IKT-Risiken beim Einsatz von KI: Neue BaFin-Orientierungshilfe

Die Finanzindustrie steht an der Schwelle einer der tiefgreifendsten Veränderungen ihrer Geschichte. Die Integration von Künstlicher Intelligenz (KI) in Kernbankprozesse verspricht Effizienzgewinne, präzisere Risikomodelle und hyper-personalisierte Kundeninteraktionen. 

Doch mit der technologischen Potenz steigt die Verwundbarkeit. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit ihrer „Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen“ ein klares Signal gesendet: Die Zeit der unregulierten Experimente ist vorbei. KI ist kein abstraktes Zukunftsthema mehr, sondern ein konkretes IKT-Asset, das ebenfalls den strengen Anforderungen des Digital Operational Resilience Act (DORA) unterliegt. 

Dieser Beitrag fasst wichtige Aspekte aus der am 18. Dezember 2025 veröffentlichten Orientierungshilfe zusammen. Wir beginnen mit einer Veranschaulichung der modernen, KI-gestützten Kreditvergabe, um die operativen Risiken verständlich zu machen. Anschließend analysieren wir die Anforderungen der BaFin entlang des gesamten KI-Lebenszyklus – von der Governance über die Entwicklung bis zur Stilllegung. Abschließend stellen wir dar, welchen Beitrag eine unabhängige Prüfung leisten kann, um einen belastbaren Nachweis für ein umsichtiges Risikomanagement mit KI-Risiken und operativer Resilienz zu erlangen. 

Die Anatomie der Entscheidung – Wie KI die Kreditvergabe revolutioniert 

Um die regulatorischen Anforderungen der BaFin in ihrer Tiefe zu verstehen, ist es unerlässlich, zu verdeutlichen, worauf diese Regeln überhaupt angewendet werden. 

Der Paradigmenwechsel: Von der Kausalität zur Korrelation 

Klassische Kreditvergabeprozesse basierten auf kausalen Zusammenhängen und linearen Regeln nach dem Schema: „Wenn das Einkommen > X und die Schulden < Y, dann Kredit = Ja“. Dieses deterministische Weltbild wird durch KI fundamental herausgefordert. 

Moderne Systeme, oft basierend auf Machine Learning (ML), suchen nicht primär nach Kausalitäten, sondern nach komplexen, nicht-linearen Korrelationen in riesigen Datensätzen. Sie transformieren die Frage „Kann der Kunde zahlen?“ in eine statistische Wahrscheinlichkeitsprognose, die eine Vielzahl von Variablen (Features) in Sekundenbruchteilen gegeneinander abwägt. 

Der technische Workflow: Eine Deep-Dive-Analyse 

Der Lebenszyklus einer KI-basierten Kreditentscheidung lässt sich technisch in fünf kritische Phasen unterteilen. Jede dieser Phasen birgt spezifische IKT-Risiken, auf die die BaFin-Orientierungshilfe abzielt. 

Phase 1: Intelligente Datenaufnahme und Extraktion (Input Management)

Der Prozess beginnt am „Point of Sale“ – sei es in einer App oder am Bankschalter. 

• Technologie: Hier dominiert Intelligent Document Processing (IDP). Statt manueller Dateneingabe kommen Optical Character Recognition (OCR) und Natural Language Processing (NLP) zum Einsatz. 
• Prozess: Der Kunde lädt unstrukturierte Dokumente hoch (PDF-Gehaltsnachweise, JPG-Bilder von Ausweisen, Kontoauszüge). KI-Agenten klassifizieren zunächst das Dokument (z. B. „Dies ist ein Steuerbescheid 2024“) und extrahieren anschließend spezifische Entitäten (etwa EBITDA, IBAN, Steuerklasse). 
• Risiko-Implikation: Bereits hier entsteht das Risiko des „Data Poisoning“ oder simpler von Extraktionsfehlern. Wenn das KI-Modell eine Ziffer falsch interpretiert, ist die gesamte nachgelagerte Risikokalkulation fehlerhaft („Garbage In, Garbage Out“). 

