Blogpost

Nach Claude Mythos: Wie Banken ihre KI-Resilienz sicherstellen können

KI-Cyberangriffe in Sekundenschnelle, KI-gestütztes Phishing und hochgradig fragmentierte Angriffsvektoren: Die Bedrohungslage für Finanzinstitute hat sich fundamental verändert. Die Frage ist nicht, ob Sicherheitskontrollen vorhanden sind, sondern ob sie gegen die neue Dynamik überhaupt noch wirksam sind.

Hamidreza Safari
Sandra Marquez Postigo
Harald M. Eisele
12
Banking der Zukunft
Compliance
Künstliche Intelligenz
3 Minuten Lesezeit
KI-Resilienz sicherstellen

In dieser Collection enthalten:

Collection öffnen
KI-Resilienz sicherstellen

Nach Claude Mythos: Wie Banken ihre KI-Resilienz sicherstellen können

1
banking3

banKIng³ - Folge 30: Revolution in der Revision: KI, DORA und der Weg zur 100-Prozent-Prüfung

2
banking3

banKIng³ - Folge 29: Souveränität, Sicherheit, Systeme – Warum Banken jetzt handeln müssen

3
KI-Nutzung Deutschland

KI-Nutzung Deutschland: Warum die Nordics im Vorteil sind

4
banking3

banKIng³ - Folge 28: Cybersecurity im KI-Zeitalter: Die neue Realität für Banken

5
IKT-Kontrollfunktion

Claude Mythos im Banking: KI auf dem Weg in die Informationssicherheit

6
Blogbeitrag SAP-Systeme, SAP systems, SAP-Security

Innovative KI-Dokumentenverarbeitung im Banking

7
Blogbeitrag: BaFin-Orientierungshilfe KI

BaFin-Orientierungshilfe KI: Was "KI im Banking" jetzt für Ihre IKT-Risiken und Governance bedeutet

8
KI im Treasury, NEWS 01/2026

Künstliche Intelligenz im Treasury – vom periodischen Abschluss zur permanenten Steuerungsfunktion

9
KI-Projekt, KI nachhaltig entwickeln, NEWS 01/2026

Wie KI-Projekte im Banking nachhaltig gelingen

10

Problemstellung: Die drei Treiber des Kontrollverlusts

Wenn hochentwickelte KI-Modelle und autonome Agenten Schwachstellen im Banking-Sektor ausnutzen, versagen traditionelle, manuelle Sicherheitsmechanismen. Banken stehen damit vor einer dreifachen Herausforderung, die den Kern ihres klassischen Information Security Management Systems (ISMS) bedroht:

  • Zeitkompression: KI-Automatisierung verkürzt Angriffszyklen von Tagen auf Sekunden. Wo früher menschliche Angreifer Stunden für den nächsten Schritt brauchten, agiert die Maschine im Millisekunden-Takt. Menschliche Reaktion und wöchentliche Patch-Komitees sind damit schlicht zu langsam.
  • Fragmentierung: Subtile, einzeln völlig unauffällige Schritte unterlaufen traditionelle Schwellenwerte und Detektionsmechanismen. Ein Angriffs-Bot zerlegt die Attacke in winzige Mikroschritte, die isoliert betrachtet vollkommen legitim wirken. Erst in der Summe kollabiert das System.
  • Automatisierung: Es findet eine massive Skalierung und Personalisierung von Phishing-Angriffen durch Large Language Models (LLMs) statt. Die Barriere für hochkomplexe Social-Engineering-Angriffe ist Null gesunken.

Die Konsequenz: Viele etablierte Sicherheitsmaßnahmen (Controls) auf Basis der ISO 27001 sind auf dem Papier zwar vorhanden, verlieren in dieser neuen Dynamik aber schleichend ihre Schutzwirkung.

Analyse: Der MRIS-Framework nach Richard Peddi

Um diesem Kontrollverlust zu begegnen, hat der Sicherheitsexperte Richard Peddi das Framework für „Mythos-resistente Informationssicherheit (MRIS)“1 entwickelt. Das MRIS-Framework funktioniert wie eine Filterbrille, die man über das bestehende ISMS legt. Es bewertet die 93 Annex A Controls der ISO 27001 auf ihre tatsächliche Standfestigkeit gegen Gen-AI-beschleunigte Offensiven und teilt sie in vier Kategorien ein:

  1. Standfest (robust): Maßnahmen, die auch bei maximaler Angriffsgeschwindigkeit eine harte Barriere bilden (z. B. strikte kryptografische Verfahren wie MFA).
  2. Teilweise degradiert (degraded): Kontrollen, die durch KI-gestütztes Phishing oder Automatisierung massiv an Wirkung verlieren und dringend technologisch gehärtet werden müssen.
  3. Reine Reibung (friction): Controls, die heute nur noch administrativen Aufwand und Dokumente erzeugen, aber keinen echten Schutz mehr bieten. Ein prägnantes Beispiel aus der MRIS-Analyse ist die rein manuelle Erst-Sichtung (Triage) von Sicherheitswarnungen im SOC (A.5.25). Da die Angreifergeschwindigkeit die menschliche Reaktionszeit systematisch überholt, wird der Mensch an dieser Stelle zur strukturellen Schwachstelle.
  4. Nicht betroffen (unaffected): Controls, die gegenüber KI-Angriffen neutral sind; typischerweise organisatorische, dokumentarische, governanceorientierte oder physisch-gebundene Controls.
KI-Resilienz: Bewertung der 93 Controls aus Anhang A der ISO 27001 gemäß den Erkenntnissen von Richard Peddi

Abbildung 1: Bewertung der 93 Controls aus Anhang A der ISO 27001 gemäß den Erkenntnissen von Richard Peddi (MRIS, 2026)

Die unbequeme Wahrheit: Ein Großteil der klassischen ISO 27001 Controls verliert unter Gen-AI-beschleunigten Angriffen schleichend an Wirkung.

Um eine Bank KI-resistent aufzustellen, muss der Fokus auf die von Richard Peddi definierten 13 Mythos-Härtungs-Controls (MHC) gelegt werden.

Das bedeutet konkret: weg von statischen Passwörtern hin zu Phishing resistenter MFA (MHC-03). Weg von periodischen Prüfungen hin zu Continuous Control Monitoring (MHC-10). Kurz gesagt: 

KI-gestützte Funktionen sollten neben menschlichen Aufgaben (z. B. Priorisierung, Filterung oder Überwachung) eingesetzt werden.

Lösung: KI-Resilienz durch ein AI Security Readiness Assessment

Die Theorie des MRIS-Frameworks ist brillant, doch wie gelingt der Transfer in die Praxis eines Finanzinstituts? msg for banking hat diese Methodik in ein pragmatisches, managementgerechtes Werkzeug übersetzt: das AI Security Readiness Assessment.

Ein strukturierter, standardisierter Fragenkatalog überführt die 13 Mythos-Härtungs-Controls in 6 strategische Management-Cluster:

  1. AI Strategy & Governance (Risikoappetit, Richtlinien und Steuerung von Shadow AI)
  2. Identity & Access (Schutz kritischer Zugänge gegen KI-Phishing und Identitätsdiebstahl)
  3. SOC & Detection & Automation (Verhaltensbasierte Erkennung und automatisierte Incident-Response-Geschwindigkeit)
  4. Secure Development (Integration von automatisierten Sicherheitsprüfungen in die CI/CD-Pipeline)
  5. Supply Chain Security (Kontinuierliche Überwachung und Transparenz der Drittanbieter-Risiken)
  6. Resilience & Recovery (Wiederanlauffähigkeit und RTO/RPO-Belastbarkeit bei schweren Vorfällen)

Unsere Expertinnen und Experten analysieren in einem unverbindlichen Fachaustausch den Status quo Ihrer IT-Sicherheit und definieren Ihre maßgeschneiderte Roadmap zur Härtung der KI-Resilienz.

Ergebnis-Dashboard: Cyber/KI-Resilienz Profil

Abbildung 2: Ergebnis-Dashboard: Cyber-Resilienz Profil

Mehrwert für Banken: Investitionsschutz, Effizienz und Compliance 

Fokus statt Gießkanne: Das erzeugte Spinnendiagramm deckt „degradierte“ Kontrollen sofort auf. Banken können dadurch ihre Security-Budgets exakt dorthin lenken, wo sie den höchsten Schutzwert bieten, und Maßnahmen eliminieren, die nur noch „Reibung“ erzeugen.

Audit-Fähigkeit für DORA und NIS2: Das Assessment liefert den methodisch fundierten und nachweisbaren Beleg der digitalen Resilienz, den Aufseher im Rahmen von DORA (insb. Art. 17) und NIS2 zwingend fordern.

Quelle
Share: LinkedIn Xing X Facebook

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
5 Minuten Lesezeit

Claude Mythos im Banking: KI auf dem Weg in die Informationssicherheit