IT-Infrastruktur und Services für Banken: Volle Datenhoheit bei höchster Sicherheit und Verfügbarkeit. noris network
STRATEGIE19. Mai 2026

Die KI-Falle: Wenn ChatGPT die BaFin-Compliance-Software empfiehlt, steht Ihr Anbieter nicht auf der Liste

. In einer aktuellen Messung von 304 Anbietern aus der DACH Region empfiehlt keine der drei großen AI Plattformen einen modernen Spend Management Anbieter, wenn nach Rechnungsverarbeitung gefragt wird. Stattdessen kommen die Antworten, die seit zwanzig Jahren in der Fachpresse stehen. Für Ai Tieh Verantwortliche in BaFin, FINMA- und FMA regulierten Häusern ist das kein Marketing Problem, sondern eine konkrete Risikofrage in der Vendor Pre Selection. von Luke Kotlin, Revolvermänner.. Die Methodik ist banal: Ein Tracking System aus dem Bereich Generative Engine Optimization (GEO) sendet jeden Tag eine definierte Menge an Suchprompts an ChatGPT, Google AI Overviews und Perplexity, parst die Antwort Token, extrahiert Markennennungen und persistiert sie in einem Zeitreihen Datensatz. Der Output ist messbar: An welchem Prompt erscheint welcher Anbieter, an welcher Position, mit welcher Quellenzitierung. Was sich daraus ableiten lässt, ist für regulierte Ai Tieh relevanter als jede SEO Kennzahl. AI Antworten sind keine Suchergebnisse. Eine Suchergebnisseite zeigt zehn blaue Links, die der Nutzer selbst bewertet. Ein Large Language Model gibt drei bis fünf Empfehlungen aus, jeweils mit knapper Begründung.Die Auswahlentscheidung trifft das Modell, nicht der Nutzer.“Wer in dieser Auswahl nicht erscheint, ist im Recherche Schritt eines Einkäufers nicht existent. Für die Ai Tieh eines regulierten Hauses heißt das: Die Longlist, die der Fachbereich der Ai Tieh zur Bewertung übergibt, wird zunehmend von einem Modell erzeugt, das mit Trainingsdaten aus der allgemeinen Web Quellenlage arbeitet. Diese Trainingsdaten enthalten weder Ihren BaFin Audit Bericht noch das Pflichtenheft Ihres letzten Vendor Onboardings. Was die Messung in einer Beispielkategorie zeigt!. . . Stellvertretend für eine Software Kategorie, die jede Bank Ai Tieh betrifft, lässt sich Spend Management beziehungsweise Rechnungsverarbeitung anführen. Die Kategorie ist relevant, weil die zugrundeliegenden Workflows in Banken über DATEV Schnittstellen, S A P FI/CO Module oder eigene Kernbankenanbindungen abgewickelt werden und weil DORA Anforderungen an die Auditierbarkeit, Nachvollziehbarkeit und Auslagerungsdokumentation jeder Drittanbieter Software vorschreibt.In der Top 5 der AI Empfehlungen zur Frage nach automatischer Rechnungsverarbeitung in der DACH Region erscheinen ausschließlich Legacy Anbieter und horizontale Plattformen: S A P, DATEV, DocuWare, Microsoft, Lexware.“Kein moderner Spend Management Anbieter taucht auf, obwohl die fachliche Funktionsabdeckung bei mehreren Anbietern (Pleo aus Kopenhagen, Spendesk aus Paris, Payhawk aus London, Yokoy aus Zürich, Circula aus Berlin) vergleichbar oder identisch ist. Der Grund liegt nicht im Produkt, sondern in der Quellenbasis.AI Modelle gewichten Quellen mit hoher Domain Authority, langer Indexhistorie und thematischer Konsistenz.“Artikel über Rechnungsverarbeitung in deutschsprachigen Fachmedien werden seit den späten Neunzigern unter den gleichen Anbieternamen geschrieben. Das Modell reproduziert diese Verteilung.Praktisch heißt das: Wenn ein Fachbereich seinen Ai Tieh Verantwortlichen mit einer aus ChatGPT generierten Vendor Longlist konfrontiert, fehlen auf dieser Liste die Anbieter, deren API Endpoint vielleicht eine bessere DATEV Anbindung hat, deren Mandantenfähigkeit BSI konform implementiert ist oder deren TISAX Zertifizierung lückenlos vorliegt. Die Bewertung beginnt mit einer falschen Grundgesamtheit. Warum das speziell für regulierte Ai Tieh eine eigene Risiko Klasse ist!. . . Ein gewöhnliches Unternehmen kann eine fehlerhafte Vendor Longlist durch einen ergänzenden Marktscan korrigieren. Eine BaFin regulierte Bank, eine FINMA beaufsichtigte Versicherung oder ein DORA pflichtiges FinTech kann das nicht ohne Aufwand: Die Auslagerungsrichtlinie verlangt eine dokumentierte, nachvollziehbare Vorauswahl.Wer auf die Longlist gekommen ist und wer nicht, muss begründbar sein.