Phase 2: Feature Engineering und Datenanreicherung 

Die Rohdaten werden nun in verarbeitbare Signale transformiert. 

• Alternative Datenquellen: Moderne KI-Systeme beschränken sich nicht auf Schufa-Daten. Sie integrieren über Programmierschnittstellen (Application Programming Interfaces, „APIs“) externe Datenpunkte wie Transaktionshistorien (Open Banking), Geolocation-Daten, Social-Media-Sentiment oder sogar das Tippverhalten beim Ausfüllen des Antrags (Behavioral Biometrics). 
• Feature Creation: Algorithmen berechnen abgeleitete Variablen. Beispiel: Statt nur den Kontostand zu betrachten, analysiert die KI die Volatilität des Kontostands über 24 Monate oder das Verhältnis von Ausgaben für Glücksspiel zu den Fixkosten. 

Phase 3: Die Risikoprognose (Inferenz) 

Dies ist das Herzstück des Systems – die „Black Box“. 

• Modellierung: Während früher logistische Regressionen dominierten, setzen Banken heute auf Gradient Boosting Machines (z. B. XGBoost, LightGBM) oder neuronale Netze. Diese Modelle sind in der Lage, komplexe Interaktionen zwischen Variablen zu erkennen (z. B. dass ein hohes Einkommen bei gleichzeitig hoher Volatilität in einer bestimmten Branche ein höheres Risiko darstellt, als bisher angenommen). 
• Vorhersage: Das Modell generiert keinen binären Output (Ja/Nein), sondern eine Ausfallwahrscheinlichkeit (Probability of Default, PD) oder einen Score (z. B. 0,0 bis 1,0). 

Phase 4: Entscheidungsfindung und Erklärbarkeit (XAI) 

Ein Score allein erfüllt noch keine regulatorischen Anforderungen. 

• Explainable AI (XAI): Um aufsichtsrechtlichen Transparenzpflichten und dem Verbot automatisierter Entscheidungen ohne Erklärung (DSGVO) zu genügen, kommen Methoden wie SHAP (SHapley Additive exPlanations) zum Einsatz. Sie berechnen den Beitrag jedes einzelnen Merkmals zum Endergebnis (z. B. „Das Einkommen erhöhte den Score um 0,2, die Kredithistorie senkte ihn um 0,4“). 
• Human-in-the-Loop: Bei Grenzfällen oder hohen Volumina leitet das System den Fall an einen menschlichen Analysten weiter („Referral“). Die KI fungiert hier als „Augmented Intelligence“, die dem Menschen eine voranalysierte Entscheidungsvorlage liefert. 

Phase 5: Kontinuierliches Monitoring und Betrugserkennung 

Nach der initialen Kreditentscheidung endet der Lebenszyklus der KI nicht. Vielmehr beginnt eine dauerhafte Betriebs- und Überwachungsphase, die aus aufsichtsrechtlicher Sicht eine der kritischsten Phasen im Hinblick auf IKT-Risiken darstellt. 

