KI verändert Risiken – warum Banken ihr Sicherheitsmodell neu denken müssen
Ein aktueller Vorfall rund um ein internes KI-System macht diese Dynamik greifbar: Im März 2026 bestätigte McKinsey eine Schwachstelle in seinem internen KI-Tool Lilli. Die Lücke wurde zwar schnell behoben und nicht alle Vorfälle müssen so öffentlichkeitswirksam erscheinen wie z.B. der Source Code Leak von Anthropic. Problematisch ist in beiden Fällen aber das Muster aus dem unglücklichen Zusammenspiel von sensiblen Wissensbeständen und einer technisch verwundbaren KI-Umgebung, in der Datenzugriffe, Systemlogiken und Interaktionen eng miteinander verknüpft sind.
Die gute Nachricht: Klassische Cyber-Security-Prinzipien bleiben weiter relevant – müssen aber gezielter und konsequenter weiterentwickelt werden.
KI ist allerdings kein reines Technologie- oder Effizienzthema. Sie ist ein fundamentaler Eingriff in die Art, wie Organisationen Informationen verarbeiten, Entscheidungen vorbereiten und Kontrolle ausüben. Der Fokus verschiebt sich von reiner Systemabsicherung hin zu Transparenz, Steuerbarkeit und Entscheidungsfähigkeit in hoher Geschwindigkeit.
Gerade für Banken aber auch für alle anderen Unternehmen entsteht daraus eine klare Chance: Sicherheitsarchitekturen, nicht nur robuster, sondern auch intelligenter zu gestalten und so mit der Geschwindigkeit und Komplexität von KI Schritt zu halten.
KI verändert Risiken auf zwei Ebenen
Die Wirkung von KI auf das Risikoprofil von Unternehmen lässt sich klar auf zwei Ebenen beschreiben – und genau darin liegt auch der Ansatzpunkt für wirksame Steuerung:
Erstens verändert KI die Angriffsperspektive fundamental. KI erhöht die Geschwindigkeit von Angriffen und ermöglicht deren systematische Skalierung. The Open Worldwide Application Security Project (OWASP) beschreibt diese Dynamik für LLM-Anwendungen konkret: Manipulierte Inputs, unzureichend geprüfte Outputs und neue Interaktionsmuster schaffen Angriffsflächen, die mit klassischen Angriffsmuster-Erkennungsverfahren nur schwer erkannt werden können.
Ein Angreifer kann generative KI nutzen, um Schwachstellen in einer offenen API-Dokumentation systematisch zu identifizieren und Testangriffe automatisiert zu variieren. Was früher punktuell und manuell war, wird heute parallelisiert und kontinuierlich optimiert. Die Bedrohung entwickelt sich damit nicht mehr linear, sondern exponentiell. Die aktuelle Debatte um Anthropics Modell Mythos unterstreicht die Beschleunigung dieser Entwicklung: Mythos wurde als zu gefährlich für die allgemeine Öffentlichkeit eingestuft, weil es autonom Software-Schwachstellen entdecken und ausnutzen kann.
Zweitens beeinflusst KI die Risiken aus interner Perspektive. Unternehmen schaffen mit KI-Systemen neue Angriffspunkte, die im Ernstfall Zugriff auf umfangreiche und sensible Datenbestände ermöglichen. Gerade RAG-Architekturen, Copilots oder KI-gestützte Wissenssysteme bündeln interne Dokumente, Gesprächskontexte, Metadaten, Berechtigungslogiken und Modellinteraktionen in einer Umgebung. Wird die Zugriffstrennung dabei unzureichend umgesetzt, kann ein einzelner Prompt Informationen zusammenführen, die zuvor organisatorisch getrennt waren.
Damit entsteht ein neues Integritätsrisiko: Wer ggf. Systemprompts, Retrieval-Logiken oder Modellinteraktionen beeinflusst, kann nicht nur Informationen auslesen, sondern auch die Qualität und Verlässlichkeit von Antworten verzerren. Nicht nur der Zugriff auf Daten ist kritisch, sondern auch die Beeinflussung von Systemlogiken und Entscheidungsgrundlagen. Die European Union Agency for Cybersecurity (ENISA) und National Institute of Standards and Technology (NIST) weisen genau auf diese Kombination aus klassischen Cyberrisiken und KI-spezifischen Verwundbarkeiten hin.
