Die fortschreitende Digitalisierung und der rasante Aufstieg der Künstlichen Intelligenz (KI) prägen den Finanzsektor grundlegend. Während diese Technologien enorme Effizienz- und Innovationspotenziale bieten, schaffen sie gleichzeitig neue, komplexe Risiken. Finanzinstitute stehen vor der Herausforderung, ihre digitale Widerstandsfähigkeit zu stärken und sich gegen eine neue Generation von Cyberbedrohungen zu wappnen.
Wichtigste Erkenntnisse
- KI und Digitalisierung verändern den Finanzsektor, bringen aber auch erhöhte IKT-Risiken mit sich.
- Cyberangriffe werden professioneller und schneller, die Zeit bis zur Ausnutzung von Schwachstellen sinkt drastisch.
- Abhängigkeit von wenigen IKT-Drittanbietern und Cloud-Dienstleistern birgt systemische Risiken.
- Regulierungen wie DORA sind entscheidend, erfordern aber konsequente Umsetzung durch die Institute.
- Europa muss eigene KI-Lösungen entwickeln, um technologische Souveränität zu sichern.
Die neue Dimension der IKT-Risiken
Informations- und Kommunikationstechnologie (IKT)-Risiken sind heute die relevantesten operationellen Risiken im deutschen Bankensektor. Die zunehmende Digitalisierung und die wachsende Komplexität der IKT-Infrastruktur vergrößern die Angriffsfläche erheblich. Eine Konzentration bei IKT-Drittdienstleistern erhöht zudem das Schadenspotenzial. Laut aktuellen Meldungen sind 51 Prozent aller IKT-Vorfälle auf Systemversagen oder -störungen zurückzuführen, oft durch Fehler bei Systemänderungen.
Doch auch Cyberangriffe, die etwa 10 Prozent der gemeldeten Vorfälle ausmachen, nehmen zu. Sie stellen das größte Schadenspotenzial für einzelne Institute und das gesamte Finanzsystem dar. Die Angreifer haben sich in den letzten Jahren stark professionalisiert. Die Evolution der KI wirkt hier als Beschleuniger, da sie die Kosten und Einstiegshürden für solche Angriffe senkt.
Schnellere Angriffe
Die Zeitspanne zwischen dem Bekanntwerden einer Schwachstelle und ihrer Ausnutzung hat sich drastisch verkürzt. Während es 2019 noch etwa zwei Jahre waren, zeigen erste Daten aus diesem Jahr eine durchschnittliche Zeitspanne von lediglich 18 Stunden. Institute benötigen oft deutlich länger für Sicherheitsupdates.
Sobald Spitzen-KI-Modelle wie Anthropics Claude Mythos weit verbreitet sind, könnte sich die verbleibende Zeit für das Einspielen von Patches auf Minuten reduzieren. Berichte deuten auf deutliche Verbesserungen bei der automatisierten Identifikation und Ausnutzung von Schwachstellen durch solche Modelle hin.
Abhängigkeiten und geopolitische Dimension
Ein weiterer Risikofaktor ist die zunehmende Abhängigkeit der Institute von einer kleinen Zahl von IKT-Drittanbietern und Cloud-Dienstleistern. Vorfälle bei diesen Anbietern können schnell zu gleichzeitigen Problemen bei vielen Finanzinstituten führen und schlimmstenfalls die Stabilität des Finanzsystems gefährden. Eine Auswertung der BaFin aus dem vergangenen Jahr zeigte, dass bereits 35 Prozent aller gemeldeten Sicherheitsvorfälle bei deutschen Finanzunternehmen Dienstleister betrafen.
„Solche Abhängigkeiten sind nicht nur eine technologische Herausforderung, sondern zunehmend eine Frage der wirtschaftlichen und geopolitischen Handlungsfähigkeit.“
Deutsche und europäische Institute setzen fast immer auf Dienstleister und KI-Systeme aus Drittstaaten, wie beispielsweise den USA. Dies schafft zusätzliche Abhängigkeiten und Souveränitätsrisiken. Der Vorfall um den eingeschränkten Zugang zu den KI-Modellen Fable 5 und Mythos 5 von Anthropic, der von der US-Regierung aus nationalen Sicherheitsbedenken verhängt wurde, unterstreicht diese Problematik deutlich. Er zeigt, wie KI-Modelle zu geopolitischen Machtinstrumenten werden können.
Technologische Souveränität
Das neue europäische Paket der EU-Kommission zur technologischen Souveränität Europas ist ein wichtiges Signal. Europa muss seine strategischen Abhängigkeiten reduzieren. Der Finanzwirtschaft kommt dabei eine entscheidende Rolle zu, indem sie durch ihre Beschaffungsentscheidungen ein vielfältiges europäisches KI-Ökosystem fördert.
