Digitale Zugbrücken richtig einsetzen

Wenn du «Digital Trust» in einem Satz erklären müsstest: Was genau ist damit gemeint und was ist es ausdrücklich nicht?

Christina Hirsch: Vertrauen ist zunächst etwas zutiefst Menschliches. Ohne Vertrauen treffen wir keine Entscheidungen oder benötigen langwierige Analysen. Digital Trust übersetzt dieses Grundprinzip in die digitale Welt. Es geht darum, eindeutig zu wissen, mit wem ich es zu tun habe, sei es mit einer Person, einem Unternehmen oder einem System. Es geht um Authentizität, Verbindlichkeit und Verantwortung. Also darum, ob etwas echt oder manipuliert ist, ob ein Vertrag gültig ist, oder auch, ob im Zweifel klar ist, wer wofür verantwortlich ist. Digital Trust ist nicht einfach Security-Technik, es sorgt für Verbindlichkeit und Verantwortung. Es entsteht, wenn technische, organisatorische und rechtliche Mechanismen so zusammenspielen, dass Vertrauen nachvollziehbar und belastbar wird.

Woran merkt man im Unternehmensalltag, dass genau dieses Vertrauen fehlt?

Heute wird fehlender Digital Trust häufig durch Marken kompensiert. Menschen kaufen immer wieder beim gleichen Anbieter, weil sie ihm vertrauen. Nicht, weil sie die Technik dahinter verstehen. Gleichzeitig sehen wir, wie gross die Grauzone im Internet ist. Deepfakes sind ein gutes Beispiel: Selbst, wenn ich jemanden sehe oder höre, kann ich mir nicht mehr sicher sein, ob es diese Person wirklich ist. Diese Unsicherheit kostet Energie und hemmt Interaktion. Das Internet bietet enorme Möglichkeiten, aber oft weiss man nicht: Mit wem habe ich es wirklich zu tun? Bekomme ich das, was ich erwarte? Oder gerate ich in eine Situation, die ich nie wollte? Diese Unsicherheit ist ein klares Signal für fehlenden Digital Trust.

Digitale Souveränität und Digital Trust hängen eng zusammen. Wo ist Digital Trust aus deiner Sicht Voraussetzung für Souveränität und wo eher deren Ergebnis?

Souveränität ist ein sehr breiter Begriff. Er beschreibt die Fähigkeit, im Ernstfall eigenständig handlungsfähig zu bleiben. Dafür muss ich meine Abhängigkeiten kennen: von Partnern, von Technologien, von regulatorischen Rahmenbedingungen. Digital Trust ist dabei eine zentrale Voraussetzung, weil ich nur dann souverän handeln kann, wenn ich weiss, mit wem ich es zu tun habe, welche Verträge gelten und welche Regeln greifen. In Europa haben wir hier eine starke Position, etwa durch qualifizierte elektronische Signaturen oder klar regulierte Trust Services. Das schafft eine verlässliche Basis. Gleichzeitig ist Digital Trust auch ein Ergebnis von Souveränität. Wer seine Abhängigkeiten bewusst steuert und klare Strukturen schafft, baut automatisch Vertrauen auf.

Viele Unternehmen behandeln Cloud-, KI- oder Trust-Themen noch immer als IT-Fragen. Ab wann wird Digital Trust aus deiner Sicht zwingend eine Managemententscheidung?

Eigentlich ist es das heute bereits. IT ist längst keine isolierte Abteilung mehr. Sie ist ähnlich grundlegend wie Customer Experience oder Markenführung. Entscheidungen über Cloud-Architekturen, Datenhaltung, KI-Nutzung oder Trust-Mechanismen haben direkte Auswirkungen auf Kosten, Risiko, Wartbarkeit und Handlungsfähigkeit. Ob ich Systeme redundant baue, hybride Modelle nutze oder kritische Komponenten selbst kontrolliere, das sind strategische Entscheidungen, die auf C-Level und im Verwaltungsrat diskutiert werden müssen. Die IT ist dabei ein unverzichtbarer Partner, aber die Verantwortung darf nicht delegiert werden.

Ein häufig verwendetes Bild ist die «digitale Zugbrücke»: Im Krisenfall alles abschotten und kontrollieren. Wie realistisch ist das in der Praxis?

Das Bild der digitalen Zugbrücke ist hilfreich, wenn man es realistisch interpretiert. Ein konkretes Beispiel: Im November 2024 kam es in der Schweiz zu koordinierten «Distributed Denial of Service» (DDoS)-Angriffen auf zahlreiche kommunale Webseiten, die zeitweise nicht mehr erreichbar waren. Bei unserer Tochtergesellschaft i-web, die Gemeindewebseiten betreibt, konnten wir den Angriff gezielt abfangen, indem wir den Zugriff temporär auf die Schweiz beschränkt haben. Die betroffenen Webseiten blieben für die lokale Bevölkerung verfügbar, während der schädliche Traffic aus dem Ausland blockiert wurde. Der operative Schaden war dadurch minimal.

