Am 9. Juni 2026 veröffentlichte die Cloud Security Alliance (CSA), eine gemeinnützige Organisation für Cloud- und KI-Sicherheit, ihren Report „State of Cloud and AI for Financial Services 2026". Die Studie beruht auf 340 Antworten, erhoben zwischen dem 15. Januar und dem 1. März 2026, und wird seither vor allem mit einer Zahl zitiert: 62 Prozent der befragten Finanzinstitute hätten KI-Agenten im Einsatz. Diese Zahl ist nicht falsch, aber sie ist die unwichtigere. Wer die Studie als Aufseher, Risikoverantwortlicher oder Sicherheitschef liest, sollte den Blick auf eine andere Stelle richten: auf das Eingeständnis von 41 Prozent der Befragten, entweder einen KI-Sicherheitsvorfall erlebt zu haben oder schlicht nicht zu wissen, ob es einen gab. Das ist kein Adoptions-Befund, das ist ein Kontroll-Befund. Und genau dort entscheidet sich, ob der schnelle Einsatz autonomer Agenten in einem regulierten Sektor trägt.

In Kürze

Was: CSA-Report „State of Cloud and AI for Financial Services 2026", veröffentlicht am 9. Juni 2026, 340 Befragte, Erhebung Januar bis März 2026, in Auftrag gegeben vom Confidential-Computing-Anbieter Anjuna

Headline-Zahl: 62 Prozent setzen KI-Agenten ein – davon aber nur 35 Prozent in aktiver Produktion und 9 Prozent in fortgeschrittener Nutzung; die übrigen explorieren oder pilotieren

Die wichtigere Zahl: 20 Prozent melden bekannte KI-Sicherheitsvorfälle, weitere 21 Prozent wissen nicht, ob es welche gab – zusammen 41 Prozent ohne belastbare Sicht auf die eigene KI-Sicherheitslage

Agentic Finance: 85 Prozent erwarten, dass Agenten künftig Zahlungen eigenständig auslösen; 65 Prozent halten dafür ein neues Autorisierungsmodell für nötig

Regulatorischer Anschluss: Das Sichtbarkeits-Defizit trifft direkt die DORA-Pflichten zur Erkennung und Meldung von IKT-Vorfällen sowie die Aufsichtserwartungen von BaFin und EZB

Die Zahl hinter der Schlagzeile

62 Prozent klingt nach flächendeckender Verbreitung. Die Aufschlüsselung relativiert das: 35 Prozent der Befragten setzen KI-Agenten aktiv in Produktion ein, weitere 9 Prozent befinden sich in fortgeschrittener Nutzung, fast die Hälfte exploriert oder startet Pilotprogramme. Nur 27 Prozent berichten von keinerlei Einsatz. Für eine Aufsichtsperspektive, die nach echten Produktiv-Systemen in regulierten Kernfunktionen fragt, ist deshalb die Zahl 44 Prozent die ehrlichere als die plakative 62 Prozent. Hinzu kommt eine Definitionsfrage, die die Studie offenlässt: Was genau zählt als KI-Agent? Die Spitzenreiter unter den Anwendungsfällen sind Kundenservice mit 63 Prozent und Cybersicherheits-Operationen mit 47 Prozent – Felder, in denen sich auch ältere, regelbasierte Automatisierungen und einfache Chatbots verbergen können, die mit einem tatsächlich autonom handelnden Agenten wenig gemein haben.

Auch die Stichprobe verlangt Vorsicht. Die 340 Befragten wurden über das Mitgliedernetzwerk der CSA, ihre Financial-Services-Arbeitsgruppe und Branchenveranstaltungen rekrutiert – also eine cloud- und sicherheitsaffine Population, die bei Adoptionsfragen tendenziell über dem Marktdurchschnitt liegt. Zum Vergleich: Die breiter angelegte Cambridge-Studie 2026, erstellt mit der Bank für Internationalen Zahlungsausgleich, dem Internationalen Währungsfonds und dem Weltwirtschaftsforum, kommt für agentische KI auf eine Adoptionsrate von nur 52 Prozent. Und schließlich der Auftraggeber: Der Report wurde vom Confidential-Computing-Anbieter Anjuna in Auftrag gegeben – einem Unternehmen, dessen Produkt genau das in der Studie betonte Datenleck-Risiko adressiert. Das macht die Daten nicht falsch, aber ihre Gewichtung interessengeleitet. Wer die Studie zitiert, sollte beides mitliefern: die Zahl und ihren Entstehungskontext.

Das eigentliche Signal: das Sichtbarkeits-Defizit

So sehr die Adoptionszahlen relativiert gehören, so wenig lässt sich der zentrale Risikobefund wegdiskutieren. 20 Prozent der Befragten berichten von bekannten KI-Sicherheitsvorfällen. Weitere 21 Prozent wissen schlicht nicht, ob es welche gab. Zusammengenommen haben also 41 Prozent keine belastbare Sicht auf die eigene KI-Sicherheitslage. Und weil Sicherheitsvorfälle in Selbstauskünften systematisch unterschätzt werden – die Erkennung KI-spezifischer Vorfälle ist technisch anspruchsvoll, und es gibt Anreize, sie nicht zu melden – ist die 20-Prozent-Marke eher eine Untergrenze als ein realistischer Wert.

