Künstliche Intelligenz: Herausforderung und Helfer für das Risikomanagement in der Bank

Künstliche Intelligenz revolutioniert die Finanzbranche, bietet Produktivitätspotenzial, birgt aber auch Risiken, die durch strategisches Risikomanagement gemindert werden müssen.
August 01, 2025, 5:08: Uhr
ipopba/Adobe Stock

Künstliche Intelligenz: Herausforderung und Helfer für das Risikomanagement in der Bank

Künstliche Intelligenz ist die Technologie der Stunde. Banken arbeiten längst daran, mit ihrer Hilfe Prozesse zu automatisieren und Effizienzgewinne zu erzielen. Gleichzeitig kursieren in sozialen Netzwerken KI-generierte Bilder täuschend echter, jedoch gefälschter Rechnungen und Kassenbelege. Auch Deep-Fake-Videos vermeintlicher CEOs, die ihrer Finanzabteilung eine Zahlung anweisen, sorgten schon für Irritation – und fehlerhafte Outputs von KI-Agenten können Geschäftsabläufe und die Reputation bedrohen. Beispiele, die zeigen: KI bringt für Finanzunternehmen neben einem enormen Produktivitätspotenzial neue Risiken mit sich, die aktiv gemanagt werden müssen.

Auch für Risikomanager in Banken wird KI zum strategischen Handlungsfeld

Weltweit sind Banken mit Blick auf die Technologie von der Erprobungs- in die Umsetzungsphase eingetreten. Den Status quo beleuchtet die aktuelle Studie „Generative KI in der deutschen Wirtschaft 2025“ von KPMG, für die 653 Entscheiderinnen und Entscheider aus 18 Branchen, auch aus Finanzunternehmen, befragt wurden. Eines ihrer Ergebnisse: Generative KI hat Eingang in Arbeitsschritte entlang der gesamten Wertschöpfungskette gefunden – in Banken etwa in die Datenanalyse, die Kreditbearbeitung, in die Betrugserkennung, in Prognosemodelle und somit auch in das Risikomanagement (laden Sie hier die Auswertung der Studie speziell für Banken herunter).

Um beim Einsatz von KI nicht ins Hintertreffen zu geraten, erhöhen Bankenverantwortliche die Budgets, wie eine weitere KPMG-Studie mit dem Titel „Intelligent Banking“ ergeben hat. Besonders interessant für Risikomanager: Vier von zehn Befragten verbinden mit Investitionen in KI auch das klare Ziel, Risiken zu mindern.

 KI-Einsatzfelder für das Risikomanagement in der Bank

Die Abläufe in Risiko- und Treasury-Einheiten von Banken sind komplex, und das aktuelle Umfeld ist herausfordernd: steigender Kostendruck, vielfach ineffiziente Abläufe, Fachkräftemangel und hohe regulatorische Anforderungen. Für KI-Agenten bieten sich also zahlreiche Einsatzfelder an, die vor allem die Effektivität und die Effizienz der Arbeit verbessern. KI-Agenten können zum Beispiel automatisch Datenfehler finden.

Risikomanager profitieren außerdem von Ansätzen wie der automatisierten Challenger-Modellgenerierung und der Optimierung von Rating-Modellen. Das Erzeugen synthetischer Daten für Stresstests und die Anomalie-Erkennung in Modellvorhersagen kann dabei helfen, Modelle unter extremen Bedingungen zu testen und ungewöhnliche Muster zu identifizieren. Und KI-gestützte Frühwarnsysteme und automatisierte Ursachenanalysen für operationelle Risiken bieten die Möglichkeit, potenzielle Risiken frühzeitig zu erkennen und schnell zu reagieren.

