CISO-Radar 2026: Die 30 wichtigsten Maßnahmen für 2030

In Kürze

Die Cybersicherheit durchläuft tiefgreifende Veränderungen, die bis 2030 die Umsetzung zahlreicher Initiativen erfordern.
Die aktuelle regulatorische Flut zwingt Organisationen dazu, sich schnell weiterzuentwickeln.
Geopolitische Spannungen definieren IT-Modelle und Resilienz neu.
Mehrere Hebel sind entscheidend, um ein starkes Fundament aufzubauen: Sichtbarkeit, Vertrauen und Umsetzungsgeschwindigkeit.
Eine operative Roadmap ist notwendig, um Cybersicherheit zu einem langfristigen strategischen Enabler zu machen.

Während viele Unternehmen ihre CybersecurityStrategien für 2025 abschließen, richtet sich der Blick bereits auf die Zukunft. Der nächste strategische Zyklus bis 2030 erfordert eine Neubewertung der Prioritäten und eine klare Cybersecurity Roadmap. Diese Überlegung ist umso wichtiger, da sich Risiken, Technologien und regulatorische Anforderungen rasant weiterentwickeln. In diesem Jahr haben wir uns bewusst entschieden, weiter vorauszudenken und die TOP 30 Maßnahmen für 2030 zu identifizieren, als Teil unserer regelmäßigen Analyse zur Entwicklung des CISORadarbiss.

Der Zyklus 2030 beschränkt sich nicht darauf, bestehende Initiativen fortzuführen. Er verlangt eine integrierte, zukunftsorientierte Vision, die alle Bereiche, Systeme, Prozesse und Stakeholder berücksichtigt.

Aus dieser Perspektive haben wir innerhalb von Wavestone gemeinsam eine klare Entwicklungsrichtung erarbeitet, die Trends, Risiken und Handlungshebel integriert. Ziel ist es, Cybersecurity zu einem echten Motor für Beschleunigung und Transformation zu machen, und nicht nur zu einer reinen Verteidigungsfunktion. Diese Cybersecurity Roadmap muss selbstverständlich an die spezifischen Bereiche jedes Kunden angepasst werden, bleibt jedoch ein wertvoller Leitfaden für die Entwicklung der Strategie bis 2030.

Die vier entscheidenden Kräfte des Wandels bis 2030

Bis 2030 gibt es zahlreiche Entwicklungspfade, die von Faktoren wie Branche, geografischer Lage, verfügbaren Ressourcen und der Bedrohungslage abhängen. Dennoch halten wir es für sinnvoll, Prioritäten zu identifizieren, die für viele Akteure gleichermaßen relevant sind.

Bedrohungsentwicklung jenseits der Infrastruktur

Cyberangriffe werden vielfältiger und zunehmend raffinierter. Angreifer zielen heute nicht mehr nur auf klassische Infrastrukturen (Arbeitsplätze, Active Directory usw.), sondern auch auf Dritte wie Partner, Lieferanten und Subunternehmer. Laut dem CERT-Wavestone Jahresbericht 2025 sind mehr als die Hälfte der Vorfälle auf diese externen Akteure zurückzuführen – ein klarer Hinweis darauf, dass das CyberRisikomanagement und die Kontrolle externer Beziehungen dringend gestärkt werden müssen.

CloudPlattformen, SaaSDienste und InstantMessagingTools sind zu zentralen Angriffszielen geworden, da sie sensible Daten und kritische Datenströme bündeln – wie die Angriffe auf Salesforce im Sommer 2025 zeigen (Link in einem neuen Tab öffnen). Einige Attacken erfolgen durch direkte Infiltration mittels falscher Mitarbeitender, wie es die nordkoreanische Strategie verdeutlicht, ITExperten in westliche Unternehmen einzuschleusen, oder durch SocialEngineeringTechniken. Zudem werden Angriffe immer gezielter und adaptiver: Sie passen ihre Vorgehensweise an erkannte Schwachstellen an und nutzen dabei häufig Automatisierung und künstliche Intelligenz.

Den regulatorischen Tsunami bewältigen

Die regulatorische Landschaft im Bereich Cybersecurity wird zunehmend komplexer: Neue Vorschriften bringen immer strengere und detailliertere Anforderungen mit sich. Europäische Regulierungsbehörden streben bis 2030 eine mögliche Vereinfachung an, um bestimmte Regeln zu harmonisieren. Kurzfristig müssen Unternehmen jedoch mit einer Vielzahl von Rahmenwerken und Richtlinien umgehen.

Zu den einflussreichsten Vorschriften zählen DORA, das die operationelle Resilienz im Finanzsektor regelt, NIS2 zur Sicherheit kritischer Netzwerke und Informationssysteme, der Cyber Resilience Act sowie der AI Act für künstliche Intelligenz.

