94% der Finanzdienstleister priorisieren digitale Resilienz im Finanzsektor

Stoïk integriert E-Mail-Security in den Maklervertrieb — KI, DALL-E

Die digitale Resilienz entwickelt sich im Finanzsektor zunehmend von einer operativen IT-Aufgabe zu einem zentralen strategischen Steuerungsinstrument. Laut der neuen Studie „Digitale Resilienz im Finanzsektor“ von Lünendonk & Hossenfelder in Kooperation mit KPMG bewerten inzwischen 94 Prozent der Finanzdienstleister digitale Resilienz als „sehr relevant“. Hintergrund sind steigende geopolitische Risiken, zunehmende Cyber-Angriffe sowie verschärfte regulatorische Anforderungen durch den Digital Operational Resilience Act (DORA).

Für die Untersuchung wurden insgesamt 95 Finanzdienstleister – darunter Banken, Versicherungen, Asset-Management-Gesellschaften und Zahlungsdienstleister – sowie 14 IKT-Drittanbieter zwischen Dezember 2025 und Januar 2026 befragt. Die Studie analysiert insbesondere den Reifegrad der Institute bei Cyber-Resilienz, regulatorischer Umsetzung und dem Einsatz Künstlicher Intelligenz. Die Ergebnisse zeigen deutlich, dass viele Institute trotz hoher Sensibilität für digitale Risiken noch erhebliche operative Defizite bei der Umsetzung regulatorischer Anforderungen aufweisen. Insbesondere der Umgang mit externen IKT-Dienstleistern entwickelt sich laut Studie zu einer zentralen Herausforderung.

61 Prozent der befragten Finanzdienstleister sehen ein erhebliches Risiko in zu starken Abhängigkeiten von externen Technologie- und Cloud-Anbietern. Gleichzeitig erfolgt die Steuerung dieser kritischen Partner vielfach noch nicht auf strategischer Unternehmensebene. So liegt bei 47 Prozent der Unternehmen die Verantwortung für digitale Resilienz weiterhin ausschließlich in der IT-Abteilung. Damit bleibt die organisatorische Verankerung vielerorts hinter den Anforderungen von DORA zurück, das explizit eine unternehmensweite Governance für operationelle Resilienz fordert. Die Studienautoren sehen insbesondere Defizite bei bereichsübergreifenden Prozessen zwischen IT, Risikomanagement, Compliance und Business Units.

Mario Zillmann, Partner bei Lünendonk & Hossenfelder Lünendonk & Hossenfelder

Die Verantwortung wird derzeit noch zu oft einseitig in der IT-Abteilung gesehen, was jedoch eine ganzheitliche Risikobetrachtung verhindert. IKT-Drittanbieter sind keine reinen Lieferanten mehr, sondern strategische Partner für Business und IT, deren eigenes Resilienz-Niveau direkten Einfluss auf die Stabilität des Finanzsystems hat.“

Mario Zillmann, Senior Partner und Studienautor, Lünendonk & Hossenfelder

KI-Nutzung im Risikomanagement bleibt gering

Ein weiteres zentrales Ergebnis der Studie betrifft den Einsatz Künstlicher Intelligenz im Kontext von Cyber- und Risiko-Management. Zwar erwarten 80 Prozent der befragten Unternehmen, dass KI bis 2028 eine entscheidende Rolle bei der Umsetzung regulatorischer Anforderungen spielen wird. Aktuell bleibt die operative Nutzung jedoch deutlich hinter den Erwartungen zurück. Nur 22 Prozent der Finanzdienstleister setzen KI bereits intensiv für das Risikomanagement ein. Noch geringer fällt die Investitionsbereitschaft aus: Lediglich sieben Prozent planen derzeit gezielte KI-Investitionen zur Unterstützung regulatorischer Prozesse.

94 Prozent der Finanzdienstleister sehen digitale Resilienz als strategischen Imperativ — Lünendonk

Die Studienautoren sehen darin eine wachsende strategische Schwachstelle – insbesondere vor dem Hintergrund zunehmender Reporting-Anforderungen, komplexerer Angriffsszenarien und des anhaltenden Fachkräftemangels im Cybersecurity-Umfeld. KI-basierte Systeme könnten insbesondere bei der automatisierten Analyse von Sicherheitsvorfällen, Anomalie-Erkennung, Angriffssimulationen sowie der Dokumentation regulatorischer Nachweise erhebliche Effizienzgewinne ermöglichen. Positiv bewertet die Studie die zunehmende Reife des Finanzsektors bei klassischen Cyber-Abwehrmaßnahmen. So führen inzwischen 83 Prozent der Institute regelmäßig bedrohungsorientierte Penetrationstests durch. Diese sogenannten Threat-Led Penetration Tests (TLPT) gelten als wichtiger Bestandteil moderner Cyber-Resilienz-Strategien und werden auch regulatorisch zunehmend eingefordert.

Allerdings zeigt die Untersuchung zugleich deutliche Defizite bei komplexeren End-to-End-Resilienztests. Insbesondere simulationsbasierte Szenarien zu geopolitischen Risiken, KI-gestützten Angriffen oder systemischen Ausfällen werden bislang noch nicht flächendeckend berücksichtigt. Nur 60 Prozent der Finanzdienstleister integrieren geopolitische Risiken bislang in ihre Test- und Krisenszenarien. Dabei gewinnt dieses Themenfeld zunehmend an Bedeutung – unter anderem durch den von der Europäischen Zentralbank angekündigten „Reverse Test“, der 2026 durchgeführt werden soll und gezielt systemische Schwachstellen im Finanzsektor identifizieren soll.

Digitale Resilienz wird zur Management-Aufgabe

Die Studienergebnisse verdeutlichen insgesamt einen tiefgreifenden Wandel im Verständnis digitaler Resilienz innerhalb des Finanzsektors. Während Cybersecurity lange primär als technisches Spezialthema betrachtet wurde, entwickelt sich Resilienz zunehmend zu einer unternehmensweiten Management-Aufgabe mit direkter Relevanz für Geschäftsmodell, regulatorische Stabilität und operative Handlungsfähigkeit. Die Autoren der Studie kommen daher zu dem Schluss, dass Finanzdienstleister ihre Resilienz-Strategien künftig deutlich stärker integriert aufstellen müssen – insbesondere im Zusammenspiel von Technologie, Governance, Drittanbieter-Management und KI-gestützter Risikoanalyse. Die vollständige Studie „Digitale Resilienz im Finanzsektor“ steht auf der Website von Lünendonk & Hossenfelder kostenfrei zum Download bereit.tw