Agentic AI als Sicherheitsrisiko: Warum Banken und Versicherungen jetzt handeln müssen

Published by Luna on

Autonome KI-Agenten revolutionieren die Finanzbranche – doch sie schaffen eine völlig neue Angriffsfläche. 48 Prozent der Cybersecurity-Experten sehen Agentic AI als grösste Bedrohung des Jahres 2026. Was bedeutet das für DORA-Compliance und IT-Sicherheitsstrategien?

Autor: Stephan Ferraro, Gründer und Geschäftsführer der Aionda GmbH

Die stille Revolution: Vom Chatbot zum autonomen Agenten

Die Art und Weise, wie Unternehmen Künstliche Intelligenz einsetzen, hat sich fundamental verändert. Während KI-Systeme noch vor zwei Jahren primär als Assistenten fungierten – sie beantworteten Fragen, generierten Texte und unterstützten bei Analysen -, operieren sie heute als autonome Agenten. Diese sogenannten Agentic AI-Systeme führen mehrstufige Aufgaben eigenständig aus, rufen externe Tools auf, treffen Entscheidungen ohne menschliche Freigabe pro Einzelschritt und interagieren direkt mit Unternehmenssystemen.

Für Banken und Versicherungen birgt diese Entwicklung enormes Potenzial: Automatisierte Kreditprüfungen, autonome Schadenregulierung, KI-gestützte Compliance-Überwachung und intelligente Kundenbetreuung sind nur einige der Anwendungsfelder. Doch mit der Autonomie kommt ein Sicherheitsproblem, das viele Organisationen noch nicht auf dem Radar haben.

Alarmierende Zahlen: Der Status Quo

Ein aktuelles Briefing des AIUC-1 Consortium, entwickelt unter Mitwirkung von Stanford’s Trustworthy AI Research Lab und über 40 Security-Führungskräften – darunter CISOs von Confluent, Elastic, UiPath und der Deutschen Börse -, zeichnet ein ernüchterndes Bild:

  • 64 Prozent der Unternehmen mit einem Jahresumsatz über 1 Milliarde Dollar haben bereits mehr als 1 Million Dollar durch KI-Ausfälle verloren (EY Survey)
  • Jedes fünfte Unternehmen berichtet von einem Sicherheitsvorfall durch unautorisierte KI-Nutzung (Shadow AI)
  • 80 Prozent der befragten Organisationen melden riskantes Verhalten von KI-Agenten, einschliesslich unautorisiertem Systemzugriff und unbeabsichtigter Datenexposition
  • Nur 21 Prozent der Führungskräfte geben an, vollständige Transparenz über Agent-Berechtigungen, Tool-Nutzung und Datenzugriffsmuster zu haben

Illustration autonomer AI Agents mit Verbindungen zu Unternehmenssystemen und Sicherheitswarnungen

Autonome AI Agents schaffen neue, schwer kontrollierbare Angriffsflächen in Unternehmensumgebungen.

Die drei Kernrisiken von Agentic AI

1. Das Agent-Problem: Autonomie ohne Kontrolle

KI-Agenten operieren heute mit weitreichenden Berechtigungen. Sie greifen auf Kundendaten zu, führen Transaktionen aus und integrieren sich in Kerninfrastruktur. Das Problem: Selbst ohne externen Angreifer können Agenten mit übermässigen Zugriffsrechten und unzureichenden Containment-Grenzen Schäden verursachen – allein durch ihren normalen Betrieb.

Omar Khawaja, VP und Field CISO bei Databricks, bringt es auf den Punkt: KI-Komponenten verändern sich ständig entlang der gesamten Lieferkette. Bestehende Sicherheitskontrollen gehen jedoch von statischen Assets aus. Wenn sich das Verhalten eines Agenten verändert, entstehen blinde Flecken in der Überwachung.

Für Finanzinstitute ist das besonders kritisch. Ein KI-Agent, der autonome Kreditentscheidungen trifft oder Compliance-Reports generiert, muss in seinem Handlungsspielraum exakt definiert und überwacht werden. Jede Abweichung kann regulatorische Konsequenzen haben.

