Skip to content
Home

19. Mai 2026 | 9 min

AI Risk wird Aufsichtsthema: Was die BaFin-Warnung für DORA, BCM und Vendor Risk bedeutet

Die BaFin hat Mitte Mai deutlich gemacht, dass Cyberrisiken für Finanzunternehmen weiter zunehmen. Besonders relevant ist dabei ein Punkt: Angreifer nutzen immer häufiger Künstliche Intelligenz, um Schwachstellen schneller zu finden, Angriffe besser vorzubereiten und IT-Systeme gezielter anzugreifen.

Für Banken, Versicherer und andere regulierte Unternehmen ist das mehr als eine technische Warnung. Wenn KI Angriffe schneller und skalierbarer macht, steigen auch die Anforderungen an Risikomanagement, Business Continuity, Drittparteiensteuerung und Nachweisdokumentation. Kurz gesagt: AI Risk wird zum Aufsichtsthema.

Das betrifft nicht nur Unternehmen, die selbst KI einsetzen. Es betrifft auch Unternehmen, deren IT, Lieferanten, Cloud-Dienste oder Softwareprodukte durch KI-gestützte Angriffe verwundbarer werden. Genau hier kommen DORA, BCM und Vendor Risk Management ins Spiel.

Das Wichtigste in Kürze

KI verändert die Cyberbedrohungslage. Angreifer können Schwachstellen schneller finden, Phishing realistischer gestalten und Angriffe stärker automatisieren. Dadurch steigt der Druck auf Unternehmen, Sicherheitslücken schneller zu erkennen und zu schliessen.

Für Finanzunternehmen ist das besonders relevant, weil DORA digitale operationelle Resilienz verbindlich macht. Unternehmen müssen Risiken, IKT-Systeme, Dienstleister, Incidents und Wiederherstellungsprozesse besser steuern und nachweisen können.

Auch Business Continuity Management und Vendor Risk Management werden wichtiger. Denn ein KI-gestützter Angriff betrifft selten nur ein einzelnes System. Er kann Dienstleister, kritische Prozesse, Daten, Kundenkommunikation und den laufenden Betrieb gleichzeitig treffen.

Warum KI Cyberrisiken verschärft

Cyberangriffe sind nicht neu. Neu ist aber die Geschwindigkeit und Qualität, mit der Angreifer KI nutzen können.

Früher mussten viele Schritte manuell erfolgen: Systeme analysieren, Schwachstellen suchen, Angriffe vorbereiten, Phishing-Texte formulieren oder technische Angriffsmuster anpassen. Mit KI lassen sich viele dieser Schritte beschleunigen oder teilweise automatisieren.

Das bedeutet nicht, dass jeder Angriff automatisch erfolgreich ist. Aber es bedeutet, dass Unternehmen mit mehr Versuchen, besser vorbereiteten Angriffen und kürzeren Reaktionszeiten rechnen müssen.

Typische Risiken sind:

  • schnellere Suche nach Schwachstellen in IT-Systemen
  • realistischere Phishing-Mails und Social-Engineering-Angriffe
  • automatisierte Auswertung öffentlich verfügbarer Informationen
  • gezieltere Angriffe auf Mitarbeitende, Dienstleister oder Führungskräfte
  • schnellere Anpassung von Angriffsmethoden
  • höhere Belastung für Security-, IT- und Incident-Teams

Für GRC-Verantwortliche ist deshalb entscheidend: KI-gestützte Cyberangriffe sind nicht nur ein IT-Security-Thema. Sie betreffen Governance, Risiko, Compliance, Lieferanten, Notfallplanung und Management-Reporting.

Was das mit DORA zu tun hat

DORA verpflichtet Finanzunternehmen, ihre digitale operationelle Resilienz systematisch zu steuern. Im Kern geht es darum, dass ein Unternehmen auch bei IT-Störungen, Cyberangriffen oder Problemen bei Dienstleistern handlungsfähig bleibt.

KI-gestützte Angriffe erhöhen genau dort den Druck.

Unternehmen müssen wissen, welche IKT-Systeme kritisch sind, welche Risiken bestehen, welche Kontrollen greifen, welche Dienstleister beteiligt sind und welche Massnahmen bei einem Vorfall ausgelöst werden. Gleichzeitig müssen sie nachweisen können, dass diese Informationen aktuell und steuerbar sind.

DORA verlangt also nicht nur technische Sicherheit. DORA verlangt ein belastbares Managementsystem für digitale Risiken.

