Gastbeitrag: Christian Nern, Markus Hupfauer & Julian Krautwald KPMG Financial Services
In einer Welt, in der Cyberangriffe zunehmend automatisiert und ausgeklügelter ablaufen, können KI-gestützte Sicherheitslösungen einen entscheidenden Vorteil bieten. Gleichzeitig birgt der Einsatz Künstlicher Intelligenz jedoch auch neue Risiken in der Cybersicherheit: Insbesondere die Gefahr eines Kontrollverlusts durch wachsende Systemkomplexität ist eine ernstzunehmende Herausforderung, die Unternehmen nicht ignorieren können.
Keine Frage: KI sorgt für effizientere Prozesse und kann auch den Schutz vor Cyberangriffen erhöhen. Doch mit zunehmender Integration steigen auch die Sicherheitsanforderungen – je smarter die Systeme, desto vielzähliger die Angriffspunkte und desto größer die Verantwortung, sie wirksam zu schützen. Gleichzeitig kann von der Technologie selbst ein Risiko ausgehen. Sie kann Fehlentscheidungen treffen und sich der menschlichen Kontrolle entziehen.
Daher ist es umso wichtiger, sich frühzeitig über eine sinnvolle Einbindung von KI in die Geschäftsprozesse Gedanken zu machen. Dabei lassen sich drei klare Erfolgsfaktoren identifizieren. Erstens: Das strikte Managementvon Drittanbietern und Dienstleistern, auf die man sich bei der Entwicklung und im Einsatz von KI-Systemen verlässt – dazu gehören z.B. auch Drittanbieter-Bibliotheken, welche man oftmals in seine KI-Entwicklungsprojekte einbindet. Zweitens: Volle Transparenz über das gesamte KI-Portfolio – denn nur wer umfassend sieht, kann wirksam schützen. Drittens: Technische Controls wie Zugriffsbeschränkungen, Verschlüsselung und kontinuierliches Monitoring, um Angriffen frühzeitig zu begegnen. Dieser Dreiklang kann Banken und Versicherern helfen, KI sicher zu betreiben – und das unter Berücksichtigung aktueller regulatorischer Anforderungen.
Die gute Nachricht: Etablierte Testverfahren gibt es bereits im Rahmen von DORA (Digital Operational Resilience Act). Sie sollen für resilientere IT-Systeme sorgen. Aktuell liegt der Fokus insbesondere auf „klassischen“ IKT-Systemen, allerdings eignen sie sich ebenso für neuartige KI-Systeme. Anders gesagt: Die Testverfahren sind zwar vorhanden, sollten aber erweitert und gezielt auf die Komplexität und Besonderheiten von KI abgestimmt werden. Dabei reicht es nicht aus, nur einzelne Komponenten der KI wie die Benutzeroberfläche zu prüfen. Vielmehr muss das KI-System als Ganzes getestet werden – von der Nutzeroberfläche über die Systemprompts bis hin zu möglichen Funktionsaufrufen.
Vernetzung von Technologien
Ein zentraler Aspekt für die erfolgreiche Umsetzung von KI-Sicherheit in Unternehmen besteht darin, alle vorhandenen Sicherheitssysteme zu nutzen und eigene KI-Anwendungen vollständig in die bestehende IT-Security-Architektur zu integrieren – von Extended Detection & Response (XDR) über User Entity and Behaviour Analytics (UEBA) bis hin zum Security Information and Event Management (SIEM). Nur wenn all diese Elemente nahtlos zusammenarbeiten, ist das Fundament für einen sicheren Betrieb von KI-Systemen gewährleistet. Darauf aufbauend sollten KI-spezifische Sicherheitskomponenten wie Prompt Firewalls und automatische KI-Test-Systeme implementiert werden.
Ein vielversprechender Ansatz besteht darin, KI selbst zur Abwehr von KI-basierten Sicherheitsbedrohungen einzusetzen. KI-gestützte Prompt Injection Firewalls können zum Beispiel gefährliche Eingaben frühzeitig erkennen und blockieren. Entscheidend ist jedoch, dass solche KI-Sicherheitslösungen auf einer soliden IT-Sicherheitsbasis aufbauen. Nur wenn grundlegende Schutzmaßnahmen vorhanden sind, können KI-gestützte Sicherheitstechniken wirksam und ohne neue Risiken eingesetzt werden.
Governance als Grundpfeiler der KI-Sicherheit
DORA kann eine Richtschnur für Banken und Versicherer sein: Die Verordnung gibt Auskunft darüber, was vom Regulator zur Stärkung der digitalen Resilienz, also auch zur Cyber-Security verlangt wird. Doch die Finanzinstitute sollten auch individuell für sich prüfen, wie KI in ihrem Geschäftsbereich eingebunden wird. Das Ziel lautet dabei stets, Innovation und Sicherheit in einem gesunden Gleichgewicht zu halten. Fundamental ist für diesen Zweck eine Governance mit klar definierten Regeln und Maßnahmen, die einen verantwortungsvollen, sicheren und zugleich pragmatischen Umgang mit KI ermöglichen.
In einer idealen Welt gibt es ein solches Rahmenwerk bereits vor der Integration von KI in die Unternehmensprozesse. Der Vorteil liegt auf der Hand: Risiken durch unkoordinierte oder unübersichtliche Systemlandschaften werden frühzeitig eingehegt, die Komplexität durch KI bleibt beherrschbar. Gibt es keine Governance als Grundlage, droht schnell der Kontrollverlust. Fehlende Regeln und Zugriffssteuerung können zu Sicherheitsproblemen und Compliance-Verstößen führen – so wird aus Innovation schnell ein Risiko.