Das eigentliche Handlungsfeld: Steuerbarkeit schaffen
Viele Organisationen investieren aktuell intensiv in KI – häufig schneller, als Transparenz und Steuerungsfähigkeit aufgebaut werden. Trotz klarer regulatorischer Anforderungen durch den AI-Act oder auch durch DORA. In der Praxis zeigt sich dann häufig, dass im Fachbereich ein SaaS-basierter Assistent genutzt wird, parallel ein externer Transkriptionsdienst angebunden ist und zusätzlich Modell-APIs verwendet werden – ohne dass zentral sichtbar ist, welche Kundendaten tatsächlich wohin fließen.
Klassische Governance- und Security-Ansätze basieren implizit auf einer Stabilitätsannahme: Systeme sind klar abgrenzbar, Datenflüsse nachvollziehbar, und Kontrollen ex ante designbar. KI unterläuft diese Annahmen. Inputs, Kontexte, Retrieval-Komponenten, Modellschichten und externe APIs erzeugen dynamische Wirkzusammenhänge. Kontrolle kann deshalb nicht mehr allein über statische Policies oder nachgelagerte Prüfungen erfolgen, sondern muss als kontinuierliche Steurerungsfähigkeit verstanden werden.
Ein belastbarer Ansatz für KI Governance und Security
Ein robuster Ansatz entsteht durch die konsequente Kombination bestehender Standards. NIST, ENISA und OWASP liefern hierfür komplementäre Bausteine – von Risikostrukturierung über Sicherheitsarchitektur bis hin zu konkreten Angriffsszenarien. NIST strukturiert KI-Risikomanagement entlang der Funktionen Govern, Map, Measure und Manage. ENISA ergänzt eine mehrschichtige Sicht auf Cybersecurity für KI über ein skalierbares Framework über alle KI-Stakeholder. OWASP konkretisiert typische Angriffsmuster in LLM-Anwendungen. Für Banken und Finanzdienstleister ist zudem relevant, dass die European Banking Authority (EBA) und die Bank for International Settlements (BIS) den Zusammenhang von KI, Third-Party-Abhängigkeiten, operativer Resilienz und Governance richtigerweise deutlich hervorheben. Daraus lässt sich ein praxisnäheres Zielbild mit klarer Konsequenz ableiten: KI Governance muss sich daran messen lassen, ob sie Transparenz schafft, Kontrolle ermöglicht und fundierte Steuerung erlaubt. Folglich sollte angestrebt werden, KI-bezogene Governance nicht primär nach Organisationsdimensionen, sondern entlang von drei Steuerungsebenen aufzubauen, welche Business-Prioritäten, Datentransparenz, Risikoverständnis und technische Kontrolle verbinden. Gleichzeitig muss sie sich in bestehende Governance-Strukturen einfügen, ohne «das Rad neu erfinden zu müssen». Die erste Ebene ist Transparenz über den tatsächlichen KI-Footprint. Unternehmen müssen systematisch nachvollziehen können, wo KI eingesetzt wird, welche Daten in welche Systeme fließen, und welche Modelle, Tools und Drittanbieter beteiligt sind. Ohne diese Transparenz bleibt Steuerung kaum möglich. Die zweite Ebene umfasst die Kontrolle in Architektur und Betrieb. Schutzmechanismen müssen direkt in die Struktur der Systeme integriert werden – etwa durch klare Trennung von Nutzerinput, Systemprompt und Retrieval, sowie durch kontrollierte Schnittstellen und klare Anforderungen für den Einsatz externer Modelle. Die dritte Ebene zielt auf kontinuierliche Assurance statt einmaliger Freigabe ab. KI-Systeme verändern sich laufend durch neue Datenquellen, angepasste Modelle oder veränderte Nutzung. Beispielsweise wird ein Use Case initial freigegeben, aber das zugrunde liegende Modell, die Prompt-Logik oder die angebundenen Datenquellen ändern sich später, ohne dass eine erneute