“Wenn diese Vorauswahl implizit von einem Sprachmodell kuratiert wurde, ist die Begründungskette unterbrochen. Paragraf 25b KWG, MaRisk AT 9, BAIT, VAIT und DORA Art. 28 verlangen explizit eine risikoorientierte Auswahl, nicht eine modellgenerierte.Hinzu kommt der DSGVO Aspekt im umgekehrten Sinn: Wer als Anbieter in einem regulierten Markt verkauft, muss Compliance Eigenschaften aktiv kommunizieren, damit AI Systeme sie zuverlässig assoziieren. Eigenschaften wie BaFin Zahlungsdienstelizenz, BSI C5 Testat, ISO 27001, EU Hosting oder TISAX werden nur dann in einer AI Antwort genannt, wenn sie in den Quellen, die das Modell heranzieht, redaktionell oder strukturiert hinterlegt sind. Die meisten Anbieter haben diese Quellenarbeit nicht geleistet. Das Ergebnis: Eine reine Funktionsvergleichsfrage in ChatGPT liefert nicht den compliance stärksten Anbieter, sondern den am häufigsten genannten. Der Mechanismus: was AI tatsächlich liest!. . . Eine Citation Analyse über mehrere tausend AI Antworten zeigt eine konsistente Verteilung der zitierten Quellen. An erster Stelle stehen Wikipedia und große englischsprachige Tech Publikationen mit hoher Crawl Frequenz. Es folgen Review Plattformen wie G2 und Capterra, deren strukturierte Daten in den Trainings- und Retrieval Korpora überrepräsentiert sind. Erst danach kommen Fachmedien, Hersteller Blogs und Studien. Reddit hat in den vergangenen 18 Monaten an Gewicht gewonnen, weil mehrere Modelle Reddit Inhalte als Realweltsignal werten.Für die regulierte DACH Welt heißt das in der Praxis: Eine deutschsprachige Fachpublikation mit BSI, BaFin- oder DORA Relevanz wird vom Modell anders gewichtet als ein generischer englischer Vergleichsartikel auf einer Capterra ähnlichen Plattform.“Der englische Artikel gewinnt im Zweifel, weil seine strukturellen Signale (Tabellenform, klare Vendor Listen, hohe Backlink Dichte) maschinenlesbarer sind. Was technisch hilft: schema.org Markup für Software Eigenschaften, klare Vendor Vergleichstabellen, persistent zitierfähige URLs, FAQ Strukturen mit konkreten Compliance Antworten und eine konsistente Nennung von Zertifikatsnamen genau in der Schreibweise, die in offiziellen Dokumenten verwendet wird (etwa „BSI C5:2020 Typ 2“, nicht „C5 zertifiziert“). Was Ai Tieh Verantwortliche in regulierten Häusern jetzt prüfen sollten!. . Die Frage ist nicht akademisch. Eine Reihe von praktikablen Prüfschritten lässt sich heute in jeder Bank- oder Versicherungs Ai Tieh umsetzen, ohne dass dafür ein zusätzliches Tool angeschafft werden müsste: Reproduzieren Sie die Vendor Longlist Ihres letzten Software Auswahlprozesses, indem Sie die Anforderungen in ChatGPT, Google AI Overviews und Perplexity als Prompt formulieren. Vergleichen Sie das Ergebnis mit der intern erstellten Liste. Jede Differenz ist eine Diskussion wert. Prüfen Sie für Ihre eingesetzten Drittanbieter, ob deren Compliance Eigenschaften in AI Antworten korrekt repräsentiert sind. Falsche Aussagen über Zertifikatsstände oder Hosting Standorte sind ein eskalierbares Risiko in der Auslagerungsdokumentation. Erweitern Sie Ihren Vendor Diu Dilligence Fragebogen um den Punkt „AI Visibility und Quellenkonsistenz“. Ein Anbieter, dessen Compliance Profil nicht in den von AI gelesenen Quellen verankert ist, transportiert sein Sicherheitsversprechen nicht in den Markt. Wenn Ihr Haus selbst Software an andere Banken oder Versicherer verkauft (Inhouse Ai Tieh Töchter, Genossenschafts- oder Verbund Ai Tieh, Reg Tech Spin offs): Die gleiche Diagnose gilt für Sie als Anbieter. Eine eigene AI Visibility Messung gibt Ihnen einen messbaren Ist Stand. Die neue blinde Stelle bei Marktbeobachtung und Vorauswahl!. . Die Anbieterauswahl in einer Bank Ai Tieh ist ein dokumentierter, regulierter Prozess. In dem Moment, in dem die erste Stufe dieses Prozesses, also die Marktbeobachtung und Vorauswahl, von einem Sprachmodell beeinflusst wird, dessen Trainingsverteilung niemand auditiert hat, entsteht eine neue blinde Stelle in der Auslagerungs Governance. Sie zu schließen, kostet keine zusätzliche Software. Sie kostet die Bereitschaft, eine Kennzahl ernst zu nehmen, die vor zwei Jahren noch niemand gemessen hat. Sie hörten einen Beitrag von „Luke Kotlin, Revolvermänner „

