Finanzplatz Schweiz von KI-Modell Mythos bedroht
Die Schweizerische Bankiervereinigung und das Schweizer Zentrum zur Bekämpfung von Finanzkriminalität sehen in der Mythos-KI eine Bedrohung für den hiesigen Finanzplatz.
Schlicht und einfach: Das Ende des Wilden Westens
19. Juni 2026 um 14:51
Die Softwareentwicklung bekommt mit regulatorischen Vorgaben neue Leitplanken gesteckt. Sheriffs übernehmen die Kontrolle im Wilden Westen, meint Kolumnist Markus Schlichting.
Jahrzehntelang war die Softwarebranche ein Territorium ohne Sheriff. Wer am schnellsten lieferte, gewann. Sicherheit, Dokumentation, Nachvollziehbarkeit? Konnte man machen, musste man aber nicht.
Diese Zeiten sind vorbei. Mit dem Cyber Resilience Act (CRA), dem Digital Operational Resilience Act (Dora), der Network and Information Security Directive (NIS2) und dem AI Act reitet die Kavallerie ein. Und natürlich gleich im Geschwader, flankiert von DSGVO, revidiertem DSG und Finma-Rundschreiben. Der Wilde Westen wird also befriedet. Und wie immer, wenn Recht und Ordnung einziehen, gibt es Gewinner: Unternehmen, die schon bisher solide Software entwickelt haben.
Der Sheriff bringt neue Regeln
Machen wir uns nichts vor: Der Umfang der neuen Anforderungen ist beispiellos:
- Der CRA verlangt von Herstellern Komponentenlisten für Softwareprodukte (SBOMs), aktives Schwachstellenmanagement und Sicherheitsupdates über den gesamten Produktlebenszyklus.
- NIS2 und Dora setzen Meldefristen von 24 bis 72 Stunden für Sicherheitsvorfälle und machen Risikomanagement zur dokumentierten Daueraufgabe.
- Der AI Act fordert je nach Risikoklasse Datenqualitätsnachweise, technische Dokumentation und menschliche Aufsicht. Neu ist vor allem eines: Die Geschäftsleitung haftet persönlich. Cybersecurity ist keine Delegationssache mehr, die man der IT-Abteilung überlässt. Sie ist Chefsache per Gesetz.
Wer jetzt denkt, das betreffe nur regulierte Branchen oder EU-Firmen, unterschätzt zwei Effekte:
- den Kaskadeneffekt: Regulierte Unternehmen reichen ihre Pflichten vertraglich an die gesamte Lieferkette weiter. Wer Software an eine Bank, einen Energieversorger oder einen Medizintechnikhersteller liefert, wird per Einkaufsbedingung mitreguliert.
- den Brüssel-Effekt: Auch Schweizer Unternehmen, die im EU-Markt tätig sind, kommen am CRA und AI Act nicht vorbei. Und mit dem Informationssicherheitsgesetz und der Meldepflicht für Cyberangriffe auf kritische Infrastrukturen an das Bacs hat die Schweiz längst eigene Pflöcke eingeschlagen.
Die eigentliche Nachricht: Hier entsteht Geschäft
Erinnern wir uns an 2018: Die DSGVO hat erhebliche Aufwände verursacht, ist heute aber für die meisten Unternehmen ein selbstverständlicher Bestandteil professioneller Marktteilnahme. Global hat sie Datenschutzstandards geprägt, die weit über Europa hinaus Wirkung entfalten. Genau diese Entwicklung steht uns nun bei der Cybersecurity bevor, nur in grösserem Massstab. Drei Chancen stechen heraus:
- Marktbereinigung zugunsten der Seriösen: Wer Qualität, Sicherheit und Wartbarkeit nachweisen kann, konkurriert künftig nicht mehr mit dem Billiganbieter, der diese Themen ignoriert. Der CRA hebt die Eintrittshürde – und belohnt alle, die ohnehin sauber arbeiten. Compliance wird vom Kostenblock zum Differenzierungsmerkmal: "Wir sind CRA-ready" wird in Ausschreibungen denselben Stellenwert bekommen wie heute ein ISO-27001-Zertifikat.
- Neue Geschäftsfelder: Gap-Analysen, SBOM-Automatisierung (Software Bill of Materials), Schwachstellenmanagement als Service, KI-Risikobewertungen, Compliance-as-Code: Rund um die Regulatorik entsteht ein ganzer Markt für Zusatzleistungen. Dienstleister, die ihre Kunden durch diesen Dschungel führen können, haben volle Auftragsbücher vor sich. Und Anwenderunternehmen, die früh investieren, verhandeln aus einer Position der Stärke – statt 2027 in Panik das Nächstbeste einzukaufen.
- Dokumentation als Nebenprodukt statt Papierberg: Erlauben Sie mir das Anknüpfen an meine Kolumne im letzten Dezember: Wer Security by Design lebt, hat die halbe Compliance-Miete bereits bezahlt. Eine moderne CI/CD-Pipeline erzeugt SBOMs auf Knopfdruck, automatisierte Tests dokumentieren sich selbst, versionierte Richtlinien sind auditierbar per Git-Historie. Die Dokumentationspflicht wird nur dann zur Last, wenn man sie als nachgelagerte Schreibübung versteht. Wer sie in den Engineering-Prozess integriert, dokumentiert fast gratis – und gewinnt nebenbei Systeme, die tatsächlich besser sind.
Die Gewinner stehen bereits fest
Der Wilde Westen war romantisch, aber nie nachhaltig. Darüber hinaus hat er der IT den zweifelhaften Ruf eingebracht, kompliziert und unzuverlässig zu sein. Die Regulierungswelle macht unseren Markt vielleicht etwas langweiliger. Aber für Anwender verlässlicher und für alle, die seriös arbeiten und anbieten, deutlich profitabler. Das Timing spielt uns dabei in die Hände: Dora gilt bereits, die CRA-Hauptpflichten greifen ab Ende 2027, der AI Act kommt gestaffelt. Wer jetzt beginnt, verwandelt Pflicht in Vorsprung. Wer wartet, kauft später unter Druck zum Premiumpreis.
Die Frage ist also nicht, ob wir uns anpassen. Die Frage ist, ob wir früh genug dran sind, um aus der neuen Ordnung einen Wettbewerbsvorteil zu machen. Der Sheriff ist in der Stadt – und redliche Akteure haben von ihm nichts zu befürchten. Im Gegenteil.
Über die Kolumne
In der Kolumne "Schlicht und einfach" schreibt Karakun-CEO Markus Schlichting regelmässig über aktuelle Themen rund um Programmiersprachen und Softwareentwicklung.
Loading
Tessiner Startup Prem AI erhält 100 Millionen
Das Luganer KI-Unternehmen entwickelt private Infrastrukturen für Anwaltskanzleien, Banken und Spitäler. Der CEO peilt eine Unternehmensbewertung von 500 Millionen Dollar an.
Macron fordert bessere KI-Regulierung
Trump will den Zugriff auf Anthropic-Modelle für ausländische Staatsangehörige verwehren. Der G7-Gipfel diskutierte dazu, wie die US-Beschränkungen umgangen werden können.
Apple-Chef nennt Preiserhöhungen "unvermeidlich"
Trotz langfristiger Verträge mit den Halbleiterproduzenten muss Apple mehr Geld für Speicherchips zahlen. CEO Tim Cook nennt den Ausbau von KI-Rechenzentren als einen Grund.