Diese Überlagerung von Vorschriften schafft ein dichtes regulatorisches Umfeld, das Unternehmen zwingt, die Umsetzung und Compliance zu optimieren und gleichzeitig ihre operative Agilität zu bewahren.

Geopolitische Umbrüche und Entkopplung von Aktivitäten

Geopolitische Entwicklungen beeinflussen direkt ITModelle und CybersecurityStrategien. Sie führen zu spezifischen regulatorischen Anforderungen, wie etwa verpflichtender Datenlokalisierung oder der Nutzung bestimmter Technologien in Ländern wie China. Internationale Konflikte, wie die Situation zwischen der Ukraine und Russland, haben zudem die Notwendigkeit von Abschalt oder Aktivitätsverlagerungsplänen verdeutlicht, um kritische Betriebsabläufe zu schützen.

Diese Umbrüche erfordern den Übergang von einem standardisierten globalen Ansatz hin zu stärker regionalen oder von ausländischen Anbietern unabhängigen Architekturen. Die geopolitische Fragmentierung zwingt Unternehmen, Datenlokalisierung, Betriebskontinuität sowie die Fähigkeit zur Aufrechterhaltung von Sicherheit und digitale Resilienz in vielfältigen und teils instabilen Umgebungen sneu zu denken.

Digitale Transformation – beschleunigt durch KI

Künstliche Intelligenz entwickelt sich zu einem Schlüsselfaktor der digitalen Transformation. Ihre schnelle Einführung verändert Geschäftsprozesse, eröffnet neue Anwendungsfelder für KI in der Cybersicherheit undbeschleunigt den Austausch zwischen Partnern. Gleichzeitig entstehen neue Anforderungen an Compliance und Sicherheit. Die Komplexität autonomer Entscheidungen und das Potenzial für böswillige Manipulation erfordern besondere Wachsamkeit, um Vertrauen und Resilienz in dieser neuen digitalen Umgebung sicherzustellen.

CISO-Radar 2026

Seit über 10 Jahren erstellt Wavestone den CISORadar, der alle Themen katalogisiert, mit denen sich CybersecurityExpert:innen auseinandersetzen müssen. Diese gemeinsame Analyse der WavestoneExpert:innen erfolgt jährlich.

Die Notwendigkeit, Cybersecurity in Richtung Echtzeit beschleunige

Die vier identifizierten Kräfte (Bedrohungsentwicklung, regulatorische Komplexität, geopolitische Umbrüche und digitale Transformation) zwingen Unternehmen dazu, ihre CybersecurityStrategie neu zu denken. Cybersecurity muss beschleunigt werden, um in zunehmend dynamischen und komplexen Umgebungen effektiv zu bleiben.

Für die CISO zeichnen sich drei strukturierende Achsen ab:

Sichtbarkeit: Vollständiges Verständnis von Systemen, Datenflüssen und Risiken, einschließlich der Bereiche mit unzureichender Abdeckung.
Vertrauen: Gewährleistung der Sicherheit und Zuverlässigkeit von Informationen, Identitäten und kritischen Prozessen.
Ausführungsgeschwindigkeit: Cybersecurity näher an Echtzeit bringen, was eine Verbesserung der Qualität von Cyberdaten erfordert, da die Wirksamkeit automatisierter Prozesse direkt davon abhängt.

Diese drei voneinander abhängigen Achsen bilden die Grundlage für die Beschleunigung der Cybersicherheit in einem von kontinuierlichen Bedrohungen, Einschränkungen und Transformationen geprägten Umfeld bis zum Jahr 2030.

Sichtbarkeit erhöhen

Sichtbarkeit wird zu einem strategischen Hebel, sowohl im Hinblick auf künstliche Intelligenz, Verhalten als auch auf industrielle und produktspezifische Systeme.

BusinessKI: Kritische Systeme absichern

Wir sind überzeugt, dass KI, weit über bloße ProofofConcepts hinaus, zu einem zentralen Hebel der digitalen Transformation wird. Ihre breite Einführung verändert Risiken, Anwendungsbereiche und Kontrollanforderungen grundlegend, insbesondere mit dem Aufkommen von Agenten. Diese Entwicklungen erfordern, dass Unternehmen ihre Anstrengungen in gemeinsamer Governance, Schulungen, methodischen Rahmenwerken sowie ML/KISchutzmechanismen fortsetzen und verstärken, insbesondere im Hinblick auf KI in der Cybersicherheit.