Genau hier wird der Befund regulatorisch greifbar. Der Digital Operational Resilience Act (DORA) verpflichtet Finanzunternehmen seit dem 17. Januar 2025 dazu, schwerwiegende Vorfälle der Informations- und Kommunikationstechnologie (IKT) zu erkennen, zu klassifizieren und zu melden. Ein KI-Agent ist dabei kein Sonderfall, sondern ein reguläres Informationssystem im Sinne der Verordnung. Wer aber nicht weiß, ob sein Agent einen Vorfall verursacht hat, kann ihn weder klassifizieren noch melden – und verfehlt damit eine Kernpflicht. Das Sichtbarkeits-Defizit der CSA-Studie ist deshalb nicht nur ein Sicherheitsproblem, sondern ein Compliance-Problem. Es ist die Lücke, die eine BaFin- oder EZB-Prüfung als Erstes adressieren wird.

The institutions that succeed will be the ones that can balance innovation with accountability and prove they can maintain control as AI systems take on more decision-making responsibility. Troy Leach, Chief Strategy Officer, Cloud Security Alliance, 9. Juni 2026

Agentic Finance steht vor der Tür

Ein dritter Befund weist über den Status quo hinaus. 85 Prozent der Befragten erwarten, dass KI-Agenten künftig Zahlungen im Namen von Kunden eigenständig auslösen und ausführen werden. 65 Prozent halten dafür ein neues Autorisierungsmodell für erforderlich. Der Grund ist grundlegend: Die heutigen Zahlungs- und Authentifizierungsverfahren wurden für einen Menschen entworfen, der eine Transaktion bestätigt – nicht für einen delegierten Software-Agenten, der eigenständig verhandelt, auswählt und im Namen des Kunden bezahlt. Wenn diese Erwartung auch nur teilweise eintritt, verschiebt sich die Sicherheitsfrage von der Erkennung einzelner Vorfälle hin zur grundsätzlichen Frage, wie ein Agent überhaupt autorisiert wird, Geld zu bewegen.

Für europäische Institute fällt dieser Ausblick in eine Phase, in der die regulatorische Infrastruktur für Agentic Payments erst entsteht. Wer heute Agenten in zahlungsnahen Prozessen pilotiert, baut auf Authentifizierungsmodellen auf, die für diesen Zweck nicht gemacht sind. Das ist kein Grund, es zu lassen – aber ein Grund, die Autorisierungslogik von Anfang an als eigenes Kontrollthema zu behandeln und nicht als technisches Detail.

Was die Studie nicht sagt

Zur sauberen Einordnung gehört, die blinden Flecken zu benennen. Drei sind relevant. Erstens die Definitionsunschärfe: Ohne klare Abgrenzung zwischen regelbasierter Automatisierung, einfacher generativer Anwendung und echtem, werkzeugnutzendem Agenten bleibt die 62-Prozent-Marke schwer interpretierbar; die Cambridge-Studie unterscheidet diese Kategorien ausdrücklich, die CSA nicht. Zweitens der Sponsor-Bias: Die Betonung von Datenleck als Top-Risiko und die Alarmbotschaft über die fehlende Sichtbarkeit passen auffällig genau zum Produktversprechen des Auftraggebers Anjuna. Drittens die fehlende regionale Aufschlüsselung: Die Studie unterscheidet nicht zwischen den Vereinigten Staaten, der EU und Asien. Gerade für den europäischen Raum, in dem der EU AI Act und DORA restriktivere Leitplanken setzen, könnten die tatsächlichen Adoptionszahlen niedriger und die Governance-Reife höher liegen, als der globale Durchschnitt vermuten lässt.

Keiner dieser Vorbehalte entwertet die Studie. Sie machen sie nur zu dem, was sie ist: ein valider Seismograph für eine globale Richtung, kein präzises Messinstrument für den deutschen oder europäischen Markt. Die Richtung selbst – mehr Agenten, mehr Autonomie, mehr offene Sicherheitsfragen – ist robust belegt.

Was Risiko- und IT-Verantwortliche jetzt tun sollten

Aus dem Befund ergeben sich vier Arbeitspakete. Sie setzen nicht voraus, ein bestimmtes Produkt zu kaufen, sondern die eigene Sichtbarkeit und Kontrolle auf den Stand zu bringen, den die Aufsicht ohnehin erwartet.

1. Die eigene KI-Sicherheitslage messbar machen

Sofort: Die wichtigste Lehre der Studie ist nicht die Adoptionszahl, sondern das Eingeständnis fehlender Sichtbarkeit. Wer nicht weiß, ob ein eingesetzter Agent einen Vorfall verursacht hat, sollte zuerst die Erkennung aufbauen – Protokollierung jeder Agenten-Aktion, Anomalie-Erkennung, klare Vorfallsdefinition für KI-spezifische Ereignisse.

