AI-Governance im Banking: Warum weniger Prozess mehr Sicherheit bedeuten kann

In unserer Arbeit mit Banken und Finanzinstituten beobachten wir ein Muster zur Überregulierung von KI-Anwendungen und die damit einhergehende Verantwortungsdiffusion und Unsicherheit in der Belegschaft bewirkt oft genau das Gegenteil von dem, was mit der AI-Governance erreicht werden sollte.

Doch noch einmal von Anfang an: Der Wunsch, KI einzusetzen, ist da. Der Druck, schnell zu liefern, auch: Der Markt verlangt nach Effizienz, Automatisierung und neuen, durch Generative AI getriebenen Kundenerlebnissen. Zusätzlich verschärft ein akuter Fachkräftemangel den Handlungsdruck – besonders in der IT, wo Expertinnen und Experten händeringend gesucht werden und Stellen oft monatelang unbesetzt bleiben. KI ist damit längst keine Option mehr, sondern operative Notwendigkeit: Wo qualifizierte Köpfe fehlen, muss intelligente Automatisierung genau diese Lücke schließen.

Und dann kommt die Governance. In vielen Projekten erleben wir, wie der Impuls, EU AI Act, DORA, MaRisk und BAIT vollständig absichern zu wollen, in gut gemeinter, aber lähmender Überregulierung endet: Interne Anforderungen werden so restriktiv formuliert, dass sie selbst erfahrene Entwicklungsteams verwirren. Prozesse werden überkomplex gestaltet, vielversprechende Pilotprojekte massiv verlangsamt oder aufgrund des organisatorischen Overheads ganz eingestellt.

Das Muster ist verständlich aber ungerechtfertigt, denn Governance muss und soll kein Verhinderer sein. Richtig aufgesetzt, kostet sie keine Geschwindigkeit – sie gibt die Sicherheit, Geschwindigkeit überhaupt erst aufzunehmen.

Warum neue Technologie eine neue Governance fordert

Banken stehen traditionell für Sicherheit und Risikominimierung. Wenn nun probabilistische, und damit inhärent unpräzise, Technologien auf hochsensible Finanzdaten treffen, werden die mit der Compliance beauftragten Abteilungen zu Recht hellhörig. Das Ergebnis ist jedoch häufig ein organisatorisches Kompetenzwirrwarr: Datenschutz, Personalrat, Unternehmensstrategie und Risikomanagement fordern alle ihren Platz am Tisch, wenn es um den Einsatz von KI geht.

Im Grundsatz ist das auch richtig, die Stimmenvielfalt führt in der Praxis allerdings oft zu Verantwortungsdiffusion. Wenn alle Mitarbeitenden, oder Projektinvolvierte Bedenken äußern, aber niemand operativ die Risiken übernimmt, bleiben selbst harmlose Anwendungen auf der Strecke. Ein interner Chatbot zur Zusammenfassung von Protokollen durchläuft dieselben Freigabeschleifen wie ein automatisiertes Kreditscoring von Privatkunden – obwohl die Risikoprofile fundamental verschieden sind.

Diese interne Blockade provoziert ungewollt genau das Risiko, das sie verhindern soll: Fachbereiche wandern frustriert in die unkontrollierte Schatten-IT ab. Teams nutzen dann externe KI-Tools ohne jede Absicherung, weil offizielle Wege zu lang und zu intransparent erscheinen. Das Resultat sind nicht weniger, sondern mehr unkontrollierte Risiken. Dass fehlende Governance zu den größten Hemmnissen der KI-Adoption zählt, belegt auch eine IDC-Erhebung: 53,8 % der befragten Organisationen nannten mangelnde Governance-Lösungen als Top-Barriere – nur die Kosten rangierten knapp davor (Jyoti, 2023).

Der blinde Fleck: Warum AI-Act-Compliance keine Qualität garantiert

Um zu verstehen, warum überbordende Governance entsteht, lohnt ein genauerer Blick auf die regulatorische Landschaft – denn hier liegt ein oft übersehenes Missverständnis vor.

Der EU AI Act ist primär ein Produktsicherheitsgesetz zum Schutz der Grundrechte von Bürgern: Er adressiert Diskriminierung, intransparente Entscheidungsfindung und unverhältnismäßige Überwachung. DORA wiederum zielt auf operationale Resilienz und verlangt, dass KI-Systeme als IKT-Assets in den bestehenden Risikomanagementrahmen integriert werden (BaFin, 2025). Beide Regelwerke sind wichtig aber keines davon schützt die Bank vor betriebswirtschaftlichen Risiken fehlerhafter KI-Anwendungen.

Eine KI kann vollständig AI-Act-konform und DORA-integriert sein – transparent, diskriminierungsfrei und resilient betrieben und dennoch falsche Antworten liefern, anfällig für Prompt-Injection-Angriffe sein oder schlicht ineffizient arbeiten. Robustheit, Accuracy und IT-Security sind für Banken entscheidende Faktoren, die weit über den reinen Gesetzestext hinausgehen. Wie konkret und vielfältig die technischen Angriffsszenarien dabei sind, zeigt der BSI-Leitfaden zu Evasion-Attacks auf LLMs: Er beschreibt Prompt-Injection, Jailbreaks und adversariale Angriffe als reale Bedrohungen, für die regulatorische Compliance keine Antwort liefert (BSI, 2026).