Risikobewertung erfolgt. Organisationen brauchen deshalb ein wirksames Modell, um laufend Messen und Testen zu können: Monitoring von Outputs, Nachvollziehbarkeit kritischer Antworten, regelmäßige Red-Teaming- und Penetrationstests, Reviews von Prompt- und Retrieval-Logiken sowie ein Incident-Response-Verständnis, das KI-spezifische Manipulationen mitdenkt. Dieser Ansatz erfordert, drei zentrale Fragen zu beantworten: Wo und wofür wird KI tatsächlich genutzt? Welche Daten, Modelle und externen Abhängigkeiten sind damit verbunden? Und wie lässt sich sicherstellen, dass Nutzung, Kontrolle und Risiko dauerhaft im Gleichgewicht bleiben? |
Was Banken anders machen müssen
Für Banken und andere Finanzdienstleister ist diese Verschiebung besonders relevant. KI trifft hier auf hochregulierte Umgebungen, sensible Daten, komplexe Prozesslandschaften und ein Geschäftsmodell, das in hohem Maß auf Vertrauen beruht. Die BIS und die EBA betonen zu Recht, dass KI besondere Anforderungen an Governance, Third-Party-Risk-Management sowie operative Widerstandsfähigkeit stellt. Daraus folgen vier Implikationen. Erstens verschiebt sich die klassische Perimeter-Logik: Die relevante Grenze verläuft nicht nur um Systeme, sondern in den Interaktionen zwischen Mensch und System sowie zwischen Systemen. Zweitens wird Datenkontrolle dynamisch: Entscheidend ist, zusätzlich zu Zugriffsrechten, wie Daten kontextualisiert, kombiniert und weiterverarbeitet werden. Drittens steigt das Vendor-Risiko strukturell, weil KI häufig über APIs, Foundation Models und SaaS-Komponenten bereitgestellt wird. Viertens wird Entscheidungsfähigkeit selbst zum Engpass: Wer nicht über die Konsequenzen der KI-Nutzung Bescheid weiß, kann keine wirksamen Maßnahmen ergreifen. Gerade darin liegt das eigentliche «So what» für das Management: Organisationen müssen in die Lage versetzt werden, KI-getriebene Datenflüsse, Abhängigkeiten und Verwundbarkeiten systematisch zu verstehen und zu steuern. |
Warum jetzt zu handeln entscheidend ist
KI wird in Banken und Finanzdienstleistern zunehmend in Prozesse, Wissensarbeit, Kundeninteraktion und Steuerungslogiken eingebettet. Damit wächst die Nutzung meist schneller als die Fähigkeit, sie wirksam zu kontrollieren. Genau darin liegt das Risiko – und gleichzeitig die Chance. Risiken entstehen aber bereits in dem Moment, in dem Organisationen KI produktiv einsetzen, ohne Transparenz über Datenflüsse, klare Steuerung externer Abhängigkeiten und eine belastbare Kontrollarchitektur aufgebaut zu haben.
Horn & Company unterstützt Banken genau an dieser Schnittstelle: Wir schaffen zunächst Transparenz über KI-Use-Cases, Datenflüsse, eingesetzte Tools und Drittanbieterabhängigkeiten, leiten daraus ein belastbares Risikobild ab und übersetzen dieses in eine umsetzbare Governance- und Kontrollarchitektur. Dabei verbinden wir Business-Verständnis, Data Governance, regulatorische Anforderungen und IT-Security zu einer integrierten Steuerungslogik von der Standortbestimmung über Zielbild und Priorisierung bis hin zur konkreten Verankerung von Kontrollen in Prozessen, Architektur und Operating Model.
Unser Ziel: KI nicht nur beherrschbar zu machen, sondern gezielt als strategischen Vorteil nutzbar zu machen.
Bereit, den nächsten Schritt zu gehen?
Ob erste Gedanken oder konkrete Pläne – wir hören zu, fragen nach und entwickeln gemeinsam weiter. In einem unverbindlichen Erstgespräch klären wir, wo Sie stehen und wie wir Sie unterstützen können.
