EZB beruft Sitzung wegen KI-Sicherheitsbedenken ein.
Die Europäische Zentralbank hat große Kreditinstitute zu einer dringlichen Sitzung am Dienstag einberufen. Ziel ist es, die Bemühungen zur Absicherung ihrer IT-Systeme zu beschleunigen, nachdem fortschrittliche Modelle der künstlichen Intelligenz Schwachstellen aufgedeckt hatten, von denen die Aufsichtsbehörden befürchten, dass sie die Finanzstabilität gefährden könnten.
Zusammenfassung (TL; DR):
- Die Europäische Zentralbank hat aufgrund von KI-Sicherheitsrisiken eine Dringlichkeitssitzung mit Großbanken einberufen, um die Absicherung von IT-Systemen angesichts wachsender Bedrohungen zu beschleunigen.
- Die Bedrohung durch KI-gestützte Cyberangriffe, insbesondere durch unzureichend verwaltete nicht-menschliche Identitäten (NHIs), erfordert laut Studien eine konsequente Umsetzung von Zugriffsrichtlinien, um systemische Risiken im Finanzsektor zu minimieren.
Die Entscheidung der Europäischen Zentralbank (EZB), ein dringliches Treffen mit den großen Kreditinstituten der Eurozone zu KI-gestützten Cyberrisiken einzuberufen, markiert eine erhebliche Eskalation. Die zugrundeliegende Sorge, dass Fortschritte in der KI Finanzinstitute systemischen Sicherheitsbedrohungen aussetzen könnten, ist nicht neu. Doch diese Sitzung macht deutlich, dass sich die Folgen jahrelang aufgelaufener Sicherheitsdefizite im Bereich der KI in einem Tempo verschärfen, das nicht länger ignoriert werden kann.
Diese Sitzung findet nicht im regulatorischen Vakuum statt. Der Digital Operational Resilience Act (DORA) der EU ist seit Januar 2025 vollständig in Kraft und legt verbindliche Verpflichtungen für Finanzinstitute fest, um Risiken der Kommunikationstechnologie (ICT) zu managen, Abhängigkeiten von Dritten zu steuern und operationelle Resilienz nachzuweisen. Diese Intervention der EZB fügt sich nahtlos in diesen Rahmen ein. Banken, die DORA bislang eher als Checkliste für die Einhaltung von Vorschriften betrachtet haben und nicht als strukturellen Anstoß, um ihre Sicherheitsstrategie zu überdenken, sehen sich nun mit einer zweiten, strengeren Mahnung ihrer Aufsichtsbehörde konfrontiert.
EZB fürchtet KI-Risiken
Fortschrittliche KI-Modelle haben eine Kategorie an Risiken geschaffen, die tatsächlich schwer zu kontrollieren ist. Das liegt nicht daran, dass die zugrundeliegenden Schwachstellen neu wären, sondern daran, dass KI deren Ausnutzung dramatisch beschleunigt und skaliert. Jeder KI-Agent, automatisierte Workflow oder Maschinenaccount schafft eine Nicht-menschliche Identität (NHI), die privilegierten Zugriff benötigt, um zu funktionieren. Diese Identitäten werden oft schnell eingerichtet, schlecht verwaltet und selten mit derselben Sorgfalt deaktiviert wie menschliche Konten. Das ist eine nicht tragbare Praxis und ein strukturelles Risiko für jede Organisation in einem stark regulierten Sektor wie Banken und Finanzen.
Die Untersuchungen von Keeper unterstreichen das Ausmaß des Problems. Laut der globalen Studie von Keeper identifizierten 43 Prozent der Befragten das Management und die Sicherheit von KI-bezogenen NHIs als eine der größten Lücken in der KI-Governance. Unter den Sicherheitsfachleuten im Finanzsektor berichteten 75 Prozent, dass sie die Verwaltung der wachsenden Anzahl von Identitäten – menschlich und nicht-menschlich – zumindest als mittelsschwierig empfinden. Das wirft eine drängende Frage auf: Wenn Finanzinstitute die Identitäten, die sich bereits in ihrer Umgebung befinden, nicht wirksam verwalten können, wie sollen sie dann die Einführung von KI-gesteuerter Automatisierung in dem derzeitigen Umfang effektiv bewältigen?
Die Anfälligkeit des Finanzsektors für KI-gestützte Bedrohungen ist real und wächst. Die dafür erforderlichen Steuerungsmechanismen sind hinlänglich bekannt; was bisher gefehlt hat, ist die Disziplin, sie im erforderlichen Umfang anzuwenden. Regulierung kann den Fokus schärfen, doch nur jene Institutionen, denen es gelingt, den regulatorischen Druck in echte Widerstandsfähigkeit umzuwandeln, werden erfolgreich sein – nämlich jene, die eine kontinuierliche Steuerung in ihre Zugangsverwaltung integrieren. Das erfordert die Durchsetzung von Zugriffsbeschränkungen nach dem Prinzip der minimalen Berechtigungen für jeden KI-Agenten und automatisierten Prozess, die Ausweitung des privilegierten Zugriffsmanagements auf Maschinen-Zugangsdaten und Geheimnisse sowie die Behandlung der NHI-Governance als operationelle Priorität und nicht als Reaktion auf eine Prüfung.