Den Lebenszyklus von KIAgenten steuern

Die erste Priorität betrifft das Management der KIAgenten selbst. Einige werden einem Benutzer zugeordnet sein, andere einer Funktion oder einem BusinessService – in der Praxis wird es wahrscheinlich eine Kombination aus beidem sein. In diesem Kontext müssen digitale Identität, Zugriffe und Interaktionen kontrolliert werden, wobei die Datensichtbarkeit auf das unbedingt Notwendige beschränkt wird. Das schnelle Tempo der technologischen Entwicklung in diesem Bereich macht diese Aufgabe komplex: Protokolle, Frameworks und Tools ändern sich schneller, als Standards etabliert werden, was von CISOs eine kontinuierliche Wachsamkeit erfordert.

KI als vertrauenswürdig einstufen

Die zweite Herausforderung besteht darin, das Vertrauensniveau zu definieren, das einem KISystem zugeschrieben werden kann. Dieses muss messbar sein, denn daraus wird der Autonomiegrad abgeleitet („Human in the Loop“, „Human over the Loop“ oder „Human out of the Loop“). Diese Stufen müssen in Risikoanalysen integriert und durch praktische Tests überprüft werden, einschließlich AIRedTeamingÜbungen zur Bewertung der Robustheit und Verzerrungen des Modells.

KITransparenz stärken

Schließlich wird Transparenz zur zwingenden Voraussetzung. Unternehmen müssen verstehen, wie ihre KI entwickelt und trainiert wurde, und Sicherheitsprinzipien nach dem „Security by Design“Ansatz (Secure by Design, MLDevSecOps) übernehmen. Praktiken wie die „AI Bill of Materials“, die Komponenten und Daten zur Modellerstellung detailliert aufführt, erleichtern die Nachverfolgbarkeit und Analyse der Datenquellen. SOCTeams müssen diese neuen digitalen Entitäten überwachen, Verhaltensabweichungen, PromptInjections oder die SpoofingVersuche nichtmenschlicher Identitäten erkennen.

360°Sicht auf Verhaltensweisen: InsiderBedrohungen wirksam verhindern

Die Gefahr durch Insider reicht heute weit über unachtsame Mitarbeitende hinaus: Angreifer nutzen zunehmend legitime Konten, um schädliche Aktionen auszuführen. InsiderRisiken betreffen inzwischen alle digitalen Akteure, von Partnern und Dienstleistern bis hin zu KIAgenten. Umso wichtiger wird bis 2030 die vollständige Transparenz über menschliches und maschinelles Verhalten als Grundpfeiler der Cybersicherheit.

Für eine wirksame Antwort müssen Unternehmen ihre Überwachung auf eine bereichsübergreifende Governance stützen, fortschrittliche Werkzeuge zur Verhaltensanalyse (UEBA) einsetzen und einen „Trust & Care“Ansatz verfolgen, der Mitarbeitende schützt und gleichzeitig ihr Vertrauen bewahrt.

Monitoring auf bereichsübergreifende Governance ausrichten

Organisationen müssen ihre Governance neu denken, mit einem echten, funktionsübergreifenden Ansatz. Die Erkennung riskanter Verhaltensweisen wird künftig nicht mehr allein Aufgabe der Cybersicherheit sein: HR, Einkauf, Betrugsprävention und interne Kontrolle werden gleichermaßen eingebunden. Gemeinsam müssen diese Bereiche kohärente Mechanismen entwickeln, um schwache Signale rechtssicher und transparent zu überwachen, zu verstehen und einzuordnen.
Dieser Ansatz muss auch KIAgenten berücksichtigen, die inzwischen als operative Akteure agieren. InsiderBedrohungsszenarien müssen diese neuen digitalen Entitäten integrieren.

Einsatz fortschrittlicher VerhaltensanalyseTools (UEBA)

Technologisch wird die Verhaltenssichtbarkeit künftig auf einer neuen Generation KIgestützter AnalyseLösungen basieren, die direkt mit dem SOC verbunden sind. Diese Tools korrelieren verstreute technische und organisatorische Signale – etwa das Ende eines Dienstleistungsvertrags, den Austritt eines Mitarbeitenden, HelpdeskAnfragen oder Anomalien bei Zugriffen und Datenübertragungen –, um Risikosituationen frühzeitig zu erkennen.

Einen transparenten und konstruktiven „Trust & Care“Ansatz verfolgen

Ziel ist nicht eine intrusive Überwachung, sondern eine „Trust & Care“Logik, die das Vertrauen der Mitarbeitenden stärkt und gleichzeitig vor potenziellen Sicherheitsverletzungen schützt. Programme müssen von Beginn an Prinzipien wie Verhältnismäßigkeit, Transparenz und hochwertige Kommunikation integrieren.

