US-Notenbankchef Jerome Powell und Finanzminister Scott Bessent haben zu einer Reihe nicht angekündigter Krisentreffen mit den Chefs der größten US-Banken geladen. Im Fokus: Eine neue Generation von KI-Modellen, die das globale Finanzsystem ins Wanken bringen könnte.
Die Gespräche im Finanzministerium in Washington drehen sich um eine alarmierende Entwicklung. Herkömmliche Cybersicherheitsmaßnahmen werden von autonomen Werkzeugen überholt, die Softwarelücken in nie dagewesener Geschwindigkeit aufspüren und ausnutzen können.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber Security Report herunterladen
Claude Mythos: Die KI, die keine Lücken übersieht
Auslöser der Dringlichkeit ist ein leistungsstarkes KI-Modell namens Claude Mythos, entwickelt von Anthropic. Seit Anfang April in begrenztem Umfang verfügbar, zeigt es eine beispiellose Fähigkeit: Es verknüpft versteckte Softwarefehler zu funktionierenden Angriffswerkzeugen – und das vollautomatisch.
Anders als frühere KI-Generationen kann Mythos mehrere sogenannte „Zero-Day“-Lücken kombinieren. Das sind Sicherheitslücken, die selbst den Entwicklern unbekannt sind und für die es noch keine Patches gibt. Regulierer schlagen Alarm: Mythos habe bereits Tausende bisher unerkannte Schwachstellen in Betriebssystemen und Browsern identifiziert.
Für den Bankensektor ist das eine existenzielle Bedrohung. Die Institute arbeiten mit komplexen, miteinander verwobenen Altsystemen und Hunderten von Drittanbieter-Schnittstellen. „Bald könnten Angreifer Schwachstellen schneller finden und ausnutzen, als jedes menschliche Sicherheitsteam einen Patch einspielen kann“, warnten die Beamten die Bankchefs. Die Sorge vor einem einzigen großen Angriff, der das Vertrauen ins gesamte Finanzsystem erschüttert, hat die Regierung in den Krisenmodus versetzt.
Project Glasswing: Die Abwehr der Wall Street
Die Großbanken reagieren mit einer beschleunigten Initiative namens Project Glasswing. Allen voran die JPMorgan Chase und weitere systemrelevante Institute arbeiten daran, KI-gestützte Abwehrsysteme zu entwickeln – sogenannte „agentische“ Verteidiger. Diese nutzen dieselbe hochentwickelte Logik wie die Angriffs-KIs, um Netzwerkverhalten zu überwachen und Schwachstellen zu schließen, bevor sie ausgenutzt werden können.
Bei den Treffen mit Powell präsentierten die Bankchefs – darunter Jane Fraser (Citigroup), Ted Pick (Morgan Stanley), Brian Moynihan (Bank of America), Charlie Scharf (Wells Fargo) und David Solomon (Goldman Sachs) – ihre massiven Investitionen in Cyber-Resilienz. Der Finanzsektor erlebt bereits hunderte Male mehr Cyberangriffe pro Jahr als andere Branchen. Neue KI-Werkzeuge wie FraudGPT oder ElevenLabs treiben die Raffinesse der Angriffe weiter, besonders bei täuschend echten Audio-Deepfakes und automatisierten Phishing-Kampagnen, die selbst Multi-Faktor-Authentifizierung umgehen.
Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun? Die EU-KI-Verordnung stellt neue Regeln auf, die viele noch nicht kennen – dieser kostenlose Report klärt über alle Anforderungen, Pflichten und Fristen auf. Kostenloses KI-Verordnung E-Book sichern
Die Achillesferse: Drittanbieter und Lieferketten
Während die größten Banken ihre internen Mauern verstärken, bleibt die Abhängigkeit von Drittanbietern eine kritische Schwachstelle. Erst Anfang April wurden die Citizens Financial Group und die Frost Bank von der Erpresserbande Everest attackiert. In beiden Fällen bestätigten die Institute: Der Einbruch erfolgte über einen externen Dienstleister, nicht direkt in die eigenen Kernsysteme. Die Erpresser setzten den Banken eine Sechstagefrist, um eine nicht genannte Summe zu zahlen – andernfalls drohte die Veröffentlichung sensibler Kundendaten.