Das funktioniert allerdings nur, wenn Betrieb, Datenhaltung und Monitoring entsprechend vorbereitet sind und solche Szenarien technisch vorgesehen wurden. Zudem wird alles in der Schweiz entwickelt und betrieben, so war es leicht, die «digitale Zugbrücke hochzuziehen». Die eigentliche Managementaufgabe liegt darin, im Vorfeld zu klären: Welche Systeme müssen im Krisenfall wie lange durchhalten? Welche Abhängigkeiten lassen sich gezielt trennen und welche nicht? Die digitale Zugbrücke lässt sich nur dort hochziehen, wo man sie strategisch eingeplant und technisch umgesetzt hat.

Nicht alle Systeme sind gleich kritisch. Wie können Unternehmen Abhängigkeiten sinnvoll bewerten und priorisieren?

Sehr hilfreich sind Krisensimulationen oder sogenannte Digital Twins von Prozessen. Mit Process Mining-Tools lassen sich Abläufe modellieren und Ausfälle simulieren – nicht nur für IT, sondern auch für angrenzende Systeme wie Stromversorgung oder Kommunikation. Das schafft Transparenz über Schwachstellen. Wichtig ist auch die Erkenntnis, dass Komplexität stark zunimmt. Kritische Systeme gehören in die Hände von Profis. Der Gedanke, alles selbst betreiben zu wollen, ist oft trügerisch und riskant.

Du hast einen grossflächigen Stromausfall selbst erlebt. Welche Parallelen siehst du zu digitalen Krisen?

Die Dynamik ist sehr ähnlich. Zuerst fallen scheinbar banale Dinge aus, dann sehr schnell kritische Infrastrukturen wie Zahlungsverkehr oder Kommunikation. Innerhalb weniger Stunden verändert sich das Verhalten und Prioritäten verschieben sich. Übertragen auf digitale Systeme bedeutet das: Man muss Strom, Netze, IT, Sicherheit und Prozesse gemeinsam denken. Und man darf den Faktor Mensch nicht unterschätzen. Unachtsamkeit oder Überforderung können Sicherheitsmechanismen aushebeln. Vorbereitung entsteht durch Übung – durch Simulationen, nicht durch Theorie.

Digital Trust ist mehr als Sicherheitstechnik. Welche Rolle spielen Transparenz und Verantwortlichkeit gerade auch gegenüber Kundinnen und Kunden?

Vertrauen entsteht, wenn klar ist, wofür ein Unternehmen steht und ob es liefert, was es verspricht – auch in schwierigen Situationen. Digital Trust schafft sogenannte Vertrauenszonen: Bereiche, in denen Identitäten klar sind, Regeln gelten und Verbindlichkeit herrscht. Das ist ein grosser Unterschied zur anonymen Grauzone des Internets. Technologien wie E-ID, digitale Siegel oder verifizierte Quellen helfen, diese Zonen sichtbar zu machen. Das erleichtert Orientierung, ähnlich wie Verkehrsregeln oder Nummernschilder im Strassenverkehr.

Regulierung wird oft als Innovationsbremse gesehen. Wie lässt sich dieser Zielkonflikt souverän navigieren?

Ich glaube an einen pragmatischen Mittelweg. Die Europäische Union reguliert in vielen Bereichen sehr stark, die USA dagegen oft zu zurückhaltend. Die Schweiz positioniert sich aus meiner Sicht sinnvoll dazwischen: mit klaren Leitplanken, aber ausreichend Spielraum für unternehmerische Gestaltung.

Entscheidend ist, regulatorische Anforderungen nicht als organisatorische Last, sondern als technische Aufgabe zu verstehen. Genau hier setzt Regulatory Technology (RegTech) an. Gemeint sind technologische Lösungen, die gesetzliche und regulatorische Vorgaben direkt in Prozesse und Systeme übersetzen, etwa bei Identifikation, Dokumentation, Nachvollziehbarkeit oder Auditfähigkeit.

Unternehmen sollten Compliance dabei nicht jedes Mal selbst neu interpretieren oder intern aufbauen. Wer auf spezialisierte Partner und etablierte RegTech-Lösungen setzt, kann regulatorische Sicherheit «einkaufen» und sich intern stärker auf Innovation, Wachstum und eine konsistente Customer Experience konzentrieren. Vertrauen und Innovation stehen dabei nicht im Widerspruch. Im Gegenteil: Ohne Vertrauen werden neue digitale Angebote weder genutzt noch akzeptiert.