IT, OT und digitale Produkte: Auf dem Weg zur einheitlichen Konvergenz

Der letzte Bereich, in dem die Sichtbarkeit erhöht werden muss, betrifft industrielle Umgebungen und digitale Produkte. Heute ist die Governance nur teilweise konvergiert, und Schutzmechanismen sind implementiert – doch der nächste Schritt besteht darin, ein sicheres, kohärentes Modell über alle diese Domänen hinweg aufzubauen. Bis 2030 wird die Unterscheidung zwischen IT, OT und Produktwelten voraussichtlich verschwinden. Architekturen, Protokolle und Technologien wachsen zusammen und schaffen ein durchgängiges, vernetztes System, in dem historische Grenzen ihre operative Bedeutung verlieren.

Diese Entwicklung erfordert ein grundlegendes Umdenken der Sicherheitsmodelle, um einen einheitlichen, kohärenten und wirksamen Ansatz sicherzustellen.

Ein einheitliches Sicherheitsmodell schaffen

Teilweise Konvergenz von Governance und Schutz hat in einigen Organisationen begonnen, doch die Integration bleibt unvollständig. Es geht nicht mehr nur darum, gemeinsame Richtlinien anzuwenden, sondern eine echte Sicherheitskontinuität auf Basis derselben Prinzipien, Architekturen und Technologien aufzubauen. Industrielle Umgebungen übernehmen zunehmend ITLösungen: virtualisierte SPS, IPbasierte Feldnetzprotokolle, Echtzeitverbindungen zur Cloud, zu KI oder SaaSSchnittstellen. Diese Veränderungen schaffen neue Angriffsflächen, die einen ganzheitlichen CybersecurityAnsatz erfordern.

Die Ausweitung des Identity und AccessManagements auf OT wird eine zentrale Säule dieser Konvergenz sein. Heute decken IAMLösungen industrielle Umgebungen nur unzureichend ab und lassen Bediener, SPS und Maschinen am Rand zurück. Bis 2030 wird OTIAM unverzichtbar sein – integriert in das gesamte Sicherheitsmodell und angepasst an die technologischen Besonderheiten der Industrie. Einige Organisationen haben begonnen, diesen Weg zu erkunden und erkennen ihn als Voraussetzung für langfristige Transparenz und Resilienz.

Vorbereitung auf die Zertifizierungswelle

Für digitale Produkte entstehen neue Anforderungen durch Vorschriften wie den Cyber Resilience Act in Europa oder das Cyber Trust Mark in den USA. Hersteller müssen nicht nur sichere Produkte entwickeln, sondern auch deren Sicherheit durch Eigen oder Drittzertifizierungen nachweisen. Eine Zertifizierungswelle wird erwartet, die die Art und Weise verändert, wie Produkte entworfen, getestet und auf den Markt gebracht werden. Diese Herausforderung schafft eine „GovernanceGrauzone“ zwischen Produktteams und Cybersicherheitsverantwortlichen, die geklärt werden muss, um Compliance und Vertrauen bei Kunden und Partnern sicherzustellen.

Den SOC weiterentwickeln für vollständige OT und ProduktTransparenz

Der SOC muss sich weiterentwickeln, um diese hybriden Domänen abzudecken: Signale aus IT, OT und Produktumgebungen sammeln und korrelieren, neue Protokolle verarbeiten und auf bisher unbekannte Vorfälle reagieren. Dies erfordert neue ResponsePlaybooks, spezifische Trigger und angepasste Analysetools, um schwache Signale zu erkennen, die für industrielle Umgebungen typisch sind. Ziel ist ein erweiterter SOC, der kontinuierliches Monitoring über IT und operative Infrastrukturen hinweg ermöglicht und gleichzeitig wachsende regulatorische Anforderungen an Produktsicherheit erfüllt.

Vertrauen stärken

Über die erhöhte Sichtbarkeit hinaus sind Maßnahmen erforderlich, um das Vertrauen zu festigen. Das Vertrauen in bestimmte Sicherheitsmechanismen schwindet aufgrund technologischer Veränderungen und des geopolitischen Umfelds.

Kryptografie: Verschlüsselung erneuern, um Vertrauen zu sichern

Die Kryptografie ist inzwischen durch Quantencomputer gefährdet, die leistungsfähig genug sind, um zentrale aktuelle Algorithmen zu brechen. Es geht nicht mehr nur um die Vorhersage der Verfügbarkeit, sondern um die Einhaltung von Vorschriften: Die USA, die EU und andere haben 2030 als Frist für die Umstellung festgelegt. Dies erfordert eine umfassende Transformation der Verschlüsselungssysteme, da klassische Protokolle weit verbreitet sind. Teams müssen die Migration zu PostQuanten Algorithmen antizipieren und planen – in einem CryptoAgilityAnsatz, der kontinuierliche Updates ermöglicht, ohne von Grund auf neu zu beginnen.

