Blogpost

BaFin-Orientierungshilfe KI: Was „KI im Banking“ jetzt für Ihre IKT-Risiken und Governance bedeutet

Die BaFin-Orientierungshilfe KI hilft Finanzunternehmen, IKT-Risiken nach den Vorgaben von DORA zu managen. Lesen Sie, welche IKT-Risiken, Governance-Strukturen und Prozesse beim Einsatz von KI relevant sind - von Cloud- und Drittparteienrisiken, bis zum Management des gesamten KI-Lebenszyklus.

Selin Can-Yüksel
Jennifer Holz
17
Aufsichtsrecht
Künstliche Intelligenz
5 Minuten Lesezeit
Blogbeitrag: BaFin-Orientierungshilfe KI

KI im Banking: Risiken, Governance und Prozesse im Kontext der BaFin-Orientierungshilfe KI

Künstliche Intelligenz ist im Bankensektor längst keine Zukunftstechnologie mehr, sondern Teil des täglichen Betriebs. Chatbots und virtuelle Assistenten unterstützen im Kundenservice, Deep-Learning-Algorithmen analysieren Transaktionen zur Betrugserkennung und komplexe, KI-Agent-basierte Workflows helfen bei der Kreditvergabe oder bei der Bewertung von Risiken.

Mit zunehmender Nutzung von künstlicher Intelligenz steigt auch ihre Bedeutung für das Risikomanagement. Angesichts dessen hat die BaFin mit der Orientierungshilfe zu IKT-Risiken bei KI einen Rahmen geschaffen, der Institute dabei unterstützen soll, bestehende regulatorische Anforderungen, insbesondere aus dem Digital Operational Resilience Act (DORA), auch auf KI-Systeme anzuwenden.

Dieser Artikel hilft Ihnen dabei, die Ausgestaltung der BaFin-Orientierungshilfe KI zu verstehen und in konkrete Arbeitsschritte umzusetzen.

KI als Teil des IKT-Risikomanagements

Die Orientierungshilfe macht deutlich, dass KI-Systeme neue technologische Herausforderungen für das Risikomanagement mit sich bringen. Diese ergeben sich insbesondere aus der Kombination von hochgradig komplexen Modellen, großen Datenmengen und einer engen Einbindung in operative Geschäftsprozesse und deren zugrundeliegender Infrastruktur.

Zu den zentralen Risiken zählen vor allem Daten- und Modellrisiken. Die Leistungsfähigkeit von KI-Systemen hängt stark von der Qualität und Integrität der verwendeten Daten ab. Fehlerhafte, verzerrte oder manipulierte Trainingsdaten können dazu führen, dass Modelle falsche Ergebnisse liefern oder Geschäftsentscheidungen beeinflussen.

Darüber hinaus entstehen Risiken durch mangelnde Transparenz von Modellentscheidungen oder unzureichende Validierungsprozesse. Gerade wenn KI-Systeme in geschäftskritischen Prozessen eingesetzt werden, müssen Finanzunternehmen sicherstellen, dass deren Funktionsweise nachvollziehbar und überprüfbar bleibt.

Header_mobile_600px_KI Podcast

Mehr zum Thema im
Podcast banKIng³

In der neuesten banKIng³-Folge erklären unsere Experten,
wie Orientierungshilfen zu IKT-Risiken, der sichere
KI-Lebenszyklus und AI-Agents den Banking-Alltag
effizient unterstützen.

Governance und organisatorische Verantwortung

Neben den technischen Risiken betont die Orientierungshilfe vor allem die Bedeutung einer klaren Governance-Struktur. Der Einsatz von KI erfordert eindeutige Verantwortlichkeiten, definierte Entscheidungsprozesse und eine Einbettung in bestehende Kontrollstrukturen.