Das bedeutet praktisch:

  • IKT-Risiken müssen regelmässig bewertet werden
  • kritische Systeme und Prozesse müssen bekannt sein
  • Sicherheitsmassnahmen müssen dokumentiert und überprüft werden
  • Incidents müssen erkannt, bewertet und gemeldet werden können
  • Dienstleister müssen nach Risiko und Kritikalität gesteuert werden
  • Wiederherstellungs- und Notfallprozesse müssen funktionieren

Wenn KI Angriffe schneller macht, wird die Qualität dieser Prozesse wichtiger. Unternehmen können sich nicht darauf verlassen, im Ernstfall erst Informationen zusammenzusuchen.

Warum BCM jetzt stärker in den Fokus rückt

Business Continuity Management wird oft erst dann sichtbar, wenn etwas ausfällt. Genau das ist das Problem.

Ein KI-gestützter Cyberangriff kann nicht nur einzelne IT-Systeme treffen. Er kann auch kritische Geschäftsprozesse unterbrechen, Kundenkommunikation beeinträchtigen, Datenzugriff blockieren oder Dienstleister lahmlegen.

Dann reicht es nicht, einen Notfallplan im Ordner zu haben. Unternehmen müssen wissen:

  • Welche Prozesse sind wirklich kritisch?
  • Welche Systeme unterstützen diese Prozesse?
  • Welche Dienstleister sind beteiligt?
  • Welche Alternativen gibt es bei Ausfall?
  • Wer entscheidet im Krisenfall?
  • Wie schnell müssen Systeme wiederhergestellt werden?
  • Welche Kommunikation ist intern und extern notwendig?

BCM muss deshalb enger mit Cyber Risk, Incident Management und Vendor Risk Management verbunden werden. Nur so entsteht ein realistisches Bild der tatsächlichen Widerstandsfähigkeit.

Warum Vendor Risk Management entscheidend ist

Viele Unternehmen betreiben ihre wichtigsten Systeme nicht mehr vollständig selbst. Sie nutzen Cloud-Anbieter, Softwarelösungen, Outsourcing-Partner, Managed Services und spezialisierte IT-Dienstleister.

Das ist normal und oft sinnvoll. Aber es verändert das Risikoprofil.

Wenn ein kritischer Dienstleister angegriffen wird, kann das eigene Unternehmen trotzdem betroffen sein. Wenn ein Softwareanbieter eine Schwachstelle hat, kann daraus ein Risiko für viele Kunden entstehen. Wenn ein Cloud-Service ausfällt, stehen möglicherweise zentrale Geschäftsprozesse still.

KI-gestützte Angriffe verschärfen dieses Problem, weil Angreifer Lieferketten gezielter analysieren und schwache Punkte schneller identifizieren können.

Deshalb reicht ein einfaches Lieferantenverzeichnis nicht mehr aus. Unternehmen brauchen ein strukturiertes Vendor Risk Management. Sie müssen wissen, welche Dienstleister kritisch sind, welche Leistungen sie erbringen, welche Daten betroffen sind, welche Sicherheitsanforderungen gelten und welche Nachweise vorliegen.

Besonders wichtig sind:

  • Kritikalitätsbewertung von Dienstleistern
  • Dokumentation von IKT-Abhängigkeiten
  • Sicherheitsanforderungen in Verträgen
  • regelmässige Lieferantenbewertungen
  • Nachweise zu Kontrollen und Zertifizierungen
  • Exit-Strategien für kritische Dienstleister
  • Verknüpfung mit BCM und Incident Management

Vendor Risk ist damit kein Einkaufsthema allein. Es ist ein zentraler Bestandteil von Cyberresilienz.

Das eigentliche Problem: Informationen liegen oft verteilt

Viele Unternehmen haben bereits viele der nötigen Informationen. Sie liegen nur nicht dort, wo sie im Ernstfall gebraucht werden.

Risiken stehen in Excel. Lieferanteninformationen liegen im Einkauf. Notfallpläne werden separat gepflegt. Incidents laufen im Ticketsystem. Kontrollen stehen in Audit-Dokumenten. Nachweise liegen in Ordnern. Management-Reports werden manuell erstellt.

Solange nichts passiert, wirkt das vielleicht handhabbar. Bei einem Cybervorfall wird es zum Problem.

Dann muss schnell klar sein, welche Systeme betroffen sind, welche Prozesse kritisch sind, welche Dienstleister beteiligt sind, welche Meldepflichten bestehen und welche Massnahmen bereits geplant oder umgesetzt wurden.

Wenn diese Informationen verteilt sind, verlieren Unternehmen Zeit. Und bei Cyberangriffen ist Zeit einer der wichtigsten Faktoren.

Was Unternehmen jetzt tun sollten

Unternehmen müssen nicht sofort ein riesiges neues Programm starten. Aber sie sollten ihre bestehenden Prozesse gezielt überprüfen.