Dedizierte Governance definieren

Die Umsetzung dieses Übergangs erfordert eine klare, strukturierte Governance. Verantwortlichkeiten müssen festgelegt und langfristige Programme gesteuert werden. Szenarien können Cybersicherheitsteams, ITBetrieb oder Teams für ystemlebenszyklen und Obsoleszenz einbeziehen. Eine vollständige Erfassung der Verschlüsselungsnutzung ist entscheidend, um sensible Systeme und Daten zu priorisieren.

Eine Migrations-Roadmap erstellen

Der Wiederaufbau der KryptografieGrundlage wird strategisch sein und erfordert die Aktualisierung zentraler Infrastrukturen wie PKI, HSMs und KMS, während gleichzeitig eine schnelle Migration zu neuen Algorithmen sichergestellt wird. Es wird empfohlen, Klauseln in ITVerträge aufzunehmen, die die Unterstützung von PostQuantenAlgorithmen vorsehen, um zukünftige Migrationen zu erleichtern und die Compliance von Partnern zu gewährleisten.

Ein Crypto-Agility-Framework einführen

CryptoAgility ist zentral. Verschlüsselungssysteme dürfen nicht statisch sein; auch PostQuantenImplementierungen können Schwachstellen aufweisen. Systeme müssen für eine kontinuierliche Weiterentwicklung konzipiert sein, um den Bedarf an kostspieligen, groß angelegten Migrationsprogrammen zu reduzieren.

Resilienz: Handeln in einer fragmentierten digitalen Welt

Bis 2030 müssen Organisationen in einem fragmentierten Umfeld agieren, in dem geopolitische Störungen, Technologieverbote oder lokale Souveränitätsauflagen jederzeit auftreten können. Digitale Resilienz ist daher eine zentrale Säule, um Vertrauen in einem sich rasant verändernden digitalen Kontext zu bewahren.

Digitale Risiken und Abhängigkeiten neu bewerten

Der erste Schritt besteht darin, digitale Assets präzise zu erfassen und ihr Risikoprofil zu aktualisieren, nicht nur nach technischen oder ITKriterien, sondern basierend auf strategischen Aktivitäten und umsatzrelevanten Regionen. Diese Kartierung ermöglicht die Identifizierung von Abhängigkeiten, die Priorisierung von Maßnahmen und den Schutz kritischer Funktionen in Krisenzeiten unter Berücksichtigung regionaler und branchenspezifischer Besonderheiten. Krisenszenarien müssen überarbeitet werden, um neue Auslöser wie die Abkopplung eines Landes, Technologieblockaden oder eine Fragmentierung des Internets einzubeziehen und sicherzustellen, dass Kontinuitätspläne realistisch und unter allen Umständen anwendbar sind.

IT entkoppeln und kritische Systeme stärken

Resilienz erfordert zudem die Gestaltung weitgehend isolierter, aber miteinander verbundener Umgebungen, die autonom arbeiten können und gleichzeitig globale Koordination ermöglichen. Cybersicherheit wird dabei zentral, um sicherzustellen, dass isolierte Zonen geschützt bleiben und dennoch eine koordinierte Erkennung und Reaktion in der gesamten Organisation möglich ist. Dieser Ansatz erfordert ein Umdenken der Netzwerkarchitekturen, die Schaffung sicherer Zonen sowie die Definition von Kommunikations und Überwachungsmechanismen, die für eine fragmentierte Welt geeignet sind.

Krisenszenarien überarbeiten und unter realen Bedingungen testen

Vertrauen in Resilienz darf nicht theoretisch bleiben; es muss durch strenge, regelmäßige Tests überprüft werden. Übungen sollten interne Systeme, Partner, Lieferanten und in manchen Fällen auch Wettbewerber einbeziehen, um reale Krisensituationen zu simulieren und die Belastbarkeit der Kontinuitätspläne zu bewerten. Regelmäßige, praxisnahe Tests stellen sicher, dass Organisationen effektiv auf komplexe und unvorhersehbare Szenarien reagieren können und wahre Resilienz gegenüber internen und externen Stakeholdern demonstrieren.

Identität: Das Fundament digitalen Vertrauens in der Cybersicherheit

Identität ist zum neuen Sicherheitsperimeter geworden: ständig Ziel von Angriffen, entscheidend für die Vorfallserkennung und im Fokus der Compliance. Bis 2030 wird Identität die Grundlage aller digitalen Interaktionen bilden – für Mitarbeitende, Partner, Auftragnehmer und KIAgenten. Die zunehmende Verbreitung von Identitäten und ihre ständige Angriffsfläche machen sie zu einem kritischen Sicherheitsvektor. Derzeit ist die IAMLandschaft über mehrere Plattformen und Verantwortlichkeiten fragmentiert und für diese Transformation unzureichend.

Governance vereinheitlichen

Die heutige Landschaft des Identity Management (IAM) besteht aus mehreren, oft isolierten Plattformen und Lösungen. Diese Fragmentierung kann der beschleunigten digitalen Transformation und komplexen Bedrohungen nicht standhalten. Die Lösung besteht darin, die Governance über alle Identitäten, interne und externe, zu vereinheitlichen, mit Ausnahme des Customer IAM, das Hunderttausende von Kunden umfasst und einen eigenen Bereich darstellt.

Die Rolle des Chief Identity Officer einführen

Die Komplexität und Kritikalität der Identität als Vertrauensgrundlage rechtfertigen eine neue strategische Rolle: den Chief Identity Officer. Diese Führungskraft wird die Identitätstransformation steuern, eine einheitliche Governance sicherstellen, die zentrale Plattform überwachen und eine verlässliche, überprüfbare Quelle für Identität und Zugriff auf alle kritischen Operationen garantieren. Diese Rolle wird zu einem zentralen Hebel, um internes und externes Vertrauen zu stärken, die Einhaltung regulatorischer Vorgaben zu unterstützen und alle digitalen Interaktionen in einer Welt zu sichern, in der Identitäten ständig infrage gestellt und angegriffen werden.

Einen Identity Control Tower schaffen, um Zero Trust zu ermöglichen

Die Vereinheitlichung umfasst die Zentralisierung und Optimierung von Plattformen, um einen echten „Identity Control Tower“ zu schaffen, eine einzige Vertrauensquelle und Schaltstelle für alle Sicherheits, Erkennungs und ComplianceOperationen. Diese zentrale Plattform unterstützt die Umsetzung von Zero Trust, indem sie Mechanismen für bedingten Zugriff, adaptive Authentifizierung sowie die Prinzipien „JustinTime“ und „JustEnough Access“ integriert. Diese Funktionen steuern in Echtzeit, wer auf was, wann und unter welchen Bedingungen zugreift, einschließlich KIAgenten, und gewährleisten strikte Zugriffsbeschränkungen sowie vollständige Identitätstransparenz, was zur Sicherheit und zum Vertrauen der Organisation beiträgt.

Steigerung der Geschwindigkeit

Heute werden Angriffe und Verteidigungsmaßnahmen durch KI verstärkt, die als Katalysator wirkt und Prozesse mit beispielloser Geschwindigkeit beschleunigt. KIAnwendungsfälle für Angriffe und Verteidigung vervielfachen sich. Zwei beispielhafte Projekte verdeutlichen diese Beschleunigung:

CVE Genie (University of California): Entwickelte eine KI, die in der Lage ist, ExploitCodes für veröffentlichte Schwachstellen zu generieren und automatisch nutzbare Angriffscodes für nur wenige Dollar pro Schwachstelle bereitzustellen.
aixCC (DARPA, USVerteidigungsministerium): Ein Wettbewerb, bei dem Teams KI entwickelten, die Quellcode analysiert, Schwachstellen findet, diese behebt und sicherstellt, dass der Code Produktionstests besteht – mit durchschnittlichen Kosten von 450 USDollar und einer Bearbeitungszeit von 45 Minuten pro Fix.

Diese Beschleunigung verändert die Funktionsweise der Cybersicherheit grundlegend. Um bis 2030 Resilienz und Vertrauen zu gewährleisten, müssen Unternehmen Daten zu Bedrohungen und Sicherheitsinfrastrukturen in sofort umsetzbare, automatisierte Reaktionen umwandeln. Dafür ist ein grundlegendes Umdenken des gesamten CybersicherheitsSystems erforderlich: Es muss in der Lage sein, mit dieser neuen Geschwindigkeit zu arbeiten und kontinuierlich enorme Datenmengen aus ITSystemen, Sicherheitstools und Geschäftsprozessen zu verarbeiten.

Cyber Data Lake und CyberAIAgenten implementieren

Um diese Geschwindigkeit zu erreichen, sind zwei entscheidende Schritte erforderlich. Erstens: Die EntscheidungsEngine muss durch eine AgenticAIPlattform erweitert und automatisiert werden. Dies beschleunigt sicherheitsrelevante Entscheidungen und automatisiert kritische Maßnahmen. Voraussetzung dafür sind hochwertige Echtzeitdaten, denn aktuelle Cybersicherheitsdaten sind oft zu langsam und fragmentiert.