• Betrugserkennung: 
  Parallel zur Bonitätsprüfung kommen spezialisierte KI-Modelle zur Fraud Detection zum Einsatz. Unüberwachte Lernverfahren analysieren Anträge und Transaktionen auf Abweichungen von etablierten Mustern, etwa unplausible IP-Adressen, auffällige Metadaten in Dokumenten oder ungewöhnliche Antragshistorien. Ziel ist die frühzeitige Erkennung neuer Betrugsmuster, die regelbasierte Systeme nicht erfassen. 
• Modell- und Datenmonitoring: 
  KI-Modelle unterliegen dem Risiko von Daten- und Model Drift. Änderungen im Kundenverhalten, in der wirtschaftlichen Lage oder in regulatorischen Rahmenbedingungen können dazu führen, dass ursprünglich valide Modelle systematisch falsche Ergebnisse liefern. Daher überwachen Institute fortlaufend Eingabedaten, Modelloutputs und Performance-Kennzahlen und definieren Schwellenwerte sowie Eskalationsmechanismen. 
• Selbstlernen und Modelländerungen: 
  Werden Modelle regelmäßig nachtrainiert oder passen sich automatisch an neue Daten an, kann dies die Nachvollziehbarkeit und Steuerbarkeit des Systemverhaltens erheblich erschweren. Modelländerungen bedürfen daher grundsätzlich angemessener Kontrollen. Diese können, je nach Ausprägung des Modells, sowohl formalisierte Freigabe-, Test- und Dokumentationsprozesse als auch eine fortlaufende Überwachung des Systemverhaltens umfassen, etwa durch definierte Schwellwerte, Plausibilitätsprüfungen oder Performance-Monitoring. Insbesondere bei sich automatisch anpassenden Modellen tritt die ex-ante-Freigabe in den Hintergrund; hier kommt der kontinuierlichen Kontrolle und Dokumentation der Modellwirkungen eine zentrale Bedeutung zu, um unerwünschte Effekte oder regulatorische Verstöße frühzeitig zu erkennen und zu begrenzen. . 
• Risiko-Implikation: 
  Fehlendes oder unzureichendes Monitoring kann dazu führen, dass KI-Systeme über längere Zeit fehlerhafte oder nicht mehr erklärbare Entscheidungen treffen. Phase 5 ist damit der zentrale Kontrollpunkt, an dem sich entscheidet, ob der KI-Einsatz dauerhaft stabil, transparent und aufsichtsrechtlich beherrschbar bleibt. 

Die Notwendigkeit der Regulierung 

Diese massive Automatisierung und die Abhängigkeit von komplexen, oft undurchsichtigen Algorithmen schaffen neue Angriffsflächen. Was passiert, wenn das Modell auf diskriminierenden historischen Daten trainiert wurde (Bias)? Was, wenn Angreifer das Modell durch minimale Änderungen an den Eingabedaten täuschen (Adversarial Attacks)? Was, wenn das Modell durch Änderungen im makroökonomischen Umfeld (z. B. Pandemie, Inflation) plötzlich falsche Prognosen liefert (Model Drift)? Genau hier setzt die BaFin mit ihrer Orientierungshilfe an. Sie betrachtet das KI-System nicht als magische Glaskugel, sondern als kritisches IKT-Asset, das gemanagt, gesichert und überwacht werden muss. 

Die BaFin Orientierungshilfe 

Die Orientierungshilfe beruht u. a. auf Gesprächen mit Finanzunternehmen und stellt keine verbindliche DORA-Auslegung der BaFin dar. Insgesamt verdeutlicht die Aufsicht, dass der Umgang von KI-Risiken unter Beobachtung steht. Finanzunternehmen, die von der Orientierungshilfe abweichen, setzen sich neben IKT-Risiken auch Compliance-Risiken aus. Im Folgenden analysieren wir das Dokument Kapitel für Kapitel, um die Tiefe der Anforderungen darzustellen. 

Einleitung und Kontextualisierung 

Der Rechtscharakter 

Die BaFin stellt klar: Es handelt sich um eine „nicht verpflichtende Hilfestellung“. In der Praxis der Finanzaufsicht bedeutet dies jedoch regelmäßig eine Beweislastumkehr. Wer die Orientierungshilfe ignoriert, muss im Prüfungsfall detailliert nachweisen, dass seine alternativen Maßnahmen ein mindestens gleichwertiges Schutzniveau bieten. Zielgruppe der Orientierungshilfe sind primär CRR-Institute (Kreditinstitute) und Solvency-II-Versicherer, die den vollen IKT-Risikomanagementrahmen nach Art. 5-15 DORA anwenden müssen. 

