KI-Agenten in der Finanzbranche: Warum autonome KI-Systeme 2026 zum größten Sicherheitsrisiko werden – und was DORA damit zu tun hat
Autonome KI-Agenten revolutionieren Geschäftsprozesse in Banken und Versicherungen – doch sie eröffnen gleichzeitig eine völlig neue Angriffsfläche. Wie Finanzunternehmen den Spagat zwischen Innovation und regulatorischer Compliance unter DORA und AI Act meistern können.
Die neue Realität: KI-Agenten übernehmen operative Aufgaben
Die Finanzbranche erlebt 2026 einen fundamentalen Wandel. Künstliche Intelligenz beschränkt sich längst nicht mehr auf isolierte Analysetools oder Chatbots. Sogenannte KI-Agenten – autonome Systeme, die eigenständig Entscheidungen treffen, Workflows auslösen und mit anderen Systemen interagieren – durchdringen mittlerweile wesentliche Teile der Wertschöpfungskette. Von der Automatisierung interner Kontrollsysteme über die Betrugserkennung bis hin zur Kundenschnittstelle: Agentic AI ist in der Finanzbranche angekommen.
Laut dem aktuellen Cisco State of AI Security Report 2026 sind KI-Assistenten in vielen Unternehmen bereits an Ticketing-Systeme, Code-Repositories, Cloud-Dashboards und interne Datenbanken angebunden. Diese Systeme können eigenständig Pull Requests eröffnen, Datenbanken abfragen, Services buchen und automatisierte Workflows auslösen – mit begrenzter menschlicher Beteiligung.
Das Problem: 48 Prozent der befragten Sicherheitsexperten gehen davon aus, dass KI-Agenten bis Ende 2026 den wichtigsten Angriffsvektor für Cyberkriminelle und staatliche Akteure darstellen werden. Gleichzeitig gaben nur 29 Prozent der Unternehmen an, tatsächlich auf die Absicherung solcher Deployments vorbereitet zu sein.
Die fünf größten Sicherheitsrisiken von KI-Agenten
Anders als klassische Software-Systeme operieren KI-Agenten in sogenannten OODA-Loops (Observe, Orient, Decide, Act) und kommunizieren über standardisierte Protokolle miteinander. Diese Autonomie bringt spezifische Risiken mit sich:
1. Prompt Injection und Multi-Turn-Angriffe
Prompt-Injection-Techniken haben sich 2025 und 2026 erheblich weiterentwickelt. Besonders kritisch: Multi-Turn-Angriffe, die sich über mehrere Konversationsrunden erstrecken und dabei Erfolgsraten von bis zu 92 Prozent erreichen – getestet an acht führenden Open-Weight-Modellen. Diese Angriffe steuern KI-Modelle schrittweise in Richtung unerlaubter Aktionen. Einzelne Schutzmaßnahmen pro Anfrage reichen bei Agenten, die über längere Sessions mit Speicher und Tool-Zugriff arbeiten, nicht mehr aus.
2. Tool-Missbrauch und Privilege Escalation
KI-Agenten erhalten Zugriff auf externe Tools und Datenquellen über Protokolle wie das Model Context Protocol (MCP). Die rasante Verbreitung dieses Protokolls hat die Angriffsfläche erheblich erweitert. Sicherheitsforscher haben bereits Tool-Poisoning, Remote-Code-Execution-Schwachstellen und überprivilegierte Zugriffsrechte in MCP-Ökosystemen identifiziert. Ein dokumentierter Fall: Ein gefälschtes npm-Paket, das eine E-Mail-Integration imitierte, kopierte ausgehende Nachrichten unbemerkt an eine vom Angreifer kontrollierte Adresse.
3. Agent-zu-Agent-Kommunikationsrisiken
In Multi-Agent-Architekturen kommunizieren KI-Agenten untereinander. Dies eröffnet Risiken wie Identitätsfälschung, Session-Smuggling und unautorisierte Capability Escalation. Angreifer können implizites Vertrauen zwischen Agenten ausnutzen: Ein kompromittierter Research-Agent könnte versteckte Anweisungen in die Kommunikationskette einschleusen.
4. Memory Poisoning
KI-Agenten mit persistentem Speicher sind anfällig für sogenanntes Memory Poisoning. Durch gezieltes Einschleusen manipulierter Informationen in den Kontext eines Agenten können Angreifer langfristig das Entscheidungsverhalten beeinflussen – ein besonders perfides Risiko, da es schwer zu erkennen ist.
