Am 7. Juli 2026 hat der Europäische Ausschuss für Systemrisiken (European Systemic Risk Board, ESRB) eine förmliche Warnung vor systemischen Cyberrisiken durch Frontier-AI-Modelle veröffentlicht. Das ist bemerkenswert, weil der ESRB dieses Instrument fast nie einsetzt: Es ist erst die zweite allgemeine, EU-weite Warnung in seiner Geschichte und die erste überhaupt zu einem Cyber- oder KI-Thema. Noch bemerkenswerter ist, was am selben Tag danebenlag. Die Bankenaufsicht der Europäischen Zentralbank (EZB) hat allen von ihr direkt beaufsichtigten bedeutenden Instituten einen Brief geschickt, der aus der grundsätzlichen Warnung eine terminierte Pflicht macht: Bis zum 31. Oktober 2026 soll jedes Haus einen umfassenden Aktionsplan bei seinem Aufsichtsteam einreichen. Aus einem Signal ist damit binnen Stunden eine Aufgabe mit Datum geworden.

Wer die Debatte der vergangenen Wochen verfolgt hat, erkennt die Eskalationsstufe. Im Mai stand ein weiches Signal im Raum, ein gemeinsames Statement britischer Behörden, flankiert von gleichlautenden Wortmeldungen aus Frankfurt und Madrid. Damals war die Kernfrage, ob eine unverbindliche Erwartungshaltung überhaupt Folgen hat. Diese Frage ist jetzt beantwortet. Der ESRB hat die höchste Eskalationsform seines weichen Instrumentariums gewählt, und die EZB hat den konkreten Vollzug gleich mitgeliefert.

In Kürze

Was: Förmliche ESRB-Warnung vor systemischen Cyberrisiken durch Frontier-AI-Modelle (Referenz ESRB/2026/3), unterstützt von den drei Europäischen Aufsichtsbehörden EBA, EIOPA und ESMA

Wann: Verabschiedet am 25. Juni 2026, veröffentlicht am 7. Juli 2026; zuvor stufte der ESRB das systemische Cyberrisiko im Juni von „erhöht" auf „schwerwiegend" hoch

Der Hebel: Parallel verschickter Brief der EZB-Bankenaufsicht an die bedeutenden Institute mit Frist 31. Oktober 2026 für einen Aktionsplan an das jeweilige Joint Supervisory Team

Der Kern: Frontier-AI-Modelle finden und bewaffnen Schwachstellen in Minuten oder Stunden statt in Tagen oder Wochen, ein „Kollaps der defensiven Zeitpuffer"

Der Rahmen: Der Digital Operational Resilience Act (DORA) und der EU AI Act bleiben ausreichend; das Problem liegt nicht in fehlenden Normen, sondern in der Reaktionsgeschwindigkeit

Was am 7. Juli geschah

Es waren drei Dokumente, koordiniert veröffentlicht. Das erste ist die Warnung des ESRB selbst. Sie trägt das Datum ihrer Verabschiedung, den 25. Juni 2026, und richtet sich generell an alle Institutionen der Europäischen Union und ihrer Mitgliedstaaten. Das zweite ist eine gemeinsame Unterstützungserklärung der drei Europäischen Aufsichtsbehörden, der European Banking Authority (EBA), der European Insurance and Occupational Pensions Authority (EIOPA) und der European Securities and Markets Authority (ESMA). Sie begrüßen die Warnung ausdrücklich und kündigen an, mit den nationalen Aufsehern an der Konkretisierung der Aufsichtserwartungen zu arbeiten. Das dritte Dokument ist das für die Praxis entscheidende: ein Brief der EZB-Bankenaufsicht, unterzeichnet von Claudia Buch, der Vorsitzenden des Aufsichtsgremiums, adressiert an die Vorstandschefs der bedeutenden Institute.

Diese Dreiteilung ist kein Zufall, sondern Methode. Die Warnung liefert die systemische Diagnose, die Aufsichtsbehörden signalisieren europaweite Geschlossenheit, und der EZB-Brief übersetzt das Ganze in eine terminierte Handlungspflicht für die Institute, die unmittelbar unter europäischer Aufsicht stehen. Für einen deutschen Vorstand ist deshalb nicht die abstrakte Warnung die relevante Nachricht, sondern der Brief mit dem Datum darauf.

