AI Agents als Sicherheitsrisiko im Finanzsektor: Was DORA-regulierte Institute 2026 wissen müssen

Published by Luna on

Die Einführung autonomer KI-Agenten in Unternehmensprozessen schreitet rasant voran. Doch während 83 Prozent der Organisationen planen, Agentic-AI-Systeme in ihre Geschäftsprozesse zu integrieren, geben nur 29 Prozent an, diese sicher betreiben zu können. Für DORA-regulierte Finanzinstitute entsteht dadurch eine kritische Lücke zwischen Innovation und Compliance.

Von Stephan Ferraro, Gründer und Geschäftsführer der Aionda GmbH

Die neue Ära der AI Agents: Chancen und Risiken

Künstliche Intelligenz hat in den vergangenen Jahren eine bemerkenswerte Transformation durchlaufen. Während klassische KI-Modelle auf die Beantwortung von Fragen oder die Generierung von Inhalten beschränkt waren, agieren sogenannte AI Agents zunehmend autonom: Sie schreiben Code, greifen auf Dateisysteme zu, rufen APIs auf, senden E-Mails und interagieren mit anderen Softwaresystemen – häufig ohne menschliche Zwischenkontrolle.

Eine aktuelle MIT-Studie aus dem März 2026 hat 30 der am weitesten verbreiteten Agentic-AI-Systeme untersucht und kommt zu einem ernüchternden Ergebnis: Die Technologie ist von einem gravierenden Mangel an Transparenz, fehlender Offenlegung von Risiken und dem Fehlen grundlegender Sicherheitsprotokolle gekennzeichnet. Einige Systeme, darunter Produkte von IBM, HubSpot und Alibaba, verfügen laut der Studie nicht einmal über dokumentierte Möglichkeiten, einen laufenden Agenten zu stoppen.

Darstellung von AI Agent Netzwerken und deren Angriffsvektoren in Unternehmenssystemen

AI Agents interagieren mit zahlreichen Systemen und schaffen dadurch neue Angriffsvektoren, die klassische Sicherheitskonzepte nicht abdecken.

Die konkreten Bedrohungsvektoren

Der Cisco State of AI Security Report 2026 identifiziert mehrere Angriffsszenarien, die für Finanzinstitute besonders relevant sind:

1. Prompt Injection über Unternehmenskontexte

Angreifer platzieren versteckte Anweisungen in Dokumenten, E-Mails oder Datenquellen, die von AI Agents verarbeitet werden. Ein Beispiel: Eine manipulierte Nachricht in einem Ticketsystem könnte einen KI-Coding-Assistenten dazu veranlassen, vertrauliche Daten aus internen Repositories zu extrahieren und an externe Endpunkte zu senden. Da die Anweisungen in normalen Geschäftsinhalten eingebettet sind, behandelt der Agent sie als legitime Befehle.

2. Shadow Agents und unkontrollierte Proliferation

Der Begriff “Shadow Agents” beschreibt ein Phänomen, das Sicherheitsexperten zunehmend beunruhigt: Mitarbeiter setzen eigenständig KI-Agenten ein, die ausserhalb der Sichtbarkeit der IT-Sicherheit operieren. Diese nicht genehmigten Agenten können massive Datenabflusspfade schaffen, ohne dass die Sicherheitsabteilung davon Kenntnis hat.

3. Kompromittierung der AI Supply Chain

Viele KI-Agenten nutzen Erweiterungen, sogenannte “Skills” oder “Plugins”, um ihre Funktionalität zu erweitern. Sicherheitsforscher haben mehr als 30.000 solcher Erweiterungen analysiert und festgestellt, dass über ein Viertel mindestens eine Schwachstelle enthält. Microsoft berichtet in seinem aktuellen Security Blog vom März 2026, dass Bedrohungsakteure – darunter nordkoreanische Gruppen – KI bereits aktiv als Werkzeug für Cyberangriffe operationalisieren.

