1 Einleitung

Meine sehr geehrten Damen und Herren,

es ist mir eine besondere Freude, beim Bankentag der Börsen-Zeitung mit Ihnen über das Thema Künstliche Intelligenz und digitale Transformation im Finanzsektor zu sprechen.

Passend zu unserem Thema möchte ich an Alan Turing erinnern, der heute seinen 114. Geburtstag feiern würde. Turing war nicht nur der brillante Mathematiker, der im Zweiten Weltkrieg mit seiner Entschlüsselung der deutschen Enigma-Maschine den Krieg um bis zu drei Jahre verkürzt und damit Millionen Menschenleben gerettet hat.[1]

Er war auch ein visionärer Denker, der mit seiner Arbeit zur "Turing-Maschine" den Grundstein für die modernen Computer legte und die Forschung zur Künstlichen Intelligenz maßgeblich beeinflusste. Sein berühmter „Turing-Test“ ist bis heute ein zentraler Bezugspunkt in der KI-Debatte und prüft, ob eine Maschine menschliche Intelligenz überzeugend simulieren kann.

Was zu Turings Lebzeiten noch reine Theorie war, ist heute Realität. Die Maschinen, die er sich einst vorstellte, sind längst Teil unseres Alltags geworden. Sie helfen uns, komplexe Probleme zu lösen, automatisieren Prozesse und lernen, sich an neue Herausforderungen anzupassen.

Die Fortschritte der KI und Digitalisierung haben eine Welt geschaffen, die Turing sich vielleicht erträumt hat, aber in ihrer heutigen Form wohl kaum hätte vorhersehen können.

Auch der Finanzsektor hat von diesen Entwicklungen profitiert. Von der Automatisierung von Prozessen bis hin zur Analyse riesiger Datenmengen – KI und Digitalisierung bieten enorme Chancen.

Und diese Chancen sind bereits heute greifbar: KI ermöglicht es Instituten beispielsweise, Kredit- und Verwaltungsprozesse effizienter zu gestalten oder Betrugsmuster in Echtzeit zu erkennen.

Mit personalisierten Finanzprodukten, verbesserten Risikomodellen und datengetriebener Beratung können Institute Wettbewerbsvorteile erzielen oder Kosten senken.

Doch KI und Digitalisierung bringen auch neue Herausforderungen mit sich, so zum Beispiel im Bereich der Cybersicherheit. Mächtige KI-Modelle wie Claude Mythos von Anthropic eröffnen nicht nur neue Möglichkeiten, sondern auch neue Risiken. Finanzinstitute stehen vor der Aufgabe, sich gegen eine neue Qualität von Bedrohungen zu wappnen.

In meiner heutigen Rede möchte ich mit Ihnen darüber sprechen, wie wir als Branche mit diesen Herausforderungen umgehen können und welche Rolle Regulierungen wie der Digital Operational Resilience Act, kurz DORA, dabei spielen, die digitale Widerstandsfähigkeit zu stärken.

2 Die Bedrohungslage durch IKT-Risiken im Finanzsektor

Lassen Sie uns zunächst die Bedrohungslage betrachten.

Risiken aus der Nutzung von Informations- und Kommunikationstechnologie, kurz IKT-Risiken, sind aktuell wohl die relevantesten operationellen Risiken in der deutschen Bankenlandschaft.

Zunehmende Digitalisierung, steigende Komplexität der IKT­Infrastruktur und Konzentrationen bei IKT-Dritt-Dienstleistern erhöhen seit Jahren bereits die Angriffsfläche und das Schadenspotenzial.

Dabei sind mit 51 Prozent ein Großteil aller gemeldeten IKT-Vorfälle solche, die auf Systemversagen oder -störungen zurückzuführen sind. Ursachen sind beispielsweise Fehler bei der Umsetzung von Systemänderungen.[2]

Aber auch Cyberangriffe, die circa 10 Prozent der gemeldeten Vorfälle ausmachen, nehmen zu und verschärfen die Lage. Cyberangriffe haben das größte Schadenspotenzial für einzelne Institute und das Finanzsystem – deshalb stehen sie in einem besonderen Fokus von Aufsicht und Regulierung.

Hier beobachten wir eine neue Qualität von Angriffen. So haben sich Angreifer in den vergangenen Jahren stark professionalisiert.[3]

Die Evolution der Künstlichen Intelligenz verringert die Kosten und Einstiegshürden und wirkt als Beschleuniger. Beispielsweise hat sich die Zeitspanne zwischen dem Bekanntwerden einer Schwachstelle und ihrer Ausnutzung in den vergangenen Jahren drastisch verkürzt:

Waren es im Jahr 2019 noch rund zwei Jahre, die zwischen Bekanntwerden einer Schwachstelle und ihrer Ausnutzung lagen, zeigen erste Daten aus diesem Jahr eine durchschnittliche Zeitspanne von lediglich 18 Stunden.[4]

Momentan brauchen viele Institute noch deutlich länger, um sicherheitsrelevante Systemaktualisierungen, sogenannte Patches, vorzunehmen.

Sobald Spitzen-KI-Modelle wie Anthropics Claude Mythos verbreiteter sind, dürfte sich die Zeit, die für das Patching bleibt, wohl auf Minuten reduzieren.

Denn erste Berichte zu diesen Modellen zeigen deutliche Verbesserungen bei der Identifikation von Schwachstellen und deren automatisierter Ausnutzung. Unabhängige, belastbare Auswertungen sind aber aufgrund der beschränkten Zugriffsmöglichkeiten bislang nicht umfangreich vorhanden.

Ein zweiter Risikofaktor im Finanzsystem ist, dass Institute zunehmend abhängig von einer kleinen Zahl von IKT-Drittanbietern bzw. Cloud-Dienstleistern sind.

Vorfälle bei diesen Drittanbietern können dann schnell zu gleichzeitigen Problemen bei vielen Instituten führen und schlimmstenfalls die Stabilität des Finanzsystems gefährden. Eine Auswertung der Bafin aus dem vergangenen Jahr zeigt, dass bereits jetzt 35 Prozent aller gemeldeten Sicherheitsvorfälle bei deutschen Finanzunternehmen Dienstleister betrafen.[5]

Hinzu kommt dabei noch eine strategische Dimension:

Deutsche und europäische Institute setzen fast immer auf Dienstleister und KI-Systeme aus Drittstaaten wie den USA – damit entstehen zusätzliche Abhängigkeiten und Souveränitätsrisiken.

Die starke Begrenzung des Zugangs zum Testprojekt Glasswing von Claude Mythos Preview aber auch weiteren Modellen wie Claude Fable 5 zeigt, dass die Vorteile der neuesten technischen Instrumente nicht immer alle in gleichem Maße verfügbar gemacht werden.

Fable 5 wurde von Anthropic als abgesicherte, kommerziell nutzbare Variante des Mythos-5-Modells herausgebracht. Um es breiter verfügbar zu machen, wurde Fable 5 mit zusätzlichen Schutzmechanismen gegen missbräuchliche Nutzung ausgestattet.

Aber so kam es dann nicht. Die US-Regierung führte nationale Sicherheitsbedenken an und untersagte Nicht-US-Staatsangehörigen den Zugriff auf Fable 5 und Mythos 5. In der Folge deaktivierte Anthropic den Zugang zu beiden Modellen weltweit.

Ob die Entscheidung der US-Regierung gerechtfertigt ist, müssen andere entscheiden. Der Vorfall zeigt aber deutlich auf, wie KI-Modelle zu geopolitischen Machtinstrumenten werden können – und es unterstreicht die Notwendigkeit, eigene europäische Lösungen aufzubauen.

Denn wer die Kontrolle über KI-Systeme besitzt, hat auch die Macht, den Zugang zu diesen Systemen und deren Inhalte nach eigenen Kriterien zu steuern. Solche Abhängigkeiten sind nicht nur eine technologische Herausforderung, sondern zunehmend eine Frage der wirtschaftlichen und geopolitischen Handlungsfähigkeit.

Vor diesem Hintergrund setzt das neue europäische Paket der EU-Kommission zur technologischen Souveränität Europas ein wichtiges und richtiges Signal. Europa muss seine strategischen Abhängigkeiten reduzieren.

Auch der Finanzwirtschaft kommt dabei eine entscheidende Rolle zu, denn eine solche Strategie kann nicht allein auf Regulierung basieren, sondern muss von den Marktakteuren aktiv unterstützt werden. Banken und Verbände verfügen über eine erhebliche Kaufkraft. Durch ihre Entscheidungen in den Bereichen Technologie, Architektur und Beschaffung können sie dazu beitragen, offene Standards, Interoperabilität und ein vielfältiges europäisches KI-Ökosystem zu fördern.

Dies liegt im Eigeninteresse der Finanzinstitute, denn digitale Souveränität bedeutet vor allem, flexibel auf technologische, wirtschaftliche und geopolitische Veränderungen reagieren zu können.

