Am 15. Mai 2026 haben die Bank of England (BoE), die Financial Conduct Authority (FCA) und das britische Finanzministerium HM Treasury ein gemeinsames Statement zu Frontier-AI-Modellen und Cyber-Resilienz veröffentlicht. Drei Institutionen, ein Text, eine Botschaft: Die Cyberfähigkeiten der jüngsten KI-Modellgeneration seien ein Sprung in der Qualität, mit erheblichen Folgen für die Sicherheit und die operative Widerstandsfähigkeit beaufsichtigter Institute. Das eigentlich Bemerkenswerte steht in einer Fußnote: Das Papier führe keine neuen Erwartungen ein, es bündele und verstärke bestehende Botschaften.

Genau dieser Satz macht das Statement interessant. Ein Drei-Behörden-Papier, das ausdrücklich kein neues Regelwerk schafft, ist kein Rechtsetzungsakt, sondern ein Signal. Und Signale dieser Sichtbarkeit werden in der Aufsichtspraxis selten ohne Folgewirkung gesendet. Für deutsche Banken, Versicherer und Marktinfrastrukturen ist die relevante Frage daher nicht, ob britisches Aufsichtsrecht für sie gilt – das tut es nicht. Die relevante Frage ist, ob die darin artikulierte Erwartungshaltung transferierbar ist. Die Antwort, das nimmt diese Analyse vorweg, lautet: ja, und sie ist es schneller, als der Brexit-Reflex vermuten lässt.

In Kürze

Was: Gemeinsames Statement von BoE, FCA und HM Treasury zu Cyberrisiken aus Frontier-AI-Modellen, veröffentlicht am 15. Mai 2026

Rechtscharakter: Ausdrücklich kein neues Regelwerk – Bündelung bestehender Operational-Resilience-Erwartungen (Footnote des Statements)

Substanz: Erwartete Maßnahmen in fünf Feldern – Governance, Schwachstellenmanagement, Drittparteien, Schutz, Reaktion und Wiederherstellung

Empirische Basis: Einschätzung des AI Security Institute (AISI), wonach autonome Cyberfähigkeiten von Frontier-Modellen sich zuletzt etwa alle 4,7 Monate verdoppeln

DACH-Relevanz: EZB, BaFin und Banco de España äußerten innerhalb von 48 Stunden gleichlautende Warnungen – die UK-Erwartung ist Teil eines koordinierten internationalen Aufsichts-Chors

Was am 15. Mai geschah

Das Statement ist kurz und in seinem Aufbau bewusst nüchtern. Es benennt zunächst, warum Frontier AI für beaufsichtigte Firmen relevant ist. Die Kernformulierung lautet im Original, dass die Cyberfähigkeiten aktueller Frontier-Modelle bereits über das hinausgehen, was ein erfahrener Praktiker erreichen könnte – und das bei deutlich höherer Geschwindigkeit, größerem Maßstab und niedrigeren Kosten. Diese Fähigkeiten, so der Text weiter, verstärkten – böswillig eingesetzt – Cyberbedrohungen für die Sicherheit der Institute, ihre Kunden, die Marktintegrität und die Finanzstabilität. Firmen, die in die Cyber-Grundlagen zu wenig investiert hätten, würden zunehmend exponiert.

Frontier AI models represent a step-change in capability, with significant implications for cyber security and operational resilience. BoE, FCA und HM Treasury, Joint Statement vom 15. Mai 2026

Anschließend formuliert das Statement Erwartungen entlang von fünf Feldern. Governance und Strategie: Vorstände und Geschäftsleitung sollen ein hinreichendes Verständnis der Frontier-AI-Risiken haben; Investitions- und Ressourcenentscheidungen sollen die neue Bedrohungslage abbilden, einschließlich erhöhter Exposition durch End-of-Life-Systeme oder Systeme ohne Herstellerunterstützung; auch eine angemessene Versicherung sei zu prüfen. Identifikation und Risikomanagement von Schwachstellen: Da Frontier-Modelle eine potenziell große Zahl von Schwachstellen schnell auffinden und ausnutzbar machen können, sollen Firmen Schwachstellen schneller, häufiger und in der Breite triagieren, priorisieren, bewerten und beheben – wo sinnvoll automatisiert, ohne dabei die operativen Risiken der Automatisierung selbst zu ignorieren. Drittparteien: Cyberrisiken aus Lieferketten und Drittanbietern, ausdrücklich auch aus Open-Source-Software, sollen wirksam gemanagt werden. Schutz: Zugriffsmanagement, Netzwerksicherheit und Datenschutz sollen die Angriffsfläche verkleinern; der Einsatz automatisierter und KI-gestützter Verteidigung in vergleichbarer Geschwindigkeit zu KI-gestützten Angriffen sei zu erwägen. Reaktion und Wiederherstellung: Firmen sollen schnell reagieren und sich erholen können und dafür die im Oktober 2025 von BoE, Prudential Regulation Authority (PRA) und FCA veröffentlichten Effective Practices zur Cyber-Resilienz heranziehen.