2. KI-Vorfälle in den DORA-Meldeprozess integrieren

Bis zum nächsten Prüfungszyklus: Ein KI-Agent ist unter DORA ein reguläres IKT-System. Die bestehende Vorfallsklassifizierung und -meldung sollte explizit den Fall abdecken, dass ein Agent einen schwerwiegenden Vorfall auslöst oder verschleiert. Wer das jetzt regelt, vermeidet, dass die erste Aufsichtsprüfung die Lücke findet.

3. Die Autorisierung von Zahlungs-Agenten als eigenes Thema führen

Vor jedem Piloten in zahlungsnahen Prozessen: Bestehende Authentifizierungsmodelle wurden für menschliche Bestätigung gebaut, nicht für delegierte Agenten. Wer Agenten in die Nähe von Zahlungen bringt, sollte die Autorisierungslogik – wer darf was in welchem Rahmen freigeben – von Beginn an als Kontrollthema behandeln, nicht als technische Randnotiz.

4. Externe Studien quellenkritisch verwenden

Laufend: Wer Adoptionszahlen in Vorstandsvorlagen oder Strategiepapieren zitiert, sollte Stichprobe, Auftraggeber und Definitionsbasis mitnennen. Die 62 Prozent der CSA-Studie sind ein anderer Befund als die 44 Prozent echter Produktiv-Nutzung – und beide stammen aus einer cloud-affinen, gesponserten Erhebung.

Risiken und offene Fragen

Drei Vorbehalte gehören zur nüchternen Bewertung. Erstens die Repräsentativität: Die selbstselektierte, cloud-affine Stichprobe überzeichnet die Adoption mit hoher Wahrscheinlichkeit, und die fehlende Regional-Aufschlüsselung macht eine Übertragung auf den deutschen Markt unsicher. Zweitens die Selbstauskunft: Sowohl die Vorfallsquote als auch die Autonomie-Angaben beruhen auf Selbsteinschätzung, mit der bekannten Tendenz, Sicherheitsvorfälle zu untertreiben. Drittens der Interessenkontext: Die Studie wurde von einem Anbieter finanziert, dessen Geschäft an den von ihr betonten Risiken hängt. Keiner dieser Punkte widerlegt den Kernbefund, aber jeder verlangt, die Zahlen mit Kontext statt im Vakuum zu zitieren.

Die strategische Konsequenz: Die CSA-Studie ist weniger ein Beleg dafür, dass KI-Agenten überall sind, als ein Beleg dafür, dass die Kontrolle dem Einsatz hinterherhinkt. „Schneller eingesetzt als abgesichert" ist keine reißerische Zuspitzung, sondern die Kernaussage der eigenen Autoren. Für regulierte Institute heißt das: Der Wettbewerbsvorteil der nächsten Jahre liegt nicht darin, möglichst früh möglichst viele Agenten zu betreiben, sondern darin, ihre Sicherheit und Governance auf den Stand zu bringen, an dem die Aufsicht sie ohnehin messen wird.

Timeline: Vom KI-Einsatz zur KI-Governance
Wie Adoption und Aufsicht aufeinandertreffen
17. Januar 2025
DORA wird anwendbar
Finanzunternehmen müssen schwerwiegende IKT-Vorfälle erkennen, klassifizieren und melden; KI-Systeme zählen als reguläre IKT.
Januar bis März 2026
Erhebungszeitraum der CSA-Studie
340 Finanzdienstleister antworten auf die Online-Befragung der Cloud Security Alliance, in Auftrag gegeben von Anjuna.
9. Juni 2026
CSA veröffentlicht den Report
62 Prozent Adoption, aber 41 Prozent ohne klare Sicht auf die eigene KI-Sicherheitslage; sieben Trends und ein Ruf nach stärkerer AI-Governance.
2026 und folgend
Agentic Payments als nächste Schwelle
85 Prozent erwarten autonome Zahlungsauslösung durch Agenten; 65 Prozent sehen Bedarf für ein neues Autorisierungsmodell – die Sicherheitsfrage verschiebt sich von Erkennung zu Autorisierung.
Haftungsausschluss: Dieser Artikel wurde teilweise mithilfe von KI erstellt, aber von einem Menschen redigiert, geprüft und faktisch überprüft. Stand 25. Juni 2026. Quellen sind die Pressemitteilung und der Report „State of Cloud and AI for Financial Services 2026" der Cloud Security Alliance vom 9. Juni 2026, die Berichterstattung von CybersecurityDive vom 12. Juni 2026 sowie zum Vergleich der Bericht „2026 Global AI in Financial Services" des Cambridge Centre for Alternative Finance; die genannten Prozentwerte stammen aus einer selbstselektierten, vom Anbieter Anjuna gesponserten Befragung mit 340 Teilnehmern und sind entsprechend als Trendindikator, nicht als repräsentative Marktmessung zu lesen.
Christian Schablitzki

Christian Schablitzki

Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute

Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.

LinkedIn-Profil →
newsletter
the agentic banker

Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.

Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.

DSGVO-konform. Jederzeit abbestellbar.

← Zurück zur Übersicht