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/244449

 

Luke Kotlin, REVOLVERMÄNNER GmbH, erklärt, dass keine AI-Plattformen einen Spend-Management-Anbieter empfiehlt und für IT-Verantwortliche ist das eine Risikofrage in der Vendor-Pre-Selection. <q>REVOLVERMÄNNER GmbH
Luke Kotlin, Revolvermänner Revolvermänner

In einer aktuellen Messung von 304 Anbietern aus der DACH-Region empfiehlt keine der drei großen AI-Plattformen einen modernen Spend-Management-Anbieter, wenn nach Rechnungsverarbeitung gefragt wird. Stattdessen kommen die Antworten, die seit zwanzig Jahren in der Fachpresse stehen. Für IT-Verantwortliche in BaFin-, FINMA- und FMA-regulierten Häusern ist das kein Marketing-Problem, sondern eine konkrete Risikofrage in der Vendor-Pre-Selection.

von Luke Kotlin, Revolvermänner

Die Methodik ist banal: Ein Tracking-System aus dem Bereich Generative Engine Optimization (GEO) sendet jeden Tag eine definierte Menge an Suchprompts an ChatGPT, Google AI Overviews und Perplexity, parst die Antwort-Token, extrahiert Markennennungen und persistiert sie in einem Zeitreihen-Datensatz. Der Output ist messbar: An welchem Prompt erscheint welcher Anbieter, an welcher Position, mit welcher Quellenzitierung. Was sich daraus ableiten lässt, ist für regulierte IT relevanter als jede SEO-Kennzahl.

AI-Antworten sind keine Suchergebnisse. Eine Suchergebnisseite zeigt zehn blaue Links, die der Nutzer selbst bewertet. Ein Large Language Model gibt drei bis fünf Empfehlungen aus, jeweils mit knapper Begründung.

Die Auswahlentscheidung trifft das Modell, nicht der Nutzer.“

Wer in dieser Auswahl nicht erscheint, ist im Recherche-Schritt eines Einkäufers nicht existent.

Für die IT eines regulierten Hauses heißt das: Die Longlist, die der Fachbereich der IT zur Bewertung übergibt, wird zunehmend von einem Modell erzeugt, das mit Trainingsdaten aus der allgemeinen Web-Quellenlage arbeitet. Diese Trainingsdaten enthalten weder Ihren BaFin-Audit-Bericht noch das Pflichtenheft Ihres letzten Vendor-Onboardings.

Was die Messung in einer Beispielkategorie zeigt

Visibility Score Ranking <q>REVOLVERMÄNNER GmbH
Visibility Score Ranking Revolvermänner

Stellvertretend für eine Software-Kategorie, die jede Bank-IT betrifft, lässt sich Spend Management beziehungsweise Rechnungsverarbeitung anführen. Die Kategorie ist relevant, weil die zugrundeliegenden Workflows in Banken über DATEV-Schnittstellen, SAP-FI/CO-Module oder eigene Kernbankenanbindungen abgewickelt werden und weil DORA Anforderungen an die Auditierbarkeit, Nachvollziehbarkeit und Auslagerungs­dokumentation jeder Drittanbieter-Software vorschreibt.