Warum diese Warnung schwerer wiegt als das Signal vom Mai

Um das Gewicht der Warnung einzuordnen, lohnt ein Blick auf das Instrument. Der ESRB kann warnen und er kann empfehlen, und beides ist rechtlich Unterschiedliches. Eine Empfehlung löst einen sogenannten Act-or-Explain-Mechanismus aus: Der Adressat muss der Behörde berichten, was er getan hat, oder begründen, warum er nichts getan hat. Eine Warnung trägt diese Pflicht nicht; sie ist rechtlich unverbindlich. Genau darin liegt aber ihre Signalfunktion. Der ESRB stützt die aktuelle Warnung ausdrücklich auf die Artikel 16 und 18 seiner Gründungsverordnung, nicht auf den Follow-up-Artikel, der für Empfehlungen gilt. Er warnt bewusst, er empfiehlt nicht, und dennoch ist die Wirkung erheblich, weil eine öffentliche Veröffentlichung im General Board eine Zweidrittelmehrheit erfordert und der Rat vorab informiert wird.

Die Seltenheit unterstreicht das. Christine Lagarde, als EZB-Präsidentin zugleich Vorsitzende des ESRB, nannte die bislang einzige vergleichbare allgemeine Warnung, jene vom September 2022 zu den Verwundbarkeiten des Finanzsystems, seinerzeit „die erste solche Warnung in dreizehn Jahren". Alle übrigen Warnungen des ESRB betrafen länderspezifische Immobilienrisiken. Dass das Gremium nun zum zweiten Mal in seiner Geschichte allgemein warnt und dafür ausgerechnet ein Technologiethema wählt, ist eine bewusste Setzung. Das Gegenstück zum weichen britischen Statement, das ich an dieser Stelle im Mai analysiert habe, ist damit eine Kategorie schärfer: kein informelles Bündeln bestehender Erwartungen mehr, sondern ein förmliches Instrument mit eigener Verfahrensordnung.

Die Erstellung bewaffneter Exploits erfolgte früher weitgehend manuell und kostete menschliche Experten Tage oder Wochen. Sie kann nun von Frontier-AI-Modellen in Minuten oder Stunden geleistet werden. Das ist ein Kollaps der defensiven Zeitpuffer. ESRB, Warnung ESRB/2026/3 vom 25. Juni 2026 (Übersetzung)

Aus Wochen werden Stunden

Der Kern der Warnung ist eine These über Geschwindigkeit, und diese These ist empirisch besser belegt, als es bei aufsichtlichen Alarmrufen sonst der Fall ist. Um sie zu verstehen, hilft ein Blick auf ein bekanntes Muster der Cyber-Sicherheit. Sobald ein Hersteller eine Schwachstelle schließt und den Patch veröffentlicht, liefert er damit zugleich die Landkarte zur Lücke. Angreifer nutzen das Zeitfenster, in dem der Patch zwar existiert, aber noch nicht überall installiert ist. Historisch war dieses Fenster der Schutz der Verteidiger, weil das Nachbauen eines funktionsfähigen Angriffs aus einem veröffentlichten Patch spezialisierte Handarbeit war und Wochen dauerte.

Dass sich dieses Fenster schließt, ist keine Behauptung der Aufseher, sondern das Ergebnis konkreter Messungen. Anthropic, einer der führenden KI-Anbieter, hat am 8. Juni 2026 eine Untersuchung genau dazu veröffentlicht. Auf einem Satz von achtzehn öffentlichen Sicherheitspatches des Firefox-Browsers baute das leistungsfähigste getestete Modell acht funktionierende Angriffe vollständig autonom, den ersten in weniger als einer Stunde nach Veröffentlichung des Patches. Auf einundzwanzig Schwachstellen im Windows-Kernel, bei denen kein Quellcode vorlag, erzeugte dasselbe Modell acht vollständige Angriffsketten, die einen unprivilegierten Nutzer bis zur vollen Systemkontrolle eskalierten, zu Kosten von etwa zweitausend US-Dollar pro Kette. Der historische Kontrast, den die Forscher selbst ziehen, macht die Verschiebung greifbar: Der Erpressungstrojaner WannaCry schlug 2017 neunundfünfzig Tage nach dem zugehörigen Patch zu, der öffentliche Angriff auf die Schwachstelle Citrix Bleed brauchte 2023 rund zwei Wochen. Die Schlussfolgerung der Untersuchung: Das tradierte Zeitfenster zwischen Patch und Angriff, früher in Wochen bemessen, schrumpft auf Stunden.

