Die europäische Bankenlandschaft steht vor enormen Umwälzungen durch generative KI. Mit Blick auf frühere Transformationen ist die Hoffnung auf eine Vorreiterrolle zwar fehl am Platz. Die digitale Transformation, die schon mehr als zwei Dekaden andauert, ist Europas Finanzindustrie – zumindest die traditionellen Player – eher zögerlich angegangen. Nur ein Beweis dafür ist der reichlich späte Eintritt in den Markt für Echtzeit-Zahlungsdienste mit Wero. Peter Blenninger, Mitgründer und CEO des kroatisch-deutschen IT-Beratungsunternehmens Croz, sieht Chancen, dass Europas Finanzindustrie die KI-Revolution smarter angeht als frühere Digitalisierungsschritte.

So sorgt die geopolitische Lage aus seiner Sicht dafür, dass sich viele Banken oder systemkritische Dienstleister das Thema Souveränität genauer ansehen. „Und das kann nicht sein, auf Teufel komm raus alle Daten in amerikanische Hyperscaler zu schaufeln.“ Im Backend, wo die Daten der Kunden gehalten würden und die eigentliche Verarbeitung stattfinde, sollte man sich „nicht abhängig machen von einem Provider, der dann vielleicht irgendwann mal die Kostenschraube anzieht. Oder noch schlimmer: den Stecker zieht, aus welchen Gründen auch immer.“ Souveränität heiße, selbst entscheiden zu können, wo die Daten liegen und verarbeitet werden.

Leider stehe dem oft ein „falsches Sparverständnis“ der hiesigen Unternehmer entgegen, lässt Blenninger durchblicken. In vielen Unternehmen werde versucht, den IT-Stack möglichst günstig abzubilden – „etwa, indem man plain-vanilla-open-source-Komponenten zusammenklickt“. Auf denen lasse man dann kritische Anwendungen laufen und wundere sich später, warum man in Extremsituationen nicht mehr in der Lage sei, Dinge auszutauschen oder zu patchen. „Ich habe nichts gegen Open Source, aber im täglichen Doing will ich eigentlich etwas haben, das funktioniert und das ich auch rechtzeitig gepatcht bekomme, wenn eine Schwachstelle auftritt.“ An der Stelle hätten deutsche Firmen oft ein falsches Sparverständnis. Und das sei auch ein falsches Verständnis von Souveränität.

Selbst wenn dieses Problem aus dem Weg geräumt ist, bleibe die Frage, wofür die Large Language Modelle tatsächlich geeignet seien. KI habe sich schon länger bei der Verarbeitung von Massendaten und der Automatisierung von Routineaufgaben als äußerst effizient erwiesen. Im Gegensatz zu Menschen, die bei stupiden Aufgaben schon mal geistig abschalten könnten, gebe es bei einer Maschine dieses Problem nicht. Eine erfolgreiche Anwendung habe man in der Betrugserkennung mit dem Zahlungsabwickler Nexi entwickeln können. „Dank eines selbst lernenden Mechanismus konnte die Anzahl der Fehlalarme (False Positives), die für Kunden unangenehme Zahlungsprobleme verursachen, deutlich reduziert und die Prüfungszeit verkürzt werden.“

Studien, die besagen, dass bis zu 95 % aller KI-Projekte scheitern, will Blenninger nicht überbewerten. „Ein Scheitern ist in der Proof-of-Concept-Phase vollkommen normal und kein negativer Befund. Es handelt sich schließlich um eine neue Technologie.“ Bevor ein KI-Projekt überhaupt Erfolg haben könne, müssten sowieso oft die Grundlagen geschaffen werden, etwa die Modernisierung der IT-Infrastruktur und eine saubere Datenbasis. Für KI gelte ganz klar: „garbage in, garbage out“.

Die vermeintliche Demokratisierung der Künstlichen Intelligenz (KI) durch einfache Tools wie Prompt-Eingaben, die im Verbraucherbereich schnell Verbreitung gefunden haben, ist aus Sicht IT-Beraters zwar an sich ein Durchbruch, berge aber auch erhebliche Risiken. „KI ist noch immer ein Tool, bei dem man wissen sollte, was man tut und auch, was man für ein Ergebnis erwartet. Blind zu glauben, ist immer schwierig.“ Berater wie Croz und andere könnten Unternehmen helfen, das nötige Verlässlichkeitsniveau je nach Anwendung zu definieren und Sicherheitsmechanismen wie den „Human in the loop“ zu integrieren. Dabei übernehme ein Mensch auf einem bestimmten Konfidenzlevel die Kontrolle.

Als ein Treiber von KI neben den Kundenwünschen könne auch die Regulierung gelten. Das Problem: „Das Thema Governance, Risk and Compliance ist in vielen Finanzinstituten eher ein Papiertiger.“ Anstatt die Vorgaben als Chance für mehr Sicherheit zu nutzen, werden sie zuweilen vor allem auf dem Papier erfüllt. Dabei könne ein Sicherheitsvorfall ein Unternehmen im schlimmsten Fall „komplett aus dem Geschäft nehmen“. Die Motivation, Sicherheit zu gewährleisten, sollte intrinsisch sein, nicht nur ein regulatorisches Muss, ist Blenninger überzeugt. Zumal eine buchstabengetreue Auslegung im Zweifel schlechter schützt und zugleich das Geschäft ausbremsen könne. „Mit einer Regulierung kann man sich immer auch kreativ auseinandersetzen.“

Typisch deutsch sei dagegen, Vorgaben wie Dora zur Sicherheit lieber über zu erfüllen, um keinesfalls einen Schaden zu produzieren. Aber das sei der falsche Ansatz. Eine Regulierung habe immer auch ein übergeordnetes Ziel, das sie erreichen soll. Nach diesem Ziel sollte sie auch ausgelegt werden.

Hinzu komme oft ein falsches Selbstverständnis bei der IT als interner Dienstleister für die Fachabteilungen. Sie sollte aber integraler Bestandteil des Geschäfts sein. IT und Fachabteilung machen gemeinsam ein Produkt für den Kunden. „IT ist ja kein Selbstzweck. Es ist ein Mittel, ein Werkzeug“, betont Blenninger. Dabei lasse sich jedoch nicht jegliches Risiko eliminieren. Auch für Banken und Finanzdienstleister gelte: „Ein Geschäftsmodell, bei dem ich nicht ins Risiko gehe, ist doch kein Geschäftsmodell.“