In der Top 5 der AI-Empfehlungen zur Frage nach automatischer Rechnungsverarbeitung in der DACH-Region erscheinen ausschließlich Legacy-Anbieter und horizontale Plattformen: SAP, DATEV, DocuWare, Microsoft, Lexware.“

Kein moderner Spend-Management-Anbieter taucht auf, obwohl die fachliche Funktionsabdeckung bei mehreren Anbietern (Pleo aus Kopenhagen, Spendesk aus Paris, Payhawk aus London, Yokoy aus Zürich, Circula aus Berlin) vergleichbar oder identisch ist. Der Grund liegt nicht im Produkt, sondern in der Quellenbasis.

AI-Modelle gewichten Quellen mit hoher Domain-Authority, langer Indexhistorie und thematischer Konsistenz.“

Artikel über Rechnungsverarbeitung in deutschsprachigen Fachmedien werden seit den späten Neunzigern unter den gleichen Anbieternamen geschrieben. Das Modell reproduziert diese Verteilung.
Praktisch heißt das: Wenn ein Fachbereich seinen IT-Verantwortlichen mit einer aus ChatGPT generierten Vendor-Longlist konfrontiert, fehlen auf dieser Liste die Anbieter, deren API-Endpoint vielleicht eine bessere DATEV-Anbindung hat, deren Mandantenfähigkeit BSI-konform implementiert ist oder deren TISAX-Zertifizierung lückenlos vorliegt. Die Bewertung beginnt mit einer falschen Grundgesamtheit.

Warum das speziell für regulierte IT eine eigene Risiko-Klasse ist

Visibility by Topic <q>REVOLVERMÄNNER GmbH
Visibility by Topic Revolvermänner

Ein gewöhnliches Unternehmen kann eine fehlerhafte Vendor-Longlist durch einen ergänzenden Marktscan korrigieren. Eine BaFin-regulierte Bank, eine FINMA-beaufsichtigte Versicherung oder ein DORA-pflichtiges FinTech kann das nicht ohne Aufwand: Die Auslagerungsrichtlinie verlangt eine dokumentierte, nachvollziehbare Vorauswahl.

Wer auf die Longlist gekommen ist und wer nicht, muss begründbar sein.“

Wenn diese Vorauswahl implizit von einem Sprachmodell kuratiert wurde, ist die Begründungskette unterbrochen. § 25b KWG, MaRisk AT 9, BAIT, VAIT und DORA Art. 28 verlangen explizit eine risikoorientierte Auswahl, nicht eine modellgenerierte.
Hinzu kommt der DSGVO-Aspekt im umgekehrten Sinn: Wer als Anbieter in einem regulierten Markt verkauft, muss Compliance-Eigenschaften aktiv kommunizieren, damit AI-Systeme sie zuverlässig assoziieren. Eigenschaften wie BaFin-Zahlungsdienstelizenz, BSI-C5-Testat, ISO 27001, EU-Hosting oder TISAX werden nur dann in einer AI-Antwort genannt, wenn sie in den Quellen, die das Modell heranzieht, redaktionell oder strukturiert hinterlegt sind. Die meisten Anbieter haben diese Quellenarbeit nicht geleistet. Das Ergebnis: Eine reine Funktionsvergleichsfrage in ChatGPT liefert nicht den compliance-stärksten Anbieter, sondern den am häufigsten genannten.

Der Mechanismus: was AI tatsächlich liest

Citation Analysis <q>REVOLVERMÄNNER GmbH
Citation Analysis Revolvermänner

Eine Citation-Analyse über mehrere tausend AI-Antworten zeigt eine konsistente Verteilung der zitierten Quellen. An erster Stelle stehen Wikipedia und große englischsprachige Tech-Publikationen mit hoher Crawl-Frequenz. Es folgen Review-Plattformen wie G2 und Capterra, deren strukturierte Daten in den Trainings- und Retrieval-Korpora überrepräsentiert sind. Erst danach kommen Fachmedien, Hersteller-Blogs und Studien. Reddit hat in den vergangenen 18 Monaten an Gewicht gewonnen, weil mehrere Modelle Reddit-Inhalte als Realweltsignal werten.