Intellektuelle Redlichkeit verlangt, die Grenze dieser Evidenz mitzunennen. Die Anbieter selbst weisen darauf hin, dass die Exploit-Entwicklung nur ein Schritt einer echten Angriffskampagne ist; das Auffinden der Ziele, das Zustellen des Angriffs und das Umgehen der Verteidigung kosten weiterhin Zeit und Ressourcen. Das leistungsstärkste Modell der Untersuchung ist zudem nicht öffentlich verfügbar. Die relevante Größe für die strategische Ableitung ist deshalb nicht, ob eine KI heute jede Verteidigung im Alleingang überwindet. Die relevante Größe ist, dass der teuerste und langsamste Schritt eines solchen Angriffs, das Bewaffnen des Patches, von Expertenwochen auf Maschinenstunden geschrumpft ist. Gegen diese Zeitskala ist ein an monatliche Wartungsfenster gebundener Patch-Rhythmus strukturell zu langsam.

Was die EZB konkret verlangt

Hier wird der EZB-Brief zum eigentlichen Dokument für die Praxis, weil er als einziges der drei Papiere terminierte, überprüfbare Maßnahmen enthält. Claudia Buch stellt zunächst klar, dass es sich um eine langfristige Verschiebung der Bedrohungslage handelt, nicht um ein vorübergehendes Phänomen und nicht um ein Risiko, das an ein einzelnes Werkzeug gebunden wäre. Diese modellagnostische Formulierung ist wichtig: Die Aufsicht warnt nicht vor einem Produkt, sondern vor einer Fähigkeitsklasse. Die Verantwortung, so der Brief, liege primär bei den Leitungsorganen der Banken; strategische Entscheidungen über IT-Investitionen, Ressourcen und Risikotoleranz müssten möglicherweise überdacht werden.

Der operative Kern ist der geforderte Aktionsplan. Jedes bedeutende Institut soll ihn bis zum 31. Oktober 2026 bei seinem Joint Supervisory Team einreichen, mit konkreten Maßnahmen, zugewiesenen Ressourcen, klaren Verantwortlichkeiten und Umsetzungszeitplänen. Kurzfristig nennt der Brief drei Prioritäten: die Beschleunigung und Skalierung des Schwachstellen- und Patch-Managements, die Stärkung von Monitoring, Detektion und KI-gestützter Verteidigung sowie die Überprüfung, ob das Management der Drittparteirisiken der Lage noch gewachsen ist. Besonders im Fokus stehen die nach außen exponierten Systeme, also internetseitige Anwendungen samt der darin genutzten Drittanbieter-Software und Open-Source-Komponenten. Strukturell folgen die Modernisierung von Altsystemen ohne Herstellersupport, die Verankerung von Zero-Trust-Prinzipien und getestete Wiederherstellungsfähigkeiten.

Der EZB-Brief in Zahlen und Fristen

Adressat: die von der EZB direkt beaufsichtigten bedeutenden Institute (rund 110 Häuser im Euroraum)

Frist: 31. Oktober 2026 für den Aktionsplan an das Joint Supervisory Team, also knapp vier Monate ab Versand

Entlastung: Die jährliche Erhebung des IT-Risiko-Fragebogens wird von September 2026 auf Februar 2027 verschoben, ein Eingeständnis, dass die Frist eng ist

Danach: Die EZB kündigt eine horizontale Auswertung aller Aktionspläne an, um Trends und bewährte Verfahren zu identifizieren und zurückzuspielen

