Partner
Rechtsanwalt
BaFin-Orientierungshilfe zu IKT-Risiken bei dem Einsatz von KI-Systemen in Finanzunternehmen – ein Überblick
- KI-Risiken entlang des gesamten Systemlebenszyklus
- IKT-Risikokategorien nach DORA-Vorgaben
- Governance-, Kontroll- und Verantwortungsstrukturen
Die Entwicklung der künstlichen Intelligenz (KI) schreitet weiter voran und hat sich längst als fester Bestandteil moderner Geschäftsprozesse etabliert. Auch in der Finanzbranche sind KI-Systeme nicht mehr wegzudenken. Finanzunternehmen und Kreditinstitute nutzen diese inzwischen entlang der gesamten Wertschöpfungskette.
Die Anwendungsmöglichkeiten reichen von der automatisierten Bearbeitung alltäglicher Routineaufgaben im Backoffice bis hin zur Analyse großer Mengen an Transaktionsdaten. Mit dem wachsenden Einsatz von KI-Systemen steigen auch die Risiken. Insbesondere diese Risiken bringen auch aufsichtsrechtliche Fragestellungen, rund um die Thematik IKT-Risiken, mit sich.
Zusammenspiel KI und DORA
Finanzunternehmen müssen mögliche IKT-Vorfälle über den gesamten Lebenszyklus eines KI-Systems erkennen und geeignete Gegenmaßnahmen vorbereiten. IKT-Vorfälle sind gem. Art. 3 Nr. 8 DORA: „ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen bereitgestellten zahlungsbezogenen Dienste hat.“
Unter der Betrachtung dieser Umstände war auch die Einführung einer einheitlichen europäischen Regulierung des Finanzsektors eine konsequente Weiterentwicklung. So schafft unter anderem der Digital Operational Resilience Act (DORA) verbindliche Voraussetzungen, um einen wirksamen IKT-Risikomanagementrahmen sicherzustellen.
Bei KI-Systemen handelt es sich um einen Unterfall der „Netzwerk- und Informationssysteme“ gem. Art. 3 Nr. 2 DORA, weshalb auch die Vorschriften der DORA auf sie Anwendung finden. Infolge einer Einsetzung eines solchen Systems in die IKT-Landschaft des Finanzunternehmens entstehen entsprechende IKT-Risiken, welche im bestehenden/aufzustellenden IKT-Risikomanagementrahmen berücksichtigt werden müssen.
KI und sensible Kundendaten
Besonderer Aufmerksamkeit ist dabei auch dem Umgang mit sensiblen Kundendaten sowie der Integration von KI-Assistenten in täglich genutzten Standardapplikationen zu schenken. Solche KI-Assistenten können ein potenzielles Einfallstor für Angriffe darstellen, die sich auf die Cyber- und Datensicherheit auswirken können.
So hat am 18. Dezember 2025 die BaFin eine Orientierungshilfe zu IKT-Risiken bei dem Einsatz von KI-Systemen in Finanzunternehmen veröffentlicht. Diese soll die Finanzunternehmen bei der Nutzung von KI dabei unterstützen, potenzielle Risiken frühzeitig zu lokalisieren und die regulatorischen Vorgaben der DORA umzusetzen.
Risikomanagement muss KI-Systeme integrieren
Mit der Orientierungshilfe der BaFin wird deutlich, dass der Einsatz von KI-Systemen in der Finanzbranche ein besonderes aufsichtsrechtliches Augenmerk erfordert. Denn die Implementierung von KI-Systemen verursacht neue IKT-Risiken. Um den Schutz kritischer und wichtiger Funktionen des Geschäftsbetriebs gewährleisten zu können, müssen zukünftig umfangreiche Sicherheits- und Kontrollmaßnahmen durchgeführt werden. Zu diesen Sicherheits- und Kontrollmaßnahmen gehören beispielsweise die Erstellung einer IKT-Sicherheitsrichtlinie, die Datenklassifizierung und Zugriffskontrolle der Daten oder dass bei KI-Self-Service-Assistenten eine menschliche Überwachung stattfinden kann. Durch diese sollen Finanzunternehmen im Falle eines IKT-bezogenen Vorfalls widerstands- und anpassungsfähiger werden.
