Agentic AI als neue Angriffsfläche: Was Banken und Versicherungen 2026 wissen müssen

Published by Luna on

Autonome KI-Agenten revolutionieren Geschäftsprozesse in der Finanzbranche. Doch mit der wachsenden Verbreitung von Agentic AI steigen auch die Sicherheitsrisiken dramatisch. Laut aktuellen Studien sind nur 29 Prozent der Unternehmen auf die Absicherung ihrer KI-Agenten vorbereitet. Gleichzeitig verschärft die DORA-Verordnung die Anforderungen an die digitale Betriebsstabilität. Ein kritischer Moment für Entscheider in Banken und Versicherungen.

Was sind Agentic AI-Systeme und warum sind sie relevant?

Agentic AI bezeichnet KI-Systeme, die autonom handeln können. Im Gegensatz zu klassischen Chatbots oder regelbasierten Automatisierungen operieren diese Agenten in sogenannten OODA-Schleifen (Observe, Orient, Decide, Act). Sie beobachten ihre Umgebung, analysieren Daten, treffen eigenständige Entscheidungen und führen Aktionen aus – oft mit minimalem menschlichem Eingriff.

In der Praxis bedeutet das: Ein KI-Agent kann eigenständig Pull Requests in Code-Repositories öffnen, interne Datenbanken abfragen, Tickets erstellen, Cloud-Dashboards konfigurieren und automatisierte Workflows auslösen. Für Banken und Versicherungen eröffnet das enorme Effizienzpotenziale – von der automatisierten Betrugserkennung über die Kreditrisikobewertung bis hin zur regulatorischen Berichterstattung.

Doch genau diese Autonomie schafft eine völlig neue Angriffsfläche.

Die Bedrohungslage 2026: Zahlen und Fakten

Der aktuelle Cisco State of AI Security Report 2026 zeichnet ein alarmierendes Bild der Sicherheitslage:

  • 48 Prozent der befragten Sicherheitsexperten glauben, dass Agentic AI bis Ende 2026 zum wichtigsten Angriffsvektor für Cyberkriminelle und staatliche Akteure wird.
  • Multi-Turn-Angriffe – also Attacken, die sich über mehrere Gesprächsrunden erstrecken – erreichten in Tests bei acht Open-Weight-Modellen Erfolgsraten von bis zu 92 Prozent.
  • Nur 29 Prozent der Unternehmen, die Agentic AI einsetzen wollen, sind nach eigener Einschätzung bereit, diese Systeme angemessen abzusichern.

Diese Diskrepanz zwischen Adoption und Absicherung ist das zentrale Risiko für den Finanzsektor im Jahr 2026.

Digitales Schutzschild-Symbol schützt vernetzte KI-Knoten - Cybersecurity-Konzept für den Finanzsektor

Die drei grössten Angriffsvektoren bei Agentic AI

1. Prompt Injection und Jailbreaks

Prompt-Injection-Angriffe haben sich 2025 und 2026 dramatisch weiterentwickelt. Während einfache Single-Turn-Angriffe (“Ignoriere deine Anweisungen und tue X”) inzwischen von vielen Modellen erkannt werden, sind Multi-Turn-Varianten deutlich gefährlicher. Diese Angriffe entfalten sich über ausgedehnte Konversationen und nutzen den Gesprächskontext, den Speicher und die Tool-Zugänge des Agenten aus.

Amy Chang, Leiterin für AI Threat Intelligence bei Cisco, empfiehlt daher, Multi-Turn-Resilienz als eigenständige Metrik zu tracken – insbesondere für Agenten, die über längere Sitzungen hinweg operieren. Für Banken bedeutet das: Die klassische Sicherheitsbewertung von KI-Modellen reicht nicht mehr aus.

2. Kompromittierte Agenten und laterale Bewegung

Wenn ein KI-Agent kompromittiert wird, kann er seine bestehenden Berechtigungen nutzen, um unautorisierte Befehle auszuführen, Daten zu exfiltrieren und sich lateral durch vernetzte Systeme zu bewegen. Da Agenten häufig über standardisierte Protokolle wie das Model Context Protocol (MCP) miteinander kommunizieren, kann ein einziger kompromittierter Agent als Einfallstor für das gesamte Netzwerk dienen.

Ein dokumentierter Fall zeigt: Über eine kompromittierte MCP-Integration auf GitHub konnten Angreifer Zugriff auf verbundene Systeme erlangen. Für Finanzinstitute mit ihren hochvernetzten IT-Landschaften ist dieses Szenario besonders bedrohlich.

3. Supply-Chain-Risiken durch KI-Integrationen

Die Integration von KI-Agenten in Ticketing-Systeme, Code-Repositories, Chat-Plattformen und Cloud-Dashboards schafft eine erweiterte Lieferkette. Jede dieser Integrationen ist ein potenzieller Angriffspunkt. Besonders kritisch: Viele Unternehmen haben diese Integrationen ohne ausreichende Sicherheitsprüfung implementiert, getrieben vom Wettbewerbsdruck bei der KI-Adoption.

