Die Europäische Zentralbank nimmt mögliche Cyberrisiken durch fortgeschrittene KI-Modelle bei Banken genauer in den Blick. Reuters berichtete im April 2026, dass die EZB Informationen zum Anthropic-Modell Mythos sammelt und in regulären Aufsichtsgesprächen mit Banken klären will, wie gut die Institute auf solche Risiken vorbereitet sind. Es geht nicht um ein Verbot von KI im Bankensektor, sondern um die Frage, ob die Kontrollmechanismen mit der Geschwindigkeit der Technologie Schritt halten.
Aufseher fragen nach Vorbereitung, nicht nach Panik
Mythos sorgt deshalb für Aufmerksamkeit, weil Sicherheitsfachleute solchen Modellen zutrauen, Schwachstellen schneller zu finden oder Angriffe effizienter vorzubereiten. Für Banken ist das besonders heikel. Sie arbeiten mit alten und neuen IT-Systemen, Zahlungsverkehr, Kundendaten, Cloud-Diensten und zahlreichen externen Anbietern. Wenn Angreifer schneller an verwertbare Hinweise kommen, schrumpft die Zeit, in der Institute Schwachstellen schließen können.
Nach dem Reuters-Bericht will die EZB das Thema über gewöhnliche Aufsichtskanäle adressieren. Das ist wichtig für die Einordnung: Die Meldung beschreibt keinen akuten Krisenfall, sondern eine frühe Prüfung der Widerstandsfähigkeit. Banken sollen zeigen können, welche Systeme von KI abhängen, wie diese getestet werden und wie schnell ein problematischer Prozess gestoppt oder isoliert werden kann.
Drittanbieter bleiben ein zentraler Risikopunkt
Viele Banken entwickeln KI- und Sicherheitslösungen nicht vollständig selbst. Sie nutzen Softwareanbieter, Cloud-Infrastruktur, externe Modelle und Schnittstellen zu spezialisierten Diensten. Das beschleunigt Projekte, macht die Verantwortung im Fehlerfall aber schwerer nachvollziehbar. Ein Problem kann aus dem Modell, aus der Integration, aus den Daten oder aus einem Dienstleister kommen.
Die EZB hatte diese Themen bereits in ihrer Finanzstabilitätsanalyse von 2024 angesprochen. Dort ging es um Datenqualität, Modellsteuerung, Cyberrisiken und die Konzentration bei großen Technologieanbietern. Die neue Diskussion um Mythos gibt diesen allgemeinen Warnungen ein konkreteres Beispiel. KI wird damit nicht nur als Produktivitätswerkzeug behandelt, sondern als Teil des operativen Risikos.
Kontrolle muss belegbar sein
Ähnliche Fragen stellen auch andere Aufseher. Reuters berichtete, dass Bank-of-England-Chef Andrew Bailey die Cyberrisiken durch ein neues Anthropic-Modell für Banken und Technologiesysteme schnell verstehen will. Die Bank of England erklärte zudem, sie teste KI-Risiken für das Finanzsystem mit Szenarioanalysen und Simulationen.
Für Banken bedeutet das: Effizienzgewinne reichen als Begründung für KI-Einsatz nicht aus. Institute müssen nachweisen, dass Modelle vor dem Einsatz geprüft, während des Betriebs überwacht und bei auffälligem Verhalten begrenzt werden können. Ebenso wichtig ist ein vollständiger Überblick über Anbieter, APIs und Cloud-Dienste, die an kritischen Prozessen hängen.
Die Warnung der EZB ist deshalb vor allem ein Kontrollsignal. Banken können KI weiter einsetzen, müssen aber besser erklären, wie sie Ausfälle, Manipulation und Abhängigkeiten beherrschen. Im Finanzsystem zählt nicht nur, was ein Modell kann. Entscheidend ist auch, wie nachvollziehbar es arbeitet und wie gut eine Bank reagieren kann, wenn etwas schiefgeht. Für die Aufsicht wird daraus ein Prüfpunkt, der Beschaffung, IT-Sicherheit und Vorstandskontrolle gemeinsam betrifft.
Deshalb ist das Thema zu groß, um es allein den Cybersicherheitsteams zu überlassen. Modellbeschaffung, Cloud-Verträge, Notfallpläne und Kontrolle durch den Vorstand gehören in denselben Rahmen. Genau darauf zielen die Fragen der EZB: Versteht eine Bank das Risiko eines Tools vor dem Einsatz, kann sie sein Verhalten danach überwachen und den Dienst im Ernstfall sicher begrenzen?