Finanzunternehmen sind gefordert, ihren IKT-Risikomanagementrahmen im Hinblick auf genutzte KI-Systeme neu zu bewerten und eine einheitliche Gesamtstrategie aufzustellen. Nur so kann ein aufsichtsrechtlich sicheres Risikomanagement gewährleistet werden. Dieses muss auf die individuellen Strukturen und Prozesse des jeweiligen Finanzunternehmens und die genutzten KI-Systeme zugeschnitten werden. Um Missbrauchsmöglichkeiten weitestgehend zu vermeiden, spielt der gesamte Lebenszyklus – von der Auswahl des Anbieters und Entwicklung über den operativen Einsatz bis zur Stilllegung – des KI-Systems eine erhebliche Rolle. Auch die sorgfältige Prüfung der Vertragsinhalte darf hierbei nicht vernachlässigt werden.
Schulung der Mitarbeiter zum Thema KI wird zur Pflicht
Ein weiterer entscheidender Faktor ist hierbei die Schulung und Weiterbildung von Mitarbeitern und Mitgliedern des Leitungsorgans. Die Beteiligten müssen die Funktionsweisen und Risiken der eingesetzten KI-Systeme verstehen, damit ein angemessenes IKT-Risikomanagement sichergestellt werden kann. Ebenso müssen die Mitarbeiter und Mitglieder des Leitungsorgans die notwendigen Kenntnisse in den einzelnen Fachbereichen erwerben und aufrechterhalten.
Um eine möglichst hohe Sensibilisierung der Beteiligten zu gewährleisten, können beispielsweise auch interne Schulungs- und Weiterbildungsprogramme externen IKT-Drittdienstleistern zur Verfügung gestellt werden. Gerade dadurch wird deutlich, dass nicht nur eine einheitliche abteilungsinterne Zusammenarbeit erforderlich ist, sondern auch eine abteilungsübergreifende Zusammenarbeit immer mehr in den Vordergrund rückt.
Entwicklung und Testung von KI-Systemen
Nicht nur die Implementierung von fertigen KI-Systemen stellt die Finanzunternehmen vor aufsichtsrechtliche Herausforderungen, sondern auch die interne Entwicklung und Testung von KI-Systemen. Mithilfe der Entwicklung eigener KI-Systeme haben Finanzunternehmen die Möglichkeit, maßgeschneiderte Lösungen für die Geschäftsabwicklung zu schaffen.
Auch bei diesen müssen entsprechende Vorgehensweisen zur Überprüfung entwickelt und angewendet werden – damit auch den aufsichtsrechtlichen Pflichten nicht zuwidergehandelt wird. So schlägt auch die BaFin in ihrer Orientierungshilfe geeignete Vorgehensweisen vor, um den Schutzzielen der DORA gerecht zu werden. Die BaFin schlägt folgende Maßnahmen in der besagten Orientierungshilfe vor:
- Simulation von Angriffen auf KI-Systeme (Adversarial Testing, z.B. Data Poisoning, Evasion Attacks).
- Durchführung von Adversarial Penetration Tests (z.B. in Abstimmung mit dem Cloud-Anbieter), um KI-spezifische Angriffe zu simulieren.
- Überprüfung der Performance von KI-Systemen im Stresstest, z.B. mit stark veränderten Datenverteilungen oder in Überlastszenarien.
- Bei nicht selbst entwickelten KI-Systemen kann es auch in Betracht kommen, den Hersteller dieses Systems in die Tests einzubeziehen und ggf. entsprechende Nachweise über deren Ausführung zu erhalten.
Vorgehen bei Einführung von KI-Systemen in Finanzunternehmen
Die Integration von KI-Systemen in Finanzunternehmen erfolgt je nach Geschäftsmodell in einem individuellen Umfang. Diese Unterschiede führen zu unterschiedlichen IKT-Risiken und damit zu individuellen und spezifischen Risikosituationen. Diese machen eine sorgfältig und aufsichtsrechtlich einwandfreie Lösung erforderlich. Um aufsichtsrechtliche Risiken frühzeitig zu reduzieren und gleichzeitige klare Strukturen für den aufsichtsrechtlichen Umgang mit KI-Systemen zu etablieren, ist eine individuelle Betrachtung unverzichtbar. Wir unterstützen Sie gerne dabei, Ihre bestehenden Prozesse und Geschäftsmodelle aufsichtsrechtlich zu prüfen und langfristig zu begleiten.