«Souveränität bedeutet nicht, alles selbst zu machen, sondern jederzeit handlungsfähig zu bleiben und Systeme und Bausteine über Schnittstellen flexibel austauschen zu können.»

Woran erkennt man konkret, dass ein Unternehmen im Bereich Digital Trust Fortschritte macht?

Ein wichtiger Indikator ist die Reduktion von Medienbrüchen. Wenn Prozesse durchgängig digital, rechtssicher und nutzerfreundlich funktionieren, ist viel erreicht. Ein weiteres Beispiel sind digitale Siegel auf Rechnungen, die Fälschungen verhindern und Vertrauen schaffen. Auch Transparenz im Ökosystem spielt eine Rolle. Je klarer Absender, Identitäten und Verantwortlichkeiten sichtbar sind, desto stabiler wird das Vertrauen.

Digital Trust entsteht selten isoliert. Welche Rolle spielen Ökosysteme?

Eine sehr grosse. Kein Unternehmen und kein Land kann das allein leisten. Es braucht Staat, Wirtschaft, Forschung und Technologieanbieter. Wichtig ist, vorhandene Bausteine zu nutzen, statt alles neu zu entwickeln, und strategische Partnerschaften einzugehen. In Ländern wie zum Beispiel Italien oder in Skandinavien sieht man, wie sich digitale Identitäten und Trust-Services bereits im Alltag etabliert haben. Identifikation schafft Verbindlichkeit und genau diese fehlt oft in anonymen Systemen.

KI gilt als Vertrauens-Stresstest. Was muss sich an Trust-Architekturen ändern?

Ich sehe Künstliche Intelligenz als einen echten Katalysator. Richtig eingesetzt kann sie helfen, Muster zu erkennen, Risiken frühzeitig zu identifizieren und Transparenz zu erhöhen. Gleichzeitig wird KI aber auch genutzt werden, um Inhalte zu verschleiern, Identitäten zu imitieren oder Vertrauen gezielt zu missbrauchen. Genau deshalb wird KI zu einem Stresstest für bestehende Trust-Architekturen.

Aus meiner Sicht brauchen wir künftig spezialisierte Trust-Mechanismen bis hin zu sogenannten Trust-Agents, die andere KI-Systeme begleiten und absichern. Ein solcher Agent könnte zum Beispiel sicherstellen, dass KI-Anwendungen nur mit verifizierten Identitäten, vertrauenswürdigen Quellen oder klar definierten Regeln arbeiten. Vertrauen muss damit von einem impliziten Gefühl zu einer maschinenlesbaren Eigenschaft werden.

Dafür sind klare Spielregeln entscheidend: eindeutige Identitäten, überprüfbare Nachweise und transparente Verantwortlichkeiten. Nur wenn Vertrauen technisch abbildbar ist, lassen sich KI Systeme effizient und gleichzeitig verantwortungsvoll in Kundenprozessen einsetzen.

Zum Abschluss der Blick nach vorn: Welche Trends werden in den nächsten drei bis fünf Jahren entscheidend?

Digitale Souveränität wird uns in den nächsten Jahren weiter intensiv beschäftigen – nicht als kurzfristiger Trend, sondern als strategische Daueraufgabe. Europa verfügt hier über echte Stärken, insbesondere bei digitaler Identifikation, klaren rechtlichen Rahmenbedingungen und standardisierten Trust-Mechanismen. Diese Grundlagen sollten wir selbstbewusster nutzen und als Wettbewerbsvorteil verstehen.

Künstliche Intelligenz wird weiter an Bedeutung gewinnen. Gleichzeitig steigt das Risiko des Blindflugs, wenn Unternehmen Wissen, Entscheidungslogik und Kontrolle vollständig auslagern. Deshalb wird es entscheidend sein, Kernkompetenzen im eigenen Haus zu behalten, auch wenn operative Leistungen ausgelagert werden. Souveränität bedeutet nicht, alles selbst zu machen, sondern jederzeit handlungsfähig zu bleiben und Systeme und Bausteine über Schnittstellen flexibel austauschen zu können.

Und schliesslich wird die Regulierung im Trust-Bereich weiter zunehmen. Das wird oft kritisch gesehen, ist aber aus meiner Sicht eine Chance: Wer regulatorische Anforderungen frühzeitig in funktionierende Technik übersetzt, kann vertrauenswürdige Lösungen entwickeln, skalieren und auch international anbieten. Vertrauen wird damit zunehmend zu einem exportfähigen Qualitätsmerkmal.