Die Lösung ist ein Cyber Data Lake, der Informationen aus allen relevanten Quellen zentralisiert und korreliert: Sicherheitstools, ITSysteme, GRCProzesse, Geschäftsdaten und Branchenmeldungen. Diese Infrastruktur versorgt die AgenticAIEngine kontinuierlich und ermöglicht so EchtzeitCybersicherheit sowie automatisierte Reaktionen, sobald ein Risiko erkannt wird. Die Kombination verwandelt das CybersicherheitsSystem in eine reibungslose, autonome Engine, die massive Datenströme analysieren und darauf reagieren kann.

Innovation ermöglichen: EchtzeitAbsicherung, Reaktion und digitale Zwillinge

Diese Transformation eröffnet neue Chancen – insbesondere für Innovation. Erstens können Unternehmen künftig Vertrauensniveaus („Assurance“) in Echtzeit messen, um Compliance und Sicherheit sicherzustellen. So lassen sich die eigene Sicherheitslage sofort bewerten, Lücken erkennen und notwendige Korrekturmaßnahmen ergreifen, bevor Risiken entstehen.
Zweitens wird es möglich, Warnungen und Vorfälle automatisiert zu beantworten: Erkennung, Blockierung von Datenflüssen, Neukonfiguration von Systemen oder das Einspielen von Patches könnten in Echtzeit erfolgen und so die Auswirkungen von Angriffen erheblich begrenzen.
Drittens erlaubt diese Datenbasis die Erstellung digitaler Zwillinge, um Schwachstellen, Konfigurationen und Änderungen vor der Implementierung zu simulieren und zu testen. Damit entsteht ein praxisnahes Instrument für Risikobewertungen und Stresstests der gesamten Systemresilienz.

Neue Anwendungsfälle erschließen: Klassifizierung, TPRM, AppSec

Diese Transformation eröffnet kurzfristig Anwendungsfälle, die bislang nicht in großem Maßstab umsetzbar waren. Zu den konkreten Chancen gehört die Automatisierung der Datenklassifizierung durch künstliche Intelligenz, die Stärkung des ThirdPartyRisikomanagements (TPRM) durch kontinuierliche Überwachung und Bewertung von Lieferanten sowie die Optimierung der Anwendungssicherheit (AppSec) durch automatisierte Erkennung und Behebung von Schwachstellen.

Diese Use Cases bedeuten einen erheblichen Gewinn an Effizienz und Zuverlässigkeit – und sie schaffen Freiräume für menschliche Ressourcen, die sich auf Aufgaben mit höherem Mehrwert konzentrieren können.

Cyber Data & AI Office aufbauen, um die Beschleunigung voranzutreiben

Es braucht eine neue Organisationseinheit: das Cyber Data & AI Office. Dieses Team aus Data Engineers, Data Scientists sowie KI und Cybersicherheitsexperten entwickelt und betreibt den Data Lake, konzipiert und überwacht KIAgenten und unterstützt die Teams bei der Einführung neuer Prozesse. Darüber hinaus definiert es priorisierte Use Cases, bewertet den ROI und etabliert Vertrauensmetriken, um die Zuverlässigkeit des Systems sicherzustellen.

Die Zusammenführung dieser Ansätze erfordert den Einsatz einer Zielplattform, die Module zentralisiert und harmonisiert – sei es durch Eigenentwicklungen, Erweiterungen von GRC oder SOCLösungen oder die schrittweise Integration bestehender KITools. Ziel ist es, eine flexible, zuverlässige und anpassungsfähige CybersicherheitsEngine zu schaffen, die in Echtzeit reagiert, neue Anwendungsfälle erschließt und das Unternehmen auf eine prädiktive, automatisierte Cybersicherheit im Jahr 2030 vorbereitet.

Cyber Value Realization Office aufbauen

Die Transformation hin zu EchtzeitCybersicherheit geht über Technologie und Prozesse hinaus; sie erfordert eine grundlegende organisatorische Neugestaltung und den Nachweis greifbarer Ergebnisse.

Bis 2030 werden erhebliche Investitionen und organisatorische Veränderungen vorgenommen. Ohne eine klare Darstellung von Wirkung und Mehrwert könnte die Unterstützung durch Management und Fachbereiche schwer aufrechtzuerhalten sein. Hier kommt das Cyber Value Realization Office (VRO) ins Spiel, das direkt an den CISO berichtet. Seine Aufgabe: den Beitrag der Cybersicherheit messen und sichtbar machen, ToolPortfolios optimieren, Prozesse verschlanken und aufzeigen, wie Cybersicherheit den Vertrieb beschleunigt, Geschäftsabläufe unterstützt oder neue Kundenservices ermöglicht.

