Aktuelles
Published: 

KI unter DORA: Eine Orientierungshilfe der BaFin

Die operative Integration von Künstlicher Intelligenz in der Finanz- und Versicherungsbranche umfasst mittlerweile wesentliche Teile der Wertschöpfungskette – von der Automatisierung interner Kontrollsysteme bis hin zur Kundenschnittstelle. Diese steigende Durchdringung korrespondiert jedoch mit einer verschärften Risikolage. Im regulatorischen Zusammenspiel von EU-KI-Verordnung („AI Act“) und dem Digital Operational Resilience Act („DORA“) stehen Entscheidungsträger vor einer zentralen Governance-Aufgabe: Die Realisierung von Effizienzpotenzialen muss zwingend mit der Sicherstellung der operationellen Resilienz und der Einhaltung aufsichtsrechtlicher Compliance-Vorgaben in Einklang gebracht werden. 

Der Fokus auf Risiken des operativen Betriebs von KI

Mit dem AI Act wird erstmals ein europaweit einheitlicher Rechtsrahmen für den Einsatz von Künstlicher Intelligenz geschaffen. Zentrales Element ist ein risikobasierter Ansatz, der KI-Systeme je nach potenziellem Schadensrisiko in unterschiedliche Kategorien einteilt – von unzulässigen Anwendungen über Hochrisiko-KI bis hin zu Systemen mit begrenztem oder minimalem Risiko. An diese Einstufung knüpfen abgestufte produkt- und anwendungsbezogene Pflichten für Anbieter und Betreiber, etwa in Bezug auf Transparenz, Dokumentation, Datenqualität und menschliche Aufsicht. Für die Entscheidungsträger in Finanzunternehmen und Versicherungen greift diese produktbezogene Betrachtung jedoch zu kurz. Sie beantwortet nicht die entscheidende Governance-Frage: Wie lässt sich eine KI-Anwendung, unabhängig von ihrer ethischen Risikoklasse, technisch sicher in die bestehende IT-Landschaft integrieren und operativ beherrsch

Vor diesem Hintergrund markiert die neue Orientierungshilfe der BaFin einen entscheidenden Paradigmenwechsel für die Aufsichtspraxis. Die Aufsicht löst sich von der reinen Risikoklassifizierung des AI Acts und definiert KI-Systeme technisch nüchtern als „Netzwerk- und Informationssysteme“. Damit werden KI-Komponenten konsequent als reguläre IKT-Assets im Sinne der DORA eingeordnet.

Für die Unternehmensführung und das Risikomanagement hat diese Einordnung weitreichende Konsequenzen:

  • Integration statt Isolation: KI ist kein isoliertes Innovationsthema mehr, sondern muss zwingend in den bestehenden, dokumentierten IKT-Risikomanagementrahmen eingebettet werden.
  • Fokus auf den Lebenszyklus: Anstelle einer einmaligen Risikoprüfung vor Markteinführung fordert die BaFin eine lückenlose Überwachung des gesamten technischen Lebenszyklus – von der Entwicklung und dem Training über den laufenden Betrieb bis hin zur sicheren Deinstallation und Datenlöschung.
  • Haftung und Resilienz: Die Compliance bemisst sich nicht nur an der Transparenz des Algorithmus, sondern an der operationalen Widerstandsfähigkeit (Resilienz) des Gesamtsystems gegenüber Ausfällen, Manipulationen („Data Poisoning“) und Cyberangriffen.

 Mit der Orientierungshilfe schließt die BaFin somit die Lücke zwischen den abstrakten Anforderungen der KI-Verordnung und der operativen Wirklichkeit in den Rechenzentren und Cloud-Umgebungen der Finanzindustrie.

Wen adressiert die BaFin?

Die BaFin konkretisiert den Anwendungsbereich der Orientierungshilfe in direkter Ableitung aus der DORA-Systematik. Sie adressiert primär jene Finanzunternehmen, die den vollständigen IKT-Risikomanagementrahmen (gemäß Art. 5–15 DORA) anzuwenden haben. Dies betrifft insbesondere CRR-Kreditinstitute sowie Versicherungsunternehmen unter Solvency II.