Dazu nennt das Papier konkrete Anschlussressourcen: das Frontier-AI-Risk-Mitigation-Webinar der Cross Market Operational Resilience Group (CMORG) vom 14. Mai 2026 sowie eine Reihe praktischer Veröffentlichungen des National Cyber Security Centre (NCSC), der technischen Cyberbehörde des Vereinigten Königreichs. Bemerkenswert ist die zeitliche Dichte: Das NCSC hatte in den Wochen zuvor eine koordinierte Serie publiziert – darunter einen Beitrag des NCSC-Chief-Executive Richard Horne, der Cyberrisiko explizit als Geschäftsrisiko rahmt, und eine Analyse des NCSC-Chief-Technology-Officer Ollie Whitehouse, die eine bevorstehende Welle erzwungener Nachbesserungen jahrzehntealter technischer Schulden prognostiziert.

Warum ein Statement zählt, das nichts Neues sagt

Die Versuchung, ein Papier ohne neue Pflichten als folgenlos abzutun, ist groß und falsch. Aufsichtsbehörden verfügen über ein Instrumentarium, das weit unterhalb der Rechtsetzung beginnt. Eine gemeinsame Verlautbarung dreier Institutionen – Zentralbank, Verhaltensaufsicht, Finanzministerium – ist das obere Ende der weichen Skala. Sie definiert keine neue Norm, sie verschiebt die Erwartung an die Auslegung bestehender Normen. Wer nach diesem Statement im Aufsichtsdialog erklärt, sein Schwachstellenmanagement folge weiterhin einem monatlichen Patch-Rhythmus, wird sich auf eine andere Gesprächsdynamik einstellen müssen als zuvor.

Das ist kein britisches Spezifikum. Die UK-Aufsicht hat den Übergang von prinzipienbasierter Erwartung zu prüfungsfester Praxis bei der operativen Resilienz schon einmal vorgeführt. Das Policy Statement PS21/3 „Building operational resilience" aus dem Jahr 2021, dessen Regeln seit März 2022 gelten und dessen Übergangsfrist im März 2025 endete, war zunächst ein Rahmen mit dem Konzept der Impact Tolerances. Heute ist es prüfungsrelevanter Standard, an dem Selbstbewertungen gemessen werden. Das aktuelle Statement spricht genau diese Sprache, wenn es seine Erwartungen ausdrücklich „in line with our operational resilience rules and expectations" formuliert. Es ist die Vorstufe, nicht der Endzustand.

Die Empirie hinter dem Alarm – und ihre Grenzen

Ein Statement, das mit der Aussage operiert, KI übertreffe bereits den erfahrenen Sicherheitspraktiker, lädt zur kritischen Prüfung ein. Die Behörden stützen sich erkennbar auf das AI Security Institute (AISI), das die Geschwindigkeit autonomer Cyberfähigkeiten misst. Die zugrunde liegende Methodik vergleicht, wie lange Cyber-Aufgaben sind, die Frontier-Modelle autonom lösen können, mit der Zeit, die menschliche Experten dafür benötigen. Der von AISI berichtete Befund ist deutlich: Dieser Zeithorizont hat sich seit Ende 2024 zuletzt etwa alle 4,7 Monate verdoppelt – eine Beschleunigung gegenüber früheren Schätzungen.

Intellektuelle Redlichkeit verlangt, die Einschränkung mitzuliefern, die AISI selbst formuliert. Die Evaluierungen laufen in vereinfachten Testumgebungen ohne reale Verteidigung; sie messen isolierte, in sich geschlossene Aufgaben, nicht vollständige Angriffsszenarien gegen real verteidigte Systeme. Die Aussage, Modelle überträfen den erfahrenen Praktiker, gilt für spezifische Aufgabenklassen unter Laborbedingungen – nicht als pauschale Überlegenheit im Ernstfall. Das Joint Statement verdichtet diese qualifizierte Evidenz zu einer politischen Aussage. Die Stoßrichtung ist gestützt, die Formulierung ist zugespitzt. Für die strategische Ableitung bleibt der Befund robust genug: Die relevante Größe ist nicht, ob KI heute jeden Verteidiger schlägt, sondern dass sich die Angreiferseite auf einer Zeitskala verbessert, gegen die monatliche Reaktionszyklen strukturell zu langsam sind.

Lack of access is not an excuse for inaction. On the contrary, it makes it even more critical that banks step up and act now. Frank Elderson, Vizevorsitzender des EZB-Aufsichtsgremiums, 13. Mai 2026

Der eigentliche Adressat sitzt auch in Frankfurt

Hier liegt der für den deutschen Markt entscheidende Punkt. Das britische Statement steht nicht allein. Innerhalb von 48 Stunden äußerten sich europäische Aufseher gleichlautend. Frank Elderson, Vizevorsitzender des Aufsichtsgremiums der Europäischen Zentralbank (EZB), forderte am 13. Mai 2026 Banken im Euroraum auf, sich umgehend vorzubereiten – mit dem bemerkenswerten Argument, dass gerade der fehlende Zugang europäischer Banken zu den jüngsten Modellen die Dringlichkeit erhöhe, nicht senke. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hatte Cyberrisiken mit gravierenden Folgen bereits in ihren Risiken im Fokus 2026 prominent platziert; ihr Präsident Mark Branson verband dies mit der Ankündigung kürzerer, häufigerer und gezielter IT-Inspektionen, die auf KI-beschleunigte Bedrohungszyklen ausgerichtet sind. Auch die Banco de España meldete sich am 14. Mai 2026 mit einer Warnung vor sektorweit synchronisierten Angriffsszenarien.

Dieses Muster ist kein Zufall. Es ist koordiniertes Supervisory Messaging auf internationalem Niveau. Ein deutsches Institut, das das UK-Papier als Auslandsthema abräumt, übersieht, dass dieselbe Erwartung von seiner zuständigen Aufsicht in nahezu identischer Wortwahl artikuliert wird. Die Berichterstattung benennt als Auslöser die jüngste Frontier-Modellgeneration; der BoE-Primärtext selbst nennt kein Produkt, sondern verweist generisch auf die Einschätzung des AISI. Für die strategische Konsequenz ist die Produktfrage zweitrangig. Maßgeblich ist die übereinstimmende Lageeinschätzung der Aufseher diesseits und jenseits des Kanals.

DORA deckt die Substanz – aber nicht das Tempo

Damit stellt sich die operative Frage: Ist ein Institut, das den Digital Operational Resilience Act (DORA) vollständig umgesetzt hat, bereits ausreichend aufgestellt? Die ehrliche Antwort ist ein qualifiziertes Jein. DORA, seit dem 17. Januar 2025 vollständig anwendbar, enthält strukturell alles, was das UK-Statement adressiert: ein verpflichtendes ICT-Risikomanagement mit Identify-Protect-Detect-Respond-Recover-Logik einschließlich Patch- und Schwachstellenmanagement, ein Aufsichtsregime für kritische ICT-Drittdienstleister – im November 2025 wurden die ersten neunzehn solcher Anbieter europaweit benannt –, verpflichtende bedrohungsgeleitete Penetrationstests für systemrelevante Institute sowie ein abgestuftes Incident-Reporting mit Vier-Stunden-Frühwarnung. Wer DORA ernsthaft lebt, erfüllt das Gerüst der UK-Erwartung.

Die Lücke liegt nicht in der Substanz, sondern in der Geschwindigkeit. DORA schreibt kein Patching-Tempo in Stunden oder Tagen vor. Die regulatorische Erwartung, die aus dem britischen Statement und den parallelen EU-Äußerungen spricht, ist jedoch genau diese: dass das tradierte, an Wartungsfenstern orientierte Reaktionsparadigma unter KI-beschleunigten Bedrohungszyklen nicht mehr genügt. DORA-Konformität ist damit notwendig, aber unter der neuen Lageeinschätzung möglicherweise nicht hinreichend. Der Unterschied zwischen einem Institut, das DORA als Dokumentationspflicht versteht, und einem, das seine Reaktionsfähigkeit auf eine andere Zeitskala hebt, wird im Aufsichtsdialog zunehmend sichtbar werden.

Hinzu kommt eine zweite, oft unterschätzte Ebene: der EU AI Act. Ab dem 2. August 2026 greifen die vollen Pflichten für Hochrisiko-KI-Systeme nach Anhang III, zu denen im Bankensektor die Kreditwürdigkeitsprüfung zählt. Für die als Deployer agierenden Institute gelten dann Anforderungen an Robustheit und Cybersicherheit nach Artikel 15, für die die Europäische Bankenaufsichtsbehörde (EBA) ausdrücklich keine regulatorische Synergie mit bestehendem Finanzrecht sieht – es entsteht echter Zusatzaufwand neben DORA. Die schärfsten Cybersicherheitspflichten für Modelle mit systemischem Risiko nach Artikel 55 treffen indessen die Modellanbieter, nicht die einsetzenden Banken. Das Institut bleibt für die eigene operative Resilienz unter DORA verantwortlich, übernimmt zusätzlich die Deployer-Pflichten und kann den Anbieter nur vertraglich in die Pflicht nehmen. Diese Dreiteilung auseinanderzuhalten, ist Voraussetzung dafür, den eigenen Handlungsbedarf nicht falsch zu adressieren.

Was deutsche Institute jetzt tun sollten

Das britische Statement ist für ein deutsches Institut keine Compliance-Pflicht, aber eine transferierbare Erwartungshaltung, deren europäisches Pendant bereits ausgesprochen ist. Wer darauf wartet, dass aus der Erwartung eine Norm wird, verschenkt den einzigen Vorteil, den ein nicht-präskriptives Signal bietet: Vorbereitungszeit. Fünf Prioritäten sind aus der Faktenlage ableitbar.

1. Das Patching-Paradigma neu kalibrieren

Sofort: Die zentrale Botschaft aller genannten Aufseher ist die Geschwindigkeit. Institute sollten ihre Schwachstellenprozesse daraufhin prüfen, ob die externe Angriffsfläche priorisiert behandelt wird und ob für kritische, extern erreichbare Systeme ein „Update by default"-Prinzip statt fester Wartungsfenster gilt. Maßstab ist nicht die DORA-Dokumentation, sondern die real erreichbare Zeit von Schwachstellen-Bekanntwerden bis Behebung. End-of-Life-Systeme ohne Herstellersupport sind dabei kein Patch-, sondern ein Ersetzungsproblem.

2. Frontier-AI-Risiko in Vorstandsverantwortung überführen

Bis Q2 2026: Das Statement adressiert ausdrücklich Vorstand und Geschäftsleitung. Es genügt nicht, Cyber-Resilienz an die zweite Verteidigungslinie zu delegieren. Das Risiko aus KI-beschleunigten Bedrohungszyklen gehört explizit in den Risikoappetit und in die Geschäftsleitungs-Agenda, dokumentiert und nachvollziehbar – auch weil deutsche IT-Inspektionen künftig gezielter und häufiger danach fragen werden.

3. Drittparteien- und Open-Source-Inventar schärfen

Q2 bis Q3 2026: Die Forderung, externe Anwendungen, Bibliotheken und Services einschließlich Open-Source-Komponenten zu identifizieren, zu überwachen und zu steuern, deckt sich mit dem DORA-Informationsregister, geht aber über dessen Pflichtfelder hinaus. Institute sollten ihr Register von der Compliance-Sicht zur Risikosicht weiterentwickeln und insbesondere die Abhängigkeiten von konzentrierten Cloud- und Software-Anbietern gegen Ausfall- und Kompromittierungsszenarien spiegeln.

4. Wiederherstellung testen, nicht beschreiben

Q3 2026: Der EZB-Cyber-Stresstest 2024 hat als zentrale Schwachstelle die Lücke zwischen geforderten und tatsächlich erreichbaren Wiederherstellungszeiten offengelegt. Die UK-Effective-Practices vom Oktober 2025 zeigen das Reifebild: unveränderliche Backups, getrennte Wiederherstellungsinfrastruktur, getesteter Switchover. Entscheidend ist der Übergang von dokumentierten Plänen zu nachweislich geübten Kapazitäten unter realistischen Szenarien.

5. EU AI Act und DORA als ein Programm führen

Bis Q3 2026: Mit dem 2. August 2026 treten die Hochrisiko-Pflichten des EU AI Act in Kraft. Institute sollten die Robustheits- und Cybersicherheitsanforderungen nach Artikel 15 und die Deployer-Pflichten nach Artikel 26 nicht als separates Projekt neben DORA führen, sondern die nicht-synergetischen Anteile bewusst als Zusatzaufwand budgetieren und die Schnittstelle zur Anbieterverantwortung nach Artikel 55 vertraglich sauber adressieren.

Einordnung

Das Joint Statement vom 15. Mai 2026 ist weder ein regulatorischer Paukenschlag noch ein folgenloses Kommuniqué. Es ist ein präzise gesetztes Signal in einem internationalen Aufsichtsraum, der enger koordiniert ist, als die formale Trennung der Jurisdiktionen vermuten lässt. Seine Stärke liegt nicht in neuen Pflichten, sondern in der Verschiebung dessen, was als angemessene Praxis gilt. Für deutsche Institute ist die strategische Konsequenz unbequem schlicht: Die Substanz ist über DORA und den EU AI Act bereits abgedeckt, die geforderte Reaktionsgeschwindigkeit ist es noch nicht. Wer diese Differenz vor der nächsten IT-Inspektion schließt, behandelt das britische Statement als das, was es ist – eine Vorwarnung mit Vorbereitungszeit. Wer wartet, bis die Erwartung zur Norm geronnen ist, hat den einzigen Vorteil verspielt, den ein weiches Signal bietet.

Timeline: Vom Operational-Resilience-Rahmen zum Frontier-AI-Signal
Wie sich die aufsichtliche Erwartung an Cyber-Resilienz schrittweise verdichtet hat
März 2022
UK-Operational-Resilience-Regeln in Kraft (PS21/3)
Das Konzept der Impact Tolerances wird verbindlich; Übergangsfrist bis März 2025.
17. Januar 2025
DORA vollständig anwendbar
Der EU-Finanzsektor unterliegt verpflichtendem ICT-Risikomanagement, TLPT und Incident-Reporting.
Oktober 2025
Effective Practices zu Cyber Response und Recovery
BoE, PRA und FCA veröffentlichen das Reifebild für Reaktion und Wiederherstellung – die im Statement zitierte Referenz.
November 2025
Erste kritische ICT-Drittdienstleister benannt
Die europäischen Aufsichtsbehörden designieren neunzehn Critical ICT Third-Party Providers unter DORA.
13.–15. Mai 2026
UK-Joint-Statement und europäischer Aufsichts-Chor
EZB (Elderson), BaFin (Branson) und Banco de España äußern binnen 48 Stunden gleichlautende Warnungen; das BoE/FCA/HM-Treasury-Statement erscheint am 15. Mai.
2. August 2026
EU AI Act – Hochrisiko-Pflichten anwendbar
Robustheits- und Cybersicherheitsanforderungen nach Anhang III greifen, im Banking u. a. für die Kreditwürdigkeitsprüfung.
Ab H2 2026
Aufsichtsdialoge und gezielte IT-Inspektionen
Erwartete Verankerung der Frontier-AI-Cyberthematik in der laufenden Aufsicht diesseits und jenseits des Kanals.
Haftungsausschluss: Dieser Artikel wurde teilweise mithilfe von KI erstellt, aber von einem Menschen redigiert, geprüft und faktisch überprüft. Der Wortlaut des Joint Statements stützt sich auf den am 15. Mai 2026 veröffentlichten Primärtext der Bank of England; Aussagen zu EZB, BaFin und Banco de España beruhen auf Berichterstattung vom 13. bis 15. Mai 2026 und können sich präzisieren.
Christian Schablitzki

Christian Schablitzki

Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute

Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.

LinkedIn-Profil →
newsletter
the agentic banker

Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.

Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.

DSGVO-konform. Jederzeit abbestellbar.

← Zurück zur Übersicht