Risiken durch künstliche Intelligenz – auch ein Thema für Aufseher und Regulatoren

KI ist also ein wertvoller Helfer für Verantwortliche im Risikomanagement – die Technologie ist aber auch eine Herausforderung für sie: Zu den durch KI entstehenden Risiken zählt die Bankenaufsicht unter anderem operationelle Risiken, Risiken durch die Intransparenz von KI-Entscheidungen („Black Box“) sowie Cybersicherheitsrisiken. Auch Gefahren durch Ergebnisverzerrung (Bias) und, damit verbunden, das Risiko diskriminierender Entscheidungen gegenüber bestimmten Kundengruppen finden sich auf dem ohnehin stark pulsierenden Radarbild von Risikomanagern.

Mit dem AI Act reguliert die Europäische Union KI-Anwendungen. Die Debatte um ethische Fragestellungen und Hochrisikoanwendungen, vor allem in der Finanzindustrie, sind in vollem Gang. Was zählt, ist für Risikomanager also der richtige Einsatz von KI in der Bank, bei der stets der Mensch die oberste Kontrollinstanz bleibt.

Risiken durch KI begegnen: Fünf Säulen für kontrolliertes und zielgerichtetes Handeln

Wie also sollte eine Bank aufgestellt sein, um KI-Tools vertrauenswürdig und effizient zu betreiben? Wie können Banken KI einsetzen und dabei weiter Kundendaten, Systeme, Einlagen und das in sie gesetzte Vertrauen nachhaltig schützen? Fünf Punkte sind für Risikomanager zentral:

  1. Strategie und Gesamtbanksteuerung: Es gilt, die Grundlagen für den Einsatz von KI zu schaffen. Ob eine Bank KI als Nummer-Eins-Priorität definiert oder zumindest ein Early Adopter sein will: Sie sollte eine klare Vision und Mission zum Einsatz der Technologie formulieren. Darin findet sich idealerweise auch eine Antwort auf die Frage, mit welchem Risikoappetit und in welchem Umfang KI gewinnbringend eingesetzt werden soll. Erfolgskennziffern sollten Teil der Strategie sein, damit die Effektivität von Anwendungen fortlaufend überprüft werden kann und die Strategie nachhaltig verfolgt wird.

    Dabei hilft es im ersten Schritt, den Reifegrad zu bestimmen, den das Zielbetriebsmodell (Target Operating Model, TOM) der Bank mit Blick auf KI bereits erreicht hat. Untrennbar damit verbunden ist der Aufbau eines TOM für KI: Dieses ist für Organisationen von entscheidender Bedeutung. Es soll die KI-Initiativen strategisch mit den übergeordneten Unternehmenszielen in Einklang bringen.

  2. Neben Technologie die wichtigste Grundlage: Investitionen in Mitarbeitende

    KI stellt auch das Change-Management in der Bank vor eine große Aufgabe, denn Mitarbeitende stehen vor vielen Fragen: KI erfordert zum Beispiel ein Abwägen zwischen Sicherheitsdenken und der Offenheit für neue Technologien. Noch ist vielfach unklar, welche Kompetenzen im Institut wirklich benötigt werden, und es fehlt bei dem vergleichsweise neuen Thema an praktischen Erfahrungen.

    Nur wenn Banken ihre Mitarbeitenden zum Umgang mit KI befähigen, können diese die Technologie verstehen und produktiv anwenden. Darüber hinaus ist der Kompetenzaufbau vermutlich die beste Risiko-Mitigation und Sicherheitsvorkehrung, denn auch bei KI gilt: In technischen Fragen sitzt das Problem oft vor dem PC.

  3. KI-Governance und Compliance: Die KI-Governance spielt eine zentrale Rolle im TOM. Ein Governance-Framework umfasst zum Beispiel das Erstellen von KI-Richtlinien – zum Beispiel unternehmensweite KI-Sicherheitsrichtlinien zum Einhalten von Mindestanforderungen. In den Teams sollten klare Rollen und Zuständigkeiten bestehen, damit die Einhaltung der KI-Richtlinien überwacht wird. Die Governance etabliert also klare Verantwortlichkeiten, Strukturen und Vorgehensmodelle.