4. Fehlende Stopp-Mechanismen

Die MIT-Studie deckt ein besonders kritisches Problem auf: Mehrere weit verbreitete Agentensysteme bieten keine dokumentierten Möglichkeiten, einen autonom handelnden Agenten zu unterbrechen oder zu stoppen. In einem Finanzumfeld, in dem Transaktionen in Millisekunden ausgeführt werden, kann ein ausser Kontrolle geratener Agent erheblichen Schaden anrichten, bevor eine manuelle Intervention möglich ist.

DORA und AI Agents: Die regulatorische Dimension

Für Banken, Versicherungen und Zahlungsdienstleister im europäischen Raum verschärft der Digital Operational Resilience Act (DORA) die Anforderungen an die Kontrolle von IKT-Risiken erheblich. Nach mehr als zwölf Monaten seit dem verbindlichen Inkrafttreten im Januar 2025 zeigt sich: 2026 ist das Jahr der Bewährung.

Die BaFin hat im Februar 2026 zwei Online-Workshops durchgeführt, um Institute durch die nächste Phase der DORA-Umsetzung zu begleiten. Experten sind sich einig: Die Ramp-up-Phase ist abgeschlossen, die eigentliche Arbeit beginnt jetzt. Wie das IT Finanzmagazin berichtet, reicht “Papier-Compliance” nicht mehr aus – viele Institute kämpfen weiterhin mit fragmentierten Prozessen und fehlender End-to-End-Sicht auf Risiken.

Team-Besprechung zur DORA-Compliance und AI-Sicherheitsstrategie in einem modernen Büro

DORA-Compliance erfordert eine ganzheitliche Strategie, die auch den Einsatz von AI Agents einschliesst.

Wo AI Agents DORA-Anforderungen tangieren

AI Agents berühren mehrere Kernbereiche der DORA-Verordnung:

DORA-Anforderung Relevanz für AI Agents Risikostufe
IKT-Risikomanagement (Art. 5-16) AI Agents als neue IKT-Risikoquelle, die in das Risikomanagement-Framework integriert werden muss Hoch
IKT-Drittparteienmanagement (Art. 28-44) KI-Anbieter (OpenAI, Anthropic, Google) als kritische IKT-Drittanbieter klassifizieren und überwachen Hoch
Vorfallberichterstattung (Art. 17-23) Autonome Agent-Aktionen können IKT-bezogene Vorfälle auslösen, die meldepflichtig sind Mittel
Resilienz-Testing (Art. 24-27) TLPT muss AI-Agent-Szenarien einschliessen, Penetrationstests gegen Agent-basierte Angriffe Mittel
Informationsaustausch (Art. 45) Bedrohungsinformationen zu AI-Agent-basierten Angriffen teilen und nutzen Niedrig

Das Drittparteien-Problem

Besonders brisant ist die Frage des IKT-Drittparteienmanagements. Die LinkedIn-Umfrage des IT Finanzmagazins zeigt: Das Management von IKT-Drittparteien war im vergangenen Jahr die grösste Herausforderung bei der DORA-Umsetzung. AI Agents verschärfen dieses Problem erheblich:

  • Abhängigkeit von US-amerikanischen KI-Anbietern: Die grossen Foundation-Model-Anbieter (OpenAI, Anthropic, Google, Meta) sind überwiegend in den USA ansässig. Die europäische Benennung kritischer IKT-Drittanbieter stellt hier eine Zäsur dar.
  • Intransparente Datenverarbeitung: Viele KI-Modelle verarbeiten Eingabedaten auf Servern ausserhalb der EU. Für Institute, die mit sensiblen Finanzdaten arbeiten, ist dies ein erhebliches Compliance-Risiko.
  • Dynamische Lieferketten: AI Agents nutzen häufig Plugins und Erweiterungen von Drittanbietern, die ihrerseits auf weitere externe Dienste zugreifen. Die resultierende Kette von Abhängigkeiten ist schwer zu überblicken und noch schwerer zu kontrollieren.