Daraus ergibt sich folgende regulatorische Abgrenzung:

  • Vollständiger Anforderungsrahmen (Art. 5–15 DORA): Für die genannten Finanzunternehmen ist die Orientierungshilfe als maßgebliche Auslegung der Aufsichtserwartung zu betrachten, auch wenn diese als „nicht verpflichtende Hilfestellung“ bezeichnet wird. Die Integration von KI-Systemen hat vollumfänglich in die bestehenden IKT-Prozesse (u. a. Business Continuity Management, Incident Management) zu erfolgen.
  • Vereinfachter Anforderungsrahmen (Art. 16 DORA): Finanzunternehmen, die unter die Ausnahmeregelungen für den vereinfachten IKT-Risikomanagementrahmen fallen (z. B. kleine Wertpapierfirmen, kleine Zahlungsinstitute), sind nicht direkter Adressat dieser Veröffentlichung. Hier wird eine „gesonderte Betrachtung“ erforderlich sein.

Anwendung des Proportionalitätsprinzips (Art. 4 DORA)

Ein wesentliches Element der Umsetzung ist der Grundsatz der Verhältnismäßigkeit gemäß Art. 4 DORA. Die aufsichtsrechtlichen Anforderungen an die Ausgestaltung des Risikomanagements sind nicht statisch, sondern skalieren in Abhängigkeit vom individuellen Risikoprofil und der Systemrelevanz.

Für die Governancepraxis kann dies eine Differenzierung bspw. nach der Kritikalität der unterstützten Funktion bedeuten:

  • Kritische oder wichtige Funktionen: Bei KI-Anwendungen, die wesentliche Geschäftsprozesse steuern oder Entscheidungen mit direkter Auswirkung auf die Vermögens-, Finanz- oder Ertragslage treffen (z. B. Algorithmen zur Kreditwürdigkeitsprüfung oder Dunkelverarbeitung in der Schadenregulierung), sind umfassende Kontroll- und Sicherheitsmaßnahmen zwingend zu implementieren. Dies kann erweiterte Resilienztests und intensivere Dokumentationspflichten nach sich ziehen.
  • Unterstützende Funktionen: Für KI-Systeme mit geringerem Risiko, wie etwa interne Self-Service-Assistenten, die unter ständiger menschlicher Überwachung („Human-in-the-Loop“) stehen und keine autonomen Entscheidungen treffen, könnten die Sicherheitsvorkehrungen gemäß dem Proportionalitätsprinzip in angemessenem Umfang reduziert werden.

Implikation für die Governance: Die Klassifizierung der KI-Systeme hinsichtlich ihrer Unterstützung kritischer Funktionen ist dokumentarisch festzuhalten, um die Angemessenheit („Risk Adequacy“) der getroffenen Maßnahmen gegenüber Prüfern und der Aufsicht nachweisbar zu machen.

Aufsichtliche Einordnung: KI-Systeme als „IKT-Asset“

Die zentrale Weichenstellung der BaFin basiert auf der technischen Definition: Da ein KI-System „maschinengestützt“ ist (also aus Hard- und Software besteht), klassifiziert die Aufsicht es konsequent als „Netzwerk- und Informationssystem“ gemäß DORA.

Damit verliert KI ihren regulatorischen Sonderstatus und wird zum regulären IKT-Asset. Die Konsequenz für die Praxis ist die zwingende Integration in das bestehende DORA-Framework: KI-Systeme müssen im Asset-Inventar erfasst, risikobasiert klassifiziert und lückenlos in die IKT-Prozesse – von der Schwachstellenanalyse über das Testing bis zum Incident Management – eingebunden werden.

