Künstliche Intelligenz im Banking: Zwischen Innovationsdruck und regulatorischer Realität

Executive Summary

Die Einführung von Künstlicher Intelligenz (KI) durchdringt alle Bereiche des Bankensektors, wird jedoch primär zu einem Thema der Governance und des Risikomanagements, nicht nur der Innovation. 

Ein konsistenter regulatorischer Rahmen, bestehend aus dem EU AI Act, DORA und den Vorgaben der BaFin, erfordert die tiefgreifende Integration von KI in die bestehenden IKT-Risikomanagement-Prozesse. Ohne diese Integration drohen erhebliche regulatorische, operative und strategische Risiken. Die Komplexität liegt in der korrekten Klassifizierung von KI-Systemen, der Bewältigung von Schatten-IT-Risiken und der strukturierten Entscheidung über die Betriebsarchitektur (On-Premise vs. Hybrid vs. Cloud). 

Finanzinstitute müssen umgehend eine robuste KI-Governance aufsetzen, um Handlungsspielraum zu gewinnen und die aufsichtsrechtlichen Anforderungen, insbesondere im Hinblick auf operative Resilienz, zu erfüllen.

KI entlang der Wertschöpfungskette: Effizienz mit Nebenwirkungen

Von Vertrieb über Kreditprozesse und Risikoanalyse bis zu Compliance: KI-Anwendungen versprechen Effizienzgewinne in nahezu jedem Geschäftsbereich. Doch jeder Effizienzgewinn verändert das Risikoprofil. Wer Kreditentscheidungen algorithmisch unterstützt, verlagert Verantwortung in ein System, dessen Entscheidungslogik dokumentiert und kontrolliert werden muss. Wer KI-Assistenten für interne Dokumente nutzt, öffnet Datenflüsse, die klassifiziert werden müssen.

Die regulatorische Einordnung ist klar: KI-Systeme sind IKT-Systeme. Sie bestehen aus Hardware und Software, verarbeiten Daten, erzeugen Outputs und unterliegen denselben DORA-Anforderungen wie alle anderen IKT-Systeme.

Anwendungsfälle: Von Chatbots bis Risikomodellen

Die Bandbreite reicht von kundengerichteten Chatbots über Kreditscoring und Fraud Detection bis zu internen Produktivitätsassistenten und komplexen Risikomodellen. Die regulatorische Einordnung hängt von drei Faktoren ab: dem Einfluss auf Entscheidungen, der Nutzung sensibler Daten und der Interaktion mit externen Personen.

Besonders unterschätzt wird das Schatten-IT-Risiko durch LLM-basierte Assistenten. Mitarbeiter nutzen externe KI-Dienste, ohne dass Datenflüsse kontrolliert oder Risiken bewertet sind.

EU AI Act: Klassifizierung als Governance-Aufgabe

Der EU AI Act unterscheidet vier Risikoklassen: 

  1. verbotene Anwendungen
  2. Hochrisiko
  3. begrenztes Risiko
  4. minimales Risiko

     

Die Einstufung erfolgt über einen mehrstufigen Prüfprozess, der unter anderem prüft, ob der Output Verträge, Konditionen oder Ablehnungen beeinflusst und ob personenbezogene Daten verarbeitet werden. Kreditscoring, automatisierte Finanzproduktentscheidungen und Risikomodelle fallen typischerweise in die Hochrisiko-Kategorie.

Entscheidend ist: Die Klassifizierung ist kein einmaliger Schritt, sondern ein fortlaufender Governance-Prozess. Änderungen am Modell, an Daten oder am Einsatzkontext können die Risikoeinstufung verändern.

DORA und ICT-Risikomanagement: Der operative Rahmen

DORA definiert den operativen Rahmen. KI-Systeme müssen in das ICT-Risikomanagement-Framework integriert werden, so sind Identifikation aller KI-Bestandteile als IKT-Assets, Schutzmaßnahmen gegen Manipulation und Datenabfluss, kontinuierliche Überwachung auf Anomalien und Model Drift, Integration in den Geschäftsfortführungsplan mit definierten Wiederherstellungszeiten sowie systematische Auswertung von Vorfällen zu betrachten und bewerten.

Besonders relevant ist das Drittanbieter-Risikomanagement. Viele KI-Systeme sind ohne Cloud-Dienste nicht betreibbar. Exit-Strategien, Prüfungsrechte und SLA-Vereinbarungen sind daher regulatorische Pflicht.

Architekturentscheidung: On-Premise, Cloud oder Hybrid?

  • Die Wahl des Betriebsmodells ist keine technische Präferenz, sondern eine Risikoentscheidung. 
  • On-Premise bietet maximale Datenkontrolle bei hohem internen Aufwand. 
  • Cloud im eigenen Tenant kombiniert Skalierbarkeit mit Datenkontrolle, birgt aber Anbieterabhängigkeiten. 
  • Cloud mit externem KI-Service ist effizient, erzeugt jedoch das höchste Risiko bezüglich Datenabfluss und Kontrollverlust. 
  • Hybrid-Modelle erhöhen die Governance-Komplexität zusätzlich.
 

Die Bewertung erfordert eine strukturierte Abwägung von Datenhoheit, Skalierbarkeit, Vendor Lock-in und regulatorischen Anforderungen. Diese Entscheidung gehört auf die Agenda der Geschäftsleitung.

Typische Praxis-Defizite

Die gängigsten Schwachstellen bei der Einführung von KI-Systemen im Finanzsektor umfassen:

  • Mangelnde Transparenz bezüglich des KI-Bestands (insbesondere unerkannte KI-Funktionen in Standardsoftware).
  • Unklare Verantwortlichkeiten zwischen IT, Fachbereichen und dem Risikomanagement.
  • Schatten-IT durch unkontrollierte Nutzung externer KI-Dienste.
  • Fehlende Integration der KI-Nutzung in bestehende Governance-Prozesse.
  • Überschätzung der technologischen Reife der eingesetzten KI-Lösungen.

Ausblick: Was in dieser Reihe folgt

Dieser Überblick zeigt: KI im Banking ist kein singuläres Thema, sondern ein Zusammenspiel aus Technologie, Regulierung, Governance und operativer Umsetzung. Die Handlungsfelder sind klar, die regulatorischen Anforderungen definiert, die Aufsicht hat operative Resilienz als Prüfungsschwerpunkt bis 2027 gesetzt.

 

In den kommenden Beiträgen dieser Reihe vertiefen wir die einzelnen Handlungsfelder:

 

Teil 2: KI-Anwendungsfälle im Banking und ihre regulatorische Einordnung 

Teil 3: Klassifizierung nach EU AI Act in der Praxis 

Teil 4: KI im Kontext von DORA, BCM und Incident Management 

Teil 5: Architekturentscheidungen: On-Premise, Cloud und Hybrid im Vergleich 

Teil 6: KI-Governance aufsetzen: Strukturen, Rollen, Testverfahren

 

Wer heute die Grundlagen schafft, gewinnt Handlungsspielraum. Wer wartet, reagiert unter Druck.

 

Wie resilient ist Ihr Institut im Umgang mit KI? tomoro unterstützt Finanzinstitute dabei, KI-Governance strukturiert aufzusetzen und operativ wirksam zu gestalten: von der Bestandsaufnahme über die Klassifizierung bis zur Integration in das ICT-Risikomanagement.

Jetzt ins Gespräch kommen

Sie möchten wissen, wie tomoro Ihre Organisation konkret unterstützen kann?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Senior Manager – und erhalten Sie eine erste Einschätzung zu Ihrer Situation und möglichen Handlungspfaden.