5. Supply-Chain-Angriffe
Die Abhängigkeit von Drittanbieter-Modellen, Plugins und Integrationen schafft eine komplexe Lieferkette. 33 Prozent der Unternehmen verfügen laut Kiteworks-Studie nicht über revisionssichere Audit-Trails für KI-Systeme. Weitere 61 Prozent haben fragmentierte Logs über verschiedene Plattformen verteilt – ein gravierendes Problem für die Nachvollziehbarkeit und regulatorische Compliance.
DORA und KI: Die BaFin zieht die Zügel an
In diese ohnehin angespannte Sicherheitslage trifft nun die regulatorische Realität. Der Digital Operational Resilience Act (DORA) ist seit dem 17. Januar 2025 unmittelbar anwendbar – und die BaFin beginnt 2026 mit systematischen Prüfungen.
Die Zahlen sprechen eine deutliche Sprache: 44 Prozent der betroffenen Finanzunternehmen in Deutschland haben erhebliche Umsetzungsprobleme. Der durchschnittliche Umsetzungsstand liegt bei rund zwei Dritteln der Anforderungen – bestenfalls bei 90 Prozent, im schlechtesten Fall bei nur 30 Prozent.
KI-Systeme als IKT-Assets unter DORA
Ein entscheidender Paradigmenwechsel wurde Mitte Februar 2026 durch die neue Orientierungshilfe der BaFin eingeleitet. Die Aufsicht definiert KI-Systeme technisch nüchtern als „Netzwerk- und Informationssysteme” und ordnet KI-Komponenten damit konsequent als reguläre IKT-Assets im Sinne von DORA ein.
Für Finanzunternehmen hat dies weitreichende Konsequenzen:
| Anforderung | Bedeutung für KI-Agenten |
|---|---|
| IKT-Risikomanagement (Art. 5–15 DORA) | KI-Agenten müssen in den bestehenden IKT-Risikomanagementrahmen integriert werden – keine Sonderbehandlung als „Innovationsprojekt” |
| Incident Reporting | Sicherheitsvorfälle durch KI-Agenten (z.B. Prompt Injection, Datenexfiltration) sind meldepflichtig |
| Resilienztests | KI-Agenten müssen in TLPT-Szenarien einbezogen werden – inklusive adversarialer Tests |
| Drittparteienrisiko | LLM-Anbieter, MCP-Server und Plugin-Ökosysteme sind als IKT-Drittanbieter zu behandeln und zu überwachen |
| Lebenszyklusüberwachung | Lückenlose Überwachung von der Entwicklung über Training, Deployment bis zum Betrieb |
Besonders brisant: Die BaFin erwartet keine einmalige Risikoprüfung vor Markteinführung, sondern eine lückenlose Überwachung des gesamten technischen Lebenszyklus. Für KI-Agenten, deren Verhalten sich durch Lernprozesse und Kontextänderungen dynamisch verändern kann, stellt dies eine erhebliche Herausforderung dar.
AI Act trifft DORA: Die regulatorische Doppelbelastung
Parallel zu DORA tritt der EU AI Act am 2. August 2026 vollständig in Kraft. Für die Finanzbranche ergibt sich daraus eine regulatorische Doppelbelastung:
- Der AI Act reguliert KI-Systeme produktbezogen nach Risikoklassen – mit Anforderungen an Transparenz, Dokumentation, Datenqualität und menschliche Aufsicht
- DORA reguliert den operativen Einsatz derselben Systeme als IKT-Assets – mit Anforderungen an Resilienz, Incident Management und Drittparteiensteuerung
Finanzunternehmen müssen beide Perspektiven integrieren. Ein KI-Agent zur Kreditentscheidung ist gleichzeitig ein Hochrisiko-KI-System unter dem AI Act und ein IKT-Asset unter DORA. Wer nur eine der beiden Regulierungen berücksichtigt, riskiert empfindliche Sanktionen.
Hinzu kommt: Bis zum 31. Dezember 2026 gelten für bestimmte Institute noch die BAIT (Bankaufsichtliche Anforderungen an die IT) als Übergangsregelung. Danach greift DORA vollständig. Diese Übergangsphase sollte strategisch genutzt werden.
Handlungsempfehlungen: So sichern Finanzunternehmen KI-Agenten ab
Basierend auf den aktuellen regulatorischen Anforderungen und der Bedrohungslage empfehlen wir einen strukturierten Ansatz:
1. KI-Asset-Inventar aufbauen
Identifizieren und dokumentieren Sie alle KI-Agenten und autonomen Systeme in Ihrer Organisation als IKT-Assets gemäß DORA. Dazu gehören auch intern entwickelte Prototypen, SaaS-basierte KI-Tools und Schatten-IT mit KI-Komponenten.
2. Zero-Trust-Architektur für KI-Agenten
Implementieren Sie das Prinzip der minimalen Privilegien konsequent. Jeder KI-Agent erhält nur die Zugriffsrechte, die für seine spezifische Aufgabe erforderlich sind. Implementieren Sie Agent-Identitätsmanagement mit kryptographischer Authentifizierung.
3. Revisionssichere Audit-Trails
Etablieren Sie lückenlose, zentral aggregierte Protokollierung aller Agentenaktivitäten. Dies ist nicht nur regulatorisch erforderlich, sondern ermöglicht auch die frühzeitige Erkennung von Anomalien und Memory-Poisoning-Angriffen.
4. Adversariale Tests in das TLPT-Framework integrieren
Erweitern Sie Ihre Threat-Led Penetration Tests um spezifische KI-Angriffsszenarien: Multi-Turn Prompt Injection, Tool-Poisoning, Agent-Impersonation und Supply-Chain-Kompromittierung.
5. Drittanbieter-Management für KI-Lieferketten
Behandeln Sie LLM-Provider, Plugin-Anbieter und MCP-Server-Betreiber als kritische IKT-Drittanbieter unter DORA. Fordern Sie vertragliche Zusicherungen zu Sicherheitsstandards, Incident-Reporting und Audit-Rechten.
6. Governance auf Geschäftsleitungsebene verankern
DORA ist keine IT-Verordnung – es ist eine Geschäftsleitungs-Verordnung. Die Verantwortung für die operationale Resilienz von KI-Systemen liegt beim Vorstand. Etablieren Sie ein KI-Governance-Komitee mit Vertretern aus IT, Compliance, Risikomanagement und Geschäftsleitung.
TCO-Betrachtung: Was Nicht-Compliance kostet
Die Kosten einer mangelhaften KI-Sicherheitsstrategie gehen weit über regulatorische Bußgelder hinaus:
| Kostenfaktor | Mögliches Szenario |
|---|---|
| Regulatorische Sanktionen | DORA-Verstöße: bis zu 1% des weltweiten Jahresumsatzes; AI Act: bis zu 35 Mio. € oder 7% des Umsatzes |
| Reputationsschaden | Ein kompromittierter KI-Agent, der Kundendaten exfiltriert, kann das Vertrauen einer ganzen Kundengruppe zerstören |
| Betriebsunterbrechung | Kaskadierende Ausfälle in Multi-Agent-Systemen können kritische Geschäftsprozesse lahmlegen |
| Nachbesserungskosten | Retroaktive Implementierung von Sicherheitsmaßnahmen kostet erfahrungsgemäß das 3- bis 5-fache gegenüber Security-by-Design |
Fazit: Handeln, bevor die BaFin prüft
Die Konvergenz von autonomen KI-Agenten, DORA-Regulierung und EU AI Act schafft 2026 eine Situation, in der Finanzunternehmen gleichzeitig innovieren und absichern müssen. Wer KI-Agenten einsetzt, ohne sie als vollwertige IKT-Assets in den DORA-Rahmen zu integrieren, spielt mit einem erheblichen regulatorischen und operativen Risiko.
Die gute Nachricht: Unternehmen, die jetzt handeln, können sowohl die Effizienzpotenziale von KI-Agenten realisieren als auch die regulatorischen Anforderungen erfüllen. Der Schlüssel liegt in einem integrierten Ansatz, der Sicherheit, Compliance und Innovation nicht als Gegensätze, sondern als komplementäre Ziele behandelt.
Die BaFin hat unmissverständlich signalisiert, dass 2026 das Jahr der systematischen Prüfungen wird. Die Übergangsphase der BAIT bis Ende 2026 bietet ein letztes Zeitfenster. Nutzen Sie es.
Über den Autor
Stephan Ferraro ist Gründer und Geschäftsführer der Aionda GmbH. Mit über 20 Jahren Erfahrung in der Softwareentwicklung und IT-Beratung unterstützt er Banken, Versicherungen und Finanzdienstleister bei der sicheren Integration moderner Technologien – von Cloud-Architekturen über KI-Systeme bis hin zur regulatorischen Compliance.
Sie möchten Ihre KI-Strategie DORA-konform aufstellen?
Die Aionda GmbH unterstützt Finanzunternehmen bei der sicheren Integration von KI-Agenten, der DORA-Umsetzung und der Entwicklung resilienter IT-Architekturen. Kontaktieren Sie uns für ein unverbindliches Erstgespräch:
0 Comments