Künstliche Intelligenz spielt im Finanzsektor eine immer größere Rolle und zukünftig wird eine Regulierung des Einsatzes zu erwarten sein. Erste Hinweise ergeben sich bereits aus dem EU AI Act. Mit den wachsenden Einsatzmöglichkeiten steigen auch die Erwartungen an Transparenz, Sicherheit und eine verantwortungsvolle Nutzung. Um hierfür einen Rahmen zu schaffen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai einen Kriterienkatalog für die Prüfung von KI-Systemen im Finanzsektor veröffentlicht. Dieser Katalog beschreibt Anforderungen an Produkte, Prozesse und Organisationen, die künftig eine wichtige Grundlage für Prüfungen bilden können.
Die Bedeutung dieser Entwicklung liegt vor allem darin, dass der Finanzsektor besonders sensibel ist: Entscheidungen über Kredite, Handel oder Risikobewertungen dürfen nicht allein aus wirtschaftlicher Sicht effizient, sondern müssen zugleich nachvollziehbar, diskriminierungsfrei und sicher sein, wie dies durch die BaFin gefordert wird. KI-Systeme müssen daher nicht nur funktional zuverlässig arbeiten, sondern auch regulatorische Prinzipien wie Nachvollziehbarkeit, Fairness, Robustheit und Datenschutz erfüllen.
Der Kriterienkatalog des BSI
Der Katalog deckt eine breite Palette von Prüfpunkten ab, die über rein technische Aspekte hinausgehen. Neben Fragen der IT-Sicherheit und Robustheit werden auch Governance-Strukturen, Prozessabläufe und organisatorische Rahmenbedingungen angesprochen. Damit geht es nicht nur um die technische Funktionalität von KI-Systemen, sondern auch um deren Einbettung in sichere und nachvollziehbare Strukturen.
Ein Teil der Kriterien kann dokumentenbasiert geprüft werden, zum Beispiel Nachweise zur Modelltransparenz oder zu eingesetzten Daten. Andere Punkte erfordern technische Tests, etwa zur Widerstandsfähigkeit gegenüber Angriffen. Der Katalog macht deutlich: Die Beurteilung von KI ist komplex und erfordert sowohl organisatorisches als auch technisches Fachwissen.
Diese umfassende Betrachtung spiegelt sich auch in den nachfolgenden Prinzipien der BaFin wider, die ähnliche Anforderungen an Transparenz, Risikomanagement, datenschutzkonforme Anwendung und die Einbindung menschlicher Entscheidungsträger formulieren. Der BSI-Katalog erweitert diese Grundsätze um konkrete technische und organisatorische Prüfmethoden, die insbesondere für Kreditinstitute von hoher Relevanz sind, um die sicheren und verantwortungsvollen Einsatz von KI zu gewährleisten.
Aktuelle Entwicklungen im Markt
Parallel dazu etabliert sich mit der ISO/IEC 42001 ein internationaler Standard für Managementsysteme im Bereich Künstliche Intelligenz. Die Norm beschreibt, wie Unternehmen Prozesse und Strukturen so aufsetzen können, dass KI nachvollziehbar, sicher und regelkonform eingesetzt wird. Erste Zertifizierungen wurden bereits erteilt, unter anderem an internationale IT-Dienstleister und auch an Unternehmen in Deutschland. Diese Beispiele verdeutlichen, dass sich die Anforderungen an KI-Governance nicht nur national, sondern weltweit verschärfen.
Die BaFin, das BSI und die internationale Norm ISO/IEC 42001 verfolgen ein gemeinsames Ziel: den verantwortungsvollen, sicheren und transparenten Einsatz von künstlicher Intelligenz in der Finanzwirtschaft. Dabei zeigen sich deutliche Parallelen in ihren Ansätzen und Anforderungen.
Alle drei Dokumente legen einen ganzheitlichen Ansatz zugrunde, der die gesamte Lebenszyklusbetrachtung von KI-Systemen umfasst – von der Entwicklung und Datenbasis über die Implementierung und den Betrieb bis hin zur laufenden Überwachung und Anpassung. Sie fordern ein effektives Management und eine durchgängige Governance, die klare Verantwortlichkeiten und Steuerungsstrukturen für KI definieren. Dabei steht die Einbettung in die Unternehmensstrategie und das Risikomanagement im Fokus, um technische, ethische und rechtliche Risiken systematisch zu adressieren.
Herausforderungen für Unternehmen
Die drei Quellen verdeutlichen, dass Finanzunternehmen eine integrierte Herangehensweise an den Einsatz von KI-Systemen entwickeln müssen. Technische Herausforderungen wie die Sicherstellung der Modellrobustheit, die Vermeidung von Bias und die Gewährleistung von Transparenz müssen mit organisatorischen Anforderungen wie klaren Verantwortungsstrukturen und einem effektiven Governance-Framework verzahnt werden. Ebenso ist die Etablierung spezialisierter Prozesse für Entwicklung, Validierung, laufende Überwachung und Anpassung von KI-Systemen zentral.
