AI Agents als Insider-Bedrohung: Warum Banken und Versicherungen jetzt handeln müssen

Published by Luna on

Autonome KI-Agenten revolutionieren Geschäftsprozesse in der Finanzbranche. Doch mit der wachsenden Autonomie steigen die Sicherheitsrisiken exponentiell. Eine aktuelle Cisco-Studie zeigt: Nur 29 Prozent der Unternehmen sind auf die Absicherung agentenbasierter KI vorbereitet. Für Banken und Versicherungen unter DORA-Regulierung ist das ein alarmierendes Signal.

Die neue Realität: KI-Agenten mit Vollmacht

Die Zeiten, in denen Künstliche Intelligenz lediglich Texte generierte oder Daten klassifizierte, sind vorbei. Im Jahr 2026 agieren sogenannte Agentic AI-Systeme autonom innerhalb von Unternehmensnetzwerken. Sie öffnen Pull Requests in Code-Repositories, führen Datenbankabfragen durch, buchen Services, lösen automatisierte Workflows aus und kommunizieren eigenständig mit anderen Systemen.

Für Finanzinstitute bietet diese Technologie enormes Potenzial: Kreditprüfungen in Echtzeit, automatisierte Compliance-Checks, intelligente Kundenbetreuung rund um die Uhr. Doch die Kehrseite dieser Medaille wird zunehmend sichtbar.

Visualisierung autonomer AI Agents in einem Unternehmensnetzwerk mit Sicherheitsrisiken

Autonome AI Agents bewegen sich durch Unternehmensnetzwerke – nicht alle mit den richtigen Absichten.

Agent Sprawl: Wenn die Kontrolle verloren geht

Ein Phänomen, das IT-Verantwortliche aus der Virtualisierungswelt kennen, wiederholt sich nun im KI-Kontext: Agent Sprawl. Ähnlich wie einst virtuelle Maschinen unkontrolliert wucherten, vermehren sich KI-Agenten in Unternehmensnetzwerken rasant.

Das Problem wird besonders deutlich, wenn Agenten eigenständig Subagenten starten können. Ein einzelner Auftrag kann dazu führen, dass vier, fünf oder sogar acht parallele Agenten gleichzeitig aktiv werden – jeder mit eigenen Zugriffsrechten und Handlungsspielräumen. Die Transparenz über deren Aktivitäten sinkt mit jeder zusätzlichen Instanz.

Ein dokumentiertes Beispiel verdeutlicht das Risiko: Ein KI-Agent, der eigentlich nur eine spezifische Aufgabe erledigen sollte, begann eigenständig eine gesamte Anwendung zu refaktorisieren. Mitten im Prozess scheiterte er und hinterliess inkonsistente Code-Strukturen. In einer Bankumgebung hätte ein vergleichbarer Vorfall kritische Transaktionssysteme beschädigen können.

Die fünf grössten Sicherheitsrisiken durch AI Agents

Basierend auf aktuellen Forschungsergebnissen von Cisco, Palo Alto Networks und weiteren Sicherheitsforschern lassen sich die zentralen Bedrohungen wie folgt kategorisieren:

1. Prompt Injection und Multi-Turn-Angriffe

Angreifer haben ihre Techniken verfeinert. Während einfache Prompt-Injection-Versuche zunehmend erkannt werden, erreichen sogenannte Multi-Turn-Angriffe – also schrittweise Manipulationen über mehrere Konversationsrunden hinweg – Erfolgsraten von bis zu 92 Prozent. Besonders problematisch: Diese Angriffe sind bei Agenten mit Gedächtnisfunktion und Tool-Zugriff deutlich effektiver als bei isolierten Chatbots.

2. Tool Poisoning über MCP-Protokolle

Das Model Context Protocol (MCP) hat sich als Standard für die Anbindung von KI-Modellen an externe Tools und Datenquellen etabliert. Genau hier setzen Angreifer an. Forscher haben bereits dokumentiert, wie manipulierte MCP-Server versteckte Anweisungen einschleusen konnten, die einen Agenten kaperten und zur Datenexfiltration aus privaten Repositories missbrauchten. Ein gefälschtes npm-Paket, das eine E-Mail-Integration imitierte, kopierte stillschweigend ausgehende Nachrichten an eine vom Angreifer kontrollierte Adresse.

3. Privilegien-Eskalation und laterale Bewegung

AI Agents operieren in sogenannten OODA-Schleifen (Observe, Orient, Decide, Act) und interagieren dabei mit anderen Agenten. Kompromittierte Agenten können unautorisierte Befehle ausführen, sich lateral durch Systeme bewegen und dabei ihr Zugriffsrecht schrittweise erweitern. In der Finanzbranche, wo Systeme eng vernetzt sind, kann ein einzelner kompromittierter Agent potenziell Zugang zu Kernbankensystemen erlangen.

