Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Finanzdienstleister werden zum Prüfstein für echte KI-Governance

Finanzdienstleister werden zum Prüfstein für echte KI-Governance

von Patrick Spencer updated Mai 20, 2026 Cybersecurity-Risikomanagement
Lesezeit: 9 Minuten

Wichtige Erkenntnisse

  1. Hohe Kosten durch Datenpannen im Finanzsektor. Die durchschnittlichen Kosten einer Datenpanne im Finanzsektor erreichten 2025 pro Vorfall 5,56 Millionen US-Dollar – der zweithöchste Wert aller Branchen.
  2. Finanzielle Motive dominieren Vorfälle. Rund 90 % der Angriffe auf Banken und Versicherer hatten ein finanzielles Motiv, aufgeteilt auf Datendiebstahl und Ransomware.
  3. Shadow AI treibt Datenverluste. Nicht genehmigte KI-Tools verursachten 20 % der KI-bezogenen Datenpannen, angetrieben durch eine große Lücke zwischen Mitarbeiteradoption und Governance-Kontrollen.
  4. Deepfakes und Risiken durch Drittparteien nehmen zu. 59 % der Unternehmen waren von Deepfake-Angriffen betroffen, während Kompromittierungen in der Lieferkette zu langen Offenlegungszeiten und neuen Angriffswegen führen.

Jede Branche wird sich früher oder später für ihre KI-Governance verantworten müssen. Die Finanzbranche steht jetzt im Fokus. Sie verarbeitet die Daten, die Angreifer am meisten wollen, unterliegt den strengsten gesetzlichen Vorgaben und setzt KI am schnellsten in kundenorientierten und internen Prozessen ein.

Im Finanzsektor entscheidet sich der Erfolg oder Misserfolg von KI-Governance zuerst

Ein neuer Threat Report für den Finanzsektor zeigt, wo diese Kombination aktuell hinführt. Finanzmotivierte Angriffe dominierten auch 2025 die Cybervorfälle bei Banken, Versicherern und Zahlungsdienstleistern. Rund 90 % der Datenpannen hatten ein finanzielles Motiv – 64 % waren Datenpannen, 36 % Ransomware. Die durchschnittlichen Kosten einer Datenpanne im Finanzsektor lagen bei 5,56 Millionen US-Dollar pro Vorfall und damit auf Platz zwei aller Branchen.

In 54 % der kompromittierten Datensätze tauchten personenbezogene Daten auf. Interne Unternehmensdaten machten 35 % aus. Zugangsdaten 22 %. Das ist nicht neu. Neu ist die Rolle, die KI dabei spielt, wie Angriffe auf regulierte Daten erfolgen – und wie diese Daten bei fehlenden Abwehrmaßnahmen abfließen.

5 Wichtige Erkenntnisse

1. Finanzdienstleister sind jetzt die zweitteuerste Kategorie bei Datenpannen.

Die durchschnittlichen Kosten einer Datenpanne im Finanzsektor betrugen 2025 pro Vorfall 5,56 Millionen US-Dollar. In 54 % der kompromittierten Datensätze fanden sich personenbezogene Daten, in 22 % Zugangsdaten und in 35 % interne Unternehmensdaten. Die Branche verarbeitet die Daten, die Angreifer am meisten wollen, unterliegt den strengsten gesetzlichen Vorgaben und setzt KI am schnellsten ein – sie ist damit der Testfall, in dem KI-Governance zuerst gelingt oder scheitert.

2. Finanzielle Motive treiben 90 % der Vorfälle.

Etwa 90 % der Datenpannen bei Banken, Versicherern und Zahlungsdienstleistern hatten ein finanzielles Motiv – 64 % Datenpannen, 36 % Ransomware. Die hohe Konzentration von Finanzdaten (90 % der Unternehmen), Zahlungsdaten (83 %) und Zugangsdaten (79 %) macht die Branche besonders attraktiv für Angreifer. Der IBM Cost of a Data Breach Report 2025 beziffert die Kosten pro Vorfall auf 5,56 Millionen US-Dollar – der zweithöchste Wert aller Branchen.

