UK-Banken: Cyber-Lücken und KI-Risiken bedrohen Finanzstabilität

UK-Banken: Cyber-Lücken und KI-Risiken bedrohen Finanzstabilität

Aktualisiert:
4 Min. Lesezeit
AI-Generated
Human-verified
Teilen:

Keine Anlageberatung • Nur zu Informationszwecken

Neue Erkenntnisse aus den Cybersicherheits-Stresstests der Bank of England für 2025 zeigen, dass die wichtigsten Finanzinstitute des Vereinigten Königreichs trotz rigoroser, nachrichtendienstlich gestützter Simulationen auf Live-Bankensystemen weiterhin mit grundlegender Cyberhygiene zu kämpfen haben. Parallel dazu warnen britische Parlamentarier vor systemischen Risiken durch Künstliche Intelligenz (KI) und fordern spezifische Stresstests, um das Finanzsystem vor potenziellen "KI-gesteuerten Marktschocks" zu schützen.

Cybersicherheit: Grundlegende Schwächen trotz Live-Tests

Die britischen Regulierungsbehörden – die Bank of England, die Prudential Regulation Authority und die Financial Conduct Authority – nutzen ein Testrahmenwerk namens CBEST. Im Gegensatz zu traditionellen Audits setzt CBEST auf Bedrohungs-gesteuerte Penetrationstests, die das Verhalten realer Cyberangreifer nachahmen. Diese Simulationen werden auf den tatsächlichen Produktionssystemen der Institutionen durchgeführt, um deren Erkennungs- und Reaktionsfähigkeiten in Echtzeit zu bewerten.

Der diesjährige Bericht der britischen Regulierungsbehörden stellt fest: "In diesem Jahr zeigen unsere Ergebnisse weiterhin Lücken in den grundlegenden Cyberabwehrmaßnahmen der Unternehmen auf." Die Analyse der CBEST-Tests für 2025 ergab, dass Unternehmen oft Schwierigkeiten hatten, "starke Konfigurationspraktiken" aufrechtzuerhalten und "starke kryptografische Schutzmaßnahmen für ruhende Daten" fehlten.

Häufige Schwachstellen, die der CBEST-Bericht identifizierte, umfassen "übermäßig permissive Zugriffskontrollen", wie unzureichende rollenbasierte Zugriffe, und "mangelnde Pflege starker Anmeldeinformationen", einschließlich der Speicherung von Passwörtern im Klartext. Darüber hinaus zeigte sich, dass Mitarbeiter anfällig für Social Engineering bleiben. Der Bericht erwähnt Fälle, in denen "Mitarbeiter durch Social Engineering manipulierbar sind, um Passwörter oder Token-Codes zu entdecken", oft begünstigt durch die Offenlegung sensibler Daten in sozialen Medien.

Vergleich mit US-Regulierungsansätzen

Im Gegensatz zum Fokus der USA auf Tabletop-Übungen schreiben die britischen Regulierungsbehörden Live-Angriffe auf tatsächliche Banksysteme vor, um reale Schwachstellen aufzudecken. Während US-Regulierungsbehörden Tabletop-Übungen fördern, verlangen die britischen Regulierungsbehörden von ihren größten Institutionen, simulierten Angriffen auf ihre tatsächlichen Produktionsumgebungen standzuhalten.

US-Regulierungsbehörden wie das Office of the Comptroller of the Currency (OCC) warnen, dass "ein einziger Ausfall aufgrund einer Betriebsunterbrechung oder eines Cyberangriffs weitreichende und kaskadierende Effekte im gesamten Finanzsektor auslösen könnte." Der Financial Stability Oversight Council (FSOC) bekräftigt dies in seinem Jahresbericht 2025 und warnt vor potenziellen "großflächigen Dienstleistungsunterbrechungen" und "Herausforderungen beim Zugang zu Liquidität".

Ein wesentlicher Unterschied liegt in der Ausführung der Aufsicht: Das britische Modell nutzt durch CBEST eine "ergebnisorientierte Bewertung" der technischen Fähigkeiten. US-Regulierungsbehörden versuchen hingegen, von einem historisch als prozesslastig empfundenen Ansatz abzuweichen. Michelle Bowman, Gouverneurin des Federal Reserve Board, plädierte im Dezember 2025 für einen Aufsichtsrahmen, der sich auf "wesentliche Risiken für den Bankbetrieb" konzentriert.

