AREE - stock.adobe.com
Globale KI, lokale Regeln: Resilient trotz Goldrausch
KI wird weltweit entwickelt, aber lokal geregelt. Daraus ergibt sich ein komplexer Rechtsrahmen, in dem es eine solide Cyberresilienz aufzubauen gilt. Wie soll das gelingen?
Es ist ein häufig zu beobachtendes Phänomen in der Finanzwelt: Erst kommt der Rausch, dann die Regeln. So war es beim Goldrausch in den USA Mitte des 19. Jahrhunderts, beim Aktien-Boom zum Ende der Gründerzeit oder beim Krypto-Hype rund um den Bitcoin. Und so ist es aktuell auch bei der Entwicklung von künstlicher Intelligenz zu beobachten. Allerdings hält das Rennen um die neuesten Lösungen eine weitere Dimension bereit: KI wird global entwickelt, aber lokal geregelt. Die Folge ist ein fragmentierter Rechtsrahmen, in dem Finanzunternehmen nun eine verlässliche Cyberresilienz aufbauen müssen. Wie kann das aber gelingen? Vaike Metzger und Peter Hertlein kennen darauf eine Antwort.
John Sutter hätte ein reicher Mann werden können. Auf seinem Land in der Sierra Nevada fand James W. Marshall am 24. Januar 1848 ein paar Klümpchen Gold – und lösten damit den ersten Goldrausch Amerikas aus. Doch Sutter zählte zu den Verlierern: Die Goldsucher hatten sein Land besetzt. Denn es gab kaum staatliche Autorität oder klare Gesetze, wer wo graben durfte.
Erst kommt der Rausch, dann kommen die Regeln. Dieses Phänomen lässt sich in der Finanzgeschichte immer wieder beobachten. Nicht nur beim Goldrausch, auch beim Aktien-Boom während der Gründerzeit, der mit dem sogenannten Gründerkrach endete oder beim Krypto-Hype rund um den Bitcoin wurden die ersten Gesetze erst verfasst, als sich die Hochstimmung an den Märkten bereits legte.
KI kennt keine Grenzen
Das neueste Kapitel dieser Geschichte wird gerade über die Entwicklung von künstlicher Intelligenz (KI) geschrieben – und wie beim Gold hat es seinen Ursprung in Kalifornien. Allerdings gibt es beim Thema KI nicht nur einen zeitlichen Versatz. Die Technologie-Transformation verfügt über eine weitere Dimension, eine örtliche. Denn: KI-Anwendungen werden global entwickelt und bereitgestellt, aber lokal reguliert. Die Folge ist ein fragmentierter Rechtsrahmen, der die Finanzbranche vor große Herausforderungen stellt. Wie schaffen es Unternehmen, sowohl ihre IT-Compliance als auch ihre Cybersicherheit so aufzustellen, dass sie wirksam sind und den regulatorischen Anforderungen genügen?
Vaike Metzger,
KPMG
Um KI ist ein regelrechter Hype entstanden. In der ersten Phase herrscht Euphorie. Algorithmen versprechen Effizienzgewinne in der Kreditprüfung, im Fraud-Management und in der Kundenansprache, die noch vor kurzem undenkbar waren. Deshalb setzen auch Finanzinstitute auf die neue Technologie. Doch mit den ersten Regeln und Gesetzen wird schließlich die regulatorische Zersplitterung sichtbar. Da ist zum Beispiel das europäische Finanzunternehmen, das US-Technologie nutzt, seine Daten in der Cloud speichert und auf dem Weltmarkt agiert – bei all dem aber an ein engmaschiges Netz aus nationalen Vorschriften gebunden ist. Wie also muss es sich verhalten?
Für ein deutsches Unternehmen gelten deutsche Regeln: In einer vernetzten Welt greift diese Sichtweise jedoch häufig zu kurz. Natürlich gelten Regeln und Gesetze grundsätzlich für einen geschlossenen Rechtsraum. KI-Systeme aber kennen diese Grenzen nicht. Wer deshalb heute eine KI-Anwendung etwa aus den USA im europäischen Rechtsraum implementiert, sollte dabei stets auch die internationalen regulatorischen Entwicklungen im Blick behalten.
Fundament und Verordnung: Compliance als modernes Gebäude
Es ist das alte Problem der Abhängigkeiten. Die meisten Finanzinstitute sind an die Infrastrukturen der großen US-Hyperscaler gebunden. Wenn der Bundesstaat Kalifornien mit dem Transparency in Frontier Artificial Intelligence Act neue Meldepflichten und Risikobewertungen für KI-Modelle einführt, kann das unmittelbare Auswirkungen auf die Werkzeuge haben, die in Frankfurt oder München auf den Rechnern installiert sind. Die Abhängigkeiten sind bereits so tief in die Architektur der Finanzwelt eingewoben, dass eine geografische Trennung von Risiko und Regulierung kaum noch möglich ist.