Das Fundament: Strategie & Governance

Grundlage für das laufende Risikomanagement der KI-bezogenen IKT-Risiken sind die Strategie und Governance. Hierzu geht die Orientierungshilfe u.a. ein auf die

  • Strategische Integration & Roadmap: Das Leitungsorgan muss eine KI-Strategie verabschieden, die konsistent in die übergeordnete Geschäfts- und DORA-Strategie eingebettet ist. Anders als bei Standard-IT erfordert der KI-Einsatz zwingend eine Technologie-Roadmap, um den spezifischen Ressourcenbedarf (Rechenleistung, Datenvolumina) und die notwendigen Investitionen vorausschauend zu steuern.
  • Vorstandsverantwortung & AI Literacy: Die Letztverantwortung für KI-Risiken liegt gemäß Art. 5 DORA beim Leitungsorgan (Gesamtvorstand). Dies setzt den Erwerb nachweisbarer Sachkunde voraus, um die Auswirkungen algorithmischer Entscheidungen auf das Geschäftsmodell eigenständig bewerten zu können und Verantwortlichkeiten für KI-Ergebnisse zwischen IT und Fachbereich lückenlos zuzuweisen.
  • Process Readiness & IKS-Integration: Vor der technischen Implementierung sind die Geschäftsprozesse auf ihre Eignung für den Umgang mit probabilistischen (nicht-deterministischen) KI-Ergebnissen zu validieren und ggf. einbezogene IKT-Drittdienstleister einer gesonderten Risikobeurteilung zu unterziehen. Zudem ist sicherzustellen, dass die internen Kontrollfunktionen (Risikomanagement, Compliance, Revision) frühzeitig und risikoadäquat in den Lebenszyklus eingebunden werden.

Die Behandlung der KI-Betriebsrisiken im IKT-Risikomanagement

1. Entwicklung und Testen der KI

Im Zusammenhang mit der Bereitstellung des IKT-Assets „KI“ stellt das Schreiben mehrere Aspekte heraus.

  • Integrität der Lieferkette: Es gilt, die Entstehung einer unregulierten „Schatten-IT“ in den Fachbereichen zu unterbinden; auch Low-Code-Lösungen unterliegen zwingend den DORA-Standards. Flankierend dazu muss die Integrität der Lieferkette („Supply Chain“) gesichert werden. Dies erfordert eine strikte Validierung von Trainingsdaten zur Vermeidung von „Data Poisoning“ sowie eine rigide Prüfung von Open-Source-Bibliotheken und KI-generiertem Code auf Schwachstellen oder Schadcode („Malware in“).
  • Sicherer Entwicklungsprozess und erweiterte Teststrategien: Um die „Blackbox“-Problematik zu beherrschen, muss der Entwicklungsprozess als Sicherheitsnetz fungieren. Dies bedingt eine lückenlose Versionierung, die nicht nur den Code, sondern auch Trainingsdaten und Modellparameter umfasst, sowie ein strenges Change Management für Modell-Updates inklusive getesteter Rollback-Strategien. Da herkömmliche Funktionstests bei der probabilistischen Natur von KI oft versagen, sind die Testverfahren massiv auszuweiten: „Adversarial Testing“ simuliert gezielte Angriffe auf das Modell, während bei generativer KI (LLMs) qualitative „Human-in-the-Loop“-Prüfungen die Output-Sicherheit gewährleisten müssen.

2. Laufender Betrieb und Stilllegung

Für die Betriebsphase konkretisiert die Orientierungshilfe die allgemeinen DORA-Vorgaben (Art. 8–11) in vier zentrale Handlungsfelder, um eine lückenlose Überwachung und Resilienz des produktiven KI-Systems sicherzustellen:

  • Asset-Transparenz & Documentation (Art. 8 DORA): KI-Komponenten (Modelle, Trainingsdaten, Bibliotheken) sind als IKT-Assets zu klassifizieren und im Bestandsverzeichnis lückenlos zu erfassen. Ziel ist eine vollständige Nachvollziehbarkeit („Data Lineage“): Woher stammen die Daten, wo werden sie verarbeitet und wer trägt die Verantwortung?
  • Erweiterte Überwachung & Anomalieerkennung (Art. 10 DORA): Das Monitoring muss über reine Verfügbarkeit hinausgehen und KI-spezifische Anomalien (z. B. „Model Drift“) sowie Kapazitätsengpässe frühzeitig erkennen. Dies beinhaltet regelmäßige, automatisierte Schwachstellenscans von verwendeten Frameworks und ein strenges Patch-Management.
  • Abwehr spezifischer Angriffsvektoren: Systeme sind technisch gegen KI-typische Bedrohungen wie Model Poisoning, Adversarial Attacks oder Inference Attacks zu härten. Flankierend sind Zugriffsberechtigungen (RBAC) für Modelle und Daten restriktiv zu vergeben und regelmäßig zu rezertifizieren.
  • Business Continuity & Exit (Art. 11 DORA): Kritische KI-Systeme müssen zwingend in das IKT-Notfallmanagement (BCM) integriert werden, inklusive getesteter Backups von Modellartefakten und Wiederherstellungsplänen. Der Lebenszyklus endet erst mit der sicheren Deinstallation: Veraltete Modelle und Daten sind unwiederbringlich zu löschen, um Datenlecks oder Missbrauch zu verhindern.

3. Integration & Cloud

Da leistungsfähige KI-Systeme aufgrund ihres enormen Ressourcenbedarfs überwiegend nicht im eigenen Rechenzentrum, sondern über externe Cloud-Infrastrukturen bereitgestellt werden, liegt der Schwerpunkt der Integrationsausführungen im Schreiben auf der Beherrschung dieser spezifischen Auslagerungsrisiken. Auch werden spezifische Schwerpunkte gesetzt:

  • Erweiterte Risikobewertung und Due Diligence: Die Übertragung der Cloud-Vorgaben auf KI erfordert eine Betrachtung, die über statische IT-Risiken hinausgeht. Bereits vor Vertragsabschluss muss die Risikoinventur dynamische Faktoren wie Modell-Neutrainings oder Anpassungen der Modellstruktur antizipieren. Die Due Diligence darf sich nicht auf den Provider beschränken, sondern muss explizit das Risiko unautorisierter Datenabflüsse sowie die Eignung des Anbieters hinsichtlich technischer und regulatorischer Standards bewerten.
  • Spezifische Cyber-Sicherheit in der Cloud: Im Bereich der Informationssicherheit verschieben sich die Bedrohungen. Für extern gehostete Trainings- oder Inferenzumgebungen sind spezifische Angriffsvektoren wie Data Poisoning oder Adversarial Attacks zu identifizieren und abzuwehren. Werden kritische oder wichtige Funktionen ausgelagert, reicht ein "angemessenes" Sicherheitsniveau nicht aus; der Provider muss zwingend die aktuellsten und höchsten Qualitätsstandards nachweislich erfüllen.
  • Transparenz in der Vertragskette (Sub-Dienstleister): Vertraglich ist die lückenlose Kontrolle der Unterauftragsvergabe entscheidend, da KI-Systeme oft auf komplexe Lieferketten (z. B. spezialisierte GPU-Farmen oder ML-Libraries) zurückgreifen. Das Institut muss jederzeit wissen, wo die Datenverarbeitung physisch stattfindet. Service Level Agreements (SLAs) müssen zudem die spezifische Sensibilität von KI-Modellen bezüglich Latenz und Rechenkapazität verbindlich regeln und durch durchgriffskräftige Prüfrechte bis in die Tiefe der Kette abgesichert werden.
  • Exit-Strategie und Vermeidung von Vendor-Lock-in: Zur Wahrung der Handlungsfähigkeit ist eine robuste Exit-Strategie unabdingbar. Da proprietäre Cloud-KI-Dienste einen Vendor-Lock-in begünstigen, muss vertraglich gesichert sein, dass Modelle, Trainingsdaten und Metadaten in interoperablen Formaten exportiert werden können. Um im Ernstfall (z. B. Insolvenz des Providers) reaktionsfähig zu bleiben, sind regelmäßige Backups auf unabhängigen Speichersystemen sowie technisch validierte Migrationsszenarien Pflicht.