3. Shadow AI ist jetzt der wichtigste Risikofaktor.

Rund 20 % der KI-bezogenen Datenpannen 2025 gingen auf Shadow AI zurück – also nicht genehmigte KI-Tools außerhalb von Governance-Programmen. 92 % der Unternehmen geben an, dass GenAI das Informationsverhalten der Mitarbeitenden verändert hat, aber nur 13 % haben KI in ihre Sicherheitsstrategie integriert. Diese 92-zu-13-Quote ist die Datenverlustlücke, die Shadow AI erzeugt: Das Verhalten der Mitarbeitenden hat sich geändert; die Governance auf Unternehmensebene nicht.

4. Deepfake-basierter Betrug ist der neue Überweisungsbetrug.

59 % der Unternehmen haben Deepfake-Angriffe erlebt, 97 % berichten von Schäden durch KI-generierte Falschinformationen. Der Thales Data Threat Report 2026 dokumentiert, dass 77 % der Befragten einen Anstieg von Cyberbetrug feststellen. Sprachbiometrie, video-basierte KYC und Dokumentenprüfung basierten auf Annahmen, die Deepfakes inzwischen ausgehebelt haben – und im Finanzsektor ist der Ertrag pro Deepfake-Angriff am höchsten.

5. Drittparteienrisiko ist die offene Rechnung.

Kompromittierungen in der Lieferkette durch Dienstleister mit Zugriff auf Transaktionsdaten nehmen parallel zu Shadow AI und Deepfake-Betrug zu. Der Black Kite Third-Party Breach Report 2026 dokumentierte 2025 eine mittlere Offenlegungszeit von 73 Tagen und 26.000 nicht namentlich genannte betroffene Unternehmen. Jede Drittparteienintegration – Analytics-SaaS, Fraud-Detection-Partner, ausgelagerte Dienstleister – ist jetzt ein Fall für die Vendor-Governance, nicht nur ein Vertragsprozess.

Sie vertrauen darauf, dass Ihr Unternehmen sicher ist. Aber können Sie es auch nachweisen?

Jetzt lesen

Shadow AI ist der am schnellsten wachsende blinde Fleck im Finanzsektor

Shadow AI verhält sich im Finanzsektor heute wie Schatten-IT vor zehn Jahren. Sie beginnt als Produktivitätsexperiment, verbreitet sich durch Kollegen und wird zum Kanal für Datenabfluss, bevor Sicherheitsteams sie bemerken.

Die Exponierung der Branche ist strukturell: Fraud-Detection-Teams nutzen KI zur Mustererkennung bei Transaktionen. Kundenservice-Teams verfassen mit KI Antworten. Analytics-Teams erstellen mit KI Zusammenfassungen. Jeder Use Case ist für sich genommen nachvollziehbar. Über Tausende Mitarbeitende und Dutzende Workflows aggregiert, entsteht ein unkontrollierter Abfluss sensibler Finanzdaten in Drittparteien-KI-Dienste.

Laut dem DTEX Insider Threat Report 2026 ist Shadow AI inzwischen der Haupttreiber für fahrlässige Insider-Vorfälle – noch vor unkontrolliertem Filesharing und privater Webmail. 92 % der Unternehmen sagen, generative KI habe das Zugriffs- und Austauschverhalten der Mitarbeitenden grundlegend verändert, aber nur 13 % haben KI formell in ihre Geschäftsstrategie integriert. Diese Lücke – 92 % zu 13 % – ist das Shadow-AI-Problem in einer Zahl. Das Verhalten der Mitarbeitenden hat sich geändert. Die Governance auf Unternehmensebene nicht.

