Finanzaufsicht: ECB verlangt Abwehrpläne gegen KI-Attacken
Veröffentlicht: 17.07.2026 um 22:48 Uhr, Redaktion boerse-global.de
Mehrere Aufsichtsbehörden haben diesen Monat verbindliche Fristen und Rahmenwerke erlassen, die insbesondere KI-gestützte Angriffe und die kommende Bedrohung durch Quantencomputer adressieren.
ECB verlangt Abwehrpläne gegen KI-Attacken
Die Europäische Zentralbank (ECB) treibt den Wandel zu einem proaktiven Cybersicherheitsmanagement voran. In einem Schreiben vom 7. Juli 2026 forderte sie bedeutende Finanzinstitute auf, bis zum 31. Oktober 2026 umfassende Aktionspläne gegen KI-gestützte Cyberangriffe vorzulegen. Sechs kritische Bereiche stehen im Fokus: die Priorisierung von Schwachstellen, KI-basierte Erkennungssysteme und Zero-Trust-Architekturen.
Parallel dazu hat die indische Zentralbank (RBI) strengere Vorgaben für das Datenmanagement von Banken und Finanzunternehmen vorgeschlagen. Die Entwürfe, zu denen bis zum 17. August 2026 Stellungnahmen möglich sind, sehen unter anderem einen Ausschuss auf Vorstandsebene und eine zentrale Datenquelle über den gesamten Lebenszyklus hinweg vor.
Auch die europäische Wertpapieraufsicht (ESMA) wird aktiv. Sie startet eine gemeinsame Aufsichtsaktion zur digitalen Betriebsfestigkeit von Krypto-Dienstleistern. Von der zweiten Jahreshälfte 2026 bis Mitte 2027 sollen insbesondere Verwahrungsdienste und Smart-Contract-Risiken unter die Lupe genommen werden.
Die Achillesferse: Externe Dienstleister
Die Abhängigkeit von externen Technologieanbietern bereitet den Aufsehern zunehmend Kopfzerbrechen. Daten der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) aus dem Jahr 2025 zeigen: Rund die Hälfte aller schwerwiegenden IT-Vorfälle im Finanzsektor ging auf das Konto externer Dienstleister. Von den 733 gemeldeten Vorfällen entfielen zwar nur 11 Prozent auf direkte Cyberangriffe, doch die Verwundbarkeit der Lieferkette blieb ein erheblicher Faktor.
Großbritannien hat deshalb als erstes Land kritische Technologieanbieter unter sein Regime für „Critical Third Parties" gestellt. Seit dem 13. Juli 2026 unterliegen Amazon Web Services, Google Cloud, Microsoft und Oracle der direkten Aufsicht durch die Bank of England und die Finanzaufsicht FCA – für Dienste, die als systemrelevant für den Finanzsektor gelten.
Angesichts der zunehmenden Regulierung von Cloud-Diensten und IT-Dienstleistern müssen Unternehmen ihre Kooperationen rechtlich absichern. Dieses kostenlose E-Book bietet Ihnen sofort einsetzbare Vertragsvorlagen und Checklisten, um die Anforderungen an die Auftragsdatenverarbeitung ohne teuren Rechtsbeistand zu erfüllen. Gratis E-Book mit fertigen Vorlagen und Checklisten zum sofortigen Einsatz
Einige Institute gehen in der Privatwirtschaft bereits in die Offensive. Die britische Standard Chartered hat mit Broadcom eine private Cloud-Umgebung mit integrierten Zero-Trust-Protokollen in 54 Märkten aufgebaut. Die Folge: Die Bereitstellungszeit für neue Infrastruktur sank von mehreren Wochen auf einen einzigen Tag.
Quantencomputer: Die nächste Bedrohungswelle
Die Aufsichtsbehörden fordern zudem konkrete Vorbereitungen auf das Zeitalter des Quantencomputings. Die Schweizer Finanzmarktaufsicht (FINMA) verlangt von den Instituten einen Fahrplan für die Post-Quanten-Kryptografie bis Mitte 2027. Hintergrund ist die Strategie „Harvest now, decrypt later": Angreifer sammeln bereits heute verschlüsselte Daten, um sie später mit Quantencomputern zu knacken.
Die wirtschaftliche Dimension ist enorm: Studien zufolge könnte Quantencomputing bis 2035 einen Wert von umgerechnet rund 550 Milliarden Euro für den Finanzsektor schaffen. Doch 72 Prozent der befragten Institute verfügen derzeit über keine quantensicheren Maßnahmen.
Auf der Verteidigungsseite testet der Finanztechnologie-Konzern FIS im Rahmen von Anthropics „Project Glasswing" neue KI-Modelle auf kritischer Bankensoftware. Ziel ist es, Schwachstellen bereits vor der Auslieferung automatisiert zu entdecken.
Hohe Strafen für Sicherheitsversäumnisse
Die finanziellen Folgen unzureichender Sicherheitsvorkehrungen werden immer deutlicher. Das Bundesgericht Australien verurteilte FIIG Securities zu einer Strafe von umgerechnet rund 1,5 Millionen Euro plus Kosten. Hintergrund: Ein Cyberangriff im Mai 2023 hatte zur Entwendung von 385 Gigabyte Kundendaten geführt. Das Gericht bemängelte vor allem jahrelange Unterinvestitionen in die Cybersicherheit und das Fehlen eines getesteten Notfallplans.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Erfahren Sie im kostenlosen E-Book von Experten, wie Sie proaktive Schutzmaßnahmen ergreifen und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. Experten-Leitfaden für proaktive IT-Sicherheit jetzt gratis anfordern
Die Kosten für Sicherheitsverstöße steigen parallel. Die mittleren Kosten einer Datenpanne im Finanzsektor liegen inzwischen bei umgerechnet rund 5,6 Millionen Euro. Ein deutliches Signal für die wirtschaftliche Notwendigkeit kontinuierlicher Sicherheitsüberprüfungen und des „Zero Standing Privilege"-Modells, bei dem Zugriffsrechte nur noch temporär vergeben werden.
Alltag zwischen Strategie und Störung
Während die Strategien für die Zukunft geschmiedet werden, bleibt der operative Alltag der Banken von unmittelbaren Risiken geprägt. Die ING hat für den 18. Juli 2026 ein technisches Update angekündigt, das zu mehrstündigen Ausfällen von App und Online-Banking führen wird.
Auf ganz praktischer Ebene rüstet sich die Sparkasse Lemgo gegen die anhaltende Bedrohung durch Geldautomaten-Sprengungen. Am 20. Juli 2026 nimmt sie in Bad Salzuflen einen neuen, explosionsgeschützten Selbstbedienungspavillon in Betrieb – ein klares Zeichen, dass Sicherheit nicht nur in der digitalen, sondern auch in der physischen Welt gewährleistet sein muss.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