4. Das besondere Cyber-Risiko

Um die KI-Systeme als potenzielle Einfallstore abzusichern, sind Maßnahmen zur Cyber- und Datensicherheit lebenszyklusübergreifend in den IKT-Risikomanagementrahmen zu integrieren.

Operativ erfordert dies eine strikte Netzwerksegmentierung nach Kritikalität sowie den Einsatz spezifischer Abwehrsysteme (z. B. WAF, IDS/IPS), um KI-spezifische Angriffsvektoren abzuwehren und die Integrität der Datenflüsse zu schützen. Zur Früherkennung von Anomalien ist demnach u.a. ein kontinuierliches Echtzeit-Monitoring zu etablieren, flankiert durch ein striktes Berechtigungsmanagement (RBAC), das Zugriffe auf sensible Trainingsdaten und Modelle restriktiv regelt und lückenlos protokolliert.

Im Hinblick auf die Datensicherheit wird auf Klassifizierungs- und Verschlüsselungstechniken hingewiesen. So sollten auf Basis einer zwingenden Datenklassifizierung KI-Systeme und deren Kommunikationskanäle durchgehend verschlüsselt werden, um Datenlecks und unautorisierte Modell-Änderungen zu verhindern. Dabei ist regulatorisch präzise zu unterscheiden: Während DORA die technische Datenintegrität (Schutz vor Manipulation) fordert, muss die interne Governance zusätzlich die fachliche Datenqualität sicherstellen, um die Verlässlichkeit der KI-Ergebnisse zu gewährleisten.

Folgende Übersicht übersetzt die BaFin-Anforderungen in die Praxis: Sie zeigt auf einen Blick, welche konkreten Risiken in welcher Phase auftreten und wie sie sich kontrollieren lassen.

Phase

Spezifischer A​spekt

Konkretes Risiko / Gefahr

Handlungsanweisung (Maßnahme)

Entwicklung der KI

Kompetenz

Fehlende Risikoeinschätzung durch Mitarbeiter oder Vorstand.

Schulungen für Entwickler und das Leitungsorgan durchführen („AI Literacy“).

Schatten-IT (IDV)

Fachbereiche entwickeln unkontrolliert Anwendungen.

Gleiche Prozesse für IDV erzwingen wie für zentrale IT.

Dokumentation

„Black Box“: Algorithmus oder Datenherkunft nicht nachvollziehbar.

Algorithmen, Daten und Parameter in technischen Spezifikationen beschreiben.

Versionierung

Ergebnisse sind bei Fehlern nicht reproduzierbar.

Lückenlose Versionierung von Code, Trainingsdaten und Parametern.

Änderungsmanagement

Updates erzeugen unbemerkte Sicherheitslücken.

Genehmigungsprozesse und Notfallverfahren für jede Änderung etablieren.

Datenquellen

„Data Poisoning“ (Vergiftung der Lerndaten).

Nur vertrauenswürdige Quellen nutzen und Herkunft validieren.

Open Source

Einschleusung von Schadcode oder verwaiste Bibliotheken.

Bibliotheken vor Nutzung auf Schwachstellen und Aktualität prüfen.

KI-Coding (Copilot)

Generierter Code enthält versteckte, unsichere Aufrufe.

Statische Code-Analyse (SAST) durchführen, um KI-Code zu prüfen.

Testen der KI

Testumgebung

Produktivdaten werden gefährdet.

Nutzung einer isolierten Umgebung für Entwicklung und Tests.

Angriffssimulation

Modell ist anfällig für Manipulation (z. B. Evasion Attacks).

„Adversarial Testing“ und Penetration Tests durchführen.

Last-Test

Systemversagen bei hoher Anfrage-Dichte.

Stresstests inkl. veränderter Datenverteilungen durchführen.

