EZB fürchtet „systemische Risiken für das Finanzsystem“ durch Frontier AI wie Mythos
Die Aufsichtschefin der Europäischen Zentralbank (EZB), Claudia Buch, hat die größten Kreditinstitute der Union aufgefordert, bis Ende Oktober detaillierte Strategien zur Bewältigung von Risiken durch fortschrittliche Künstliche Intelligenz (KI) vorzulegen. Im Fokus stehen die Gefahren durch sogenannte „Frontier-Modelle“, die Cyberangriffe massiv beschleunigen könnten.
In Briefen an die Vorstandsvorsitzenden der bedeutendsten EU-Banken mahnte Buch, dass neuartige KI-Modelle in der Lage seien, Software-Schwachstellen mit einer bisher ungekannten Geschwindigkeit zu identifizieren und funktionierende Exploits zu generieren. Diese Entwicklung verkürze die Zeitspanne zwischen der Entdeckung einer Sicherheitslücke und deren tatsächlicher Ausnutzung drastisch. Dies stelle die Vertraulichkeit, Integrität und Widerstandsfähigkeit der Informations- und Kommunikationstechnologie (IKT) der Banken vor erhebliche Herausforderungen.
„Neue KI-Modelle sind in der Lage, Softwareschwachstellen zu identifizieren und funktionierende Exploits beispiellos schnell zu generieren, wodurch sich die Zeitspanne zwischen Schwachstellenentdeckung und -ausnutzung erheblich verkürzt. Diese Entwicklungen haben potenziell tiefgreifende Auswirkungen auf die Vertraulichkeit, Integrität und Widerstandsfähigkeit der Informations- und Kommunikationstechnologie (IKT)-Systeme von Banken“, schreibt Claudia Buch. Das stelle „systemische Risiken für das Finanzsystem“ dar.
Anforderungen an die Banken
Die geforderten Aktionspläne sollen konkrete Maßnahmen zur Stärkung interner Kontrollsysteme enthalten. Laut Buch müssen die Institute sicherstellen, dass notwendige Ressourcen bereitgestellt, klare Verantwortlichkeiten zugewiesen und verbindliche Zeitpläne für die Umsetzung definiert werden. Ein wesentlicher Aspekt der Pläne ist zudem die Prüfung externer Technologieanbieter: Banken müssen gewährleisten, dass auch ihre Drittanbieter für die neuen Bedrohungsszenarien gerüstet sind.
Zwar sind derzeit keine direkten Sanktionen bei Nichtbeachtung vorgesehen, die EZB kündigte jedoch an, die Pläne zum Vergleich der Leistungsfähigkeit der Banken im Umgang mit KI-Risiken zu nutzen und gegebenenfalls Folgemaßnahmen einzuleiten.
Systemisches Risiko für den Finanzsektor
Die Warnung der EZB wird durch eine Einschätzung des Europäischen Systemischen Risiko-Boards (ESRB) ergänzt. Das Gremium bezeichnet modernste KI-Modelle als potenzielle Quelle systemischer Risiken für die Finanzindustrie. Sollten Cyber-Vorfälle über kritische Infrastrukturen wie Zahlungs-, Clearing- oder Abwicklungssysteme diffundieren, könnten sie das gesamte Finanzsystem schwer erschüttern. Ohne koordinierte EU-weite Maßnahmen könnten sich diese Gefahren zu strukturellen Schwachstellen entwickeln, die die Wahrscheinlichkeit eines systemweiten Ereignisses erhöhen.
Obwohl die Behörden in ihren offiziellen Warnungen keine spezifischen Namen nannten, wird in der Branche häufig auf Modelle wie „Mythos“ von Anthropic verwiesen, denen bereits weitreichende Cyber-Fähigkeiten zugeschrieben werden.
Anpassungen im Aufsichtszyklus
Um den Banken angesichts der engen Zeitspanne entgegenzukommen, hat die EZB eine administrative Anpassung vorgenommen: Die Frist für den jährlichen IKT-Risikofragebogen wird von September auf Februar verschoben. Zudem wird die Europäische Kommission heute einen eigenen Aktionsplan zu KI-Risiken vorstellen, der unter anderem die Sicherheitsprüfung fortschrittlicher Modelle durch den Block regeln soll.

