top of page
Suche

Orientierungshilfe der BaFin zu IKT-Risiken beim Einsatz von KI

Quelle: https://www.shutterstock.com/ Lizenzart:Standard
Quelle: https://www.shutterstock.com/ Lizenzart:Standard

Einordnung der Unterlage aus Prüfersicht

Die Orientierungshilfe der BaFin zu IKT-Risiken beim Einsatz von KI konkretisiert die Anwendung von DORA auf KI-Systeme bei Banken und Versicherungen. Sie ist rechtlich nicht bindend, wird aber in Prüfungen als anerkannter Auslegungs- und Erwartungsrahmen herangezogen. Inhaltlich ordnet sie KI-Systeme konsequent als IKT-Systeme ein und betrachtet ausschließlich deren IKT-Risiken über den gesamten Lebenszyklus. Damit ist sie unmittelbar prüfungsrelevant für DORA und MaRisk/ORSA-nahe Prüfungen, insbesondere bei Cloud- und Drittanbieternutzung

.

Kerninhalte und Prüfungslogik

Die Orientierungshilfe verlangt keine neuen Pflichten, verschärft aber faktisch den Prüfungsmaßstab. KI-Systeme sind vollständig in den IKT-Risikomanagementrahmen nach DORA zu integrieren. Entscheidend sind Governance, klare Verantwortlichkeiten, risikobasierte Einstufung der Kritikalität, vollständige Asset-Dokumentation sowie belastbare Prozesse für Entwicklung, Test, Betrieb, Incident-Management und Stilllegung. Besonderes Gewicht liegt auf Drittparteienrisiken, Cloud-Abhängigkeiten, Datenabflussrisiken, Änderungsmanagement und der Nachvollziehbarkeit von Modell- und Datenversionen

.

Vorteile für Banken und Versicherungen

Für Institute schafft die Orientierungshilfe Klarheit, wie KI regulatorisch einzuordnen ist. Sie reduziert Interpretationsspielräume in Prüfungen und gibt eine belastbare Struktur für Governance und Kontrollen vor. Der risikobasierte Ansatz erlaubt eine verhältnismäßige Umsetzung, etwa geringere Anforderungen bei nicht-kritischen KI-Assistenten unter menschlicher Kontrolle. Zudem stärkt die systematische Einbindung von KI in das bestehende IKT-Risikomanagement die operative Resilienz, verbessert die Prüfungsfestigkeit und senkt langfristig das Risiko aufsichtlicher Feststellungen.


Nachteile und Belastungen für Institute

Der Umsetzungsaufwand ist erheblich. KI erhöht die Komplexität des IKT-Risikomanagements deutlich. Institute müssen zusätzliche Dokumentation, Tests, Überwachungsmechanismen und Schulungen etablieren. Besonders bei Cloud- und API-basierten KI-Lösungen entstehen Abhängigkeiten von Anbietern, eingeschränkte Transparenz bei Modelländerungen und erhöhte Anforderungen an Vertragsgestaltung, Exit-Strategien und Prüfungsrechte. In der Praxis führt dies häufig zu höheren Kosten, längeren Einführungszeiten und strengeren Nutzungseinschränkungen für Fachbereiche.


Aufgabenliste für Banken und Versicherungen

Im Prüfungsmaßstab ergeben sich mindestens folgende Aufgaben:


  • Festlegung einer KI-Governance inklusive Strategie, Rollen, Verantwortlichkeiten und Einbindung des Leitungsorgans.

  • Vollständige Erfassung und Klassifikation aller KI-Systeme als IKT-Assets, inklusive Daten, Modelle, Schnittstellen und Abhängigkeiten.

  • Risikobasierte Einstufung der Kritikalität jedes KI-Systems und Ableitung angemessener technischer und organisatorischer Maßnahmen.

  • Integration aller KI-Systeme in den IKT-Risikomanagementrahmen nach DORA mit Identifikation, Schutz, Erkennung, Reaktion, Wiederherstellung und Lernprozessen.– Etablierung belastbarer Entwicklungs-, Test- und Änderungsprozesse, auch für Open-Source- und fremdentwickelte KI.

  • Nachweisbare Tests von Sicherheit, Resilienz und Fehlverhalten, insbesondere bei generativer KI.

  • Umsetzung von Cyber- und Datensicherheitsmaßnahmen inklusive Zugriffskontrollen, Protokollierung, Verschlüsselung und Monitoring.

  • Ordnungsgemäßes IKT-Drittparteienmanagement bei Cloud- und KI-Anbietern, inklusive Due Diligence, SLAs, Auditrechten, Untervergabe-Transparenz und Exit-Strategien.

  • Integration von KI-Systemen in Incident-Management, BCM und Meldeprozesse nach Art. 19 DORA.

  • Geregelte Stilllegung von KI-Systemen inklusive sicherer Löschung von Daten und Modellen.

  • Regelmäßige Schulung von Mitarbeitenden und Management zu KI-spezifischen IKT-Risiken.


Fazit

Die Orientierungshilfe ist kein Soft Paper. Sie setzt den faktischen Erwartungshorizont der Aufsicht. In Prüfungen wird nicht gefragt, ob KI genutzt wird, sondern ob sie vollständig wie ein kritisches IKT-System beherrscht wird. Institute ohne klare KI-Governance, belastbare Asset-Transparenz und saubere Drittparteiensteuerung laufen absehbar in wesentliche Feststellungen.


Genau hier setzen wir an. Wir verfolgen die technische und regulatorische Entwicklung von KI laufend, bilden uns regelmäßig fort und kennen die aktuellen und absehbaren Erwartungen von Aufsicht und Prüfern. Dieses Wissen bringen wir gezielt in Struktur, Prozesse und Dokumentation ein, damit KI im Institut nutzbar bleibt und gleichzeitig prüfungssicher ist.


Kommentare

bottom of page