Die finanziellen Auswirkungen sind messbar: Der IBM Cost of a Data Breach Report 2025 zeigt, dass Shadow AI die durchschnittlichen Kosten pro Datenpanne um rund 670.000 US-Dollar erhöht. 97 % der Unternehmen mit KI-bezogener Datenpanne hatten keine angemessenen KI-Zugriffskontrollen. Der Branchenreport verortet Shadow AI bei rund 20 % aller KI-bezogenen Datenpannen – und Finanzdienstleister liegen bei der KI-Adoption regelmäßig über dem Durchschnitt.

Deepfakes hebeln Kontrollen aus, die Banken seit Jahrzehnten nutzen

Stimmenklonen, synthetische Videos und KI-gefälschte Dokumente sind heute operative Werkzeuge von Angreifern – keine Forschungsexperimente mehr.

Der Thales Data Threat Report 2026 berichtet, dass 59 % der Unternehmen Deepfake-Angriffe erlebt haben und 97 % von Schäden durch KI-generierte Falschinformationen betroffen waren – darunter Business E-Mail Compromise und Markenmissbrauch. Der WEF Global Cybersecurity Outlook 2026 dokumentiert, dass 77 % der Befragten einen Anstieg von Cyberbetrug sehen, wobei Phishing, Zahlungsbetrug und Identitätsdiebstahl die Top-3-Kategorien sind.

Die hochsicheren Transaktionskontrollen der Branche – Sprachverifikation, video-basierte KYC, Dokumentenprüfung – basierten auf Annahmen, die Deepfakes inzwischen widerlegt haben. Sprachverifikation ging davon aus, dass Angreifer die Stimme des Kunden nicht auf Abruf erzeugen können. Video-basierte Identitätsprüfung setzte auf Sichtprüfung von Fälschungen. Dokumentenprüfung ging davon aus, dass synthetische Dokumente erkennbare Artefakte aufweisen. KI lässt diese Artefakte verschwinden – und Finanzdienstleister sind das Ziel, bei dem Deepfake-Betrug den höchsten Ertrag pro Angriff bringt.

Lieferkettenkompromittierung ist der stille dritte Angriffsvektor

Der Black Kite Third-Party Breach Report 2026 dokumentierte 136 bestätigte Drittparteien-Datenpannen, 719 namentlich betroffene Unternehmen und rund 26.000 nicht genannte betroffene Firmen im Jahr 2025. Die mittlere Offenlegungszeit lag bei 73 Tagen – das heißt, wenn das betroffene Unternehmen vom Vorfall erfährt, sind Angreifer meist schon über zwei Monate in der Datenlieferkette aktiv.

Der am 21. April 2026 veröffentlichte Vercel-Vorfall zeigt das Muster deutlich: Ein Mitarbeitender nutzte ein kompromittiertes KI-Produktivitätstool eines Drittanbieters. Der Angreifer nutzte die gewährten Zugriffsrechte, um von dort in die internen Systeme von Vercel vorzudringen. Im Finanzsektor gibt es zahlreiche solcher Integrationspfade – jede Analytics-SaaS, jeder Fraud-Detection-Partner, jeder ausgelagerte Dienstleister ist ein potenzieller Angriffspunkt in der Umgebung der Bank.

Der CrowdStrike Global Threat Report 2026 dokumentiert, dass Angreifer systematisch Softwareanbieter, Update-Pipelines und SaaS-Integrationen kompromittieren, um über vertrauenswürdige Kanäle auf Kundendaten zuzugreifen. Für Finanzdienstleister bedeutet das: Drittparteienrisikomanagement ist jetzt eine Disziplin der Data Governance – nicht nur ein Vertragsprozess.

Warum der regulatorische Rahmen der Finanzbranche Last und Vorteil zugleich ist

Der Kiteworks Data Forms Report 2025 zeigt: Finanzdienstleister unterliegen einem der strengsten Compliance-Stacks – 98 % müssen die DSGVO erfüllen, 90 % PCI DSS, 62 % CCPA/CPRA, 52 % SOX und 41 % staatlichen Datenschutzgesetzen.