Begriffsbestimmung eines KI-Systems

Die BaFin erfindet das Rad nicht neu, sondern verweist auf die Definitionen der EU-KI-Verordnung (AI Act). Entscheidend für die IT-Aufsicht ist jedoch die Einordnung als „maschinengestütztes System“. Diese Definition verankert KI fest im Begriff der „Netzwerk- und Informationssysteme“ nach DORA. Damit gelten alle allgemeinen DORA-Anforderungen automatisch auch für KI-Systeme – ergänzt um KI-spezifische Risiken, wie etwa der Stochastik. 

IKT-Risikomanagement 

Governance und Strategie 

Unterstützten KI-Anwendungen kritische oder wichtige Funktionen, sollte laut der Orientierungshilfe eine KI-Strategie formuliert werden. Diese kann eigenständig sein oder in die IT-/DORA-Strategie integriert werden. Die Strategie muss klären, warum KI eingesetzt wird (Effizienz, Risikominimierung), welche Risiken akzeptabel sind (Risikoappetit) und wie die Ressourcenplanung aussieht. Eine Strategie, die KI-Innovation fordert, aber keine Budgets für Cloud-Infrastruktur oder spezialisiertes Personal bereitstellt, ist inkonsistent. 

Die BaFin betont die Letztverantwortung der Geschäftsleitung (Art. 5 Abs. 2 DORA). Vorstände können sich nicht auf Unwissenheit berufen. DORA fordert explizit, dass Mitglieder des Leitungsorgans ausreichende IKT-Kenntnisse erwerben. Im KI-Kontext bedeutet das: Ein Bankvorstand muss zwar keinen Code schreiben können, er muss aber verstehen, was „Model Drift“ ist, warum „Halluzinationen“ bei LLMs ein Risiko darstellen und wo die Grenzen der Automatisierung liegen. 

Integration in den Risikomanagementrahmen 

KI-Risiken dürfen nicht isoliert betrachtet werden, fordern die Finanzaufseher in der Orientierungshilfe. Finanzunternehmen müssen eine vollständige Inventur ihrer KI-Systeme durchführen. Dies schließt „Schatten-KI“ und KI-Komponenten in zugekaufter Standardsoftware (z. B. HR-Tools, Ticketing-Systeme) ein. 

Ferner gibt die BaFin vor, dass Risikobehandlungsmaßnahmen spezifisch sein müssen, d.h. konkret ein Risiko adressieren. Wenn ein Risiko im Bereich „Adversarial Attack“ identifiziert wurde, muss die Maßnahme technischer Natur sein (z. B. Adversarial Training) und nicht nur organisatorisch. 

Bereitstellung von KI: Entwickeln und Testen 

Hier dringt die BaFin in die technische Umsetzung ein und überträgt Prinzipien der Software-Entwicklung auf die Disziplin der Datenwissenschaften. 

Software-Entwicklung 

Die BaFin betrachtet das Training eines Modells analog zur Kompilierung von Software. 

• Ein IKT-Risiko in vielen Finanzunternehmen ist die „Schatten-IT“ in Fachbereichen, wo Aktuare oder Risikoanalysten komplexe Modelle in Python oder R auf ihren Laptops entwickeln. Die BaFin stellt unmissverständlich klar: Auch diese IDV unterliegt den vollen Anforderungen an Entwicklungsprozesse, Versionierung und Dokumentation. 
• Die Nutzung von Open-Source-Bibliotheken (TensorFlow, PyTorch, Hugging Face) ist Standard, birgt aber Auslagerungsrisiken. Die BaFin betont statische Codeanalysen, um sicherzustellen, dass keine Schadcodes eingeschleust wurden und um „versteckte“ KI-Funktionalitäten in Drittsoftware zu identifizieren. 

Das Test-Paradigma 

Das Testen von stochastischen Systemen (die auf Wahrscheinlichkeiten basieren) ist fundamental anders als das Testen deterministischer Software. 