Eine zentrale Rolle spielt dabei die Geschäftsleitung als das Leitungsorgan. Gemäß DORA Art. 5 Abs. 2 trägt sie die Gesamtverantwortung für die digitale operationale Resilienz eines Finanzunternehmens und muss daher auch den Einsatz von KI-Systemen strategisch steuern. Dazu gehört unter anderem die Festlegung einer KI-Strategie, die Bereitstellung der notwendigen Ressourcen sowie der Aufbau entsprechender Kompetenzen innerhalb der Organisation.

Cloud-Nutzung und Drittparteienrisiken

Ein Großteil moderner KI-Anwendungen wird auf Cloud-Plattformen betrieben. Dadurch entstehen zusätzliche Anforderungen an das Management von Drittparteienrisiken.

Finanzunternehmen müssen vor der Nutzung solcher Dienste umfassende Risikobewertungen durchführen und sicherstellen, dass die Anbieter angemessene Sicherheits- und Datenschutzstandards erfüllen. Darüber hinaus sind klare vertragliche Regelungen erforderlich, etwa zu Service-Level-Agreements, Prüfungsrechten oder zur Nutzung von Unterauftragnehmern.

Ein weiterer wichtiger Aspekt ist die Möglichkeit, den Anbieter zu wechseln. Technologien, die an einen bestimmten Anbieter gebunden sind, können Institute langfristig von einzelnen Cloud-Anbietern abhängig machen. Daher empfiehlt es sich, bereits bei der Auswahl von KI-Diensten mögliche Exit-Strategien zu berücksichtigen.

Der KI-Lebenszyklus als zentraler Steuerungsrahmen

Ein wesentlicher Ansatz der Orientierungshilfe besteht darin, die Risiken entlang des gesamten Lebenszyklus eines KI-Systems zu evaluieren.

Bereits bei der Datenbeschaffung müssen Finanzunternehmen sicherstellen, dass nur freigegebene und geprüfte Daten verwendet werden. Ihre Daten sollten entsprechend ihrer Vertraulichkeit klassifiziert werden. Sensible Informationen sind zu anonymisieren. Darüber hinaus ist zu prüfen, aus welchen Quellen die Daten stammen und unter welchen vertraglichen Bedingungen sie genutzt werden dürfen, beispielsweise im Rahmen von Due-Diligence, Prüfungen und entsprechenden Vereinbarungen mit Drittanbietern.

In der anschließenden Phase der Modellentwicklung werden KI-Modelle auf Basis geprüfter Unternehmensdaten trainiert. Dabei ist es wichtig, die Daten, die dem Modell als Wissensbasis dienen, kontrolliert auszuwählen und den gesamten Prozess nachvollziehbar zu dokumentieren. Versionskontrollen ermöglichen es, fehlerhafte Modelle zurückzusetzen. Ergänzend dazu sollten geeignete Tests und Validierungsverfahren zum Einsatz kommen, um die anwendungsspezifische Zuverlässigkeit und Sicherheit der Modelle zu gewährleisten.

BaFin-Orientierungshilfe KI, Lebenszyklus KI

Abbildung 1: KI-Lebenszyklus

Vor der produktiven Nutzung erfolgt die Modellbereitstellung. In dieser Phase müssen KI-Systeme sicher in die bestehende IT-Landschaft integriert werden. Dazu gehören unter anderem der Betrieb in abgeschotteten Umgebungen, eine klare Trennung von anderen Systemen sowie sichere Schnittstellen. Zugriffe auf das System sollten durch geeignete Authentifizierungs- und Berechtigungsmechanismen, etwa Identity- und Access-Management-Lösungen, kontrolliert werden.

Während des laufenden Betriebs sind kontinuierliche Überwachung und regelmäßige Risikobewertungen erforderlich. Die Nutzung der KI ist nachvollziehbar zu dokumentieren, sodass Ergebnisse und Entscheidungen jederzeit überprüfbar bleiben.

Wartung und Weiterentwicklung begleiten den Betrieb. Dazu gehören regelmäßige Updates und Sicherheitspatches sowie etablierte Prozesse zur Behandlung von Vorfällen. Im Falle von Sicherheits- oder Systemvorfällen müssen klar definierte Incident- und Meldeprozesse greifen. Ergänzend dazu helfen Tests von Cyberangriffsszenarien Ihnen dabei Schwachstellen frühzeitig zu erkennen und entsprechend zu handeln: Erkenntnisse sollten systematisch ausgewertet und in die stetige Weiterentwicklung der Systeme integriert werden.