Die KI-Governance definiert nicht nur, wie Künstliche Intelligenz im Geschäftsbereich eingesetzt werden soll. Sondern sie bietet auch Klarheit über Zuständigkeiten, Abstimmungsprozesse und Kontrollmechanismen, die auf die Visibilität der Technologie einzahlen. Das heißt: Das Verhalten, die Entscheidungen und Datenflüsse der verschiedenen KI-Anwendungen bleiben für die IT-Sicherheit stets nachvollziehbar. Das Ziel sollte dabei sein, die Gefahr der KI als Black Box zu minimieren.
Einen großen Faktor in der praktischen Umsetzung spielt das Identity and Access Management (IAM). Die über das IAM durchgesetzten einheitlichen Standards fördern die Zusammenarbeit über die Fachbereiche hinweg, gewährleisten einen sicheren Datenaustausch und verhindern, dass parallele Datensilos entstehen. Ein zentrales IAM ist somit ein wichtiger Faktor dafür, dass Banken die Souveränität über sensible Daten und Systeme behalten.
Allerdings entstehen die genannten Vorteile nicht allein durch ein effektives IAM: Erst in Kombination mit zentralen Plattformen für die KI-Entwicklung lassen sich Wissen und Ressourcen effizient bündeln. So kann die Bank oder Versicherung ihre KI-Initiativen gezielt weiterentwickeln, Innovation vorantreiben und gleichzeitig das Vertrauen von Kunden und Aufsichtsbehörden in die digitale Kompetenz und Sicherheit des Instituts stärken.
Die Rolle von Gesetzgebungen
Angesichts der herausfordernden Lage, in der sich Unternehmen befinden, wird das Thema Regulierung immer zentraler. Obwohl der AI Act der EU von 2023 grundlegende Standards für den KI-Einsatz setzt, bleibt die Umsetzung und fachliche Qualitätssicherung oft unklar. Insbesondere ist offen, wie gewährleistet wird, dass KI-Systeme auch komplexen Prozessen und Arbeitsanweisungen – auch unter schwierigen Randbedingungen – zuverlässig folgen.
Unternehmen haben in der Regel keine Möglichkeit, die Qualität der Produkte, die sie von großen US-amerikanischen KI-Anbietern beziehen, hinsichtlich ihrer Sicherheit kontinuierlich zu überwachen. Es fehlt an Transparenz darüber, ob das KI-System dauerhaft und nicht nur punktuell die erforderliche Performance liefert. Gleichzeitig sind viele Unternehmen auf diese Anbieter angewiesen, da es kaum lokale, gesetzeskonforme Alternativen gibt. Wichtige Ziele wie Datenintegrität und die Einhaltung von Gesetzen geraten dadurch leicht in den Hintergrund. Um flexibel zu bleiben, aktuelle Technologien nutzen zu können und Risiken zu minimieren, sollten Unternehmen deshalb auf anbieterunabhängige Lösungen setzen.
Immerhin: Mit dem EU AI Act sind die gesetzlichen Rahmenbedingungen für den Einsatz von KI innerhalb der Europäischen Union jetzt weitgehend klar – auch wenn sie noch weiterentwickelt werden können. Diese Regulierung sorgt dafür, dass die positiven Aspekte der Technologie überwiegen und wirtschaftliche Interessen nicht auf Kosten von Integrität und Sicherheit durchgesetzt werden. Nun sind die Unternehmen in der Pflicht, diese Anforderungen konsequent umzusetzen. Das bedeutet vor allem, die technischen Sicherheitsmaßnahmen zu etablieren und gleichzeitig sicherzustellen, dass die von KI-Systemen getroffenen Entscheidungen und Ausgaben auch fachlich korrekt sind.
„Jetzt vor die Welle kommen“ – KI-Sicherheit strategisch angehen
Künstliche Intelligenz hält in rasantem Tempo Einzug in sämtliche Unternehmensbereiche – ganz besonders auch in die IT-Sicherheit. Es ist jetzt höchste Zeit, sich diesem Wandel mit einer ganzheitlichen Sicherheitsstrategie zu stellen. Wer KI von Anfang an zentrale, übergreifende Standards etabliert, verhindert die Entstehung vieler isolierter Einzellösungen, die später aufwändig und teuer in die Gesamtarchitektur integriert werden. Das ist eine kostspielige und ineffiziente Erfahrung, wie frühere Technologietrends gezeigt haben. Unternehmen, die jetzt „vor die Welle“ kommen und KI-Sicherheit konsequent und unter Einbezug technischer, organisatorischer und regulatorischer Aspekte umsetzen, schaffen ein stabiles Fundament – für langfristigen Innovationserfolg, Vertrauen und digitale Resilienz.
Üver die Autoren:
Christian Nern ist Partner und Head of Security bei KPMG im Bereich Financial Services in München. Vor
seiner Tätigkeit bei KPMG hat der Diplom-Kaufmann 25 Jahre lang in exponierten Leadership-Positionen
verschiedener Bereiche in der IT-Industrie gearbeitet
Julian Krautwald ist Practice Lead Detection & Response bei KPMG im Bereich Financial Services. Er ist Experte auf dem Gebiet digitale Transformation des Financial-Services-Sektors mit dem Fokus auf die
operative Cyber-Sicherheit.
Markus Hupfauer ist Manager im Bereich FS Technology & IT-Compliance und Experte für die
Anwendung von Künstlicher Intelligenz in der Cybersecurity.