Dieses Muster ist branchenweit verbreitet. Fast 97 Prozent der größten US-Banken erlitten im vergangenen Jahr mindestens einen Sicherheitsvorfall über Drittanbieter. Bei großen europäischen Finanzhäusern lag die Quote sogar bei 100 Prozent. Ein besonders drastisches Beispiel: Der Ransomware-Angriff auf den Dienstleister Marquis, der Datenanalysen für Hunderte kleinerer Institute bereitstellt. Ein einziger Angriffspunkt auf Anbieterebene legte die persönlichen und Finanzdaten von über 670.000 Bankkunden offen – ein Dominoeffekt durch den gesamten Sektor.
Die US-Aufsichtsbehörden erwägen nun strengere Kontrollen für Nichtbanken-Dienstleister, um diese „Konzentrationsrisiken“ zu entschärfen, die die gesamte Finanzstabilität gefährden könnten.
Ransomware 2.0: Vom Datenklau zur Zerstörung
Die Cyberkriminalität im Bankensektor hat sich in den letzten Monaten fundamental gewandelt. Während klassische Ransomware Datenbanken verschlüsselte, um Lösegeld für den Entschlüsselungsschlüssel zu erpressen, setzen moderne Angreifer zunehmend auf Datendiebstahl und mehrstufige Erpressung.
Bei diesen „destruktiven“ Attacken stehlen Hacker nicht-öffentliche Marktinformationen, um Insiderhandel oder sogenanntes „digital Front Running“ zu betreiben – und drohen dann damit, die Daten an Regulierer oder die Öffentlichkeit zu leaken. Branchendaten zeigen einen Anstieg solcher Angriffe um 12,5 Prozent. Oft zielen sie darauf ab, Beweise zu vernichten und die Schadensbehebung zu erschweren.
Die wirtschaftlichen Folgen sind enorm. Die von Finanzinstituten gemeldeten Lösegeldzahlungen erreichten im vergangenen Jahr rund 734 Millionen Euro – die tatsächlichen Gesamtkosten inklusive Reputationsschäden und Sicherheitsnachrüstungen liegen jedoch weit höher. Der Internationale Währungsfonds (IWF) warnt: Während direkte Verluste aus Einzelangriffen oft noch beherrschbar seien, habe sich das Risiko extremer, systemweiter Schäden in den letzten Jahren vervierfacht. Geopolitische Spannungen verschärfen die Lage zusätzlich – staatlich gesteuerte Gruppen und Hacktivisten zielen zunehmend auf kritische Finanzinfrastruktur ab, um Wirtschaftsaktivitäten zu stören.
Ausblick: Strengere Regeln und neue Härtetests
Die Finanzaufsicht bereitet sich auf eine Welle von Desinformationskampagnen und DDoS-Angriffen vor. Der Finanzsektor war im letzten Berichtszeitraum das Ziel von 35 Prozent aller weltweiten DDoS-Attacken. Als Reaktion arbeiten die Behörden an strengeren Meldepflichten und Stresstests.
Die Europäische Zentralbank hat kürzlich ihren ersten großen Cyber-Resilienz-Stresstest abgeschlossen, an dem 109 direkt beaufsichtigte Banken teilnahmen. Die Übung ging davon aus, dass alle Präventivmaßnahmen versagt haben – und konzentrierte sich ausschließlich darauf, wie schnell die Institute ihre Kerndatenbanken wiederherstellen und den kritischen Betrieb aufnehmen können. In den USA erwägt die Federal Reserve ähnliche „IT-Wiederherstellungs“-Auflagen. Das Ziel: Weg von der reinen Prävention, hin zur „operativen Resilienz“ – Banken sollen auch unter einem aktiven, KI-gestützten Angriff funktionsfähig bleiben.
Die Bankchefs erwarten, dass die Ergebnisse der aktuellen Krisentreffen zu neuen behördlichen Richtlinien für KI-Governance führen werden – sowie zu schärferen Strafen für Institute, die wesentliche Sicherheitsvorfälle nicht rechtzeitig melden.