3 Wie gut sind die Institute vorbereitet?

Das bringt mich zu meinem nächsten Punkt: Wie gut sind deutsche Institute auf diese steigenden Bedrohungen vorbereitet?

Hier zeigt sich ein gemischtes Bild.

Zum einen sehen wir bei den Instituten eine stetige Auseinandersetzung mit dem Thema der operationellen Resilienz sowie stetige Verbesserungen in den relevanten IKT­Prozessen. Darüber hinaus verfügen Institute häufig über wirksame Krisenmaßnahmen: Rund zwei Drittel der schwerwiegenden Vorfälle, die im vergangenen Jahr europaweit gemeldet wurden, führten zu keiner oder nur geringer Beeinträchtigung von Kundinnen und Kunden sowie Transaktionen.[6]

Andererseits finden wir weiterhin bei Prüfungen der beaufsichtigten Institute viele und schwerwiegende Feststellungen im IKT-Bereich.

Beispielsweise haben Institute oft unvollständige IKT-Asset­Inventare, also Übersichten darüber, welche Hardware, Software und Daten die Organisation nutzt oder besitzt. Das ist fatal für die Cybersicherheit, denn man kann nur das überwachen und beschützen, von dem man weiß, dass es existiert.

Angreifer nutzen solche blinden Flecken in der IKT-Sicherheit konsequent aus, um sich unbemerkt Zugriff zu verschaffen.

Ebenfalls problematisch ist, wenn das Patch-Management nicht effektiv und schnell genug ist. Dies liegt unter anderem an unzureichender Kenntnis der eigenen IKT-Systeme, komplexen Changeprozessen und mangelnder Automatisierung.

Darüber hinaus besteht Nachholbedarf bei der aktiven Steuerung von Abhängigkeiten der Institute gegenüber Drittparteien und Cloud-Anbietern. Das ist besonders relevant für die Finanzstabilität, denn Ausfälle einzelner großer Cloud- oder IKT-Dienstleister können heute ganze Wertschöpfungsketten im Finanzsektor beeinträchtigen.

4 Was muss jetzt im Finanzsektor passieren?

Was muss also nun im Finanzsektor passieren, um der Bedrohungslage gerecht zu werden?

Ein essenzielles Asset, das wir in Europa bereits zur Stärkung der Cyber-Resilienz haben, ist DORA.

DORA bündelt seit dem vergangenen Jahr die Best-Practices zur operationalen Resilienz in einer EU-einheitlichen Regulierung und setzt international hohe Standards.

Die Verordnung deckt alle für die aktuelle Bedrohungslage relevanten Aspekte ab – wirklich effektiv kann DORA aber nur sein, wenn die Institute konsequent und risikobasiert vorgehen.

In Bezug auf Drittanbieter bedeutet das für die Institute:

• Institute müssen noch aktiver mit ihren Drittanbietern zusammenarbeiten – die Verantwortung endet nicht mit der Auslagerung.
• Interne Vorgaben müssen an die Dienstleister weitergegeben und aktiv gesteuert werden – das geht weit über das reine Prüfen von Zertifizierungen hinaus. Zu diesem Zwecke stärkt DORA auch die Position gegenüber den IKT-Drittdienstleistern.

Wir begrüßen, dass beaufsichtigte Institute in den vergangenen Jahren bereits tätig wurden und umfangreiche DORA-Umsetzungsprojekte initiiert haben.

Was sollten Institute darüber hinaus bezüglich der Sicherheit ihrer eigenen IKT-Systeme beziehungsweise deren Gefährdung durch KI-gestützte Cyberangriffe unternehmen?

Zuallererst sollten Institute die aktuelle Lage sehr ernst nehmen, aber nicht in Panik verfallen. Wichtig ist, dass Institute sich an die neue Qualität und Geschwindigkeit von Angriffen anpassen.

Konkret bedeutet das zum Beispiel, dass sie sicherstellen müssen, dass ihre IKT-Asset-Inventare vollständig sind und vor allem, dass sie ihr Patch-Management überprüfen.

Institute müssen Patch-Prozesse so gestalten, dass sie bei einer potenziell auftretenden Welle an Sicherheitsupdates die Änderungen effizient testen und implementieren können.

Darüber hinaus brauchen sie Ressourcen, um Schwachstellen eigenständig analysieren zu können. Auch auf solche ohne bekannten Patch müssen sie reagieren können. Sie müssen ihre Schutzmaßnahmen stärken, um Angriffe effizient und automatisch erkennen und unterbinden zu können – und das, bevor ein Schaden entsteht.

