KI-Agenten als neue Angriffsfläche: Was Banken und Versicherungen 2026 wissen müssen

Published by Luna on

83 Prozent der Unternehmen planen den Einsatz autonomer KI-Agenten. Doch nur 29 Prozent fühlen sich bereit, diese Systeme abzusichern. Gleichzeitig verschärft die BaFin ihre DORA-Prüfungen. Für Banken, Versicherungen und Finanzdienstleister entsteht eine doppelte Herausforderung, die strategisches Handeln erfordert.

Agentic AI: Mehr als ein Chatbot

Die KI-Landschaft hat sich 2026 grundlegend verändert. Während Chatbots und einfache Assistenzsysteme in den vergangenen Jahren als Einstieg in die KI-Welt dienten, dominieren jetzt sogenannte KI-Agenten (Agentic AI) die Diskussion in Vorstandsetagen und IT-Abteilungen. Der Unterschied ist fundamental: Ein Chatbot beantwortet Fragen. Ein KI-Agent handelt autonom.

KI-Agenten lesen Datenbanken aus, versenden E-Mails, modifizieren Datensätze, lösen Workflows aus und treffen eigenständige Entscheidungen – mit minimaler menschlicher Kontrolle. Salesforce, ServiceNow und SAP haben solche Agenten bereits in ihre Plattformen integriert. Laut einer aktuellen Umfrage von Dark Reading betrachten 48 Prozent der Cybersecurity-Experten agentenbasierte KI als den wichtigsten Angriffsvektor für 2026.

Für die Finanzbranche bedeutet das: Die Systeme, die Effizienz und Automatisierung versprechen, schaffen gleichzeitig eine völlig neue Kategorie von Sicherheitsrisiken.

Netzwerk autonomer KI-Agenten mit Sicherheitsschild als Symbol für die neue Angriffsfläche

Die drei kritischen Angriffsvektoren

Das National Institute of Standards and Technology (NIST) hat im Januar 2026 eine formelle Anfrage zur Absicherung von KI-Agenten-Systemen veröffentlicht. Die OWASP Top 10 für Agentic Applications, publiziert Ende 2025, identifizieren die grössten Risiken. Drei Bedrohungskategorien stechen besonders hervor:

1. Prompt Injection: Wenn Daten zu Befehlen werden

Prompt Injection ist das wohl unterschätzteste Risiko autonomer KI-Systeme. Der Angriff funktioniert so: Ein KI-Agent verarbeitet eingehende Daten – etwa eine Kunden-E-Mail, ein Dokument oder einen Datenbankeintrag. Ist in diesen Daten eine versteckte Anweisung eingebettet, kann der Agent diese als legitimen Befehl interpretieren und ausführen.

Ein mögliches Szenario: Ein Kunde sendet eine Serviceanfrage, in deren Text eine versteckte Anweisung eingebettet ist. Der KI-Agent, der die Anfrage automatisch bearbeitet, könnte diese Anweisung ausführen – etwa eine Erstattung genehmigen, die ausserhalb der Richtlinien liegt. IBM hat genau einen solchen Fall dokumentiert, bei dem ein autonomer Kundenservice-Agent Erstattungen ausserhalb der Unternehmensrichtlinien genehmigte.

2. Identitätsmissbrauch und Rechteeskalation

KI-Agenten operieren nicht mehr innerhalb der Sitzung eines Benutzers. Sie verfügen über eigene API-Schlüssel, Service-Accounts und OAuth-Tokens. Sicherheitsforscher sprechen von “nicht-menschlichen Identitäten” (Non-Human Identities, NHI). Jeder eingesetzte Agent ist im Prinzip ein neuer Mitarbeiter mit Systemzugriff, der mit Maschinengeschwindigkeit arbeitet und ungewöhnliche Anweisungen selten hinterfragt.

Die OWASP listet Identitäts- und Privilegienmissbrauch unter den Top-3-Risiken für agentenbasierte Anwendungen. Ein kompromittierter Agent mit weitreichenden Zugriffsrechten kann erheblichen Schaden anrichten, bevor ein Mensch die Anomalie bemerkt.

3. Supply-Chain-Angriffe auf KI-Komponenten

Microsoft hat in seinem aktuellen Security Blog (März 2026) eine wachsende Bedrohung dokumentiert: Angreifer nutzen vertrauenswürdige KI-Komponenten, Plugins oder nachgelagerte Verbindungen, um indirekten Zugang zu Daten, Entscheidungsprozessen oder Unternehmens-Workflows zu erlangen. Zusätzlich beobachtet Microsoft eine Technik namens “AI Recommendation Poisoning”, bei der manipulierte Empfehlungen über KI-Systeme verbreitet werden.

Für Finanzinstitute mit komplexen IT-Landschaften und zahlreichen Drittanbieter-Integrationen stellt dies ein besonders kritisches Risiko dar.