Ausblick: Ein separater Brief zu den Risiken des Quantencomputings für heutige Verschlüsselung ist bereits angekündigt

Bemerkenswert ist, dass die EZB nicht nur fordert, sondern auch Prioritäten setzt. Die Verschiebung des IT-Risiko-Fragebogens und die fallweise Anpassung von Vor-Ort-Prüfungen sind ein Signal, dass die Aufsicht das Kapazitätsproblem der Institute anerkennt. Wer bislang alles gleichzeitig bearbeiten musste, bekommt für dieses Thema Vorfahrt eingeräumt. Das ist keine Nachsicht, sondern Fokussierung: Die knappen Ressourcen der IT-Risikofunktion sollen auf die neue Bedrohungslage gelenkt werden.

DORA deckt die Substanz, das Tempo ist die Lücke

Damit stellt sich die Frage, die jeder Vorstand jetzt hören wird: Sind wir mit einem vollständig umgesetzten Digital Operational Resilience Act (DORA) nicht bereits fertig? Die ehrliche Antwort ist ein qualifiziertes Jein, und sie deckt sich genau mit dem, was die Warnung selbst sagt. Der ESRB bezeichnet DORA ausdrücklich als umfassenden Rahmen und fordert kein neues Regelwerk. Die Verordnung, seit dem 17. Januar 2025 vollständig anwendbar, enthält strukturell alle relevanten Bausteine: das verpflichtende IKT-Risikomanagement mit seiner Identify-Protect-Detect-Respond-Recover-Logik in den Artikeln 5 bis 16, das Vorfallsmeldewesen in den Artikeln 17 bis 23, die bedrohungsgeleiteten Penetrationstests in den Artikeln 26 und 27 sowie das Regime für IKT-Drittparteirisiken in den Artikeln 28 bis 30 und die Aufsicht über kritische Drittdienstleister in den Artikeln 31 bis 44. Wer DORA ernsthaft lebt, erfüllt das Gerüst der neuen Erwartung.

Die Lücke liegt nicht in der Substanz, sondern in der Geschwindigkeit. DORA schreibt kein Patching-Tempo in Stunden vor. Genau diese Erwartung aber artikulieren ESRB und EZB jetzt: dass das an Wartungsfenstern orientierte Reaktionsparadigma unter maschinenbeschleunigten Bedrohungszyklen nicht mehr genügt. DORA-Konformität ist damit notwendig, aber unter der neuen Lageeinschätzung nicht mehr automatisch hinreichend. Es ist dieselbe These, die ich im Mai formuliert habe, nur ist sie inzwischen von der Aufsicht selbst bestätigt worden. Der Unterschied zwischen einem Institut, das DORA als Dokumentationspflicht versteht, und einem, das seine reale Reaktionszeit misst und verkürzt, wird im Aufsichtsdialog spätestens mit der Auswertung der Aktionspläne sichtbar.

Eine zweite Flanke betrifft die Drittparteien. Der ESRB benennt ausdrücklich die Konzentration führender KI-Anbieter außerhalb der Europäischen Union als strategische Abhängigkeit und geopolitisches Risiko. Das ist mehr als eine Standortdebatte. Das DORA-Aufsichtsregime für kritische Drittdienstleister hat im November 2025 seine ersten Adressaten benannt, darunter große Cloud- und IT-Anbieter. Die spezialisierten Anbieter von Frontier-Modellen sitzen jedoch überwiegend jenseits des Atlantiks und damit außerhalb der direkten europäischen Aufsichtsreichweite. Für Banken bedeutet das eine doppelte Aufgabe: die eigene Abhängigkeit von konzentrierten Anbietern kennen und zugleich verstehen, dass die schärfsten Werkzeuge zur Verteidigung von denselben Anbietern kommen, deren Modelle die Bedrohung erzeugen.

Verteidigt die KI nicht auch?