• Die BaFin empfiehlt explizit, KI-Systeme „anzugreifen“ (Adversarial Testing): Wie reagiert das Modell, wenn 1 % der Trainingsdaten manipuliert sind (Data Poisoning Tests)? Kann das Modell durch Rauschen in den Eingabedaten getäuscht werden (Evasion Attacks)? 
• Wie verhält sich das Modell unter extremen Marktbedingungen, die in den Trainingsdaten nicht vorkamen (z. B. ein Crash am Anleihenmarkt)? Solche Szenarien müssen simuliert werden (Stresstests). 

Betrieb und Stilllegung von KI 

Ein KI-Modell ist kein „Fire and Forget“-System. Es altert ab dem Moment seiner Inbetriebnahme. 

Monitoring und Drift 

Die Realität ändert sich ständig, das trainierte Modell bleibt statisch. Diese Diskrepanz nennt man Model Drift. 

• Concept Drift: Die Beziehung zwischen den Daten ändert sich (z. B. Inflation führt dazu, dass ein Einkommen von 50.000 € heute weniger Kaufkraft hat als vor 5 Jahren). 
• Data Drift: Die Verteilung der Eingabedaten ändert sich (z. B. plötzlich bewerben sich viel jüngere Kunden um Kredite). 
• Anforderung: Die BaFin fordert ein kontinuierliches Monitoring des Modell Drifts, bspw. mit definierten Schwellenwerten. Wenn die Prognosegüte unter einen Wert X fällt, muss automatisch ein Alarm ausgelöst und ggf. ein Nachtraining initiiert werden. 
• Logging: Die Protokollierung muss so detailliert sein, dass jede Entscheidung rekonstruierbar ist. Welches Modell in welcher Version hat auf Basis welcher Daten entschieden? Dies ist entscheidend für die Forensik nach Vorfällen. 

Cloud-Spezifika und Exit-Strategien 

Da moderne KI (insb. GenAI) skalierbare Rechenleistung benötigt, ist die Cloud oft alternativlos. Die BaFin warnt mit Bezug auf Vendor Lock-in vor der Abhängigkeit von proprietären KI-Diensten (z. B. Nutzung von AutoML-Features eines Hyperscalers).  

Finanzunternehmen müssen Strategien entwickeln, wie sie den KI-Betrieb aufrechterhalten können, wenn der Cloud-Provider ausfällt oder den Vertrag kündigt. Dies beinhaltet die technische Möglichkeit, Daten und Modelle zu portieren. Bei proprietären Modellen (wie GPT-4) ist ein Modellexport grundsätzlich unmöglich. Hier müssen funktionale Alternativen (z. B. Fallback auf ein Open-Source-Modell) geplant werden. Darüber hinaus betont die BaFin, dass die Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter zu beachten ist. 

Cyber- und Datensicherheit 

KI-Systeme sind attraktive Ziele für Cyberkriminelle, u. a. weil sie mit sensiblen und wertvollen Daten arbeiten und zudem in die Entscheidungsfindung einbezogen sind. 

Spezifische Angriffsvektoren 

Die BaFin fordert daher Schutzmaßnahmen gegen KI-spezifische Angriffe: 

• Model Inversion / Extraction: Angreifer versuchen, durch gezielte Anfragen das Modell zu kopieren oder Rückschlüsse auf sensible Trainingsdaten zu ziehen. Gegenmaßnahme: Rate Limiting und Anomalieerkennung bei API-Zugriffen. 
• Netzwerksicherheit: Trainingsumgebungen sollten strikt von Produktionsumgebungen und dem Büronetzwerk segmentiert sein. 

Datensicherheit 

Hier treffen DORA und DSGVO aufeinander. Integrität und Vertraulichkeit der Datenflüsse sind zu gewährleisten. Daten müssen nicht nur „at rest“ und „in transit“ verschlüsselt sein. Die BaFin deutet auch den Schutz „in use“ an, was den Einsatz von Confidential Computing (Verschlüsselung im Arbeitsspeicher/Prozessor) nahelegt, insbesondere in Cloud-Umgebungen. 

Wie wir Sie unterstützen 

Der Beitrag hat deutlich gemacht: Der Einsatz von KI steht bei den beaufsichtigten Unternehmen bei der BaFin unter scharfer Beobachtung. Die Anforderungen sind komplex, technisch tiefgreifend und organisatorisch weitreichend. Ein Fehler in der Implementierung oder Dokumentation kann nicht nur regulatorische Sanktionen nach sich ziehen, sondern auch die operative Resilienz Ihres Unternehmens gefährden. 

Unsere Methodik 

Wir sind ein interdisziplinäres Team aus mit den aufsichtlichen Vorgaben vertrauten Cyber- und IT-Kontroll-Experten. Wir prüfen, ob Ihr Umgang mit dem eingesetzten KI-System die Anforderungen aus der BaFin-Orientierungshilfe erfüllt. Hierüber berichten wir in einem verständlichen und umfassenden Bericht, der alle Aspekte aus der Orientierungshilfe entlang des KI-Lebenszyklus erläutert. 

Die Prüfung wird gemäß IDW PS 860 („IT-Prüfung außerhalb der Abschlussprüfung“) durchgeführt. Dieser Standard des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) ist speziell dafür konzipiert, IT-gestützte Systeme, Prozesse oder Anwendungen losgelöst von der Jahresabschlussprüfung einer objektiven Beurteilung zu unterziehen. Er bietet den idealen methodischen Rahmen für KI-Audits, da er flexibel auf spezifische Kriterienkataloge (wie hier DORA und die BaFin Orientierungshilfe) anwendbar ist.  

Nutzen der Prüfung für Ihr Unternehmen 

1. Unabhängige Bestätigung:
   Sie erhalten ein objektives Urteil Dritter, ob ein solider Risikomanagement-Rahmen implementiert ist, der die KI-spezifischen Risiken umsichtig managt. Dies stärkt Ihre Position gegenüber anderen Prüfungsinstanzen und der externen Aufsicht (BaFin/EZB). 
2. Verständlicher und aussagekräftiger Bericht:
   Wir übersetzen technische Feststellungen in Risiken für den Geschäftsbetrieb. Unser Bericht zeigt klar auf, ob die Anforderungen aus der Orientierungshilfe umgesetzt sind. Er dient als idealer Nachweis der Erfüllung der Sorgfaltspflichten („Due Diligence“) des Leitungsorgans. 
3. Identifikation von Schwachstellen:
   Durch die externe Brille decken wir „Blinde Flecken“ auf, etwa im Bereich der Schatten-KI (IDV) oder bei Abhängigkeiten von Drittanbietern, bevor diese zu einem operativen Vorfall führen. 
4. Marktvertrauen:
   In einer Zeit, in der das Vertrauen in KI-Entscheidungen fragil ist, signalisiert ein geprüftes KI-System Ihren Kunden, Partnern und Investoren: Wir setzen auf Innovation, aber nicht auf Kosten der Sicherheit. 

Selbstverständlich unterstützen wir unsere Mandanten gerne auch außerhalb einer formellen Prüfung nach IDW PS 860. Mögliche Ansätze reichen von kompakten Erst- und Reifegrad-Assessments über themenspezifische Reviews (z. B. Governance, Risikomanagement, Datenqualität, Modellsteuerung oder Kontrollkonzepte) bis hin zu fachlichen Würdigungen einzelner KI-Anwendungsfälle. Diese Formate eignen sich insbesondere zur internen Einordnung des aktuellen Umsetzungsstands, zur gezielten Vorbereitung auf aufsichtsrechtliche Prüfungen oder zur schrittweisen Weiterentwicklung Ihrer KI-Governance entlang des Lebenszyklus. Sprechen Sie uns hierzu gerne an.