Bedeutende Institute müssen bis 31. Oktober liefern. Das Zeitfenster zwischen Lücke und Angriff ist auf Stunden geschrumpft.

Juli 10, 2026
Recht
Die Uhr läuft schneller als die Abwehr
Wer glaubt, er habe Wochen zum Reagieren, rechnet mit Zahlen von gestern. Die EZB fordert bedeutende Institute mit einem Schreiben vom 7. Juli 2026 auf, bis zum 31. Oktober 2026 Aktionspläne gegen KI-gestützte Cyberangriffe vorzulegen. Im Kern geht es um Überwachung, Schwachstellenmanagement und Drittanbieter-Risiken.
Warum das Zeitfenster zum Kernproblem wird
Die Deutsche Bundesbank warnt vor einer dramatisch veränderten Zeitachse: Die Spanne zwischen dem Bekanntwerden einer Sicherheitslücke und ihrer Ausnutzung ist von rund zwei Jahren im Jahr 2019 auf etwa 18 Stunden Mitte 2026 geschrumpft. Abwehr, die auf Tage oder Wochen ausgelegt ist, greift damit ins Leere.
Zugleich zeigt die Ursachenverteilung, dass es nicht nur um Angreifer geht: Nach Zahlen der Bundesbank gehen 51 Prozent der IKT-Vorfälle auf Systemversagen zurück und zehn Prozent auf gezielte Cyberangriffe. Resilienz heißt also beides: Angriffe abwehren und eigene Systeme stabil halten.
Wie KI die Angriffsfläche vergrößert
Wenn KI in Dokumentenprozesse, Kundenberatung oder interne Freigaben integriert ist, erweitert sie die Angriffsfläche. Neue Einfallstore entstehen über Datenzugriffe, Prompt- und Tool-Integrationen sowie Modell-Assets. Die BaFin ordnet KI-Systeme deshalb in ihrer Orientierungshilfe als kritische IKT-Assets nach DORA ein, die gemanagt, gesichert und überwacht werden müssen. KI-spezifische Risiken wie Model Inversion, Adversarial Attacks oder Model Drift kommen zu den klassischen IKT-Risiken hinzu.
Was in den Aktionsplan gehört
Ein belastbarer Aktionsplan adressiert drei Ebenen. Erstens kontinuierliches Monitoring, das Anomalien und Sicherheitsvorfälle früh erkennt, statt periodisch zu prüfen. Zweitens ein Schwachstellenmanagement, dessen Reaktionszeit zum verkürzten Zeitfenster passt. Drittens ein Drittanbieter-Risikomanagement, das die Abhängigkeit von externen Modell- und Cloud-Anbietern erfasst und mit Exit-Optionen hinterlegt.
Diese dritte Ebene verbindet Cyberabwehr direkt mit der Frage der souveränen KI-Architektur: Wer seine Modellabhängigkeiten nicht kontrolliert, kann weder Konzentrationsrisiken noch Angriffsflächen sauber steuern.
Warum DORA denselben Nerv trifft
Die EZB-Anforderung steht nicht allein. DORA verlangt für kritische IKT-Dienstleister ohnehin Konzentrationsanalysen, nachgewiesene Austauschbarkeit und dokumentierte Exit-Pläne. Wer diese Nachweise führt, erfüllt zugleich einen großen Teil dessen, was die EZB nun einfordert. Wie eng die operative Realität vieler Institute an diesen Nachweisen hängt, zeigt unser Beitrag zum verpassten DORA-Register.
Warum der Plan Chefsache ist
Ein Aktionsplan gegen KI-gestützte Cyberangriffe ist keine reine IT-Aufgabe. Er betrifft Auslagerungssteuerung, Risikomanagement und die Frage, welche KI-Workloads überhaupt betrieben werden dürfen. Deshalb gehört er auf die Leitungsebene und nicht in eine isolierte Sicherheitsabteilung. Wer die drei Ebenen Monitoring, Schwachstellen und Drittanbieter getrennt betrachtet, verliert genau die Durchgängigkeit, die das verkürzte Zeitfenster verlangt.
Warum Asset- und Datenlinien die Basis sind
Ohne belastbare Asset- und Datenlinien wird jede KI-Prüfung zur Flickschusterei. Wer nicht dokumentieren kann, welche Modelle mit welchen Daten arbeiten und über welche Schnittstellen sie erreichbar sind, kann Angriffsflächen weder erkennen noch schliessen. Der Aktionsplan beginnt deshalb nicht bei der Abwehrtechnik, sondern bei einem sauberen Inventar der KI-Assets und ihrer Datenflüsse.
Warum kleinere Institute nicht abwarten sollten
Die formale Pflicht trifft bedeutende Institute, doch die Bedrohungslage macht vor Größe nicht halt. Auch weniger bedeutende Institute betreiben KI in Dokumenten- und Kommunikationsprozessen und erweitern damit ihre Angriffsfläche. Wer die Logik des EZB-Aktionsplans freiwillig übernimmt, ist im DORA-Kontext ohnehin besser aufgestellt und muss die Arbeit nicht unter Zeitdruck nachholen.
Der Aktionsplan bis Oktober ist Pflicht für bedeutende Institute, die Logik dahinter gilt für alle. Wer KI produktiv einsetzt, sollte jede Integration daraufhin prüfen, welche neuen Zugriffe und Datenflüsse sie eröffnet und wie schnell darauf reagiert werden kann. Sotica unterstützt bei der sicheren, DORA-konformen Einbettung von KI in Bankprozesse. Vereinbaren Sie eine Sprechstunde.
Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.