Diese regulatorische Dichte ist eine Last – sie erhöht die Compliance-Kosten und den Prüfaufwand. Sie ist aber auch ein Vorteil im KI-Governance-Kontext, denn alle bestehenden Vorschriften verlangen bereits Zugriffskontrollen, Audit-Trails, Verschlüsselung und das Prinzip des minimalen Zugriffs. Keine enthält Ausnahmen für KI-Agents, Shadow AI oder Deepfake-Betrug.

Das Compliance-Framework existiert bereits. Was fehlt, ist die Kontrollarchitektur, die es für den KI-Zeitalter-Datenaustausch operationalisiert. Laut dem Kiteworks Prognosebericht 2026 können 63 % der Unternehmen keine Zweckbindung für KI-Agents durchsetzen und 60 % keine fehlverhaltenden Agents beenden. Im Finanzsektor führt diese Lücke direkt zu regulatorischer Exponierung nach DSGVO Artikel 32, PCI DSS Anforderung 7 und SOX-Interne-Kontrollen.

Der Kiteworks-Ansatz: Governed Data Exchange für Finanzdienstleister

Das Private Data Network von Kiteworks adressiert die drei Vektoren, die das Cyberrisiko im Finanzsektor verändern, mit einer Data-Layer-Governance-Architektur, die auf bestehende regulatorische Anforderungen der Branche abgestimmt ist.

Shadow AI eindämmen durch gesteuerten Zugriff. KI-Interaktionen mit regulierten Finanzdaten laufen über das Kiteworks AI Data Gateway, das attributbasierte Zugriffskontrollen beim Datenabruf durchsetzt. Mitarbeitende, die nicht genehmigte KI-Tools nutzen, stehen vor einer strukturellen Wahl: Sie arbeiten mit Daten, die für KI-Nutzung freigegeben sind, oder ohne diese Daten. Datenabfluss zu beliebigen KI-Diensten wird architektonisch verhindert, nicht nur durch Richtlinien untersagt.

Drittparteien-Datenaustausch unter einer einheitlichen Richtlinie. Jede Kommunikation mit Dienstleistern, Partnern und Kunden – Filesharing, SFTP, Managed File Transfer, E-Mail, Web-Formulare oder API – wird durch eine zentrale Policy Engine mit manipulationssicheren Audit-Trails gesteuert. Kommt es zum nächsten Lieferkettenvorfall, können Finanzinstitute den Umfang in Minuten bestimmen. So wird die im Black Kite Report identifizierte mittlere Offenlegungszeit von 73 Tagen geschlossen.

Audit-Trails in Beweisqualität für regulatorische Verteidigung. Jeder Datenaustausch erzeugt unveränderliche Protokolle, die für SOX Section 404, PCI DSS Anforderung 10 und DSGVO Artikel 30 geeignet sind. Vorgefertigte Compliance-Dashboards für DSGVO, HIPAA und PCI DSS verkürzen die Audit-Vorbereitung von Wochen auf Stunden.

Deepfake-resistente Workflows für hochvolumige Transaktionen. Sicherer Datenaustausch für hochvolumige Transaktionen – Vertragsunterzeichnungen, Überweisungsfreigaben, Kundendokumente – erfolgt über authentifizierte, verschlüsselte und gesteuerte Kanäle. Selbst wenn Deepfakes die Sprachverifikation umgehen, bleibt die Kanalauthentifizierung als Hürde bestehen.

Was Finanzdienstleister jetzt tun müssen

Erstens: Führen Sie ein Shadow-AI-Discovery-Programm durch. Netzwerkscans, SaaS-Ausgabenanalyse, Spesenprüfung und E-Mail-Metadatenanalyse identifizieren nicht genehmigte KI-Tools. Der DTEX-Report 2026 zeigt: Das Blockieren einzelner KI-Tools reicht nicht – Nutzer weichen auf Alternativen aus. Die Bestandsaufnahme ist Schritt eins; gesteuerter Ersatz Schritt zwei.