Daraus ergeben sich zwei bedeutende Implikationen: Erstens kann die Compliance-Abteilung allein KI-Governance nicht stemmen. Es braucht ein Rahmenwerk, das regulatorische Anforderungen, technische Qualität und betriebswirtschaftliche Steuerung verbindet. Zweitens – und das ist die entscheidende Erkenntnis – muss dieses Rahmenwerk nicht komplex sein. Wer versucht, jede Anforderung aus AI Act, DORA und internen Richtlinien in einen monolithischen Governance-Prozess zu gießen, erzeugt genau den Overhead, der Projekte lähmt.

Governance neu denken: Leitplanken statt Schlagbäume

Die BaFin selbst gibt in ihrer Orientierungshilfe zu IKT-Risiken bei KI den entscheidenden Hinweis: Der Grundsatz der Verhältnismäßigkeit (Art. 4 DORA) als operatives Prinzip. KI-Anwendungen, die in kritische Funktionen integriert sind, benötigen umfangreichere Sicherheits- und Kontrollmaßnahmen als ein Self-Service-Assistent, der unter menschlicher Überwachung steht – diese Differenzierung ist nicht nur erlaubt, sie ist regulatorisch gewollt (BaFin, 2025). Konkret heißt das: Banken brauchen keine parallele Governance von KI – es benötigt eine schlanke Erweiterung von bestehenden Strukturen um wenige, klar definierte Rollen und Prozesse. DORA verlangt ohnehin ein Leitungsorgan mit Letztverantwortung für IKT-Risiken, eine IKT-Risikomanagementfunktion und Kontrollfunktionen (Art. 5 DORA). Der Schlüssel liegt darin, KI-Governance in diese bestehenden Strukturen einzubetten.

Aus unserer Arbeit haben sich dabei 3 Maßnahmen als besonders wirkungsvoll erwiesen:

1. Ein dedizierter KI-Koordinator als zentrale Anlaufstelle.

Diese Rolle – ob als AI Officer, KI-Koordinator oder als Teil des bestehenden Risikomanagements – bündelt die Fäden zwischen Fachbereich, IT, Compliance und Recht. Statt dass jede Abteilung separat Bedenken eskaliert, gibt es eine Instanz, die die Governance-Artefakte verantwortet, Use Cases bewertet, Risiken einordnet und Freigaben koordiniert. Das reduziert Verantwortungsdiffusion und beschleunigt Entscheidungen.

2. Risikobasierte Klassifizierung mit klaren Fast Lanes.

Ein standardisierter Vorab-Check (Triage) entscheidet bereits am Anfang der Ideenphase, ob ein Use Case als Hochrisiko einzustufen ist oder risikoarm betrieben werden kann, denn die meisten internen Effizienz-Cases fallen nicht unter die strengsten Regeln des AI-Acts. Hier kann die Bank oder der Finanzdienstleister schnelle Freigabepfade etablieren – während kritische Systeme die notwendige tiefe Prüfung erfahren.

3. Technische Qualitätssicherung als integraler Bestandteil.

Während der AI-Act den regulatorischen Rahmen vorgibt, sichern technische Standards wie das NIST AI Risk Management Framework oder die OWASP Top 10 for LLMs die tatsächliche Qualität und Sicherheit der Modelle. Wenn die KI-Infrastruktur einmal DORA-konform abgenommen ist, müssen darauf aufsetzende Anwendungen nicht jedes Mal bei null anfangen – standardisierte Module für Logging, Monitoring und Datenschutz reduzieren den Aufwand pro Projekt erheblich.

Vom Compliance Check zum Wettbewerbsvorteil

Wer Governance als Qualitätsstandard begreift, baut vertrauenswürdige KI-Systeme. In einer Branche, deren wichtigste Währung Vertrauen ist, wird das zum echten Differenzierungsmerkmal.

Eine schlanke, risikobasierte Governance verkürzt die Time-to-Market drastisch und ersetzt womöglich langwierige Freigabeprozesse durch definierte Handlungsspielräume. Das Ergebnis sind skalierbare Lösungen, die nicht im PoC-Status verharren, sondern echten Business Value generieren – sei es durch effizientere Backoffice-Prozesse, personalisierte Kundenansprache oder die Entlastung überbeanspruchter Fachteams.

Wir unterstützen euch auf diesem Weg

Es bleibt festzuhalten: Der Spagat zwischen Innovationsdruck und Regulatorik ist herausfordernd, aber machbar. adesso verbindet tiefes Verständnis für den Bankensektor mit Expertise in Künstlicher Intelligenz. Wir helfen euch dabei, schnell und sicher technisch exzellente KI zu bauen. Von der initialen Risikobewertung über agile Compliance-Prozesse bis hin zur technischen Umsetzung DORA-konformer KI-Plattformen begleiten wir euch ganzheitlich. Wohlwissend, dass nicht die Technologie allein über den Erfolg entscheidet, sondern die Akzeptanz der neuen Prozesse im Unternehmen, sorgen wir dafür, dass eure KI-Initiativen nicht am Compliance-Desk enden, sondern im Business ankommen.