KI-Risiken: Forderung nach spezifischen Stresstests

Ein neuer Bericht des britischen House of Commons Treasury Committee warnt, dass Regulierungsbehörden den Finanzsektor nicht ausreichend auf einen potenziellen "KI-gesteuerten Marktschock" vorbereiten. Die Abgeordneten kritisieren die Financial Conduct Authority (FCA), die Bank of England und das HM Treasury dafür, sich zu stark auf bestehende Aufsichtsinstrumente zu verlassen, obwohl sich Künstliche Intelligenz schnell in Banken, Versicherungen und Kapitalmärkten verbreitet.

Mehr als 75 % der Londoner Finanzunternehmen nutzen bereits KI, wobei Versicherer und internationale Banken zu den größten Anwendern gehören. Dame Meg Hillier, Vorsitzende des Treasury Committee, äußerte ihre Besorgnis: "Basierend auf den Beweisen, die ich gesehen habe, bin ich nicht zuversichtlich, dass unser Finanzsystem auf einen größeren KI-bezogenen Vorfall vorbereitet ist, und das ist beunruhigend."

Das Komitee argumentiert, dass ohne KI-spezifische Stresstests Unternehmen und Regulierungsbehörden schlecht gerüstet sind, um zu verstehen, wie KI-Systeme Marktvolatilität, Cyber-Vorfälle und operative Ausfälle verstärken könnten. KI-Systeme können sich unter Stress unvorhersehbar verhalten, insbesondere wenn ähnliche Modelle in mehreren Unternehmen eingesetzt werden. Automatisierte Entscheidungsfindung, algorithmischer Handel und KI-gesteuerte Risikomodelle könnten sich in Zeiten von Marktstörungen gegenseitig verstärken und die Wahrscheinlichkeit systemischer Instabilität erhöhen.

Das Komitee forderte daher die Bank of England und die Financial Conduct Authority auf, "KI-spezifische Stresstests durchzuführen", um die Bereitschaft der Unternehmen für KI-gesteuerte Marktschocks zu stärken. Dies würde von den Unternehmen verlangen, Ausfälle in Machine-Learning-Modellen, Datenpipelines und automatisierten Kontrollen zu simulieren und zu zeigen, dass die Systeme unter starkem Stress erklärbar, kontrollierbar und wiederherstellbar bleiben.

Weitere Bedenken umfassen mangelnde Transparenz bei KI-gesteuerten Finanzentscheidungen, erhöhte Betrugsrisiken und die Verbreitung unregulierter Finanzberatung durch KI-Chatbots. Zudem wurde eine gefährliche Überabhängigkeit von einer kleinen Anzahl US-amerikanischer Technologiegiganten wie Google für wesentliche Dienstleistungen festgestellt.

Fazit: Eine doppelte Herausforderung für die Finanzstabilität

Die Ergebnisse der CBEST-Tests und die Warnungen des Treasury Committee verdeutlichen eine doppelte Herausforderung für die Finanzstabilität im Vereinigten Königreich. Einerseits bestehen weiterhin grundlegende Schwachstellen in der Cybersicherheit, die trotz intensiver Tests behoben werden müssen. Der CBEST-Bericht 2025 kommt zu dem Schluss, dass "taktische Korrekturen allein nicht ausreichen" und schnelle Abhilfemaßnahmen oft "zugrunde liegende Schwachstellen unbeachtet lassen."

Andererseits erfordert die rasante Verbreitung von Künstlicher Intelligenz eine proaktive und spezifische Risikobewertung, die über die bestehenden Rahmenwerke hinausgeht. Die Forderung nach KI-spezifischen Stresstests unterstreicht die Notwendigkeit, neue Technologien nicht nur auf ihre Effizienz, sondern auch auf ihre potenziellen systemischen Risiken hin zu prüfen, um Verbraucher und das Finanzsystem vor ernsthaftem Schaden zu bewahren.