Der erste Schritt ist Transparenz. Welche kritischen Systeme, Prozesse und Dienstleister gibt es? Welche Risiken sind bekannt? Welche Massnahmen laufen bereits? Wo fehlen Nachweise?

Der zweite Schritt ist Verbindung. Risiken, Kontrollen, Lieferanten, Incidents und BCM-Pläne sollten nicht isoliert gepflegt werden. Sie müssen miteinander verknüpft sein.

Der dritte Schritt ist Nachweisbarkeit. Aufsicht, Audit und Management brauchen klare Antworten. Nicht irgendwann, sondern schnell und belastbar.

Für viele Unternehmen sind vor allem diese Fragen wichtig:

  • Sind KI-bezogene Cyberrisiken im Risikomanagement berücksichtigt?
  • Sind kritische IKT-Systeme und Dienstleister vollständig erfasst?
  • Sind BCM-Pläne mit realen System- und Lieferantenabhängigkeiten verbunden?
  • Gibt es klare Prozesse für Cyber Incidents und Meldepflichten?
  • Können Kontrollen, Massnahmen und Nachweise schnell gefunden werden?
  • Gibt es ein aktuelles Reporting für Management und Aufsicht?

Diese Fragen sind simpel. Aber sie zeigen schnell, ob ein Unternehmen wirklich steuerungsfähig ist.

Die Rolle von Zazoon GRC

Zazoon GRC hilft Unternehmen dabei, Cyberrisiken, DORA-Anforderungen, BCM, Vendor Risk und Nachweise zentral zu steuern.

Statt Risiken, Kontrollen, Dienstleister, Incidents und Massnahmen in verschiedenen Tools zu pflegen, können Unternehmen diese Informationen in einer gemeinsamen GRC-Struktur verbinden. Dadurch entsteht ein klareres Bild: Welche Risiken betreffen welche Systeme? Welche Dienstleister sind kritisch? Welche Massnahmen sind offen? Welche Nachweise liegen vor? Welche Anforderungen werden erfüllt?

Gerade bei KI-gestützten Cyberrisiken ist diese Transparenz wichtig. Denn je schneller sich die Bedrohungslage verändert, desto wichtiger werden aktuelle Daten, klare Verantwortlichkeiten und nachvollziehbare Prozesse.

Zazoon unterstützt Unternehmen dabei, Compliance nicht als isolierte Pflicht zu betrachten, sondern als Grundlage für bessere Resilienz und bessere Entscheidungen.

Fazit: KI macht Cyber Risk schneller, GRC muss strukturierter werden

Die BaFin-Warnung zeigt deutlich: KI verändert die Cyberbedrohungslage. Angriffe können schneller, gezielter und skalierbarer werden. Für regulierte Unternehmen bedeutet das mehr Druck auf DORA, BCM, Vendor Risk und Incident Management.

Die Antwort darauf ist nicht noch mehr manuelle Dokumentation. Die Antwort ist bessere Struktur.

Unternehmen müssen wissen, welche Risiken bestehen, welche Systeme kritisch sind, welche Dienstleister beteiligt sind, welche Massnahmen wirken und welche Nachweise verfügbar sind. Genau das ist der Kern moderner GRC-Prozesse.

AI Risk ist damit kein Zukunftsthema mehr. Es ist ein aktuelles Aufsichtsthema und ein klarer Anlass, digitale Resilienz, Drittparteiensteuerung und Business Continuity enger zusammenzuführen.

FAQ

Was bedeutet AI Risk im Zusammenhang mit Cybersecurity?

AI Risk beschreibt Risiken, die durch den Einsatz von Künstlicher Intelligenz entstehen oder verstärkt werden. Im Cybersecurity-Kontext geht es vor allem darum, dass Angreifer KI nutzen können, um Schwachstellen schneller zu finden, Phishing realistischer zu gestalten oder Angriffe stärker zu automatisieren.

Warum ist die BaFin-Warnung für Unternehmen wichtig?

Die BaFin macht deutlich, dass KI-gestützte Cyberangriffe nicht nur ein technisches Problem sind. Sie können die Stabilität von Unternehmen, die Verfügbarkeit von Services und die digitale Resilienz gefährden. Für regulierte Unternehmen steigt dadurch der Druck, Cyberrisiken besser zu steuern und nachweisen zu können.

Was hat AI Risk mit DORA zu tun?

DORA verlangt von Finanzunternehmen ein strukturiertes Management digitaler Risiken. Wenn KI Cyberangriffe schneller und komplexer macht, müssen Unternehmen ihre IKT-Risiken, Kontrollen, Incidents, Dienstleister und Wiederherstellungsprozesse noch besser im Griff haben.

