2026 nehmen Unternehmen ihre digitalen Lieferketten genauer unter die Lupe

"Lieferkettenrisiken werden zum prägenden Sicherheitsthema". Mit dieser Voraussage beginnt Chief Information Security Officer (CISO) von ISC2, Jon France, seine diesjährige Cybersecurity-Prognose. Er legt darin den Fokus auf weitere sechs Aspekte: Den Bedarf an Fachkompetenzen, Bedrohungen durch agentische KI, eine mögliche Verurteilung eines CISOs, die Dringlichkeit von Quantencomputing, Deepfakes als Waffe  und die Nachhaltigkeit von KI und Quantencomputing. 

Fokus auf Lieferketten

Bereits im Jahr 2025 wurde die Cybersicherheit von Lieferketten zu einem wichtigen Thema. 70 Prozent der Organisationen sind sehr oder extrem besorgt über Cybersicherheitsrisiken in ihrer Lieferkette, wie eine ISC2-Studie von November 2025 zeigt. Im Jahr 2026 liege nun der Fokus auf dem Aufbau robuster Resilienz, um gegen derartige Gefahren gewappnet zu sein. Dabei werden Unternehmen ihre digitale Lieferkette genau untersuchen, ihre Resilienz testen und ihre Exponierung bewerten, wie der CISO schreibt. Da Cyberangreifer die entscheidenden Schwachpunkte kennen, dürfte es vermehrt zu Attacken auf Identitäten, Infrastrukturen sowie KI-Modell-Pipelines kommen. 

"Die entscheidende Frage für die Zukunft ist nicht, ob ihre Lieferkette gestört wird. Sie lautet, ob Organisationen über die nötige Transparenz verfügen, um auch - im Fall des Falles - trotz solcher Störungen zu funktionieren", schreibt France weiter.  

Fachkompetenzen und KI-Reife

Die unsichere Wirtschaft sieht der Experte als eine der vielen Herausforderungen, denen sich Cybersecurityfachkräfte 2026 stellen müssen. Unter Berufung auf eine weitere Studie seiner Organisation stellt France fest, "dass Budgetbeschränkungen und Einstellungsstopps die Belegschaft in den Jahren 2024 und 2025 massgeblich beeinflusst haben". 

Diese Lage soll sich aber dieses Jahr nicht weiter verschlechtern, sondern vielmehr stagnieren. Denn Organisationen achten vermehrt auf die Kompetenz statt auf die Anzahl der Angestellten. Jene Unternehmen, welche in die Kompetenzentwicklung ihrer Mitarbeitenden investieren, werden laut ISC2 die grössten Erfolgschancen haben. Ausserdem werden für Cybersicherheitsfachleute Kompetenzen in den Bereichen KI- und Cloud-Security wichtiger.

Die Sicherheitsteams seien trotz KI-Unterstützung weiter auf ihr Wissen, Urteilsvermögen und praktische Fähigkeiten angewiesen. France sieht KI für Cybersecurityteams als Chance statt als Bedrohung für 2026.

Gleichzeitig sieht der ISC2-CISO 2026 als Jahr, in welchem die Governance auf die rasche KI-einführung reagieren und nachrückenmuss. Die Organisationen sollten demnach definieren, wie viel Handlungsfreiheit agentische KI in den Systemen bekommen und wie weit diese im Namen der Organisation agieren dürfen.  

2026 wird man laut der Prognose auch verstärkt auf die Kommunikation, den Datenaustausch und die Vertrauenssignale zwischen Modellen und Agenten achten. Retrieval-Augmented Generative AI werde zusammen mit  Agent-Chaining und dem Model Client Protocoll (MCP) häufiger eingesetzt und Unternehmen müssten "deutlich sorgfältiger in Bezug auf Kontrolle und Transparenz" vorgehen.

CISO vor Gericht

Bislang hat laut France noch kein Gericht Cybersicherheitsverantwortliche für Pannen zur Rechenschaft gezogen. Dennoch steigt der Druck der Behörden, dies bald zu demonstrieren, wie er in seinen Prognosen schreibt. Sobald eine solche Verurteilung erfolgt, seien Organisationen gezwungen, Entscheidungsbefugnisse, Berichtserwartungen und Risikotoleranzen zu dokumentieren, statt dies informellen abzusprechen. Übrigens prognostizierte France schon 2025, "dass wir die erste Verurteilung eines prominenten CISOs sehen würden". In seinen neuen Prognosen räumt er dies ein und sagt nun etwas vorsichtiger voraus, dass 2026 "die erste vielbeachtete Strafverfolgung eines CISO Realität wird".

Dringlichkeit von Quantencomputing

In 2026 soll die Dringlichkeit von leistungsstärkeren Prozessoren nicht mehr zu ignorieren sein, wie es in der Mitteilung von ISC2 heisst. Zeitpläne und Roadmaps von Regierungen und Aufsichtsbehörden seien das deutlichste Signal dafür, dass der Countdown zur praktischen Quantenfähigkeit tatsächlich begonnen habe, schreibt France.

"Quantenbasierte Bedrohungen betreffen jedes digitale System, das auf asymmetrischer Verschlüsselung basiert", erklärt der CISO. Organisationen dürften von Neugier zur strukturierten Planung übergehen. Das Risiko sei bekannt, doch der Stichtag nicht.

Deepfakes als operative Waffe

Jon France prognostiziert, dass Deepfakes künftig nicht nur öffentliche und politische Personen , sondern auch Mitarbeitende imitieren, um Identitätsprüfungen zu umgehen. Dies werfe Fragen zu Persönlichkeitsrechten, Authentizitätsprüfungen und Standards für digitale Identitäten auf. 

Statt abzuwarten, bis diese Deepfake-Technologien sich verbreiten, sollten Unternehmen Mitarbeitende schulen, Verifikationen über mehrere Kanäle hinweg durchsetzen und aufkommende Deepfake-Erkennungstools testen, wie der CISO von ISC2 schreibt.

Nachhaltigkeit von KI und Quantencomputing in die Vorstandsebene

Die Energie- und Rechenkosten von KI und Quantencomputing haben bisher wenig Aufmerksamkeit bekommen. Dies könnte sich laut den ISC2-Prognosen 2026 ändern. DEmnach werden Regulierungsbehörden, Investoren und Unternehmensführungen den Fokus auf die Anforderungen von KI-Systemen und den Kühlungsbedarf von Quantensystemen setzen. Die Energieplanung werde zudem Einfluss über Cloud-Partner, Datenarchitekturen sowie Talent- und Infrastrukturmodelle haben. 

Übrigens: Auch die Prognose von Kaspersky sieht Deepfakes und KI-gestützte Angriffe als hohe Sicherheitsbedrohungen im Jahr 2026. Lesen Sie hier mehr dazu. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.