DORA und Agentic AI: Regulatorische Anforderungen

Die EU-Verordnung DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554) ist seit Januar 2025 vollständig anwendbar. Sie betrifft praktisch jede Art von Finanzunternehmen in der EU – von Kreditinstituten über Versicherungen bis hin zu Krypto-Dienstleistern und deren IT-Zulieferern.

Die Kernforderungen von DORA lassen sich direkt auf den Einsatz von Agentic AI übertragen:

Europäischer Geschäftsmann prüft Compliance-Dokumente auf einem Tablet in einem modernen Büro im Finanzviertel

IKT-Risikomanagement (Artikel 5-16 DORA)

Finanzunternehmen müssen ein umfassendes IKT-Risikomanagement-Rahmenwerk implementieren. Für Agentic AI bedeutet das konkret:

  • Vollständige Inventarisierung aller eingesetzten KI-Agenten und ihrer Berechtigungen
  • Risikoklassifizierung jedes Agenten nach Autonomiegrad und Systemzugriff
  • Kontinuierliche Überwachung des Agentenverhaltens (Agent Tracing und Telemetrie)
  • Dokumentierte Eskalationsprozesse bei anomalem Agentenverhalten

IKT-Vorfallmanagement (Artikel 17-23 DORA)

DORA verlangt strukturierte Incident-Classification- und Reporting-Protokolle. Wenn ein KI-Agent kompromittiert wird oder sich unerwartet verhält, muss das Unternehmen in der Lage sein:

  • Den Vorfall innerhalb definierter Fristen zu erkennen und zu klassifizieren
  • Betroffene Systeme und Datenflüsse zu identifizieren
  • Die zuständigen Aufsichtsbehörden (BaFin, EZB) fristgerecht zu informieren
  • Korrekturmassnahmen zu dokumentieren und umzusetzen

Resilienztests (Artikel 24-27 DORA)

DORA fordert fortgeschrittene Resilienztests, einschliesslich Threat-Led Penetration Testing (TLPT). Für Agentic AI sollten diese Tests explizit umfassen:

  • Multi-Turn-Prompt-Injection-Tests über realistische Konversationsszenarien
  • Red-Team-Übungen, die gezielt KI-Agenten angreifen
  • Simulation von kompromittierten Agenten und deren Auswirkungen auf verbundene Systeme
  • Tests der Abschaltmechanismen (Kill Switches) unter Stressbedingungen

Management von Drittanbieterrisiken (Artikel 28-44 DORA)

Da viele KI-Agenten auf Modellen und APIs externer Anbieter basieren, greift hier die DORA-Anforderung zur kontinuierlichen Überwachung kritischer IKT-Drittdienstleister. Finanzunternehmen müssen:

  • Alle KI-Dienstleister vertraglich mit DORA-konformen SLAs absichern
  • Exit-Strategien für den Fall eines Anbieterwechsels vorhalten
  • Die Abhängigkeit von einzelnen KI-Modellanbietern bewerten und begrenzen

Praxisleitfaden: Sieben Massnahmen für eine sichere Agentic-AI-Strategie

Basierend auf den aktuellen Erkenntnissen und regulatorischen Anforderungen empfehlen wir Banken und Versicherungen folgende konkrete Massnahmen:

Massnahme Priorität DORA-Bezug
KI-Agenten-Inventar mit Berechtigungsmatrix erstellen Sofort Art. 5-16
Least-Privilege-Prinzip für alle Agenten durchsetzen Sofort Art. 5-16
Agent Tracing und Telemetrie implementieren Q2 2026 Art. 17-23
Multi-Turn-Resilienztests in das Testprogramm aufnehmen Q2 2026 Art. 24-27
Kill-Switch-Mechanismen für alle autonomen Agenten einrichten Sofort Art. 5-16
KI-Drittanbieter-Verträge DORA-konform überarbeiten Q1/Q2 2026 Art. 28-44
Vorstandsebene in KI-Sicherheits-Governance einbinden Sofort Art. 5

Reifegrad-Modell: Wo steht Ihr Unternehmen?

Amy Chang von Cisco betont, dass Sicherheitsmassnahmen zum KI-Reifegrad des Unternehmens passen müssen. Es ergibt wenig Sinn, Agent Tracing und Telemetrie zu implementieren, wenn ein Unternehmen noch in der Anfangsphase der LLM-Integration steckt. Wir empfehlen eine Selbsteinschätzung anhand folgender Stufen:

Stufe 1 – Exploration: Erste Pilotprojekte mit KI-Assistenten, keine autonomen Agenten im Einsatz. Fokus auf Modell-Sicherheit und Zugangskontrollen.

Stufe 2 – Integration: KI-Assistenten sind in Geschäftsprozesse eingebunden, erste agentenbasierte Automatisierungen. Fokus auf Berechtigungsmanagement und Monitoring.

Stufe 3 – Autonomie: Agentic AI operiert eigenständig in kritischen Prozessen. Fokus auf kontinuierliche Verhaltensanalyse, Multi-Turn-Testing und Incident Response.

