Künstliche Intelligenz ist ein zweischneidiges Schwert – zumindest was die Cybersicherheit von Banken angeht. Denn Cybersecurity, so argumentiert Rainer Zierhofer, Partner bei der internationalen Management-Beratung Horváth, im Gespräch mit der Börsen-Zeitung, „ist ein Hase-Igel-Rennen“. Zwar könnten Banken KI nutzen, um sich gegen Angriffe von Kriminellen zu schützen. Die aber setzten selbst neue Technologien und eben auch Künstliche Intelligenz ein, um Banken zu attackieren. „Cybersicherheit ist nie ein abgeschlossenes Kapitel“, sagt Zierhofer. Die Bedrohungsszenarien entwickelten sich ständig weiter.

Seit sechs Jahren führe Horváth eine Umfrage mit Vorstandsmitgliedern durch, ein Viertel davon aus Banken, berichtet Zierhofer und stellt fest: „Cybersicherheit ist heute Vorstandsthema.“ Damit befassten sich nicht mehr nur die IT-Experten, sondern auch die erste Führungsebene.

Viele Banken müssten die Sonderprüfungen nach §44 KWG bestehen, also nachweisen, dass ein ordnungsgemäßer Geschäftsbetrieb aufrechterhalten werden könne, erläutert Simone Seng, Principal bei Horváth. „Aber oft fehlt ein wirkungsvolles Datenmanagement.“ Viele Institute verfügten zwar über eine riesige Menge Daten, wüssten aber gar nicht, welche Systeme und Anwendungen sie im Einsatz haben. In vielen Fällen entsprächen die vorliegenden Daten somit nicht den Anforderungen einzelner Banken.

Ein anderes relevantes Thema in Sachen Cybersicherheit sei neben mangelnder Transparenz „die immer noch teils zurückhaltende Nutzung der Cloud“. Regulatorische Anforderungen, vor allem beim Umgang mit sensitiven Kundendaten erschwerten das Thema zusätzlich. „Banken brauchen deshalb eine differenzierte Datenstrategie“, ist Seng überzeugt.

Die Bank müsse für sich eine Menge Fragen beantworten: Welche Schutzbedarfe hat sie? Wie setzt sie die Prozesse auf? Wer ist an welcher Stelle verantwortlich? Da müsse vieles sortiert werden, um überhaupt einen Startpunkt für wirkungsvolle Cybersicherheit zu haben.

Cybersecurity, so ergänzt ihr Kollege Zierhofer, bedeute sowohl ein Compliance-Risiko als auch ein operatives Risiko. Banken müssten sicherstellen, dass sie alle Vorgaben einhalten. Aber sie müssten darüber hinaus gewährleisten, dass niemand ihre Daten stiehlt. „Nur die Verpflichtungen einzuhalten, reicht nicht.“

Mit Blick auf den Einsatz von Künstlicher Intelligenz in der deutschen Kreditwirtschaft – nicht nur in Bezug auf Cybersicherheit – beobachten die Horváth-Berater, dass KI in einigen Instituten bereits Alltag ist, in anderen noch Zukunftsmusik. Oft würden Anwendungen in einer sehr vereinfachten Form genutzt, etwa durch bankinternes GPT beim Erstellen oder Auslesen von Schriftstücken, erläutert Seng.

Die große Herausforderung bestehe darin, vorhandene Use Cases zu skalieren und sie in unterschiedlichen Einheiten des Instituts einzusetzen. Bislang werde KI sehr isoliert eingesetzt, nun müsse es darum gehen, diese einzelnen Use Cases in die Arbeitsprozesse zu integrieren.

Dabei komme dem Management der Prozesse große Bedeutung zu. „Ohne sinnvolles Prozessmanagement kann keine Bank und kein Unternehmen effektiv und effizient digitalisieren, automatisieren oder KI einsetzen“, betont Zierhofer. Eine KI-Strategie ohne Prozessmanagement bleibe „Stückwerk“. Ganz generell nehmen beide Berater wahr, dass es nur wenige Banken schafften, einerseits ein Prozessmanagement für die digitale Transformation aufzubauen und andererseits dabei die regulatorischen Anforderungen im Blick zu behalten. Dabei wäre es wichtig, nicht in Silos zu arbeiten, sondern beide Anforderungen wirkungsvoll miteinander zu verknüpfen. Banken erlebten häufig zwei Geschwindigkeiten der Transformation. Es brauche nur wenige Wochen, um bestimmte Use Cases aufzusetzen. Aber für die regulatorische Unterfütterung, die notwendig sei, um an den Start zu gehen, „braucht es sechs Monate“, mahnt Zierhofer.