Peter Hertlein,
KPMG
Die gute Nachricht: Es gibt bereits eine Lösung für dieses Problem – den Digital Operational Resilience Act, kurz: DORA. Finanzunternehmen, die diese Verordnung umsetzen, haben ihre IKT-Resilienz bereits auf ein solides Fundament gestellt. Schließlich ist DORA Technologieneutral und adressiert die Widerstandsfähigkeit der digitalen Prozesse des Geschäftsmodells grundsätzlich. In der Praxis macht es allerdings durchaus einen Unterschied, ob herkömmliche Legacy-Systeme geschützt werden müssen – oder hochkomplexe KI-Systeme. Deshalb hat der Gesetzgeber nachgelegt und den EU AI Act (KI-Verordnung) entwickelt. Damit stellen Unternehmen ihre Hochrisiko-Systeme sowie deren Nachvollziehbarkeit auf die Probe.
Beide Regulierungen verfolgen im Kern dasselbe Ziel: robuste und überprüfbare Sicherheitsarchitekturen. Nur die Herangehensweise ist eine andere. Während der AI Act konkret die Sicherheit und Konformität der Anwendung fokussiert, schafft DORA die Basis für die gesamte Infrastruktur inkl. dem zentralen IKT-Risikomanagement. Wie bei einem modernen Gebäude: DORA liefert das Fundament und die Statik – beides sorgt dafür, dass das Haus bei einem Sturm (etwa einem Cyberangriff) nicht einstürzt. Der AI Act hingegen ist die spezialisierte Brandschutzverordnung für die hochkomplexen technischen Anlagen (also die KI-Systeme) im Inneren des Gebäudes. Folglich sollten diese Themen, wie beim Hausbau, nicht mehr getrennt voneinander bearbeitet werden. Stattdessen verschmelzen IT-Compliance und Cyber Security zu einer integrierten Governance-Aufgabe.
Gestalten statt verwalten: Compliance by Design
Und trotz allem geht mit neuen Regulierungen auch immer organisatorische Arbeit einher. Wie also lässt sich der bürokratische Aufwand bewältigen, ohne die Innovationskraft der KI-Anwendungen zu hemmen? Die Antwort lautet: Compliance by Design – und zwar durch intelligente Abgleichverfahren.
Das klingt sehr technisch, verfolgt aber tatsächlich einen ganz praktischen Ansatz. Grundsätzlich geht es darum, nicht auf jedes neue Gesetz neu zu reagieren Rad. Das gilt gerade dann, wenn ein Unternehmen global agiert und deshalb auch zahlreichen lokalen Regulierungen unterliegt. Wer seine Strukturen auf diese fragmentierte Rechtslandschaft ebenfalls fragmentiert, verliert sich im Klein-Klein. Besonders deutlich zeigt sich das etwa beim Thema Meldepflichten: Wenn ein System ausfällt, müssen heute oft mehrere Behörden in verschiedenen Ländern gleichzeitig informiert werden – jede mit eigenen Fristen und Formularen. Manuelle Prozesse werden diesen Anforderungen kaum noch gerecht.
Framework und Feinjustierung
Vielmehr sollten sich die Unternehmen an internationalen Standards anerkannter Institutionen wie der International Organization for Standardization (ISO) oder des National Institute of Standards and Technology (NIST) orientieren und per Mapping ein eigenes Governance-Framework aufsetzen. Mapping bedeutet dabei nichts anderes, als die bestehenden Kontrollmechanismen mit den neuen Anforderungen abzugleichen. Oft fällt dabei auf: Ein Großteil der Hausaufgaben ist durch das Framework bereits erledigt. Der Rest ist lokale Feinjustierung sowie die tatsächliche nachweisbare Umsetzung.
Ein Problem lässt sich jedoch auch durch Compliance by Design, Mapping oder ein robustes Governance-Framework nicht lösen: Die Abhängigkeit von globalen Providern, insbesondere von jenen aus den USA. Die dortigen Zollstreitigkeiten, Handelskonflikte oder politischen Umbrüche können dazu führen, dass Zugänge gesperrt oder Bedingungen einseitig geändert werden.
Souveräne Cloud Angebote werden in Europa massiv ausgebaut, müssen aber noch die letzten Jahre bezüglich einem umfangreichen Service-Angebot und Wertschöpfungsintegration zu den Hyperscalern aufholen. Deshalb müssen Finanzunternehmen mit den bestehenden Abhängigkeiten arbeiten. Aber sie können die Resilienz durch Diversifizierung und klare Exit-Strategien erhöhen – und hoffen, dass die kalifornischen Goldgräber im KI-Zeitalter nicht ganz so hemmungslos vorgehen wie im Goldrausch des 19. Jahrhunderts.
Über die Autoren:
Vaike Metzger ist Partnerin bei KPMG im Bereich Financial Services. Die Diplom-Wirtschaftsmathematikerin berät Versicherungen, Banken und Asset Manager sowie deren Dienstleister zu Themenstellungen im Bereich IT Compliance und leitet die EU-weiten DORA-Aktivitäten bei KPMG.
Peter Hertlein ist Partner im Bereich Financial Services bei KPMG und Experte für IT-Compliance, Digital Resilience und die Umsetzung des EU AI Acts. Gemeinsam mit Kunden entwickelt er Konzepte zum Schutz von Informationen sowie zur Einhaltung regulatorischer Vorgaben in der IT und setzt diese um. Dabei bringt er seine umfangreiche Erfahrung aus der Beratung und Prüfung von Finanzunternehmen ein und führt die Anforderungen von Kunden und Aufsichtsbehörden in pragmatischen Lösungen zusammen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
