Zum Inhalt springen
Resilience Platform Resilience Platform

BaFin Jahrespressekonferenz 2026

KI-Cyber Risiken & IT-Spotlight-Prufungen

Umsetzungsleitfaden zu den zentralen aufsichtlichen Erwartungen.

Management-Zusammenfassung

  • BaFin-Prasident Branson forderte deutlich beschleunigte Patch-Management-Zyklen: von Monaten auf Tage oder Stunden — insbesondere angesichts KI-gestutzter Angriffe.
  • Die BaFin erweitert ihre Cyberaufsicht auf sieben Referate und fuhrt zielgerichtete IT-Spotlight-Prufungen ein — kurzer, haufiger, bedrohungsgetrieben.
  • DORA-Compliance und gute Cyber-Hygiene wurden als fundamentale Grundlage zur Bewaltigung neuer Bedrohungen betont.
  • Kleinere Institute stehen vor besonderen Herausforderungen bei der Umsetzung — proportionale, pragmatische Ansatze sind erforderlich.
  • common.disclaimer_inline

12

Maßnahmen

4

Themenfelder

4

Kritische Prioritat

8

Hohe Prioritat

KI-Cyberangriffe

KI-Modelle identifizieren und nutzen Schwachstellen mit bemerkenswerter Geschwindigkeit. Patch-Zyklen mussen sich von Monaten auf Tage/Stunden beschleunigen.

BAFIN-2026-001 kritisch reviewed

KI-gestützte Schwachstellenanalyse — Bedrohungslage

Neue KI-Modelle identifizieren und exploiten IT-Schwachstellen mit deutlich höherer Geschwindigkeit als herkömmliche Methoden. Finanzinstitute müssen damit rechnen, dass die Zeitspanne zwischen Veröffentlichung einer Schwachstelle und deren aktiver Ausnutzung sich von Wochen auf Tage oder Stunden verkürzt.

Auswirkung

Bestehende Patch-Management-Zyklen (monatlich/quartalsweise) sind angesichts KI-beschleunigter Angriffe nicht mehr ausreichend. Institute müssen ihre Patch-Prozesse auf ein deutlich beschleunigtes Niveau heben.

Umsetzungsmaßnahmen

  • Risikobewertung für KI-gestützte Angriffsvektoren in die jährliche Bedrohungsanalyse aufnehmen.
  • Patch-Priorisierung nach Kritikalität: Kritische Patches innerhalb von 24–72 Stunden einspielen.
  • Automatisierte Schwachstellenscans mit KI-gestützten Tools betreiben, um mit der Angriffsgeschwindigkeit Schritt zu halten.
  • Notfall-Patch-Prozess für Zero-Day-Schwachstellen mit definierten Eskalationsstufen etablieren.
ISO: A.8.8 A.8.34
DORA: DORA Art. 5–8 (IKT-Risikomanagement), Art. 10 (IKT-Vorfallerkennung) MaRisk: MaRisk BT 2.2, AT 7.2
BAFIN-2026-002 kritisch reviewed

Beschleunigtes Patch-Management — Praxisleitfaden

Ein gestuftes Patch-Management-Modell, das auf die beschleunigte Bedrohungslage durch KI-Systeme reagiert. Kritische Schwachstellen erfordern Reaktionszeiten im Bereich von Stunden, nicht Monaten.

Auswirkung

Institute benötigen eine klar definierte Patch-Klassifizierung mit verbindlichen Fristen, die der neuen Bedrohungsgeschwindigkeit gerecht werden.

Umsetzungsmaßnahmen

  • Vier-Stufen-Modell: Kritisch (24h), Hoch (72h), Mittel (7 Tage), Niedrig (30 Tage).
  • Automatisierte Patch-Verteilung für Standard-Systeme mit vorgelagerter Testumgebung.
  • Change-Advisory-Board für Notfall-Patches mit verkürztem Freigabeprozess (≤4 Stunden).
  • Patch-Erfolgsquote und -Einhaltung monatlich an das Leitungsorgan berichten.
ISO: A.8.8 A.8.19
DORA: DORA Art. 5–8 (Schutzmaßnahmen), Art. 15 (Resilienztests) MaRisk: MaRisk BT 2.2, AT 7.2.1
BAFIN-2026-003 hoch reviewed

Systemstabilität bei beschleunigtem Patching — Risikoabsicherung

Beschleunigte Patch-Zyklen erhöhen das Risiko von Systemausfällen durch fehlerhafte Updates (vgl. CrowdStrike-Vorfall 2024). Institute müssen einen Ausgleich zwischen Geschwindigkeit und Stabilität finden.

Auswirkung

Ohne geeignete Absicherungsmaßnahmen kann beschleunigtes Patching selbst zur Verfügbarkeitsbedrohung werden.

Umsetzungsmaßnahmen

  • Gestaffelte Rollout-Strategie: Testumgebung → Pilotgruppe → Produktivbetrieb.
  • Automatisierte Rollback-Prozeduren für kritische Systeme innerhalb von 30 Minuten.
  • Kompatibilitätstests vor Patch-Einspielung in produktiven Umgebungen.
  • Monitoring der Systemstabilität nach Patch-Einspielung mit definierten Alert-Schwellen.
ISO: A.8.19 A.8.31
DORA: DORA Art. 11 (IKT-Wiederherstellung), Art. 9 (IKT-Sicherheitslösungen) MaRisk: MaRisk AT 7.3, BT 3.3
BAFIN-2026-004 hoch reviewed

KI-Angriffsszenarien — Gegenmaßnahmen und Abwehrstrategien

KI-gestützte Angriffe nutzen automatisierte Schwachstellensuche, adaptive Exploit-Generierung und social Engineering in neuartiger Qualität. Institute müssen ihre Abwehrstrategien entsprechend anpassen.

Auswirkung

Traditionelle signaturbasierte Erkennungssysteme sind gegen KI-adaptive Angriffe unzureichend. Verhaltensbasierte Erkennung und Threat Intelligence gewinnen an Bedeutung.

Umsetzungsmaßnahmen

  • Verhaltensbasierte Erkennung (UEBA) für anomalen Netzwerk- und Benutzerverkehr einführen.
  • Threat-Intelligence-Feeds mit KI-bezogenen Indikatoren (IOCs) abonnieren und integrieren.
  • Red-Teaming-Übungen mit KI-gestützten Angriffssimulationen durchführen.
  • Security-Awareness-Training um KI-basierte Social-Engineering-Szenarien erweitern.
ISO: A.8.15 A.8.16 A.6.3
DORA: DORA Art. 10 (Erkennung), Art. 15 (Resilienztests) MaRisk: MaRisk BT 3.2, AT 7.2
IT-Spotlight-Prüfungen

BAFIN-2026-005 hoch reviewed

IT-Spotlight-Prüfungen — Was Institute erwarten können

Die BaFin erweitert ihre Cyberaufsicht-Abteilung auf sieben Referate und führt zielgerichtete IT-Spotlight-Prüfungen ein. Diese sind kürzer als herkömmliche Prüfungen, ermöglichen aber eine höhere Prüfungsdichte und schnellere Reaktion auf aktuelle Bedrohungen.

Auswirkung

Institute müssen jederzeit auf unangekündigte, fokussierte IT-Prüfungen vorbereitet sein. Die Prüfungsschwerpunkte werden sich an der aktuellen Bedrohungslage orientieren.

Umsetzungsmaßnahmen

  • Prüfungsbereitschaft (Audit Readiness) als Dauerzustand etablieren — nicht als punktuelle Vorbereitung.
  • Dokumentation aller IKT-Sicherheitsmaßnahmen, Patch-Status und Incident-Reports stets aktuell halten.
  • Ansprechpartner für IT-Prüfungen benennen und Verfügbarkeit sicherstellen.
  • Interne Vorab-Prüfungen (Self-Assessments) in regelmässigen Abständen durchführen.
ISO: A.5.1 A.5.33
DORA: DORA Art. 4 (Governance), Art. 5 (IKT-Risikomanagement-Rahmenwerk) MaRisk: MaRisk AT 7, BT 3
BAFIN-2026-006 hoch reviewed

Vorbereitungs-Checkliste für IT-Spotlight-Prüfungen

Eine praxisorientierte Checkliste, die Institute auf die neuen IT-Spotlight-Prüfungen der BaFin vorbereitet. Fokus auf die Bereiche, die bei gezielten Prüfungen typischerweise im Mittelpunkt stehen.

Auswirkung

Institute mit systematischer Prüfungsvorbereitung können IT-Spotlight-Prüfungen effizienter begegnen und Findings minimieren.

Umsetzungsmaßnahmen

  • IKT-Risikoinventar: Vollständigkeit und Aktualität prüfen (letzte Änderung ≤30 Tage).
  • Patch-Management: Nachweis der Einhaltung definierter Patch-Fristen für die letzten 6 Monate.
  • Incident-Management: Dokumentation aller IKT-Vorfälle mit Meldezeiten und Eskalationsnachweisen.
  • Zugriffsmanagement: Aktuelle Berechtigungsmatrix und Nachweis der letzten Berechtigungsüberprüfung.
  • Notfallplanung: Aktualisierte Disaster-Recovery-Pläne mit Nachweis der letzten Übung.
  • Drittleister: Vollständiges Verzeichnis der IKT-Drittdienstleister mit Vertragsstatus und Risikobewertung.
ISO: A.5.33 A.5.34 A.5.35
DORA: DORA Art. 5–8, Art. 10–12, Art. 25–29 MaRisk: MaRisk AT 7, BT 2, BT 3, BT 4
BAFIN-2026-007 hoch reviewed

Erweiterte BaFin-Cyberaufsicht — Sieben Referate

Die BaFin hat ihre Abteilung für Cybersicherheit und Technologie im Finanzsektor auf sieben Referate erweitert. Dies signalisiert eine deutlich intensivierte Aufsichtstätigkeit im Cyber-Bereich mit zusätzlichen Ressourcen und spezialisierten Prüfungskapazitäten.

Auswirkung

Die erweiterte Aufsichtskapazität führt zu einer höheren Prüfungsfrequenz und tiefergehenden Cyber-Prüfungen. Institute sollten ihre Compliance-Strukturen entsprechend anpassen.

Umsetzungsmaßnahmen

  • Cyber-Compliance-Verantwortliche mit direkter Berichtslinie zur Geschäftsleitung benennen.
  • Regelmässiges Cyber-Reporting an das Leitungsorgan (mindestens quartalsweise) etablieren.
  • Interne Cyber-Audit-Kapazitäten aufbauen oder externe Prüfer beauftragen.
  • Aufsichtliche Erwartungen und neue Prüfungsformate im Compliance-Kalender tracken.
ISO: A.5.1 A.5.2 A.5.4
DORA: DORA Art. 4 (Governance und Verantwortung), Art. 5 (IKT-Risikomanagement) MaRisk: MaRisk AT 4.3.1, AT 7
DORA-Cyber-Hygiene

Systematische, routinemassige Umsetzung grundlegender Sicherheitsmaßnahmen als Fundament der digitalen Resilienz.

BAFIN-2026-008 kritisch reviewed

Cyber-Hygiene unter DORA — Fundamentale Sicherheitspraktiken

BaFin-Präsident Branson betonte DORA als zentrale Priorität und forderte gute Cyber-Hygiene als Grundlage zur Bewältigung neuer Bedrohungen. Cyber-Hygiene umfasst die systematische, routinemässige Umsetzung grundlegender Sicherheitsmaßnahmen.

Auswirkung

Cyber-Hygiene ist keine optionale Zusatzmassnahme, sondern die Voraussetzung für wirksamen Schutz gegen moderne Angriffe — insbesondere KI-gestützte.

Umsetzungsmaßnahmen

  • Grundlegende Sicherheitshygiene: MFA für alle Zugänge, aktuelle Antivirus/EDR-Lösungen, regelässige Backups.
  • Passwortrichtlinie mit Mindestanforderungen und regelmässiger Überprüfung durchsetzen.
  • Systemhärtung nach anerkannten Standards (z.B. BSI IT-Grundschutz, CIS Benchmarks).
  • Regelmässige Schulung aller Mitarbeiter zu sicheren Verhaltensweisen im digitalen Raum.
ISO: A.5.15 A.8.1 A.8.8
DORA: DORA Art. 5–8 (IKT-Risikomanagement), Art. 9 (IKT-Sicherheitslösungen) MaRisk: MaRisk AT 7.2, BT 2.1
BAFIN-2026-009 kritisch reviewed

Cyber-Hygiene-Checkliste — 10 essentielle Maßnahmen

Eine praxisorientierte Checkliste mit zehn essentiellen Cyber-Hygiene-Maßnahmen, die jedes Finanzinstitut unabhängig von seiner Grösse umsetzen sollte. Diese Maßnahmen bilden das Fundament der digitalen Resilienz.

Auswirkung

Die Umsetzung dieser zehn Maßnahmen reduziert das Cyber-Risiko signifikant und schafft die Basis für weitergehende DORA-Compliance.

Umsetzungsmaßnahmen

  • Multi-Faktor-Authentifizierung (MFA) für alle privilegierten und externen Zugänge.
  • Automatisierte Patch-Verwaltung mit definierten Fristen nach Kritikalität.
  • Regelmässige, getestete Backups mit Offline-Kopien (3-2-1-Regel).
  • Endpoint Detection and Response (EDR) auf allen Arbeitsstationen und Servern.
  • Netzwerksegmentierung mit Firewall-Regeln zwischen Sicherheitszonen.
  • Zugriffsreviews mindestens quartalsweise für alle Systemzugänge.
  • Incident-Response-Plan mit definierten Rollen und Eskalationswegen.
  • Security-Awareness-Training für alle Mitarbeiter mindestens jährlich.
  • Schwachstellenmanagement mit regelmässigen Scans und Remediation-Tracking.
  • Drittanbieter-Risikobewertung vor Vertragsabschluss und fortlaufendes Monitoring.
ISO: A.5.15 A.8.8 A.8.15 A.8.20 A.5.24
DORA: DORA Art. 5–12 (IKT-Risikomanagement und Vorfallmanagement) MaRisk: MaRisk AT 7, BT 2, BT 3
BAFIN-2026-010 hoch reviewed

Cyber-Hygiene als Investition — Business Case für die Geschäftsleitung

BaFin-Präsident Branson verwies darauf, dass Institute sich Cybersicherheit leisten können — durch ihre aktuell hohen Gewinne. Cyber-Hygiene ist kein Kostenfaktor, sondern ein strategisches Investment in die institutionelle Resilienz.

Auswirkung

Die Geschäftsleitung benötigt einen klaren Business Case, der den ROI von Cyber-Hygiene-Maßnahmen in Bezug auf Risikoreduktion und regulatorische Compliance darstellt.

Umsetzungsmaßnahmen

  • Cyber-Risikoquantifizierung: Potenzielle Schadensszenarien mit finanziellen Auswirkungen modellieren.
  • Benchmarking der Cyber-Sicherheitsausgaben im Verhältnis zu Branche und Institutsgrösse.
  • ROI-Berechnung: Vermeidungskosten vs. Investitionskosten für Sicherheitsmaßnahmen.
  • Regulatorische Konsequenzen bei Nicht-Compliance (Bußgelder, Reputationsschäden) quantifizieren.
ISO: A.5.1 A.5.2 A.5.7
DORA: DORA Art. 4 (Governance), Art. 5 (IKT-Risikomanagement-Rahmenwerk) MaRisk: MaRisk AT 4.3.1, AT 7
KMU-Fokus

Proportionale, pragmatische Ansatze fur Institute mit begrenzten IT-Ressourcen — ohne Abstriche bei der Wirksamkeit.

BAFIN-2026-011 hoch reviewed

Beschleunigtes Patch-Management für kleinere Institute — proportionale Umsetzung

BaFin-Präsident Branson betonte, dass die erforderliche Beschleunigung beim Patch-Management "sehr anstrengend" sei — "vor allem für kleine und mittlere Unternehmen". Dennoch sei diese Anstrengung essentiell. Kleinere Institute benötigen proportionale, praktikable Ansätze.

Auswirkung

Kleinere Institute haben oft begrenzte IT-Ressourcen und können keine dedizierten Security-Teams finanzieren. Sie benötigen pragmatische, automatisierbare Lösungen.

Umsetzungsmaßnahmen

  • Automatisierte Patch-Management-Tools mit Cloud-Management (geringer Personalaufwand).
  • Managed-Security-Service-Provider (MSSP) für Schwachstellenmanagement und Monitoring.
  • Priorisierung: Nur kritische und hochprioritäre Patches sofort — mittlere/niedrige im regulären Zyklus.
  • Branchenkooperationen: Gemeinsame Nutzung von Security-Ressourcen und Threat Intelligence.
ISO: A.8.8 A.8.19
DORA: DORA Art. 5 (Proportionalitätsprinzip), Art. 16 (vereinfachter Rahmen) MaRisk: MaRisk AT 7.2 (Proportionalität)
BAFIN-2026-012 hoch reviewed

Proportionale Cyber-Sicherheit — Mindeststandard für kleine Institute

Ein proportionaler Cyber-Sicherheits-Mindeststandard, der auch für Institute mit begrenzten Ressourcen umsetzbar ist. Fokus auf die wirksamsten Maßnahmen mit dem besten Kosten-Nutzen-Verhältnis.

Auswirkung

Kleine Institute können mit begrenztem Budget einen signifikanten Sicherheitsgewinn erzielen, wenn sie die richtigen Schwerpunkte setzen.

Umsetzungsmaßnahmen

  • MFA für alle Zugänge — die wirksamste Einzelmaßnahme mit geringem Implementierungsaufwand.
  • Automatische Updates für Betriebssysteme und Standardanwendungen aktivieren.
  • Cloud-basierte Backup-Lösung mit automatischer Verschlüsselung und regelmässigen Tests.
  • Einfache Incident-Response-Checkliste (1 Seite) mit Kontaktdaten und Eskalationsstufen.
  • Jährliches Security-Awareness-Training mit Fokus auf Phishing und Social Engineering.
  • Externe IT-Sicherheitsberatung für jährliche Schwachstellenbewertung beauftragen.
ISO: A.5.15 A.8.8 A.8.19 A.5.24
DORA: DORA Art. 5 (Proportionalität), Art. 16 (vereinfachter Rahmen für Kleinstunternehmen) MaRisk: MaRisk AT 7.2, BT 2 (Proportionalitätsprinzip)

common.disclaimer_label common.disclaimer_inline