DORA 2026: Der regulatorische Druck steigt

Parallel zur wachsenden KI-Bedrohungslandschaft verschärft sich die regulatorische Lage. Der Digital Operational Resilience Act (DORA) ist seit Januar 2025 anwendbar, und 2026 markiert den eigentlichen Startpunkt der aufsichtsbehördlichen Durchsetzung.

Die Zahlen sind ernüchternd: Laut aktuellen Erhebungen sind 44 Prozent der Finanzunternehmen in Deutschland nicht vollständig DORA-compliant. Der durchschnittliche Umsetzungsstand liegt bei etwa zwei Dritteln der Anforderungen. Die BaFin hat 2026 mit systematischen Prüfungen und Nachschauprüfungen begonnen.

Die fünf Kernpfeiler von DORA

Kernpfeiler Anforderung Relevanz für KI-Agenten
IKT-Risikomanagement Umfassendes Rahmenwerk für IT-Risiken KI-Agenten müssen als eigenständige Risikoklasse erfasst werden
Incident Reporting Meldung schwerwiegender IKT-Vorfälle Autonome Agenten-Fehlentscheidungen als meldepflichtiger Vorfall
Resilienztests Von Basistests bis Threat-Led Penetration Testing Penetrationstests müssen KI-spezifische Angriffe einschliessen
Drittparteienrisiko Steuerung aller IKT-Dienstleister KI-Modell-Anbieter (OpenAI, Anthropic etc.) als kritische Drittparteien
Informationsaustausch Austausch von Bedrohungsinformationen KI-spezifische Bedrohungen teilen und gemeinsam abwehren

Was DORA von früheren Regulierungen wie BAIT, VAIT oder KAIT unterscheidet: Die Verordnung gilt unmittelbar als EU-Recht, hat einen deutlich breiteren Anwendungsbereich und setzt erheblich schärfere Fristen – insbesondere beim Incident Reporting.

Geschäftsführer und IT-Berater prüfen DORA-Compliance-Dokumente im modernen Büro

Die Regulierungswelle 2026: DORA ist nur der Anfang

DORA steht nicht isoliert. 2026 treffen gleich vier EU-Regulierungen auf Unternehmen im Finanzsektor:

  • DORA – Digitale operationale Resilienz (seit Januar 2025 anwendbar, 2026 aktive Prüfungen)
  • NIS2 – Netzwerk- und Informationssicherheit für kritische Infrastrukturen
  • AI Act – Regulierung von KI-Systemen nach Risikokategorien
  • Cyber Resilience Act (CRA) – Ab September 2026 extrem kurze Meldepflichten für Sicherheitslücken

Finanzinstitute, die KI-Agenten einsetzen, müssen also gleichzeitig DORA-Compliance, AI-Act-Konformität und NIS2-Anforderungen erfüllen. Die Überschneidungen sind erheblich, aber auch die Synergien: Ein solides IKT-Risikomanagement nach DORA kann als Grundlage für die Compliance mit den anderen Regulierungen dienen.

Handlungsempfehlungen: Sieben Schritte zur sicheren KI-Agenten-Strategie

Basierend auf den aktuellen Erkenntnissen von NIST, OWASP, Cisco und Microsoft empfehlen wir Finanzinstituten folgende Massnahmen:

1. KI-Agenten-Inventar aufbauen

Erfassen Sie systematisch alle KI-Agenten in Ihrer Organisation – sowohl offiziell eingeführte als auch sogenannte “Shadow AI”. Dokumentieren Sie deren Zugriffsrechte, Datenflüsse und Entscheidungsbefugnisse.

2. Zero-Trust-Prinzipien auf KI-Agenten anwenden

Behandeln Sie jeden KI-Agenten wie einen neuen Mitarbeiter: minimale Rechte (Least Privilege), regelmässige Überprüfung der Zugriffsrechte und konsequente Authentifizierung bei jeder Aktion.

3. Human-in-the-Loop für kritische Entscheidungen

Definieren Sie klare Schwellenwerte, ab denen ein KI-Agent menschliche Genehmigung einholen muss. Im Finanzsektor betrifft das insbesondere Transaktionen, Kundendatenänderungen und regulatorische Meldungen.

4. KI-spezifische Penetrationstests einführen

Klassische Penetrationstests decken KI-spezifische Angriffe wie Prompt Injection, Memory Poisoning oder Tool Misuse nicht ab. Integrieren Sie Red-Team-Übungen, die gezielt die autonomen Entscheidungswege Ihrer KI-Agenten testen.

5. Drittparteienrisikomanagement erweitern

KI-Modell-Anbieter müssen als kritische IKT-Drittparteien nach DORA klassifiziert werden. Überprüfen Sie Verträge, SLAs und Notfallpläne für den Fall, dass ein KI-Dienst ausfällt oder kompromittiert wird.

6. Incident-Response-Prozesse anpassen

Autonome KI-Agenten können in Millisekunden Schaden anrichten. Ihre Incident-Response-Prozesse müssen automatisierte Abschaltmechanismen (Kill Switches) für KI-Agenten enthalten.