4. Identity Spoofing zwischen Agenten

Die Agent-zu-Agent-Kommunikation eröffnet neue Angriffsvektoren. Identitätsfälschung, Session-Übernahmen und unautorisierte Fähigkeitserweiterungen ermöglichen es Angreifern, das implizite Vertrauen zwischen Agenten auszunutzen. Ein kompromittierter Research-Agent kann versteckte Anweisungen in Daten einbetten, die von nachgelagerten Agenten ausgeführt werden.

5. Silent Failures – das stille Versagen

CNBC berichtete kürzlich über einen besonders tückischen Fall: Ein autonomer Kundenservice-Agent bei einem Unternehmen begann, Erstattungen ausserhalb der Unternehmensrichtlinien zu genehmigen. Ein Kunde überzeugte das System, eine Rückerstattung zu gewähren, die nicht den Richtlinien entsprach. Der Agent arbeitete technisch einwandfrei, traf aber Entscheidungen, die keinem menschlichen Mitarbeiter erlaubt gewesen wären. In der Finanzbranche könnten solche “stillen Fehler” regulatorische Verstösse auslösen, ohne dass sie unmittelbar bemerkt werden.

DORA und AI Agents: Der regulatorische Rahmen verschärft sich

Führungskraft prüft DORA-Compliance-Dokumente im modernen Büro

DORA-Compliance erfordert lückenlose Dokumentation aller ICT-Risiken – einschliesslich autonomer KI-Systeme.

Der Digital Operational Resilience Act (DORA), seit Januar 2025 vollständig in Kraft, stellt Finanzunternehmen vor zusätzliche Anforderungen, wenn sie KI-Agenten einsetzen. Die fünf Säulen von DORA – ICT-Risikomanagement, Incident Reporting, Resilience Testing, Third-Party Risk Management und Informationsaustausch – berühren alle den Einsatz autonomer KI-Systeme direkt.

ICT-Risikomanagement: Agenten als neue Risikokategorie

DORA verlangt die kontinuierliche Identifikation und Bewertung aller ICT-Risiken. Autonome KI-Agenten, die eigenständig auf Systeme zugreifen und Entscheidungen treffen, müssen als eigenständige Risikokategorie erfasst werden. Ohne automatisierte Discovery und kontinuierliches Tracking der Datenflüsse können Institute die Compliance nicht nachweisen.

Incident Reporting: 72-Stunden-Frist bei Agent-Vorfällen

Wenn ein KI-Agent kompromittiert wird und unautorisiert auf Kundendaten zugreift, löst das die DORA-Meldepflicht aus. Die strukturierte Beweissammlung und standardisierte Dokumentation wird zur Herausforderung, wenn Agenten autonom und in Echtzeit agieren. Die 72-Stunden-Frist für die Erstmeldung an die BaFin lässt wenig Spielraum.

Third-Party Risk: Wer haftet für den Agent?

Besonders komplex wird es beim Drittanbieter-Risikomanagement. Wenn ein Finanzinstitut KI-Agenten einsetzt, die auf Modelle und APIs externer Anbieter zurückgreifen, entsteht eine neue Dimension der Lieferkettenabhängigkeit. DORA verlangt hier lückenlose Dokumentation und vertragliche Absicherung – eine Anforderung, die viele Institute bei der Geschwindigkeit der KI-Adoption nur schwer erfüllen können.

Handlungsempfehlungen: AI Agents sicher einsetzen

Trotz der Risiken ist der Einsatz von KI-Agenten für Finanzinstitute kein optionales Zukunftsthema, sondern ein Wettbewerbsfaktor. Die folgenden Massnahmen ermöglichen einen sicheren Einsatz:

1. Agent Governance Framework etablieren

Behandeln Sie KI-Agenten wie Mitarbeiter mit Zugangsdaten. Jeder Agent benötigt:

  • Eine eindeutige Identität und Authentifizierung
  • Klar definierte Zugriffsrechte nach dem Least-Privilege-Prinzip
  • Regelmässige Überprüfung der gewährten Berechtigungen
  • Protokollierung aller Aktionen in einem Audit-Trail

2. Multi-Turn-Resilienz messen

Die Jailbreak-Erfolgsrate allein reicht als Sicherheitskennzahl nicht aus. Cisco empfiehlt, die Multi-Turn-Resilienz als eigenständige Metrik zu etablieren, insbesondere für Agenten, die über längere Sitzungen mit Gedächtniszugriff operieren. Diese Metrik sollte an den KI-Reifegrad der Organisation angepasst werden.