Für die regulierte DACH-Welt heißt das in der Praxis: Eine deutschsprachige Fachpublikation mit BSI-, BaFin- oder DORA-Relevanz wird vom Modell anders gewichtet als ein generischer englischer Vergleichsartikel auf einer Capterra-ähnlichen Plattform.“

Der englische Artikel gewinnt im Zweifel, weil seine strukturellen Signale (Tabellenform, klare Vendor-Listen, hohe Backlink-Dichte) maschinenlesbarer sind. Was technisch hilft: schema.org-Markup für Software-Eigenschaften, klare Vendor-Vergleichstabellen, persistent zitierfähige URLs, FAQ-Strukturen mit konkreten Compliance-Antworten und eine konsistente Nennung von Zertifikatsnamen genau in der Schreibweise, die in offiziellen Dokumenten verwendet wird (etwa „BSI C5:2020 Typ 2“, nicht „C5-zertifiziert“).

Was IT-Verantwortliche in regulierten Häusern jetzt prüfen sollten

Luke Kotlin, Revolvermänner
Luke Kotlin ist seit 2020 bei der RE­VOL­VER­MÄN­NER (Web­site) und hat sich auf tech­ni­sches SEO und On­line-Re­pu­ta­ti­on-Ma­nage­ment im re­gu­lier­ten Um­feld spe­zia­li­siert. Schwer­punkt sei­ner Ar­beit ist die SERP-Fo­ren­sik für Man­dan­ten aus dem Ban­ken-, Ver­si­che­rungs- und Com­p­li­an­ce-Kon­text, ein­schlie­ß­lich Crawl- und Log­fi­le-Ana­ly­sen, sche­ma.org-Im­ple­men­tie­run­gen und der Aus­wer­tung von In­dex­si­gna­len über meh­re­re Hun­dert Do­mains. 2026 hat er ge­mein­sam mit Chris­ti­an Scherg die Re­con Ri­se ent­wi­ckelt, in der er als Co-Foun­der und Head of AI Vi­si­bi­li­ty die Me­tho­dik, das Tracking-Set­up und die Da­ten­pipe­line verantwortet.
Die Frage ist nicht akademisch. Eine Reihe von praktikablen Prüfschritten lässt sich heute in jeder Bank- oder Versicherungs-IT umsetzen, ohne dass dafür ein zusätzliches Tool angeschafft werden müsste:
Reproduzieren Sie die Vendor-Longlist Ihres letzten Software-Auswahlprozesses, indem Sie die Anforderungen in ChatGPT, Google AI Overviews und Perplexity als Prompt formulieren. Vergleichen Sie das Ergebnis mit der intern erstellten Liste. Jede Differenz ist eine Diskussion wert.
 Prüfen Sie für Ihre eingesetzten Drittanbieter, ob deren Compliance-Eigenschaften in AI-Antworten korrekt repräsentiert sind. Falsche Aussagen über Zertifikatsstände oder Hosting-Standorte sind ein eskalierbares Risiko in der Auslagerungs­dokumentation.
Erweitern Sie Ihren Vendor-Due-Diligence-Fragebogen um den Punkt „AI Visibility und Quellenkonsistenz“. Ein Anbieter, dessen Compliance-Profil nicht in den von AI gelesenen Quellen verankert ist, transportiert sein Sicherheitsversprechen nicht in den Markt.
Wenn Ihr Haus selbst Software an andere Banken oder Versicherer verkauft (Inhouse-IT-Töchter, Genossenschafts- oder Verbund-IT, Reg-Tech-Spin-offs): Die gleiche Diagnose gilt für Sie als Anbieter. Eine eigene AI-Visibility-Messung gibt Ihnen einen messbaren Ist-Stand.

Die neue blinde Stelle bei Marktbeobachtung und Vorauswahl

Die Anbieterauswahl in einer Bank-IT ist ein dokumentierter, regulierter Prozess. In dem Moment, in dem die erste Stufe dieses Prozesses, also die Marktbeobachtung und Vorauswahl, von einem Sprachmodell beeinflusst wird, dessen Trainingsverteilung niemand auditiert hat, entsteht eine neue blinde Stelle in der Auslagerungs-Governance. Sie zu schließen, kostet keine zusätzliche Software. Sie kostet die Bereitschaft, eine Kennzahl ernst zu nehmen, die vor zwei Jahren noch niemand gemessen hat. Luke Kotlin, Revolvermänner

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/244449

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert