollen Sicherheitslandschaften nicht nur prüfen, wir wollen sie mitgestalten.
• Wir wollen Risiken nicht dramatisieren, wir wollen sie steuerbar machen.
• Wir wollen Technologie nicht nur absichern, wir wollen sie verantwortungsvoll nutzbar machen.

Fazit

Die Bedrohungslage wird komplexer. Die Technologien werden leistungsfähiger. Doch der entscheidende Unterschied liegt nicht in einzelnen Tools oder Trends, sondern in der Fähigkeit, Entwicklungen frühzeitig einzuordnen und strategisch zu nutzen. Cybersecurity ist heute Ausdruck unternehmerischer Reife. Die Zukunft aktiv gestalten! Wer sie vorausschauend gestaltet, schafft nicht nur Schutzmechanismen, sondern Entscheidungsfreiheit. Wer Resilienz systematisch aufbaut, stärkt Vertrauen bei Kunden, Partnern, Investoren und Mitarbeitenden gleichermassen. Zukunftsfähigkeit entsteht dort, wo Risiken verstanden, priorisiert und bewusst gesteuert werden.

Gerade im Zeitalter leistungsfähiger KI gilt: Technologie kann analysieren, simulieren und optimieren. Die Richtung jedoch bestimmt weiterhin die Unternehmensführung. Oder mit einem leichten Augenzwinkern: Algorithmen unterstützen Entscheidungen. Verantwortung bleibt menschlich.

Unternehmen, die diese Verantwortung aktiv annehmen, sichern nicht nur ihre Systeme; sie gestalten aktiv ihre digitale Zukunft. Ein strukturiertes Sparring auf Augenhöhe schafft oft mehr Klarheit als jede theoretische Diskussion. Wir freuen uns auf den Austausch.

Über den Autor

Simon Zumstein arbeitet seit Beginn der 1990er Jahre im IT-Bereich, wobei er als Engineer, Projektleiter, Security Consultant und CIO tätig war. Ganzheitliches Risikomanagement mit Einbezug der betriebswirtschaftlichen Aspekte und der Darstellbarkeit gegenüber den Entscheidungsträgern sind sein Fachgebiet.

Links

• https://scip.ch/publikationen/flyer/scip_company-flyer_plusTeams_2024_v01-de.pdf
• https://www.scip.ch/?defense
• https://www.scip.ch/?labs.20240523
• https://www.scip.ch/?labs.20241114
• https://www.scip.ch/?offense
• https://www.scip.ch/?research