Stufe 4 – Orchestrierung: Mehrere KI-Agenten interagieren miteinander über standardisierte Protokolle. Fokus auf Netzwerksegmentierung, Agent-to-Agent-Authentifizierung und Supply-Chain-Sicherheit.

Die Rolle der BaFin: Erwartungen an den deutschen Finanzsektor

Die BaFin hat sich in den vergangenen Monaten zunehmend zu KI-Risiken im Finanzsektor positioniert. Als nationale Aufsichtsbehörde setzt sie die DORA-Anforderungen in Deutschland durch und hat dabei besonderes Augenmerk auf:

  • Erklärbarkeit: KI-basierte Entscheidungen müssen nachvollziehbar und auditierbar sein – auch wenn sie von autonomen Agenten getroffen werden.
  • Verantwortlichkeit: DORA verlangt Board-Level-Accountability für digitale operationelle Resilienz. Die Geschäftsleitung kann die Verantwortung für KI-Risiken nicht an die IT-Abteilung delegieren.
  • Konzentrationsrisiken: Die Abhängigkeit von wenigen grossen KI-Modellanbietern (OpenAI, Anthropic, Google) wird als systemisches Risiko betrachtet.

Finanzinstitute sollten proaktiv den Dialog mit der BaFin suchen und ihre Agentic-AI-Strategie in die regulatorische Kommunikation einbetten.

Ausblick: Von der Bedrohung zur Chance

Die Sicherheitsrisiken von Agentic AI sind real und ernst zu nehmen. Aber sie sind beherrschbar – vorausgesetzt, Finanzunternehmen handeln jetzt. Wer frühzeitig in eine robuste KI-Sicherheitsarchitektur investiert, verschafft sich nicht nur regulatorische Sicherheit, sondern auch einen Wettbewerbsvorteil.

Denn Agentic AI wird den Finanzsektor grundlegend verändern. Die Frage ist nicht, ob Banken und Versicherungen diese Technologie einsetzen werden – sondern wie sicher sie dabei vorgehen.

Unternehmen, die Security von Anfang an in ihre KI-Strategie integrieren, werden schneller skalieren können, regulatorische Prüfungen souveräner bestehen und das Vertrauen ihrer Kunden stärken.

Fazit

Agentic AI ist keine Zukunftsmusik mehr – sie ist Realität in vielen Finanzunternehmen. Mit der Autonomie dieser Systeme wächst auch die Verantwortung. DORA bietet den regulatorischen Rahmen, aber die konkrete Umsetzung liegt bei den Unternehmen selbst. Die Lücke zwischen KI-Adoption und Sicherheitsbereitschaft muss geschlossen werden, bevor sie von Angreifern ausgenutzt wird.

Die gute Nachricht: Die notwendigen Massnahmen sind bekannt, die Technologien verfügbar und die regulatorischen Leitplanken gesetzt. Es braucht jetzt den Willen zur Umsetzung – auf Vorstandsebene.

Autor: Stephan Ferraro, Gründer und Geschäftsführer der Aionda GmbH

Sie möchten Ihre Agentic-AI-Strategie sicher und DORA-konform umsetzen? Die Aionda GmbH unterstützt Banken und Versicherungen bei der Entwicklung sicherer KI-Architekturen und regulatorisch konformer Implementierungen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch:

[email protected]

Categories: Blog

0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

Modernes Bank-Operations-Center mit Cybersecurity-Dashboards und KI-Monitoring
Blog

KI-Agenten und DORA: Warum Finanzinstitute 2026 ihre Sicherheitsstrategie neu ausrichten müssen

Autonome KI-Systeme revolutionieren den Finanzsektor, doch die Sicherheitskontrollen hinken hinterher. Gleichzeitig zeigt sich ein Jahr nach DORA-Inkrafttreten: Viele Institute haben Nachholbedarf. Eine Analyse der aktuellen Risikolage und konkreter Handlungsempfehlungen. Autor: Stephan Ferraro, Gründer und Geschäftsführer Read more…

MacBook Pro als autonomer KI-Agent ersetzt Junior-Systemadministrator im Büro
Blog

Ein Laptop ersetzt den Junior-Systemadministrator: Lokale KI-Agenten mit Qwen3.5 und Apple Silicon

Ein MacBook Pro mit 96 GB RAM und dem Open-Weight-Modell Qwen3.5 kann als autonomer KI-Agent Linux-Server verwalten - rund um die Uhr, offline, für einmalig 8.000 EUR statt 45.000 EUR Jahresgehalt.

Beschädigtes Cloud-Rechenzentrum in Wüstenlandschaft als Symbol für geopolitische Cloud-Risiken
Blog

AWS-Rechenzentrum in den VAE getroffen: Warum Cloud-Abhängigkeit ein geopolitisches Risiko ist

Am 1. März 2026 wurde ein AWS-Rechenzentrum in den VAE durch iranische Vergeltungsschläge getroffen. Was bedeutet das für die Cloud-Strategie von Banken und Versicherungen unter DORA?