Auch die Stilllegung eines Systems muss geregelt sein: Von der geplanten und dokumentierten Außerbetriebnahme über die sichere Löschung sensibler Daten bis hin zum Entzug aller Zugriffsrechte im Notfall. Ziel ist es, dass veraltete Modelle nicht weiter genutzt werden und alle Schritte aus regulatorischer Sicht nachvollziehbar bleiben.

Cyber- und Datensicherheit als Querschnittsthema

Da KI-Systeme häufig sensible Daten verarbeiten und eng mit der bestehenden IT-Infrastruktur verbunden sind, können sie sowohl Ziel von Cyberangriffen sein als auch neue Angriffsflächen schaffen. Entsprechend müssen Finanzunternehmen sicherstellen, dass KI-Systeme in die bestehenden Sicherheitsarchitekturen integriert sind. Dazu gehören unter anderem Maßnahmen zur Systemsicherheit, zum Schutz der Netzwerke sowie klare Regelungen für Zugriffs- und Berechtigungsstrukturen.

Ebenso wichtig sind kontinuierliche Überwachungs- und Protokollierungsmechanismen, um Auffälligkeiten frühzeitig zu erkennen und nachvollziehen zu können. Neben technischen Sicherheitsmaßnahmen spielt auch der Schutz der Daten selbst eine zentrale Rolle, etwa durch eine klare Klassifizierung sensibler Informationen, geeignete Verschlüsselungsverfahren und eine hohe Qualität der verwendeten Trainingsdaten. Ergänzend dazu müssen Prozesse etabliert sein, um schwerwiegende IKT-Vorfälle zu erkennen, zu bewerten und gegebenenfalls zu melden.

BaFin-Orientierungshilfe KI, Schlussbetrachtung

Abbildung 2: Schlussbetrachtung der Orientierungshilfe

Genau hier unterstützen wir unsere Kunden: regulatorische Anforderungen und wirtschaftlichen Mehrwert miteinander zu verbinden.

Fazit

KI bietet Finanzunternehmen erhebliche Effizienzpotenziale, etwa durch Automatisierung, Analyse großer Datenmengen und Unterstützung von Entscheidungsprozessen. Gleichzeitig zeigt die Orientierungshilfe der BaFin, dass KI nur dann nachhaltig genutzt werden kann, wenn sie strukturiert in Governance, Sicherheitsarchitektur und IKT-Risikomanagement eingebettet wird. Institute, die beides zusammen denken, Innovation und Regulierung, können sowohl Effizienzgewinne realisieren als auch langfristig Kosten sparen. Genau hier unterstützen wir unsere Kunden: regulatorische Anforderungen und wirtschaftlichen Mehrwert miteinander zu verbinden.

Header BV_Cloud Process

Neugierig geworden?

Besuchen Sie unser Webinar am 25. Juni 2026 zum Thema
"IKT-Risiken bei der Nutzung von KI-Systemen"

Share: LinkedIn Xing X Facebook
Selin-Yueksel

Selin Can-Yüksel

berät als Analyst im Bereich Digital Resilience der msg for banking ag Finanzinstitute sowie weitere Organisationen im Financial-Services-Sektor. Im Mittelpunkt ihrer Arbeit steht die Stärkung der digitalen Resilienz von IKT-Risikomanagement und operativer Resilienz bis hin zur Umsetzung regulatorischer Anforderungen wie DORA zur nachhaltigen Absicherung von IT- und Geschäftsprozessen.

linkedin
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
3 Minuten Lesezeit

KI-Governance und Risikomanagement aus Sicht der Banken- und Finanzaufsicht

Fachartikel
4 Minuten Lesezeit

KI-Resilienz: Geopolitische KI-Abhängigkeiten souverän managen