MaRisk-Novelle 2026: Zusätzliche Anforderungen

Die anstehende MaRisk-Novelle 2026 bringt weitere relevante Änderungen. Überschneidungen zwischen MaRisk und DORA werden bereinigt, und es wird eine IKT-Strategie als Bindeglied zwischen Geschäftsstrategie und der digitalen operationalen Resilienz-Strategie gefordert. Für Institute bedeutet dies: Der Einsatz von AI Agents muss strategisch verankert und nicht nur taktisch toleriert werden.

Zusätzlich werden die §§ 26c und 26d KWG eingeführt, die detaillierte Vorgaben zum ESG-Risikomanagement enthalten. Der Energieverbrauch grosser KI-Modelle und die damit verbundenen Umweltrisiken werden damit ebenfalls Teil des regulatorischen Rahmens.

Handlungsempfehlungen für Finanzinstitute

Auf Basis der aktuellen Bedrohungslage und der regulatorischen Anforderungen empfehlen wir Finanzinstituten folgende konkrete Massnahmen:

Kurzfristig (Q1-Q2 2026)

  1. AI-Agent-Inventar erstellen: Dokumentieren Sie alle im Einsatz befindlichen KI-Agenten, einschliesslich inoffizieller “Shadow Agents”. Nutzen Sie Network-Monitoring-Tools, um API-Aufrufe zu KI-Diensten zu identifizieren.
  2. Kill-Switch-Policy implementieren: Stellen Sie sicher, dass jeder eingesetzte AI Agent über einen dokumentierten und getesteten Stopp-Mechanismus verfügt. Systeme ohne diese Funktion sollten nicht in produktiven Umgebungen eingesetzt werden.
  3. Prompt-Injection-Tests durchführen: Integrieren Sie Prompt-Injection-Szenarien in Ihre bestehenden Penetrationstests und Resilienz-Tests gemäss DORA Art. 24-27.

Mittelfristig (Q3-Q4 2026)

  1. DORA-konformes AI-Governance-Framework aufbauen: Integrieren Sie AI Agents in Ihr IKT-Risikomanagement-Framework. Klassifizieren Sie KI-Anbieter als IKT-Drittparteien und führen Sie entsprechende Due-Diligence-Prüfungen durch.
  2. Zero-Trust-Architektur für AI Agents: Behandeln Sie jeden AI Agent als potenziell kompromittiert. Implementieren Sie das Prinzip der minimalen Rechtevergabe und protokollieren Sie sämtliche Agent-Aktionen lückenlos.
  3. Incident-Response-Playbooks erweitern: Entwickeln Sie spezifische Playbooks für AI-Agent-bezogene Sicherheitsvorfälle, einschliesslich Szenarien wie unkontrollierte Datenexfiltration oder autonome Transaktionsausführung.

Langfristig (2027+)

  1. Europäische KI-Infrastruktur evaluieren: Prüfen Sie den Einsatz europäischer KI-Modelle und -Plattformen, um Abhängigkeiten von aussereuropäischen Anbietern zu reduzieren.
  2. Automatisierte Compliance-Überwachung: Setzen Sie KI-basierte Monitoring-Systeme ein, die das Verhalten von AI Agents in Echtzeit überwachen und bei Anomalien automatisch eingreifen.

Kosten-Nutzen-Betrachtung

Die Implementierung eines umfassenden AI-Agent-Sicherheitsframeworks erfordert Investitionen. Eine mögliche TCO-Betrachtung für ein mittelgrosses Finanzinstitut (500-2.000 Mitarbeiter) könnte sich wie folgt darstellen:

Massnahme Geschätzte Kosten (jährlich)
AI-Agent-Inventarisierung und Monitoring 50.000 – 120.000 EUR
Erweitertes Penetration Testing (inkl. AI-Szenarien) 80.000 – 200.000 EUR
AI Governance und Compliance-Personal 150.000 – 300.000 EUR
Zero-Trust-Infrastruktur-Anpassungen 100.000 – 250.000 EUR
Gesamt 380.000 – 870.000 EUR

Hinweis: Diese Zahlen stellen ein mögliches Szenario dar und variieren je nach Institutsgrösse, bestehender Infrastruktur und Reifegrad der Sicherheitsorganisation.