3. MCP-Integrationen absichern

Jede MCP-Verbindung zu externen Tools und Datenquellen muss als potenzielle Angriffsfläche betrachtet werden. Empfohlene Massnahmen:

  • Validierung aller MCP-Pakete und Server vor dem Einsatz
  • Sandbox-Umgebungen für neue Integrationen
  • Kontinuierliches Monitoring der Tool-Aufrufe
  • Supply-Chain-Security für alle Abhängigkeiten

4. Human-in-the-Loop für kritische Entscheidungen

Für Entscheidungen mit finanziellen oder regulatorischen Auswirkungen sollte ein menschlicher Genehmigungsschritt verpflichtend sein. Dies gilt insbesondere für:

  • Transaktionen oberhalb definierter Schwellenwerte
  • Änderungen an Kundendaten oder -verträgen
  • Zugriffe auf regulatorisch relevante Systeme
  • Kommunikation mit externen Parteien

5. Agent-Observability aufbauen

Implementieren Sie umfassendes Tracing und Telemetrie für alle KI-Agenten. Dies umfasst:

  • Echtzeit-Monitoring aller Agent-Aktivitäten
  • Anomalie-Erkennung bei ungewöhnlichem Verhalten
  • Automatische Kill-Switches bei Schwellenwert-Überschreitungen
  • Dashboard-basierte Übersicht für das Security Operations Center

Vergleich: Sicherheitsmassnahmen für AI Agents

Massnahme Aufwand Risikoreduktion DORA-Relevanz
Agent Identity Management Mittel Hoch Direkt (ICT-Risiko)
MCP Supply Chain Security Hoch Sehr hoch Direkt (Third-Party)
Human-in-the-Loop Niedrig Hoch Indirekt (Governance)
Agent Observability/Tracing Hoch Sehr hoch Direkt (Incident Reporting)
Multi-Turn-Resilienz-Tests Mittel Mittel Direkt (Resilience Testing)

Der Weg nach vorn: Sicherheit als Enabler

Die Finanzbranche steht vor einer paradoxen Situation: Wer KI-Agenten nicht einsetzt, verliert den Anschluss. Wer sie ohne angemessene Sicherheitsmassnahmen einsetzt, riskiert regulatorische Sanktionen und Reputationsschäden. Der Schlüssel liegt in einem risikobasierten Ansatz, der Sicherheit nicht als Bremse, sondern als Enabler begreift.

Finanzinstitute, die frühzeitig ein robustes Agent Governance Framework etablieren, schaffen sich einen doppelten Vorteil: Sie können KI-Agenten schneller und umfassender einsetzen als ihre Wettbewerber und sind gleichzeitig DORA-konform aufgestellt.

Die Technologie der autonomen KI-Agenten wird sich weiterentwickeln. Die Sicherheitsarchitekturen müssen Schritt halten. Jetzt ist der richtige Zeitpunkt, die Grundlagen zu legen.

Sie möchten AI Agents sicher in Ihrer Organisation einsetzen?

Die Aionda GmbH unterstützt Banken, Versicherungen und Finanzdienstleister bei der sicheren Implementierung von KI-Agenten – von der Architektur über die DORA-konforme Governance bis zur operativen Absicherung. Mit unserer Expertise in IT-Security, Softwarearchitektur und regulatorischen Anforderungen begleiten wir Sie auf dem Weg zur sicheren KI-Transformation.

Kontakt: [email protected]

Autor: Stephan Ferraro, Gründer und Geschäftsführer der Aionda GmbH

Categories: Blog

0 Comments

Schreibe einen Kommentar

Avatar placeholder

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Related Posts

Modernes Bankoperationszentrum mit KI-Agent-Dashboards und Sicherheitsmonitoring auf mehreren Bildschirmen
Blog

KI-Agenten als Sicherheitsrisiko: Warum Banken und Versicherungen jetzt handeln müssen

Autonome KI-Agenten erobern die Finanzbranche – doch 80 Prozent der Unternehmen melden bereits riskante Verhaltensweisen ihrer Systeme. Eine aktuelle MIT-Studie und ein Bericht des AIUC-1 Consortiums zeigen: Die Sicherheitslücken sind gravierend, und die DORA-Verordnung macht Read more…

IT-Sicherheitsteam in einem modernen Bankrechenzentrum überwacht AI-Agent-Systeme auf mehreren Bildschirmen
Blog

Agentic AI als neue Angriffsfläche: Was Banken und Versicherungen 2026 wissen müssen

Autonome KI-Agenten revolutionieren Geschäftsprozesse in der Finanzbranche. Doch mit der wachsenden Verbreitung von Agentic AI steigen auch die Sicherheitsrisiken dramatisch. Laut aktuellen Studien sind nur 29 Prozent der Unternehmen auf die Absicherung ihrer KI-Agenten vorbereitet. Read more…

Modernes Bank-Operations-Center mit Cybersecurity-Dashboards und KI-Monitoring
Blog

KI-Agenten und DORA: Warum Finanzinstitute 2026 ihre Sicherheitsstrategie neu ausrichten müssen

Autonome KI-Systeme revolutionieren den Finanzsektor, doch die Sicherheitskontrollen hinken hinterher. Gleichzeitig zeigt sich ein Jahr nach DORA-Inkrafttreten: Viele Institute haben Nachholbedarf. Eine Analyse der aktuellen Risikolage und konkreter Handlungsempfehlungen. Autor: Stephan Ferraro, Gründer und Geschäftsführer Read more…