2. Das Sichtbarkeitsproblem: Shadow AI ausser Kontrolle

Die Zahlen sind alarmierend: 63 Prozent der Mitarbeitenden, die 2025 KI-Tools nutzten, haben sensible Unternehmensdaten – darunter Quellcode und Kundendaten – in persönliche Chatbot-Accounts eingefügt. Das durchschnittliche Unternehmen hat geschätzt 1.200 inoffizielle KI-Anwendungen im Einsatz. 86 Prozent der Organisationen berichten, keinerlei Transparenz über ihre KI-Datenflüsse zu haben.

Shadow-AI-Vorfälle kosten durchschnittlich 670.000 Dollar mehr als reguläre Sicherheitsvorfälle. Der Grund: Verzögerte Erkennung und die Schwierigkeit, das Ausmass der Datenexposition zu bestimmen.

Für regulierte Branchen wie Banking und Versicherung ist Shadow AI ein Compliance-Albtraum. Wenn Mitarbeitende Kundendaten in nicht genehmigte KI-Dienste einspeisen, verstösst das nicht nur gegen interne Richtlinien, sondern potenziell gegen DSGVO, DORA und aufsichtsrechtliche Anforderungen der BaFin.

3. Das Vertrauensproblem: Prompt Injection als Produktionsrisiko

Prompt Injection – die Manipulation von KI-Systemen durch geschickt formulierte Eingaben – ist vom akademischen Forschungsthema zum realen Produktionsproblem geworden. OWASP hat Prompt Injection auf Platz 1 seiner LLM Top 10 gesetzt. Die Verwundbarkeit existiert, weil grosse Sprachmodelle nicht zuverlässig zwischen Anweisungen und Dateneingaben unterscheiden können.

53 Prozent der Unternehmen nutzen mittlerweile Retrieval-Augmented Generation (RAG) oder agentenbasierte Pipelines. Jede dieser Architekturen führt neue Injection-Oberflächen ein. Ein Angreifer, der es schafft, einen autonomen KI-Agenten in einer Bank zu manipulieren, könnte theoretisch Transaktionen auslösen, Daten exfiltrieren oder Compliance-Kontrollen umgehen.

DORA und Agentic AI: Eine regulatorische Herausforderung

IT-Berater präsentiert DORA-Compliance-Strategie vor Bankvorstand

Die Integration von AI-Agent-Governance in DORA-Compliance-Strategien wird für Finanzinstitute zur Pflichtaufgabe.

Der Digital Operational Resilience Act (DORA) fordert von Finanzinstituten seit Januar 2025 eine umfassende digitale operationale Resilienz. Die erste Berichtsperiode 2026 (1. Januar bis 21. März) verlangt beispiellose Transparenz über ICT-Systeme, Drittanbieter-Abhängigkeiten und Frameworks zur operativen Kontinuität.

Was DORA jedoch nicht explizit adressiert, sind die spezifischen Risiken autonomer KI-Agenten. Hier entsteht eine Governance-Lücke, die Finanzinstitute eigenständig schliessen müssen.

Die fünf DORA-Säulen im Kontext von Agentic AI

DORA-Säule Relevanz für Agentic AI Handlungsbedarf
ICT-Risikomanagement KI-Agenten als neue ICT-Risikoklasse erfassen Hoch – Agent-spezifisches Risk Assessment nötig
Incident Reporting Agent-Fehlverhalten als meldepflichtiger Vorfall? Mittel – Klassifizierungsrahmen entwickeln
Digitale Resilienz-Tests Penetrationstests müssen Prompt Injection umfassen Hoch – Testmethodik erweitern
Third-Party Risk KI-Modell-Anbieter als kritische ICT-Drittanbieter Hoch – Vertragswerke anpassen
Informationsaustausch KI-spezifische Bedrohungsintelligenz teilen Mittel – Brancheninitiativen nutzen

Third-Party Risk: KI-Modell-Anbieter im DORA-Kontext

Ein besonders kritischer Punkt betrifft das Drittanbieter-Risikomanagement. Wenn ein Finanzinstitut KI-Agenten einsetzt, die auf Modellen von OpenAI, Anthropic, Google oder anderen Anbietern basieren, werden diese zu kritischen ICT-Drittanbietern im Sinne von DORA. Das bedeutet:

  • Vertragliche Vereinbarungen müssen Exit-Strategien und Datenportabilität sicherstellen
  • Regelmässige Audits der KI-Anbieter sind erforderlich
  • Konzentrationsrisiken (z.B. Abhängigkeit von einem einzigen LLM-Anbieter) müssen bewertet werden
  • Sub-Outsourcing-Ketten der KI-Anbieter müssen transparent sein

Ein aktuelles Beispiel verdeutlicht die Relevanz: Anfang 2026 kompromittierten Angreifer das OpenAI-Plugin-Ökosystem, wodurch Agent-Credentials aus 47 Unternehmensdeployments abgegriffen wurden. Dieser Supply-Chain-Angriff zeigt, dass KI-Infrastruktur denselben Bedrohungen ausgesetzt ist wie klassische Software-Lieferketten – jedoch mit potenziell grösseren Auswirkungen.

Bestehende Frameworks reichen nicht aus

Frameworks wie NIST AI RMF und ISO 42001 bieten organisatorische Governance-Strukturen, darunter Risiko-Komitees und Dokumentationsanforderungen. Was sie nicht liefern, sind die spezifischen technischen Kontrollen, die CISOs für agentenbasierte Deployments benötigen:

  • Tool-Call-Parameter-Validierung: Sicherstellen, dass Agenten nur autorisierte Aktionen mit gültigen Parametern ausführen
  • Prompt-Injection-Logging: Erkennung und Protokollierung von Manipulationsversuchen in Echtzeit
  • Containment-Testing: Überprüfung, ob Agenten innerhalb ihrer definierten Grenzen bleiben
  • Verhaltensmonitoring: Kontinuierliche Überwachung auf Abweichungen vom erwarteten Verhaltensmuster
  • Privilege Escalation Detection: Erkennung, wenn Agenten versuchen, über ihre Berechtigungen hinaus zu agieren

Handlungsempfehlungen für Finanzinstitute

Basierend auf den aktuellen Erkenntnissen empfehlen wir folgende Massnahmen für Banken und Versicherungen:

Kurzfristig (Q1-Q2 2026)

  1. AI-Asset-Inventar erstellen: Vollständige Erfassung aller KI-Systeme und -Agenten im Unternehmen, einschliesslich Shadow AI. Ohne dieses Inventar ist keine Risikobewertung möglich.
  2. Agent-Berechtigungsmodell definieren: Für jeden KI-Agenten klare Zugriffsrechte nach dem Principle of Least Privilege festlegen. Kein Agent sollte mehr Berechtigungen haben, als für seine spezifische Aufgabe nötig ist.
  3. DORA-Berichterstattung erweitern: KI-Agenten in die ICT-Risikobewertung und das Drittanbieter-Register integrieren.

Mittelfristig (Q3-Q4 2026)

  1. AI Security Operations aufbauen: Dedizierte Überwachung für KI-Agenten implementieren, idealerweise als Erweiterung des bestehenden SOC.
  2. Penetrationstests um AI-Vektoren erweitern: Red-Team-Übungen sollten Prompt Injection, Agent-Manipulation und Supply-Chain-Angriffe auf KI-Infrastruktur umfassen.
  3. Incident-Response-Pläne aktualisieren: Spezifische Playbooks für KI-bezogene Sicherheitsvorfälle entwickeln.

Langfristig (2027)

  1. AI Governance Framework etablieren: Ein umfassendes Rahmenwerk für KI-Governance, das technische Kontrollen, organisatorische Prozesse und regulatorische Anforderungen integriert.
  2. Kontinuierliches Compliance-Monitoring: Automatisierte, API-gestützte Compliance-Überwachung, die KI-Agenten in Echtzeit gegen Richtlinien und regulatorische Anforderungen prüft.

TCO-Betrachtung: Was kostet Untätigkeit?