Dem gegenüber stehen die potenziellen Kosten eines Sicherheitsvorfalls: Laut IBM Cost of a Data Breach Report liegen die durchschnittlichen Kosten eines Datenlecks in der Finanzbranche bei über 5,9 Millionen Euro. Ein unkontrollierter AI Agent, der Zugriff auf Kundendaten oder Transaktionssysteme hat, kann diesen Betrag schnell übersteigen – von Reputationsschäden und regulatorischen Sanktionen ganz zu schweigen.

Fazit: Kontrolle vor Geschwindigkeit

AI Agents bieten Finanzinstituten enorme Potenziale – von der Automatisierung des Kundenservice über die Beschleunigung von Compliance-Prozessen bis hin zur Optimierung von Risikobewertungen. Doch die aktuelle Bedrohungslage zeigt deutlich: Die Technologie wird schneller eingeführt, als sie gesichert werden kann.

Für DORA-regulierte Institute gilt: Der Einsatz von AI Agents muss von Anfang an in das IKT-Risikomanagement integriert werden. “Papier-Compliance” reicht nicht aus. Die BaFin wird 2026 verstärkt prüfen, ob Institute ihre digitale operationale Resilienz auch in der Praxis unter Beweis stellen können – und dazu gehört der sichere Umgang mit autonomen KI-Systemen.

Die gute Nachricht: Wer jetzt handelt, verschafft sich einen regulatorischen Vorsprung und schützt gleichzeitig seine Organisation vor einer Bedrohung, die in den kommenden Jahren nur an Bedeutung gewinnen wird.

Sie möchten Ihre AI-Agent-Strategie DORA-konform aufsetzen oder benötigen Unterstützung bei der sicheren Integration von KI-Systemen in Ihre IT-Infrastruktur?

Die Aionda GmbH unterstützt Finanzinstitute bei der Entwicklung und Implementierung sicherer KI-Lösungen – von der Architekturberatung bis zur Umsetzung. Kontaktieren Sie uns für ein unverbindliches Gespräch:

Stephan Ferraro
Gründer und Geschäftsführer, Aionda GmbH
E-Mail: stephan.ferraro@aionda.com
Web: aionda.com

Categories: Blog

0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

Screenshot der QR Transfer Web-App von Aionda - Datei wird in 107 QR-Code Chunks aufgeteilt
Blog

QR Transfer: Dateien offline per QR-Code übertragen – ohne Internet, ohne Cloud

Mit QR Transfer von Aionda lassen sich Dateien komplett offline per QR-Code von einem Gerät zum anderen übertragen. Kein Internet, keine Cloud, keine Spuren. Perfekt für Air-Gap-Umgebungen und maximalen Datenschutz.

Aionda Mail Security Whitepaper - Zero-Knowledge Encrypted Email
Blog

Aionda Mail Security Whitepaper – How We Protect Your Emails

Aionda GmbH publishes the Aionda Mail Security Whitepaper, detailing the zero-knowledge encryption architecture, post-quantum cryptography, and privacy-first design behind its encrypted email service.

Aionda Mail - Die neue E-Mail-Plattform mit KI-Integration, ehemals TrashMail.com
Blog

Nota de prensa: TrashMail se convierte en Aionda Mail – Plataforma de correo electrónico con agentes de IA y funciones empresariales

Stuttgart, Alemania – 17 de marzo de 2026 – Aionda GmbH anuncia el cambio de nombre de su servicio de correo electrónico TrashMail.com a Aionda Mail. El nuevo servicio ya está disponible en mail.aionda.com e Read more…