Ein zentrales Problem besteht darin, dass technische Maßnahmen allein nicht ausreichen, um Risiken zu minimieren; ebenso wenig kann eine formale Dokumentation Mängel in der technischen Umsetzung oder Integration kompensieren. Unternehmen stehen daher vor der Herausforderung, technische, prozessuale und organisatorische Ebenen zu einem schlagkräftigen Gesamtkonzept zusammenzuführen, das Flexibilität bei der Anpassung an neue regulatorische Anforderungen und technologische Entwicklungen bietet.
Insbesondere die Dynamik von KI – mit schnelleren Kalibrierungszyklen und zunehmender Automatisierung – erfordert eine laufende Validierung und ein aktives Risikomanagement. Um Vertrauen bei Kunden, Aufsichtsbehörden und weiteren Stakeholdern zu schaffen, ist die konsequente Implementierung dieser integrierten Prinzipien unverzichtbar. Nur so lassen sich die Potenziale von KI verantwortungsvoll und nachhaltig nutzen.
Ansatz von SRC
Als Prüfstelle mit langjähriger Erfahrung in IT-Sicherheit, Zahlungsverkehr und Compliance sieht sich SRC Security Research & Consulting GmbH an der Schnittstelle dieser Entwicklungen. Aus unserer Sicht ergeben sich drei Ansatzpunkte, um Unternehmen gezielt zu unterstützen:
- Übersetzung zwischen Normen und Praxis
Der BSI-Kriterienkatalog und die ISO/IEC 42001 wirken auf den ersten Blick abstrakt. Wir helfen, diese Vorgaben in konkrete Schritte zu übersetzen und für die jeweilige Organisation handhabbar zu machen.
- Modularer Prüfungsansatz
Unternehmen müssen nicht sofort ein komplettes Audit durchlaufen. Prüfungen können in Modulen erfolgen, beispielsweise mit Fokus auf Transparenz, Governance oder IT-Sicherheit. So lassen sich gezielt Schwerpunkte setzen und die Einstiegshürde bleibt niedrig.
- Technische Tiefe bei Security und Robustness
Während viele Zertifizierungsstellen den organisatorischen Teil abdecken, besteht bei KI-spezifischen Sicherheits- und Robustheitsfragen noch Bedarf an Expertise. Hier bringt SRC sein technisches Know-how ein, etwa bei Penetrationstests für KI-Systeme, Simulationen von Angriffen auf Trainings- und Entscheidungsdaten, Prüfungen auf Datenvergiftung oder adversarial tests. Auch die Untersuchung der Resilienz gegenüber Manipulationen in der Modellarchitektur oder in der Laufzeitumgebung gehört dazu.
Ergänzende Angebote der SRC
Neben klassischen Prüfungen entwickeln wir Formate, die Unternehmen frühzeitig Orientierung geben:
- Self-Assessment-Workshops, in denen Unternehmen ihre Position im Hinblick auf den Kriterienkatalog bestimmen können
- Vorbereitung auf ISO-Zertifizierungen, kombiniert mit BSI-Kriterienprüfungen
- Governance-Audits, die Produkt-, Prozess- und Organisationsebenen verbinden
Warum jetzt handeln?
Der Druck auf den Finanzsektor wächst. Nationale Vorgaben wie der BSI-Katalog und internationale Standards wie die ISO/IEC 42001 machen deutlich: KI-Systeme werden nicht nur eingesetzt, sondern zukünftig auch überprüft und die Schnittmengen der Kriterienwerke sind bereits heute zu erkennen. Wer frühzeitig Strukturen etabliert, verschafft sich mehrere Vorteile:
- Sicherheit bei regulatorischen Anforderungen, bevor sie verpflichtend werden
- Vertrauensaufbau gegenüber Kunden, Partnern und Aufsichtsbehörden
- Marktvorteile durch schnellere Audits oder Zertifizierungen
Fazit und Ausblick
Der BSI-Kriterienkatalog nimmt eine zentrale Rolle ein, indem er die Überprüfbarkeit und Transparenz von KI-Anwendungen im Finanzsektor konsequent in den Fokus stellt. Parallel verdeutlichen internationale Initiativen wie die ISO/IEC 42001, dass die Etablierung wirksamer Governance-Strukturen und Sicherheitsmaßnahmen für KI-Systeme weltweit von hoher Bedeutung ist. In diesem Kontext bietet SRC Unternehmen eine modulare, praxisorientierte und technisch fundierte Begleitung, um die Herausforderungen bei der Implementierung und Steuerung von KI-Lösungen effektiv zu bewältigen.