Reporting und Kommunikation sind entscheidend, um die organisatorische Unterstützung zu sichern und die Finanzierung strategischer Programme zu gewährleisten.

Roadmap 2026–2030 & Fazit

Radar RSSI : Top 30 actions for 2030 — Die 30 wichtigsten Maßnahmen für 2030

THis visual represents the top 30 actions for 2030

They are divided by periods:

2026-2027 : Data foundations

2028-2029 : Data shift & Automation

2030 : Real time shift

and key pilars:

Visibility

Trust

Speed

Value

**2026-2027 : Data foundations**

**Visibility**: AI agent lifecycle & identity, Define & verify trustworthy AI, Cross-function governance, Product certification wave

**Trust**: Establish encryption governance & roadmap, Map digital dependencies & update risk profile, Unify governance across all identities

**Speed**: Appoint a Chief Cyber Data & AI Office, Renew data protection

**Value**: Establish a Value Realization Office

**2028-2029 : Data shift & Automation**

**Visibility:** Increase AI transparency & visibility, Build and deploy a “Trust & Care” program, Increase SOC visibility on OT & Product, Deploy a converged security model & IAM-OT

**Trust**: Deploy the crypto agility framework, Update crisis scenarios and test boldly, Make your crown jewels independent, Centralize and rationalize IAM platforms, Design IAM platform as Zero trust enabler

**Speed**: Build a trusted cyber data lake, Implement your Agentic AI platform, Boost TPRM, Accelerate App Security

**Value**: Simplify and optimize cyber processes and tools, Enable business growth through cyber trust

**2030 : Real time shift**

**Visibility:** Enforce AI-drivenbehavioral analysis (UEBA)

**Trust**: Implement automated assurance, Enable a decoupled IT

**Speed**: Implement real-time assurance & response, Create Cyber Digital Twins

Die vorgeschlagene Roadmap, selbstverständlich an den jeweiligen Kontext anzupassen, erstreckt sich von 2026 bis 2030. Wir empfehlen, alle genannten Initiativen schrittweise nach zentralen Säulen zu organisieren. Für die Säule „Echtzeit“, ein Kernelement der Strategie 2030, sind drei wesentliche Reifephasen vorgesehen:

2026–2027: Fundament schaffen, Aufbau der Datenbasis und Strukturierung der Teams, einschließlich der Ernennung eines Chief Cyber Data Officer zur Steuerung dieser Maßnahmen.
2028–2029: Der Data Lake wird vollständig betriebsbereit, und KIAgenten werden schrittweise in die Plattform integriert, um Prozesse zu automatisieren und die operative Effizienz zu steigern.
2030: Umsetzung der EchtzeitCybersicherheit – mit der Fähigkeit, Sicherheit und Compliance sofort sicherzustellen und je nach Reifegrad der Prozesse und Technologien möglicherweise automatisierte IncidentResponse bereitzustellen.

Die Zukunft erfordert einen proaktiven Ansatz, basierend auf Daten, Resilienz und der Beherrschung neuer Technologien. Die heute getroffenen Entscheidungen bestimmen, wie effektiv Organisationen in einer sich ständig wandelnden digitalen Welt agieren können – und machen Cybersicherheit bis 2030 zu einem Treiber für Performance, Innovation und strategischen Mehrwert.

Methodik

Das CISO Radar und seine „Top 30 bis 2030“ präsentieren eine Auswahl zentraler Themen für Fachleute aus den Bereichen Cybersicherheit und operative Resilienz.
Die Visualisierung ist in Quadranten gegliedert, die die wichtigsten Themen definieren: Identität, Schutz, Erkennung, Risikomanagement, Compliance und Kontinuität. Jedes Thema ist in drei Reifegrade unterteilt: Mature, Current und Emerging:

Mature: Muss von jedem CISO beherrscht werden.
Current: Wird derzeit operationalisiert; erste Erfahrungen können geteilt werden.
Emerging: Wenig bekannt, im Wandel oder ohne klare Lösungen; ihre Identifizierung hilft, zukünftige Entwicklungen frühzeitig zu antizipieren.

Die thematische Auswahl, Positionierung und Analyse sind das Ergebnis gemeinsamer Arbeit der CybersicherheitsTeams von Wavestone über verschiedene Regionen hinweg.

Gérôme Billois

Partner – Frankreich, Paris

Wavestone
LinkedIn
Léa Merveilleau

Consultant

Wavestone
LinkedIn
Antoine Hascoët

Analyst

Wavestone
LinkedIn

Diesen Inhalt teilen

Link copied