Ein aufsichtlicher Alarm dieser Wucht verlangt nach der Gegenprobe, und sie fällt differenzierter aus, als die Schlagzeile vermuten lässt. Dieselbe Technologie, die Angriffe beschleunigt, stärkt auch die Verteidigung. Der Global Cybersecurity Outlook 2026 des Weltwirtschaftsforums berichtet, dass Organisationen mit intensivem KI-Einsatz in der Sicherheit ihre durchschnittlichen Schadenskosten pro Sicherheitsvorfall um bis zu 1,9 Millionen US-Dollar senken und den Lebenszyklus eines Vorfalls um rund achtzig Tage verkürzen. Zugleich sehen siebenundachtzig Prozent der befragten Organisationen KI-bezogene Schwachstellen als das am schnellsten wachsende Risiko. Beide Befunde stehen nebeneinander, und wer nur einen zitiert, verzeichnet das Bild.

Eine faire Einordnung muss zudem festhalten, worauf sich die Einstufung als „schwerwiegend" stützt. Vollständig autonome KI-Angriffe gegen real verteidigte Systeme sind bislang die Ausnahme, nicht die Regel. Der bekannteste dokumentierte Fall, eine im November 2025 offengelegte Spionageoperation, bei der ein staatsnaher Akteur ein KI-Modell große Teile einer Kampagne gegen rund dreißig Ziele weitgehend selbstständig ausführen ließ, ist ein Existenzbeweis, keine Massenerscheinung. Die Aufsicht argumentiert deshalb weniger mit der heutigen Häufigkeit als mit der Kurve: mit der Geschwindigkeit, in der die Fähigkeiten wachsen. Das ist ein legitimer, aber prognostischer Ansatz. Für einen Vorstand heißt das nicht, den Alarm zu relativieren, sondern ihn richtig zu lesen: Es geht um Vorbereitung auf eine absehbare Lage, nicht um die Reaktion auf einen bereits eingetretenen Massenangriff. Genau das ist die günstigere Ausgangslage, solange man sie nutzt.

Diese Entwicklungen führen keine völlig neuen Risiken ein, aber sie verstärken erheblich die Geschwindigkeit und das Ausmaß, in dem sich bestehende Risiken realisieren. Claudia Buch, Vorsitzende des EZB-Aufsichtsgremiums, Brief an die bedeutenden Institute vom 7. Juli 2026 (Übersetzung)

Was Institute jetzt tun sollten

Für Vorstand, IT-Sicherheit und IKT-Risikofunktion ist der 31. Oktober 2026 kein bürokratischer Stichtag, sondern die Gelegenheit, die eigene Reaktionsfähigkeit auf eine ehrliche Probe zu stellen. Fünf Prioritäten sind aus der Faktenlage ableitbar.

1. Den Aktionsplan als Führungsdokument aufsetzen, nicht als Formular

Sofort: Der Brief adressiert ausdrücklich das Leitungsorgan. Der geforderte Aktionsplan sollte deshalb nicht in der zweiten Verteidigungslinie entstehen und dort verbleiben, sondern mit klaren Verantwortlichkeiten, Ressourcen und Zeitplänen auf Vorstandsebene verabschiedet werden. Die angekündigte horizontale Auswertung durch die EZB bedeutet, dass jeder Plan im Vergleich mit den Wettbewerbern gelesen wird.

2. Die reale Zeit von Schwachstelle bis Behebung messen

Sofort: Maßstab ist nicht die DORA-Dokumentation, sondern die tatsächlich erreichbare Spanne zwischen Bekanntwerden einer Schwachstelle und ihrer Behebung, priorisiert für die extern erreichbare Angriffsfläche. Wo für kritische, internetseitige Systeme noch feste Wartungsfenster gelten, gehört ein Prinzip der beschleunigten, risikobasierten Notfalländerung an ihre Stelle. Altsysteme ohne Herstellersupport sind dabei kein Patch-, sondern ein Ersetzungsproblem.

3. Detektion und KI-gestützte Verteidigung auf Augenhöhe bringen

Kurzfristig: Wenn Angriffe auf Maschinengeschwindigkeit laufen, muss die Verteidigung mithalten können. Der Brief nennt ausdrücklich den Einsatz KI-gestützter Abwehr, allerdings unter der Bedingung angemessener Governance, Validierung und menschlicher Aufsicht. Monitoring von Zugriffs- und Anwendungsprotokollen sowie Netzwerkverkehr sollte auf die schnelle Erkennung von Kompromittierungsindikatoren ausgelegt sein, nicht auf nachträgliche Auswertung.