Aber sie müssen auch den Worst-Case proben: Krisenübungen, Backups und Wiederanlaufverfahren realistisch zu testen ist essenziell, um im Ernstfall vorbereitet zu sein.

Wichtig ist hier auch, Dritt-Dienstleister in den eigenen Krisenübungen und Risikomanagementprozessen zu berücksichtigen. So sollten Institute die Notfallbereitschaft ihres Dienstleisters prüfen, damit dortige Notfälle nicht zum Notfall im eigenen Haus werden.

Für all dies braucht es eine entsprechende Fokussierung und gegebenenfalls Re-Priorisierung innerhalb der Institute, um Prozessanpassungen, Schutzmaßnahmen und Automatisierungen voranzutreiben. Auch die Nutzung von KI zur Verteidigung kann diese Initiativen unterstützen.

5 Regulatorische Vereinfachung

Bevor ich zum Fazit komme, gestatten Sie mir bitte noch einen kurzen Exkurs zur aktuellen Debatte um regulatorische Vereinfachung.

In den vergangenen Jahren ist das regulatorische Rahmenwerk für Institute – aus gutem Grund – deutlich ausgebaut worden. Aufsichtsbehörden, darunter Bundesbank und Bafin sowie die EZB, haben aber erkannt, dass die verschiedensten Vorgaben und Regularien in ihrer Gesamtheit jedoch zu einer Komplexität führen, die insbesondere kleinere und mittlere Institute vor erhebliche Herausforderungen stellt und Ressourcen bindet, die sonst auch für Investitionen und Innovationen genutzt werden könnten.

Nun vorgeschlagene Ansätze wie eine Stärkung der Proportionalität, die Konsolidierung von Meldepflichten oder eine Vereinfachung paralleler Kapitalanforderungen gehen daher in die richtige Richtung.

Gerade im Kontext der digitalen Transformation ist eine solche Vereinfachung dringend geboten. Wenn Institute erhebliche Teile ihrer Compliance-Kapazitäten für das Navigieren durch ein immer dichteres Regelwerk aufwenden müssen, fehlen diese Mittel für Investitionen in KI, Cybersicherheit und Innovationsfähigkeit.

Eine kluge, risikobasierte Regulierung, die Komplexität dort abbaut, wo sie keinen Mehrwert stiftet, ist daher kein Widerspruch zur Finanzstabilität, sondern ihre Voraussetzung.

6 Fazit

Meine Damen und Herren,

die Lage im Finanzsektor im Hinblick auf die IKT-Risiken ist ernst und die rasante Entwicklung der KI verschärft diese Herausforderungen.

Wenn wir heute, am Geburtstag von Alan Turing, über die Zukunft der Digitalisierung und Künstlichen Intelligenz sprechen, wird das Paradox seiner Forschung deutlich:

Denn Turings theoretische Überlegungen vor mehr als 90 Jahren zur KI sind zwar zeitlos; die Technologie, die sie inspiriert haben, überholt sich heute jedoch in einem hastigen Wettlauf immer wieder selbst.

Wir haben es zwar aktuell nicht mit einer technologischen Revolution durch die KI zu tun – sondern vielmehr mit einer weiteren Stufe in der Evolution leistungsfähigerer KI-Modelle.

Aber potenzielle Angriffe dürften durch sie eine neue Qualität erreichen, auf die sich der Finanzsektor rasch und klug vorbereiten muss.

Die Verwehrung des Zugriffs auf Fable 5 und Mythos 5 für Nicht-US-Staatbürger zeigt zudem, dass Europa eigene KI-Lösungen aufbauen muss, um Abhängigkeits- und Souveränitätsrisiken zu begegnen.

Ob wir wollen oder nicht, wir im Finanzsektor müssen bei diesem Katz-und-Maus-Spiel nicht nur mitspielen – sondern auch sicherstellen, dass wir nicht in die Rolle der Maus gedrängt werden.

Vielen Dank für Ihre Aufmerksamkeit. 

Fußnoten:

1. Alan Turing: The codebreaker who saved 'millions of lives' – BBC News
2. ESAs 2025 report on major ICT-related incidents.pdf
3. Ransomware Bedrohungslage
4. Zero Day Clock
5. dl_it-aufsicht_im_finanzsektor_2025_vortrag3.pdf
6. SAs 2025 report on major ICT-related incidents.pdf in Dora zeigt erste Wirkung – doch der Stresstest steht noch bevor | Börsen-Zeitung