Die Europäische Zentralbank drängt die Kreditinstitute im Euroraum, mehr Geld in die Cybersicherheit zu investieren, und warnt, dass künstliche Intelligenz das Ausmaß und die Geschwindigkeit digitaler Angriffe massiv verstärkt. In einer neuen Weisung an die beaufsichtigten Institute erklärte die EZB, der Anstieg KI-gesteuerter Bedrohungen erfordere eine deutliche Aufstockung der Verteidigungsausgaben – nicht nur schrittweise Anpassungen. Banken, die nicht Schritt halten, riskieren nicht nur ihre eigenen Systeme, sondern auch die Stabilität des gesamten Finanznetzwerks, betonte die Aufsichtsbehörde.
Warum die Warnung jetzt kommt
Cyberkriminelle haben begonnen, generative KI und maschinelle Lernwerkzeuge zu nutzen, um überzeugendere Phishing-E-Mails zu erstellen, Schwachstellenscans zu automatisieren und traditionelle Erkennungssysteme zu umgehen. Die Einschätzung der EZB, die den Banken in den letzten Wochen mitgeteilt wurde, stellt fest, dass diese Angriffe schneller und mit weniger erkennbaren Anzeichen erfolgen. Ein einzelner kompromittierter Zugang kann zu einer grenzüberschreitenden Sicherheitsverletzung führen, bevor das Sicherheitsteam einer Bank den Einbruch überhaupt bemerkt. Die Botschaft der Zentralbank ist deutlich: Das alte Konzept reicht nicht mehr aus.
Der Zeitpunkt ist kein Zufall. Europäische Banken kämpfen bereits mit strengeren Eigenkapitalvorschriften und einer schwächelnden Wirtschaft. Ein Wettrüsten im Bereich Cybersicherheit belastet die Budgets zusätzlich, aber die EZB macht klar, dass Unterinvestitionen keine Option mehr sind. Interne EZB-Dokumente, die GFdaily einsehen konnte, bezeichnen die derzeitige Bedrohungslage als „beispiellos in Geschwindigkeit und Reichweite“, obwohl die Bank sich weigerte, auf konkrete Vorfälle einzugehen, die die Warnung ausgelöst haben.
Was die EZB verlangt
Die Weisung legt kein spezifisches Ausgabenziel fest – keinen Prozentsatz des Umsatzes oder einen festen Euro-Betrag. Stattdessen wird jede Bank aufgefordert, eine neue Risikobewertung mit Fokus auf KI-gestützte Angriffsvektoren durchzuführen und einen mehrjährigen Investitionsplan vorzulegen. Diese Pläne müssen konkrete Schritte enthalten: Einstellung spezialisierter Mitarbeiter, Aufrüstung von Bedrohungserkennungssoftware und Durchführung von Red-Team-Simulationen, die KI-gesteuerte Eindringversuche nachahmen. Banken, die sich Zeit lassen, müssen mit häufigeren Vor-Ort-Kontrollen und in extremen Fällen mit höheren Eigenkapitalpuffern für Cyberrisiken rechnen.
Die EZB will auch, dass Kreditinstitute Bedrohungsinformationen aggressiver austauschen. „Keine Bank ist mehr eine Insel“, heißt es in der Weisung. „Die Zusammenarbeit bei Angriffsmustern und Verteidigungswerkzeugen ist für das gesamte System unerlässlich.“ Mehrere große Eurozonen-Banken haben bereits begonnen, Daten über eine Pilotplattform der Europäischen Bankenaufsichtsbehörde (EBA) auszutauschen, und die EZB erwartet, dass diese Bemühungen ausgeweitet werden.
Das breitere regulatorische Umfeld
Dieser Vorstoß aus Frankfurt fügt sich in einen breiteren Regulierungstrend ein. Das EU-Gesetz über die digitale operationale Resilienz (DORA), das im Januar 2025 in Kraft trat, verlangt bereits von Finanzunternehmen, ihre Cyberabwehr regelmäßig zu testen und größere Vorfälle innerhalb von Stunden zu melden. Die jüngste Aufforderung der EZB geht noch weiter, indem sie sich speziell auf die KI-Dimension konzentriert. Dies ist ein Zeichen dafür, dass die Aufsichtsbehörden die Technologie als eine eigenständige Bedrohung betrachten, nicht nur als einen weiteren Punkt auf der Risikocheckliste.
Kleinere Banken, denen oft die finanziellen Mittel ihrer größeren Konkurrenten fehlen, stehen vor der größten Herausforderung. Die EZB hat dieses Ungleichgewicht anerkannt und prüft, ob sie gemeinsame Cybersicherheitsdienste oder koordinierte Beschaffung von Abwehrwerkzeugen anbieten kann. Ein konkreter Plan wurde noch nicht angekündigt, aber der EZB-Rat wird voraussichtlich auf seiner Juni-Sitzung über Optionen diskutieren.
Die Uhr tickt. Die Banken haben bis Ende des dritten Quartals Zeit, ihre KI-Risikobewertungen und Investitionsfahrpläne vorzulegen. Wer die Frist versäumt, muss mit einer formellen Überprüfung und möglicherweise mit einer namentlichen Nennung in den Aufsichtsberichten der EZB rechnen.
