Zum Inhalt springen Zur Navigation springen
DORA & KI: Regulatorik und Technik

DORA & KI: Regulatorik und Technik

Artikel von Dr. Datenschutz·30. Januar 2026

Regulatorische Anforderungen und technische Schwachstellen im Finanzsektor: Der Einsatz von Künstlicher Intelligenz (KI) im Finanzsektor eröffnet neue Chancen, bringt aber auch erhebliche Risiken und technische Schwachstellen mit sich. Dieser Beitrag gibt einen kompakten Überblick über die wichtigsten regulatorischen Anforderungen aus DORA und beleuchtet, wie Finanzunternehmen KI sicher und regelkonform integrieren können. Im Fokus stehen die Integration von KI in das IKT-Risikomanagement, Governance, Betrieb und Sicherheit – und die besonderen Herausforderungen durch technische Angriffsvektoren.

Was regelt DORA für KI im Finanzsektor?

DORA verpflichtet Finanzunternehmen, alle IKT- und KI-Risiken systematisch zu steuern und so die digitale Resilienz im Finanzsektor zu stärken. KI-Anwendungen müssen in das bestehende IKT-Risikomanagement integriert werden. Besonders relevant sind dabei ein risikobasierter Ansatz und die Verhältnismäßigkeit der Maßnahmen, die Einbindung von KI in Governance und Organisation sowie die Berücksichtigung des gesamten KI-Lebenszyklus von der Entwicklung über den Betrieb bis zur Stilllegung.

Die regulatorischen Anforderungen sind eng mit den technischen Schwachstellen verknüpft, die KI-Systeme mit sich bringen. Finanzunternehmen nutzen KI zunehmend entlang der gesamten Wertschöpfungskette, was das Risiko neuer technischer Sicherheitslücken erhöht. Angreifer können KI-Systeme manipulieren, indem sie die Lerndaten verändern oder Schutzmechanismen umgehen. So entstehen fehlerhafte Ergebnisse oder sensible Informationen werden offengelegt. Unternehmen müssen ihre KI-Anwendungen daher gezielt absichern und laufend überwachen.

Welche Anforderungen stellt DORA an das IKT-Risikomanagement von KI?

DORA verlangt einen umfassenden IKT-Risikomanagementrahmen, der auch KI-Systeme einschließt. Die Identifikation und Bewertung von Risiken aus KI-Systemen ist dabei ebenso zentral wie die Entwicklung von Schutzmaßnahmen und Präventionsstrategien. Unternehmen müssen in der Lage sein, Anomalien und Vorfälle frühzeitig zu erkennen und darauf zu reagieren. Die kontinuierliche Weiterentwicklung und Anpassung des Rahmens ist unerlässlich, da sich sowohl die Technologie als auch die Bedrohungslage stetig verändern.

Wichtige Maßnahmen im IKT-Risikomanagement für KI sind:

  • Risiken aus KI-Systemen identifizieren und bewerten
  • Schutzmaßnahmen und Präventionsstrategien entwickeln
  • Anomalien und Vorfälle frühzeitig erkennen und darauf reagieren
  • Rahmen kontinuierlich weiterentwickeln und anpassen
  • KI-Content-Filter einsetzen, um unerwünschte oder gefährliche Inhalte zu blockieren
  • Modellverhalten überwachen, um Manipulationen frühzeitig zu erkennen
  • Managementberichte regelmäßig erstellen und Maßnahmen mindestens jährlich überprüfen

Nur so lässt sich sicherstellen, dass die Schutzmechanismen auch den aktuellen Bedrohungen standhalten.

Wie sieht die Governance für KI unter DORA aus?

Die Governance-Struktur ist ein zentrales Element der regulatorischen Anforderungen. DORA fordert die Entwicklung einer KI-Strategie, die auf die Gesamtstrategie des Unternehmens abgestimmt ist. Klare Verantwortlichkeiten und Zuständigkeiten für KI-Anwendungen müssen definiert werden, damit Risiken gezielt adressiert werden können. Schulungen und Weiterbildungen für Mitarbeitende und Management sind ebenso wichtig wie die Einbindung von Kontroll- und Revisionsfunktionen, abhängig von der Kritikalität der KI-Systeme.