Zweitens: Integrieren Sie KI-Zugriff in bestehende Frameworks für Drittparteien- und Modellrisikomanagement. Jedes KI-Tool im Einsatz ist jetzt eine Drittpartei nach Vendor-Risk-Standards. Die Frameworks existieren – wenden Sie sie auf KI an.

Drittens: Modernisieren Sie die Authentifizierung hochvolumiger Transaktionen gegen Deepfake-Bedrohungen. Sprachverifikation, Video-KYC und Dokumentenprüfung erfordern neue Annahmen. Der Thales-Report 2026 dokumentiert weitverbreitete Deepfake-Vorfälle – Deepfake-resistente Authentifizierung ist eine Pflichtaufgabe im aktuellen Quartal.

Viertens: Konsolidieren Sie den Drittparteien-Datenaustausch auf einer zentralen Governance-Plattform mit einheitlichen Audit-Trails. Jede Vendor-Integration ist ein potenzieller Lieferkettenangriffspfad. Einheitliche Audit-Trails verkürzen die Erkennungszeit und erfüllen gleichzeitig regulatorische Meldepflichten.

Fünftens: Mappen Sie KI-Governance-Lücken auf konkrete regulatorische Anforderungen, um Management-Aufmerksamkeit zu erzeugen. Jede Lücke entspricht einem spezifischen Risiko nach DSGVO, PCI DSS, SOX oder Landesrecht. Die Aufmerksamkeit des Managements folgt regulatorischer Exponierung schneller als Bedrohungsbriefings.

Sechstens: Behandeln Sie das KI-Governance-Programm als Wettbewerbsvorteil, nicht nur als Compliance-Aufgabe. Finanzinstitute, die gesteuerte KI gegenüber Kunden, Partnern und Aufsichtsbehörden nachweisen können, gewinnen Geschäfte gegen weniger geregelte Wettbewerber. Von McKinsey zitierte Studien zeigen: Unternehmen mit reifer KI-Governance haben 45 % weniger Sicherheitsvorfälle – das ist ein Performance- und kein reiner Compliance-Effekt.

Der Finanzsektor hat sich die Rolle als Testfall für KI-Governance nicht ausgesucht. Er ist es, weil er die Daten verarbeitet, die Regulierung erfüllt und bei der Einführung am schnellsten ist. Die Branche, die diesen Test besteht, definiert, wie gesteuerte KI für die gesamte Wirtschaft aussieht.

Häufig gestellte Fragen

Die durchschnittlichen Kosten von 5,56 Millionen US-Dollar spiegeln die Konzentration hochwertiger Ziele wider: 90 % der Finanzdienstleister erfassen Finanzdaten, 83 % verarbeiten Zahlungsdaten und 79 % speichern Zugangsdaten – alles Daten, die hohe Preise erzielen und strenge regulatorische Sanktionen nach sich ziehen. Der IBM Cost of a Data Breach Report 2025 bestätigt: Die Finanzbranche liegt branchenweit auf Platz zwei, wobei Bußgelder nach DSGVO, PCI DSS und Landesrecht die direkten Diebstahlkosten noch erhöhen.

Shadow AI umfasst alle KI-Tools, die ohne formale Governance genutzt werden: öffentliche LLM-Chatbots zur Dokumentenzusammenfassung, KI-Browser-Erweiterungen mit Kontextspeicherung, Drittanbieter-KI-Tools mit Zugriff auf Unternehmenssysteme und KI-Funktionen in SaaS-Anwendungen, die beim Einkauf nicht geprüft wurden. Der DTEX Insider Threat Report 2026 identifiziert Shadow AI als Haupttreiber fahrlässiger Insider-Vorfälle – und damit als primären Datenverlustvektor in regulierten Umgebungen.

Angreifer nutzen KI-generiertes Stimmenklonen, um Sprachverifikation bei hochvolumigen Transaktionen zu umgehen, synthetische Videos, um Video-KYC-Prozesse zu unterlaufen, und KI-gefälschte Dokumente, um betrügerische Überweisungen zu autorisieren. Laut Thales-Report 2026 haben 59 % der Unternehmen Deepfake-Angriffe erlebt. Finanzdienstleister sind besonders betroffen, da der Ertrag pro Angriff – etwa betrügerische Überweisungen oder unberechtigte Kreditauszahlungen – in dieser Branche am höchsten ist.

Alle bestehenden Vorschriften für Finanzdienstleister gelten auch für KI-Systeme mit Zugriff auf regulierte Daten. 98 % der Unternehmen unterliegen der DSGVO, 90 % PCI DSS und 52 % SOX laut Kiteworks Data Forms Report 2025. Keine enthält Ausnahmen für KI. Governance-Lücken – 63 % können keine Zweckbindung für Agents durchsetzen – führen direkt zu Findings nach Artikel 32, Anforderung 7 und SOX-Interne-Kontrollen.

Phase eins – Shadow-AI-Discovery, Bestandsaufnahme und Klassifizierung von KI-Tools als nicht-menschliche Insider – dauert meist vier bis acht Wochen. Phase zwei – gesteuerter KI-Datenzugriff über eine Data-Layer-Governance-Plattform wie das Kiteworks AI Data Gateway – benötigt drei bis sechs Monate. Unternehmen mit reifer KI-Governance lösen Datenpannen laut Prognosebericht 2026 rund 70 Tage schneller, was das Investment sowohl als Risikoreduktions- als auch als Kostenmaßnahme attraktiv macht.

Weitere Ressourcen

  • Blog Post
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blog Post
    Wie 77 % der Unternehmen bei KI-Datensicherheit scheitern
  • eBook
    KI-Governance-Lücke: Warum 91 % kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blog Post
    Für Ihre Daten gibt es kein „–dangerously-skip-permissions“
  • Blog Post
    Aufsichtsbehörden fragen nicht mehr nach einer KI-Policy. Sie wollen den Nachweis, dass sie funktioniert.

Häufig gestellte Fragen

Die Branche verarbeitet die Daten, die Angreifer am meisten wollen, unterliegt den strengsten regulatorischen Vorgaben und setzt KI am schnellsten in kundenorientierten und internen Prozessen ein – sie ist damit das Testfeld, in dem KI-Governance zuerst gelingt oder scheitert.

Shadow AI bezeichnet nicht genehmigte KI-Tools außerhalb von Governance-Programmen. Sie verursacht rund 20 % der KI-bezogenen Datenpannen und erhöht die durchschnittlichen Kosten pro Vorfall um etwa 670.000 US-Dollar. 97 % der Unternehmen mit KI-bezogener Datenpanne hatten keine angemessenen KI-Zugriffskontrollen.

Stimmenklonen umgeht Sprachverifikation, synthetische Videos unterlaufen Video-KYC und KI-gefälschte Dokumente untergraben die Dokumentenprüfung. 59 % der Unternehmen haben Deepfake-Angriffe erlebt, und der Finanzsektor ist von diesen Bedrohungen mit dem höchsten Ertrag pro Angriff konfrontiert.

Führen Sie ein Shadow-AI-Discovery-Programm durch, integrieren Sie KI-Zugriff in Drittparteien- und Modellrisikomanagement, modernisieren Sie die Authentifizierung hochvolumiger Transaktionen, konsolidieren Sie Drittparteien-Datenaustausch unter zentraler Governance und mappen Sie KI-Governance-Lücken auf konkrete regulatorische Anforderungen wie DSGVO, PCI DSS und SOX.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks