Es kommt selten vor, dass eine Notenbank die größten Banken Europas an einen Tisch ruft, weil ein einzelnes Computerprogramm sie nervös macht. Genau das ist im Mai geschehen. Die Europäische Zentralbank hat die von ihr beaufsichtigten Institute zu einer Dringlichkeitssitzung gebeten, und Frank Elderson, der stellvertretende Vorsitzende des Aufsichtsgremiums, hat dabei ein Bild benutzt, das hängenbleibt. In der Cybersicherheit habe man jahrelang im Tempo andante gearbeitet, also gemächlich. Das reiche nicht mehr. Jetzt sei presto gefragt.
Der Auslöser trägt den Namen Mythos.
Es handelt sich um ein KI-Modell, das Schwachstellen in Software nicht nur erkennt, sondern auch gleich die passende Angriffsmethode liefert, den sogenannten Exploit. Das britische AI Security Institute hat das Modell auf Aufgaben angesetzt, an denen sich sonst spezialisierte Sicherheitsforscher abarbeiten. Rund drei Viertel löste es auf Expertenniveau. In Tests erzeugte es in über vier von fünf Fällen bereits im ersten Anlauf einen funktionierenden Angriff, und es fand Lücken, die teils jahrzehntelang unentdeckt geblieben waren. Der Hersteller hat das Modell aus genau diesem Grund nur stark eingeschränkt verfügbar gemacht. Dass ausgerechnet das Werkzeug, mit dem ich Teile der Recherche zu dieser Kolumne bestritten habe, aus demselben Haus stammt, gehört zur Pointe.
Worüber sich die Aufsicht wirklich Sorgen macht, ist nicht ein einzelnes Programm, sondern eine Verschiebung der Kräfteverhältnisse. Bislang brauchte ein ernstzunehmender Angriff Können, Zeit und Geduld. KI senkt diese Hürde drastisch. Sie hebt auch mittelmäßige Angreifer auf ein Niveau, das früher Spezialisten vorbehalten war. Elderson hat das auf eine unbequeme Formel gebracht: Wer selbst keinen Zugang zu solchen Modellen habe, dürfe das nicht als Entschuldigung für Untätigkeit nehmen, sondern müsse umso schneller handeln. Konkret heißt das Patchen, also das zeitnahe Einspielen von Sicherheitsupdates. Die Aufsicht warnt, dass Angreifer einen frisch veröffentlichten Fix inzwischen binnen einer halben Stunde auseinandernehmen und gegen jeden verwenden können, der noch nicht aktualisiert hat. Das Zeitfenster zwischen Update und Angriff schrumpft von Wochen auf Minuten.
Die Zahlen geben der Nervosität recht. Die Zahl direkter Ransomware-Angriffe auf Finanzinstitute, also Attacken, bei denen Systeme verschlüsselt und Lösegeld gefordert wird, ist im ersten Quartal 2026 gegenüber dem Vorjahr um 76 Prozent gestiegen. Mehr als jeder zweite Finanzdienstleister weist kritische Schwachstellen in seiner Lieferkette auf, also bei den Dienstleistern und Plattformen, an denen er hängt. Die EU-Verordnung DORA, die seit Anfang 2025 verbindlich gilt und ein durchgängiges Management von IT-Risiken verlangt, bekommt damit eine neue Schärfe. Ab Ende 2026 soll die Widerstandsfähigkeit gegen KI-gestützte Angriffe sogar fester Bestandteil der aufsichtlichen Stresstests werden.
Die EZB beaufsichtigt direkt nur gut hundert Großbanken, und Ihr Maklerbüro ist vermutlich nicht darunter. Elderson hat offen gesagt, dass er sich um die Kleineren sorgt, weil ihnen die Überforderung droht. Automatisierte Massenangriffe suchen sich nicht das am besten verteidigte Ziel, sondern das schwächste. Wer als Berater, Vermittler oder Vermögensverwalter Kundendaten in Cloud-Tools, CRM-Systemen und Pool-Plattformen bewegt, sitzt nicht neben der Lieferkette, die die Aufsicht meint. Er ist Teil von ihr. Und Versicherungsvermittler fallen je nach Konstellation ohnehin selbst in den Anwendungsbereich von DORA.
Was sich am Montagmorgen tun lässt, ohne Großprojekt und ohne Budgetantrag, sind drei Dinge.
Erstens Patch-Disziplin. Verschaffen Sie sich einen Überblick, welche Programme, Geräte und Onlinedienste Sie überhaupt im Einsatz haben, und sorgen Sie dafür, dass sicherheitsrelevante Updates in Tagen eingespielt werden, nicht in Quartalen. Das ist die billigste wirksame Maßnahme, die es gibt.
Zweitens Identitäten absichern. Ein erheblicher Teil der erfolgreichen Angriffe läuft über gestohlene Zugangsdaten. Eine phishing-resistente Mehrfaktor-Authentifizierung, also eine Anmeldung, die sich nicht mit einem abgefischten Passwort allein aushebeln lässt, gehört überall dorthin, wo Kundendaten oder Zahlungen liegen.
Drittens die Lieferkette kennen. Schreiben Sie auf, welche externen Dienstleister Zugriff auf Ihre Daten und Systeme haben, und fragen Sie nach, wie die ihre eigene Sicherheit organisieren.
Und natürlich testen. Regelmäßiger. Angriffstests führe ich mit meinen Unternehmen schon aus Prinzip nicht mehr jährlich bei unseren Kunden durch. Ein realitätsnahes Bild ergibt sich mit monatlichen kleineren Pentests basierend auf aktuellen Gegebenheiten.