Warum ist BCM bei KI-gestützten Cyberangriffen wichtig?

Business Continuity Management stellt sicher, dass kritische Geschäftsprozesse auch bei Störungen weiterlaufen oder schnell wiederhergestellt werden können. Bei KI-gestützten Cyberangriffen kann ein Vorfall mehrere Systeme, Dienstleister und Prozesse gleichzeitig betreffen. Deshalb muss BCM eng mit Cyber Risk und Incident Management verbunden sein.

Welche Rolle spielt Vendor Risk Management?

Viele Cyberrisiken entstehen nicht nur im eigenen Unternehmen, sondern auch bei Dienstleistern, Cloud-Anbietern oder Softwarelieferanten. Vendor Risk Management hilft dabei, kritische Dienstleister zu erkennen, Risiken zu bewerten und Sicherheitsanforderungen nachvollziehbar zu dokumentieren.

Müssen Unternehmen jetzt eigene KI-Risikoprogramme aufbauen?

Nicht unbedingt. Wichtig ist zunächst, KI-bezogene Cyberrisiken in bestehende GRC-, DORA-, BCM- und Vendor-Risk-Prozesse zu integrieren. Entscheidend ist, dass Risiken, Kontrollen, Massnahmen und Nachweise zentral steuerbar sind.

Reicht eine technische Security-Lösung aus?

Nein. Technische Sicherheitslösungen sind wichtig, aber sie reichen allein nicht aus. Unternehmen brauchen auch klare Verantwortlichkeiten, dokumentierte Prozesse, Lieferantensteuerung, Notfallpläne, Incident Management und belastbare Nachweise.

Wie unterstützt Zazoon GRC bei AI Risk?

Zazoon GRC hilft Unternehmen, Risiken, Kontrollen, Massnahmen, Lieferanten, Incidents und Nachweise zentral zu verwalten und miteinander zu verbinden. Dadurch können Unternehmen besser nachvollziehen, wo Risiken entstehen, welche Massnahmen wirken und welche regulatorischen Anforderungen erfüllt werden.

Share

Related posts

Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen
17 Juni 2025 | 3 min

Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen

 Die Anforderungen an Unternehmen, ihre Widerstandsfähigkeit gegen Störungen sicherzustellen, wachsen rapide. Klassische Business-Continuity-Konzepte reichen im Jahr 2025 nicht mehr aus, um den vielfältigen regulatorischen und operativen Risiken gerecht zu werden. Der Begriff Operational Resilience rückt ins Zentrum moderner GRC-Strategien. Doch was bedeutet er genau? Und wie kann ein GRC-System helfen, die Resilienz eines Unternehmens systematisch<a href="https://zazoon.com/de/operational-resilience-wie-unternehmen-ueber-business-continuity-hinausdenken-muessen/">Continue reading <span class="sr-only">"Operational Resilience: Wie Unternehmen über Business Continuity hinausdenken müssen"</span></a>
Read more
MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC
26 August 2025 | 4 min

MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC

 Die Regulierung von Krypto-Assets in der Europäischen Union hat mit der Einführung der Markets in Crypto-Assets Regulation (MiCA) einen historischen Meilenstein erreicht. Seit Ende 2024 vollständig anwendbar, schafft MiCA erstmals einen einheitlichen Rechtsrahmen für den Krypto-Markt in allen EU-Mitgliedstaaten. Ziel ist es, Marktstabilität zu fördern, Investoren zu schützen und gleiche Wettbewerbsbedingungen für alle Anbieter zu<a href="https://zazoon.com/de/mica-die-neue-eu-krypto-regulierung-und-ihre-bedeutung-fuer-governance-risiko-und-compliance/">Continue reading <span class="sr-only">"MiCA: Die neue EU-Krypto-Regulierung und ihre Bedeutung für GRC"</span></a>
Read more
Erläuterung des Europäischen Datenschutzgesetzes
14 Januar 2022 | 4 min

Erläuterung des Europäischen Datenschutzgesetzes

 Daten sind kein rivalisierendes Gut. Sie können viele Male konsumiert werden, ohne dass man befürchten muss, dass das Angebot schwindet. Das Datenvolumen wächst unaufhörlich. Schätzungen zufolge wurden im Jahr 2018 33 Zettabyte an Daten generiert, und es wird erwartet, dass es im Jahr 2025 rund 175 Zettabyte erreichen wird. Es handelt sich um ein unterausgenutztes<a href="https://zazoon.com/de/datenschutzgesetzes/">Continue reading <span class="sr-only">"Erläuterung des Europäischen Datenschutzgesetzes"</span></a>
Read more