BaFin-Update zu KI & DORA

Das Wichtigste in 30 Sekunden

• KI ist „nur“ Software: Die BaFin stellt klar, dass KI-Systeme (inkl. LLMs) als IKT-Systeme gemäß DORA behandelt werden. Es gibt keinen „KI-Bonus“ – die DORA-Regeln zu Risikomanagement und Governance gelten uneingeschränkt.
• Haftung der Geschäftsleitung: Der Vorstand trägt die Gesamtverantwortung. Unkenntnis über die Funktionsweise eingesetzter KI-Modelle schützt nicht vor regulatorischen Konsequenzen (Art. 5 DORA).
• Drittparteienrisiko als Achillesferse: Da die meisten Finanzunternehmen KI via Cloud/API beziehen, wird das IKT-Drittparteienrisikomanagement zum kritischen Engpass. Exit-Strategien für LLMs sind Pflicht.
• Lebenszyklus-Falle: Sicherheit muss von der Datenbeschaffung bis zur Stilllegung (End-of-Life) gewährleistet sein. Datenreste in „vergessenen“ Modellen sind ein massives Compliance-Risiko.

Der Paradigmenwechsel: Von „Innovation Lab“ zu „Regulatorischer Pflicht“

Viele Finanzunternehmen behandeln Generative KI (GenAI) als isoliertes Innovationsprojekt. Die am 18.12.2025 veröffentlichte Orientierungshilfe der BaFin beendet diese Phase.

Die Kernaussage ist simpel:

KI-Systeme sind IKT-Systeme.

Damit fallen KI-Anwendungen vollumfänglich unter denDigital Operational Resilience Act (DORA). Für Entscheider bedeutet das: Der Einsatz von KI ist ein zentrales Thema der operationalen Resilienz. Wer KI nutzt, ohne die IKT-Governance anzupassen, operiert ab sofort im regulatorischen Blindflug.

Was diese Orientierungshilfe so brisant macht, ist nicht das, was drinsteht, sondern das, was sie impliziert:Es gibt keine Schonfrist für experimentelle KI-Implementierungen im Kernbanken- oder Versicherungsgeschäft.

Governance & Organisation: Der Vorstand in der Pflicht

BaFin fordert explizit eineKI-Strategie, die in die Geschäftsstrategie integriert ist.

• Strategische Implikation: Das Leitungsorgan muss über „ausreichende Kenntnisse“ verfügen, um KI-Risiken zu bewerten.
• Das Risiko: Wenn ein KI-Modell halluziniert und dies zu finanziellen Schäden führt, wird die Aufsicht fragen: „Haben Sie die Funktionsweise verstanden und genehmigt?“ Eine Antwort wie „Das war ein Black-Box-Modell unseres Anbieters“ wird unter DORA nicht akzeptiert.
• Action Item: Implementieren Sie einCompliance Dashboardfür KI (wie in der BaFin-Fallstudie empfohlen), das Modellversionen, Risikobewertungen und Verantwortlichkeiten zentral erfasst. Transparenz ist Ihre Versicherung

Das IKT-Drittparteienrisiko: Die Abhängigkeitsfalle

Die Realität im Finanzsektor ist deutlich: Kaum ein Institut entwickelt eigene Foundation Models „On-Premise“. Man nutzt APIs von Hyperscalern oder spezialisierte SaaS-Lösungen.

Hier greift die BaFin mit der Orientierungshilfe tief ein. Bei der Nutzung von Cloud-basierten KI-Diensten gelten die strengen Regeln derRTS (Regulatory Technical Standards) zur Untervergabe.

Kritische Punkte für Entscheider:

• Vendor-Lock-In: Sie müssen eine Exit-Strategie haben. Was passiert, wenn Ihr US-Cloud-Anbieter den Dienst einstellt oder die Preise verzehnfacht? Können Sie Ihre Trainingsdaten und Konfigurationen exportieren?
• Schatten-IT: Mitarbeiter nutzen oft unautorisierte KI-Tools. Dies umgeht alle Sicherheitskontrollen. Die BaFin erwartet technische Maßnahmen (z.B. Web-Proxies, DLP), um Datenabflüsse zu verhindern.
• Modell-Drift & Updates: Bei Cloud-Modellen ändert der Anbieter oft das Modell im Hintergrund. Ein Update, das Sie nicht kontrollieren, kann die Entscheidungsgrundlage Ihrer Kreditvergabe über Nacht verändern.

Cyber-Sicherheit: Neue Angriffsvektoren verstehen

Die Orientierungshilfe hebt spezifische Angriffsvektoren hervor, die in klassischen IKT-Systemen so nicht existieren. Es geht um die Integrität der Logik.

Die drei großen Gefahren:

1. Data Poisoning: Angreifer manipulieren Trainingsdaten, um das Verhalten der KI subtil zu steuern.
2. Adversarial Attacks / Prompt Injection: Gezielte Eingaben, die Sicherheitsmechanismen der KI aushebeln (z.B. um vertrauliche Kundendaten zu extrahieren).
3. Modell-Inversion: Rückrechnung der Trainingsdaten aus dem Modell-Output, was Datenschutzverletzungen (DSGVO) zur Folge hat.

„Security by Design“ ist nicht optional. Für kritische Funktionen empfiehlt die BaFin isolierte Umgebungen (Containerisierung) und strikte „Human-in-the-Loop“-Prozesse, insbesondere bei automatisierten Entscheidungen.

Der Lebenszyklus: Das vergessene Risiko „Decommissioning“

Ein oft übersehener Aspekt, den die BaFin stark betont, ist dasEnd-of-Life Management.

Was passiert mit einem KI-Assistenten, wenn er abgeschaltet wird? Historische Prompts, Trainingsdaten und Modellgewichte enthalten oft hochsensible Informationen.

Die Gefahr: Wenn alte Modelle nicht sicher gelöscht (kryptografisches Wiping) werden, können sie Jahre später geleakt werden und Geschäftsgeheimnisse preisgeben. Eine einfache „Löschtaste“ reicht hier oft nicht aus, besonders in komplexen Cloud-Umgebungen.

Fazit: Agieren statt Reagieren

Die BaFin-Orientierungshilfe ist zwar rechtlich „nicht bindend“, aber sie definiert den Maßstab, an dem Prüfer die Einhaltung von DORA messen werden. Wer diese Hinweise ignoriert, riskiert bei der nächsten Prüfung empfindliche Feststellungen.

Strategische Handlungsempfehlungen für C-Level:

1. Audit der KI-Landschaft: Identifizieren Sie alle KI-Systeme (auch Schatten-IT) und klassifizieren Sie diese nach Kritikalität.
2. DORA-Integration: Bauen Sie keine parallele „KI-Governance“. Integrieren Sie KI-Risiken nahtlos in Ihren bestehenden IKT-Risikomanagementrahmen (Art. 6 DORA).
3. Kompetenzaufbau: Schulen Sie nicht nur die IT, sondern vor allem die Fachbereiche und das Management. Risikobewusstsein für „Halluzinationen“ und „Bias“ muss Teil der Unternehmenskultur werden.

Der Markt wartet nicht.Die Institute, die KI-Governance jetzt als Enabler für sichere Innovation begreifen, werden sich einen massiven Wettbewerbsvorteil sichern!