    Über alle KI-Anwendungen im Institut muss Transparenz bestehen, und das Durchführen einer umfassenden Risikobewertung, inklusive von Maßnahmen zur Risikominderung, gehört ebenfalls dazu. Nur mit einer stimmigen Governance ist gewährleistet, dass die Technologie rechtskonform eingesetzt wird, ihr Einsatz den Vorgaben zum Beispiel des EU AI Acts entspricht und ethische Standards eingehalten werden.

  4. Die Risikomanagementmodelle anpassen: Die Kernaufgabe im Risikomanagement lautet: Die Risiken durch KI systematisch in das Risikomanagement zu integrieren. Hierbei hilft der bekannte Risikomanagement-Zyklus: Identifikation der Risiken, Analyse und Bewertung, Adressieren und Mitigation sowie Dokumentation der Risiken. Eine Herausforderung ist sicher auch die effiziente Erweiterung der bestehenden Prozesse, beispielsweise mit Blick auf die Größe des Modellinventars und die Menge der zu validierenden Modelle – aber auch die Validierung dieser Modelle selbst.

  5. KI und Systemsicherheit: Neue Angriffsvektoren entstehen zum Beispiel durch Prompt Injections: Dabei manipulieren Angreifer gezielt Eingaben, um Geschäftslogiken zu unterwandern – etwa für unrechtmäßige Kreditvergaben oder um fehlerhafte Know-Your-Customer-(KYC)-Freigaben herbeizuführen oder automatisierte Belegprüfungen zu manipulieren.

    Drei Maßnahmen rücken folglich in den Fokus. Die erste sind moderne KI-Firewalls, die potenziell gefährliche Prompts ebenso in Echtzeit erkennen und blockieren wie möglicherweise schädliche Outputs von Large Language Models (LLMs). Die zweite wichtige Maßnahme sind automatisierte KI-Sicherheitstests, die Aufschluss darüber bringen, ob das System durch neue Angriffsvektoren kompromittiert werden kann – etwa durch verändertes Prompt-Verhalten oder neu auftretende Sicherheitslücken im Kontextmodell.

    Drittens sollten Banken fortlaufend überwachen, ob das KI-Verhalten mit regulatorischen und ethischen Vorgaben übereinstimmt. Automatisierte Testagenten prüfen dabei zum Beispiel stündlich, ob das System wie vorgesehen läuft oder zum Beispiel illegitime Inhalte erzeugt oder von den Geschäftsprozessen abweicht.

Ein nachhaltiges KI-Risikomanagement erfordert also das zügige Integrieren neuer Risiken in die Abläufe aller Risikoverantwortlichen, ebenso wie eine neue Generation technologischer Lösungen. Es ruht auf einer durchdachten Strategie und ist von einer verlässlichen Steuerung durchdrungen. Ebenso wichtig ist es, aktiv die Belegschaft einzubinden und weiterzubilden. Denn nur die Kombination aus strategischer Planung, robusten Sicherheitsmaßnahmen und menschlicher Kompetenz schafft die Grundlage für einen erfolgreichen und vertrauenswürdigen KI-Einsatz in der Bank.

„Impulse für die Finanzwelt“ von KPMG erhalten Verantwortliche in Banken jede Woche auf dem KPMG-Blog für Financial Services Unternehmen. Abonnieren Sie jetzt hier den Newsletter, um keine Updates zu verpassen.

Über den Autor:

Dr. Arvind Sarin

Dr. Arvind Sarin ist Partner bei KPMG in Deutschland und leitet die Finance, Risk und Compliance Services sowie die globale Risk Transformation Practice für Finanzdienstleister. Mit mehr als 15 Jahren Erfahrung gestaltet er zusammen mit einem Team aus mehr als 700 Kolleginnen und Kollegen die Zukunft der deutschen und internationalen Finanzbranche unter anderem in den Themen Risikomanagement, Treasury, Compliance und Regulatorik.