Die Risikobewertung und Vorgaben für den Einsatz von Drittanbietern, etwa Cloud-Dienstleister, sind besonders relevant, da viele KI-Anwendungen auf externe Ressourcen zurückgreifen. Die Governance muss sicherstellen, dass technische Schwachstellen wie Angriffe auf personenbezogene Daten oder Model Poisoning auch bei ausgelagerten Systemen erkannt und adressiert werden. Transparenz über Datenflüsse und klare Service Level Agreements sind dabei unerlässlich.

Welche Vorgaben gelten für Entwicklung, Test und Betrieb von KI?

DORA macht Vorgaben für alle Phasen des KI-Lebenszyklus. In der Entwicklung und im Test müssen bewährte Softwareentwicklungs- und Testverfahren eingesetzt werden, etwa Code-Reviews und automatisierte Tests. Die Dokumentation und Versionierung aller Modelle und Trainingsdaten ist Pflicht, ebenso die Prüfung und Absicherung von Open-Source-Komponenten. Besonders bei generativer KI sind Simulationen von Angriffen und Stresstests notwendig, um technische Schwachstellen frühzeitig zu erkennen.

Im Betrieb müssen Unternehmen folgende Punkte beachten:

  • Klare Definition und Dokumentation aller Betriebsprozesse, einschließlich Logfiles und Kapazitätsmanagement
  • Sichere Deinstallation und Löschung von KI-Systemen und Daten
  • Schutz vor Cyberangriffen und unbefugtem Zugriff durch rollenbasierte Zugriffsrechte
  • Regelmäßige Überprüfung der Ressourcen und Leistungsfähigkeit

Bei der Nutzung von Cloud-Diensten ist außerdem eine sorgfältige Auswahl und Bewertung der Anbieter wichtig sowie transparente Vereinbarungen zu Sicherheit und Datenflüssen und die Festlegung von Exit-Strategien für den Wechsel oder die Beendigung von Cloud-Diensten.

Wie werden Cyber- und Datensicherheit bei KI geregelt?

DORA verlangt umfassende Sicherheitsrichtlinien, die auch KI-Systeme abdecken. Der Einsatz von Firewalls, Intrusion Detection/Prevention und Zero-Trust-Modellen ist ebenso vorgeschrieben wie die Verschlüsselung und sichere Übertragung von Daten. Ein striktes Berechtigungsmanagement und die Protokollierung aller Zugriffe sind Pflicht, um die Nachvollziehbarkeit und Erklärbarkeit der Modellentscheidungen zu gewährleisten.

Für die Sicherheit von KI-Systemen sind folgende Maßnahmen besonders wichtig:

  • Regelmäßige Sicherheitsupdates und Notfallpläne, um auf neue Bedrohungen reagieren zu können
  • Klassifikation von Daten nach Vertraulichkeit, insbesondere bei Cloud-Lösungen
  • Schutz sensibler Daten und Sicherstellung, dass nur autorisierte Zugriffe möglich sind
  • Verschärfte Anforderungen an Datenklassifikation, Zugriffskontrolle und sichere Integration aller Schnittstellen bei KI-Assistenten und großen Sprachmodellen

So wird gewährleistet, dass KI-Systeme auch bei steigenden Anforderungen und neuen Bedrohungen sicher und regelkonform betrieben werden können.

Was Finanzunternehmen jetzt tun müssen

Finanzunternehmen stehen vor der Herausforderung, alle regulatorischen Anforderungen aus DORA beim Einsatz von KI zu beachten und in ihre Prozesse zu integrieren. Dies betrifft Governance, Risikomanagement, Entwicklung, Betrieb und Sicherheit gleichermaßen. Die Orientierungshilfe der BaFin bietet einen praxisnahen Rahmen, um die Vorgaben effizient und risikoorientiert umzusetzen. Eine ganzheitliche Sicherheitsstrategie, die technische, organisatorische und regulatorische Maßnahmen umfasst, ist unerlässlich für den sicheren und regelkonformen Einsatz von KI im Finanzsektor. Nur so lassen sich die Chancen der Technologie nutzen, ohne die Risiken aus dem Blick zu verlieren.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.