Vorbereitung der Institute: Eine gemischte Bilanz
Die deutsche Finanzbranche zeigt ein gemischtes Bild bei der Vorbereitung auf diese Bedrohungen. Einerseits beschäftigen sich die Institute stetig mit operationaler Resilienz und verbessern ihre IKT-Prozesse. Rund zwei Drittel der schwerwiegenden Vorfälle im letzten Jahr führten zu keiner oder nur geringer Beeinträchtigung von Kunden und Transaktionen.
Andererseits offenbaren Prüfungen bei beaufsichtigten Instituten weiterhin viele und schwerwiegende Feststellungen im IKT-Bereich. Ein häufiges Problem sind unvollständige IKT-Asset-Inventare, also fehlende Übersichten über genutzte Hardware, Software und Daten. Dies ist fatal für die Cybersicherheit, da nur das geschützt werden kann, dessen Existenz bekannt ist. Angreifer nutzen solche blinden Flecken konsequent aus.
Herausforderungen im Patch-Management
- Ungenügende Kenntnis: Oft mangelt es an umfassendem Wissen über die eigenen IKT-Systeme.
- Komplexe Prozesse: Änderungen sind oft mit langwierigen und komplizierten Prozessen verbunden.
- Mangelnde Automatisierung: Viele Patch-Prozesse sind nicht ausreichend automatisiert.
Es besteht auch Nachholbedarf bei der aktiven Steuerung von Abhängigkeiten gegenüber Drittparteien und Cloud-Anbietern. Ausfälle einzelner großer Dienstleister können heute ganze Wertschöpfungsketten im Finanzsektor beeinträchtigen und stellen ein Risiko für die Finanzstabilität dar.
Handlungsbedarf im Finanzsektor
Um der aktuellen Bedrohungslage gerecht zu werden, sind konkrete Schritte im Finanzsektor notwendig. Der Digital Operational Resilience Act (DORA) ist dabei ein essenzielles Instrument. DORA bündelt Best Practices zur operationalen Resilienz und setzt international hohe Standards. Seine Wirksamkeit hängt jedoch von der konsequenten und risikobasierten Umsetzung durch die Institute ab.
Institute müssen noch aktiver mit ihren Drittanbietern zusammenarbeiten. Die Verantwortung endet nicht mit der Auslagerung von Dienstleistungen. Interne Vorgaben müssen an Dienstleister weitergegeben und aktiv gesteuert werden, was über die reine Prüfung von Zertifizierungen hinausgeht. DORA stärkt hierbei die Position der beaufsichtigten Institute gegenüber den IKT-Drittdienstleistern.
Wichtige Schritte für Institute
- Vollständige IKT-Asset-Inventare: Eine lückenlose Übersicht über alle Systeme und Daten ist grundlegend.
- Optimiertes Patch-Management: Prozesse müssen effizient und schnell sein, um auf Sicherheitsupdates reagieren zu können.
- Eigene Schwachstellenanalyse: Ressourcen zur Analyse unbekannter Schwachstellen und Reaktion darauf.
- Stärkung der Schutzmaßnahmen: Effiziente und automatische Erkennung und Unterbindung von Angriffen.
- Regelmäßige Krisenübungen: Realistisches Testen von Backups und Wiederanlaufverfahren unter Einbeziehung von Drittanbietern.
Die Nutzung von KI zur Verteidigung kann diese Initiativen unterstützen. Eine entsprechende Fokussierung und Repriorisierung innerhalb der Institute ist notwendig, um Prozessanpassungen, Schutzmaßnahmen und Automatisierungen voranzutreiben.
Regulatorische Vereinfachung als Chance
Das regulatorische Rahmenwerk für Finanzinstitute ist in den letzten Jahren aus guten Gründen deutlich ausgebaut worden. Allerdings führt die Gesamtheit der Vorgaben zu einer Komplexität, die insbesondere kleinere und mittlere Institute vor erhebliche Herausforderungen stellt. Dies bindet Ressourcen, die sonst für Investitionen und Innovationen genutzt werden könnten.
Ansätze zur regulatorischen Vereinfachung, wie eine Stärkung der Proportionalität, die Konsolidierung von Meldepflichten oder eine Vereinfachung paralleler Kapitalanforderungen, gehen daher in die richtige Richtung. Gerade im Kontext der digitalen Transformation ist eine solche Vereinfachung dringend geboten. Wenn Institute erhebliche Teile ihrer Compliance-Kapazitäten für das Navigieren durch ein immer dichteres Regelwerk aufwenden müssen, fehlen diese Mittel für Investitionen in KI und Cybersicherheit.
Eine kluge, risikobasierte Regulierung, die Komplexität dort abbaut, wo sie keinen Mehrwert stiftet, ist keine Gefahr für die Finanzstabilität, sondern eine Voraussetzung dafür.