4. Drittparteien- und Open-Source-Inventar zur Risikosicht weiterentwickeln

Kurzfristig: Das DORA-Informationsregister ist die Pflichtbasis, aber die neue Erwartung geht darüber hinaus. Externe Anwendungen, Bibliotheken und Dienste einschließlich Open-Source-Komponenten sind zu identifizieren und ihre Konzentration ist gegen Ausfall- und Kompromittierungsszenarien zu spiegeln. Die Abhängigkeit von wenigen, teils außereuropäischen Anbietern sollte bewusst bewertet werden, nicht nur verwaltet.

5. Wiederherstellung üben und den Risikoappetit nachziehen

Bis zum Stichtag: Response und Recovery gehören unter realistischen Szenarien getestet, einschließlich Übungen für schnelle, breit angelegte Kompromittierungen. Parallel sollte der Risikoappetit-Rahmen um Metriken und Toleranzschwellen ergänzt werden, die die neue Bedrohungslage abbilden, ausdrücklich auch für die Patch-Frequenz. Wer diese Kennzahlen definiert, macht Fortschritt messbar, statt ihn zu behaupten.

Timeline: Vom weichen Signal zur terminierten Pflicht
Wie sich die aufsichtliche Erwartung an Frontier-AI-Cyberrisiken verdichtet hat
15. Mai 2026
Britisches Joint Statement zu Frontier AI
Bank of England, FCA und HM Treasury bündeln bestehende Cyber-Erwartungen, ausdrücklich ohne neues Regelwerk.
3. Juni 2026
Erster ESA-Jahresbericht zu IKT-Vorfällen
3.383 gemeldete schwerwiegende Vorfälle 2025; die Aufsicht warnt bereits vor hochleistungsfähigen KI-Werkzeugen.
8. Juni 2026
Vom Patch zum Angriff in Stunden
Eine Anbieter-Untersuchung zeigt autonome Exploit-Entwicklung binnen Stunden statt Wochen aus öffentlichen Patches.
7. Juli 2026
ESRB-Warnung und EZB-Brief
Zweite allgemeine ESRB-Warnung überhaupt, gestützt von EBA, EIOPA und ESMA; die EZB setzt Banken eine Frist.
31. Oktober 2026
Frist für den Aktionsplan
Jedes bedeutende Institut reicht seinen Aktionsplan beim Joint Supervisory Team ein.
Februar 2027
Verschobener IT-Risiko-Fragebogen
Die EZB verlegt die jährliche Erhebung, um Kapazität für die neue Priorität freizuräumen, und wertet die Pläne horizontal aus.

Einordnung

Die Warnung vom 7. Juli 2026 ist kein Aktionismus und kein folgenloses Kommuniqué. Sie ist die förmliche Verdichtung einer Erwartung, die seit dem Frühjahr durch die europäische Aufsichtslandschaft läuft, und sie kommt mit einem Datum. Ihre Stärke liegt nicht in neuen Pflichten, denn DORA und der EU AI Act decken die Substanz. Ihre Stärke liegt in der Verschiebung dessen, was als angemessene Reaktionsgeschwindigkeit gilt. Für ein Institut ist die Konsequenz unbequem schlicht: Die Regeln sind bekannt, die geforderte Geschwindigkeit ist es noch nicht überall. Wer den Aktionsplan bis Ende Oktober als ehrliche Selbstprüfung nutzt, statt als Formular, behandelt die Warnung als das, was sie ist, eine Vorbereitungsfrist. Wer wartet, bis aus der Erwartung eine Feststellung im nächsten Aufsichtsdialog wird, verspielt den einzigen Vorteil, den ein Vorlauf bietet.

Christian Schablitzki

Christian Schablitzki

Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute

Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.

LinkedIn-Profil →
newsletter
the agentic banker

Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.

Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.

DSGVO-konform. Jederzeit abbestellbar.

← Zurück zur Übersicht