Eine Gegenüberstellung der Kosten verdeutlicht, warum proaktives Handeln wirtschaftlich sinnvoll ist:

Kostenfaktor Proaktive Investition Kosten bei Vorfall
AI Security Assessment 50.000 – 150.000 EUR
Agent-Monitoring-Lösung 100.000 – 300.000 EUR/Jahr
Shadow-AI-Breach 670.000+ EUR (Aufschlag)
DORA-Verstoss (Bussgeld) bis 10.000.000+ EUR
Reputationsschaden Nicht quantifizierbar

Die proaktive Investition in AI-Security liegt typischerweise bei 150.000 bis 450.000 EUR im ersten Jahr. Dem stehen mögliche Kosten eines einzelnen Vorfalls von mehreren Millionen Euro gegenüber – ohne den kaum quantifizierbaren Reputationsschaden bei Kunden und Aufsichtsbehörden.

Fazit: Handeln, bevor der Regulator handelt

Agentic AI ist keine Zukunftsmusik – es ist die Gegenwart. Finanzinstitute, die KI-Agenten einsetzen oder deren Einsatz planen, müssen die Sicherheitsimplikationen ernst nehmen. Die Kombination aus autonomem Handeln, mangelnder Transparenz und neuartigen Angriffsvektoren schafft ein Risikoprofil, das mit klassischen IT-Sicherheitsansätzen nicht ausreichend adressiert werden kann.

Die gute Nachricht: Wer jetzt handelt, verschafft sich einen Vorsprung. Eine durchdachte AI-Governance-Strategie stärkt nicht nur die Sicherheit, sondern auch die DORA-Compliance und das Vertrauen von Kunden und Aufsichtsbehörden.

Die BaFin beobachtet die Entwicklung aufmerksam. Es ist ein mögliches Szenario, dass regulatorische Konkretisierungen für den Einsatz von KI-Agenten in der Finanzbranche in den kommenden Monaten folgen. Institute, die bereits jetzt eine robuste AI-Security-Infrastruktur aufgebaut haben, werden davon profitieren.

Sie möchten Ihre Organisation auf die Sicherheitsherausforderungen von Agentic AI vorbereiten? Die Aionda GmbH unterstützt Finanzinstitute bei der Entwicklung und Implementierung von AI-Governance-Strategien, DORA-konformer KI-Integration und sicherer Softwarearchitektur. Kontaktieren Sie uns für ein unverbindliches Gespräch: stephan.ferraro@aionda.com

Stephan Ferraro ist Gründer und Geschäftsführer der Aionda GmbH. Mit über 20 Jahren Erfahrung in der IT-Beratung für die Finanzbranche berät er Banken und Versicherungen zu Themen wie Softwarearchitektur, IT-Security und digitale Transformation.

Categories: Blog

0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

IT-Operations-Center einer Bank mit Cybersecurity-Dashboards und KI-Analytik zur DORA-Compliance-Ueberwachung
Blog

DORA 2026 und Agentic AI: Wie KI-Agenten die Compliance-Luecke in der Finanzbranche schliessen koennen

44 Prozent der Finanzunternehmen in Deutschland sind noch nicht vollstaendig DORA-compliant. Gleichzeitig prognostizieren Analysten, dass 44 Prozent der Finanzteams bis Ende 2026 Agentic AI einsetzen werden. Zwei Zahlen, die zusammengehoeren. In diesem Artikel analysieren wir, Read more…

IT-Sicherheitsteam einer Bank überwacht AI-Agent-Aktivitäten auf Monitoring-Dashboards
Blog

AI Agents als Insider-Bedrohung: Warum Banken und Versicherungen jetzt handeln müssen

Autonome KI-Agenten revolutionieren Geschäftsprozesse in der Finanzbranche. Doch mit der wachsenden Autonomie steigen die Sicherheitsrisiken exponentiell. Eine aktuelle Cisco-Studie zeigt: Nur 29 Prozent der Unternehmen sind auf die Absicherung agentenbasierter KI vorbereitet. Für Banken und Read more…

Modernes Bankoperationszentrum mit KI-Agent-Dashboards und Sicherheitsmonitoring auf mehreren Bildschirmen
Blog

KI-Agenten als Sicherheitsrisiko: Warum Banken und Versicherungen jetzt handeln müssen

Autonome KI-Agenten erobern die Finanzbranche – doch 80 Prozent der Unternehmen melden bereits riskante Verhaltensweisen ihrer Systeme. Eine aktuelle MIT-Studie und ein Bericht des AIUC-1 Consortiums zeigen: Die Sicherheitslücken sind gravierend, und die DORA-Verordnung macht Read more…