7. Governance-Framework für Agentic AI etablieren

OpenAI und Microsoft haben kürzlich neue Governance-Tools für KI-Agenten angekündigt. OpenAI plant die Übernahme von Promptfoo, einem Spezialisten für KI-Schwachstellenanalyse. Nutzen Sie solche Tools, um kontinuierliche Sicherheitsprüfungen in den Entwicklungsprozess zu integrieren.

TCO-Betrachtung: Was kostet die Absicherung?

Eine realistische Einschätzung der Gesamtkosten (Total Cost of Ownership) für die Absicherung von KI-Agenten im regulierten Umfeld:

Kostenfaktor Einmalig Jährlich
KI-Agenten-Inventarisierung und Risikoklassifizierung 30.000 – 80.000 EUR 10.000 – 25.000 EUR
Anpassung Penetrationstests (KI-spezifisch) 20.000 – 50.000 EUR 40.000 – 100.000 EUR
DORA-Compliance-Erweiterung für KI 50.000 – 150.000 EUR 20.000 – 50.000 EUR
Governance-Tooling und Monitoring 15.000 – 40.000 EUR 30.000 – 80.000 EUR
Schulung und Awareness 10.000 – 25.000 EUR 10.000 – 25.000 EUR
Gesamt (mittelgrosses Institut) 125.000 – 345.000 EUR 110.000 – 280.000 EUR

Dem gegenüber stehen die potenziellen Kosten eines Sicherheitsvorfalls: Laut IBM Cost of a Data Breach Report 2025 lagen die durchschnittlichen Kosten eines Datenlecks im Finanzsektor bei über 5,9 Millionen US-Dollar. Die Investition in proaktive Absicherung ist daher wirtschaftlich klar begründbar.

Fazit: Handeln Sie jetzt, bevor die BaFin prüft

2026 ist das Jahr, in dem KI-Agenten vom Innovationsprojekt zur produktiven Realität werden. Gleichzeitig verschärft die BaFin ihre DORA-Prüfungen, und neue Regulierungen wie der AI Act und der Cyber Resilience Act treten in Kraft. Finanzinstitute, die jetzt nicht handeln, riskieren nicht nur Sicherheitsvorfälle, sondern auch erhebliche regulatorische Konsequenzen.

Die gute Nachricht: Wer seine DORA-Compliance ernst nimmt und KI-Agenten von Anfang an als eigenständige Risikoklasse behandelt, schafft eine solide Grundlage für Innovation und Compliance gleichermassen. Ein KI-Agent, der tausend Alerts pro Stunde triagieren und dabei eine DORA-konforme Incident-Timeline erstellen kann, ist nicht nur sicher – er ist ein echter Wettbewerbsvorteil.

Sie möchten Ihre KI-Strategie DORA-konform gestalten oder Ihre bestehende Infrastruktur auf Agentic-AI-Risiken prüfen lassen?

Die Aionda GmbH unterstützt Banken, Versicherungen und Finanzdienstleister bei der sicheren Integration von KI-Technologien – von der Risikoanalyse bis zur Implementierung. Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

Kontakt: stephan.ferraro@aionda.com

Autor: Stephan Ferraro, Gründer und Geschäftsführer der Aionda GmbH

Categories: Blog

0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

IT-Sicherheitsteam einer Bank überwacht KI-Agenten auf mehreren Bildschirmen im Security Operations Center
Blog

KI-Agenten im Finanzsektor: Wenn autonome Systeme zur Sicherheitsbedrohung werden

80 Prozent der Fortune-500-Unternehmen setzen bereits aktive KI-Agenten ein. Gleichzeitig berichten 80 Prozent der befragten Organisationen von riskanten Verhaltensweisen dieser Agenten – darunter unautorisierte Systemzugriffe und ungewollte Datenoffenlegung. Für Banken und Versicherungen, die unter DORA Read more…

IT-Sicherheitsverantwortlicher in einer Bank analysiert AI Agent Sicherheitsrisiken auf einem Bildschirm
Blog

AI Agents als Sicherheitsrisiko im Finanzsektor: Was DORA-regulierte Institute 2026 wissen müssen

Die Einführung autonomer KI-Agenten in Unternehmensprozessen schreitet rasant voran. Doch während 83 Prozent der Organisationen planen, Agentic-AI-Systeme in ihre Geschäftsprozesse zu integrieren, geben nur 29 Prozent an, diese sicher betreiben zu können. Für DORA-regulierte Finanzinstitute Read more…

IT-Sicherheitsexperten in einem modernen Security Operations Center überwachen KI-Agenten-Aktivitäten auf großen Bildschirmen
Blog

KI-Agenten als Sicherheitsrisiko: Warum Banken und Versicherungen jetzt handeln müssen

48 Prozent der Cybersecurity-Experten stufen autonome KI-Agenten als den gefährlichsten Angriffsvektor des Jahres 2026 ein. Gleichzeitig sind 44 Prozent der deutschen Finanzunternehmen noch nicht vollständig DORA-compliant. Diese Kombination ist brisant – und verlangt sofortiges Handeln. Read more…