Generative KI (LLM)

Halluzinationen oder fehlerhafte Antworten.

Output-Qualität prüfen (Mensch „Human-in-the-Loop“ oder anderes Modell).

KI-Betrieb

Asset-Management

Unklarheit, welche KI-Komponenten im Einsatz sind.

Inventarisierung aller Modelle, Daten und Bibliotheken.

Kapazität

Ausfälle durch Ressourcen-Engpässe.

Automatisierte Überwachung der Rechenleistung und Skalierbarkeit.

Logging

Anomalien oder Angriffe sind nicht rekonstruierbar.

Protokollierung von Inferenz-Logs, Entscheidungen und Versionen.

Cloud-Exit

„Vendor-Lock-In“ (Abhängigkeit vom Anbieter).

Exit-Strategie definieren; Daten/Modelle in portierbaren Formaten sichern.

Drittparteien

Unkontrollierte Unterauftragnehmer.

Transparenz und Audit-Rechte vertraglich bis zum Sub-Dienstleister sichern.

Datenlecks

Wiederherstellung sensibler Daten aus alten Modellen.

Sicheres Löschen („Wiping“) und Deaktivieren veralteter Versionen.

Cyber-Risiko bei KI

Netzwerk

Unbefugter Zugriff auf APIs oder DDoS-Angriffe.

Segmentierung, Firewalls/WAFs und API-Gateways einsetzen.

Zugriff (IAM)

Unberechtigte Nutzung oder Datenabfluss.

Rollenbasiertes Zugriffssystem (RBAC) und Multi-Faktor-Auth (MFA).

Überwachung

Ungewöhnliches Modellverhalten bleibt unbemerkt.

Echtzeit-Monitoring auf Anomalien (z. B. Drift).

Klassifizierung

Sensible Daten landen in unsicherer Umgebung.

Alle Daten klassifizieren und Speicherorte danach auswählen.

Verschlüsselung

Datenklau während Übertragung oder Speicherung.

Verschlüsselung „at rest“ und „in transit“; Modelle signieren.

Integrität

Manipulation des Modells durch Dritte.

Schutz vor Injection-Angriffen und Zero-Trust-Architektur.

Incident Response

KI-Vorfälle werden nicht als solche erkannt/gemeldet.

KI-Szenarien in den allgemeinen Incident-Response-Prozess integrieren.

Fazit

Mit der Veröffentlichung transformiert die BaFin abstrakte regulatorische Anforderungen in einen operativen Handlungsrahmen. Auch ohne sofortigen Rundschreiben-Charakter definiert das Papier faktisch den künftigen „Goldstandard“ für die Prüfungspraxis: Die Aufsicht formuliert hier eine klare Erwartungshaltung, die Institute nicht als unverbindliche Empfehlung, sondern als Antizipation kommender Prüfungsfeststellungen lesen sollten. Eine proaktive Gap-Analyse gegen diese Standards ist daher zwingend, um regulatorischen Überraschungen vorzubeugen.

Strategisch markiert das Dokument die Überführung von KI aus dem Innovationslabor in die reguläre Governance der Banken-IT. Der Schlüssel liegt in der Harmonisierung mit DORA: KI wird nicht als isoliertes Phänomen, sondern als integraler Bestandteil der digitalen operationalen Resilienz betrachtet. Institute, die ihre KI-Governance folgerichtig in die bestehenden IKT-Risikomanagementprozesse nach DORA einbetten, schaffen nicht nur Compliance-Sicherheit, sondern auch eine belastbare Basis für die Skalierung ihrer Modelle.

Unsere Expertinnen und Experten bei BDO unterstützen Finanzunternehmen bei der Einordnung und Umsetzung der Anforderungen aus DORA, der KI-Verordnung sowie dem sicheren Einsatz von KI-Systemen. Gerne begleiten wie Sie von der Analyse bestehender IKT- und KI-Strukturen über die Ableitung geeigneter Kontrollen bis hin zur Vorbereitung auf aufsichtliche Prüfungen.

Autoren