Schluss mit Nachsicht: Das EU-Geldwäschepaket zwingt Banken zur Echtzeit-IT

Mit ihrem neuen Geldwäschepaket erhöht die Europäische Union den Druck auf Finanzinstitute deutlich. Bislang nehmen viele Unternehmen ihre Verpflichtungen im Bereich Geld­wäsche­prävention und Terrorismus­finanzierung nicht ernst genug. Häufig fehlt qualifiziertes Personal, das technische Know-how ist unzureichend und notwendige Investitionen werden verschleppt. Der Handlungsbedarf ist erheblich größer, als viele annehmen.

von Thomas Stein, Wavestone

Im Sommer 2024 hat die Europäische Union ihr neues Geldwäschepaket verabschiedet. Das Paket umfasst die sechste Geldwäscherichtlinie sowie erstmals eine EU-weit unmittelbar gültige Geldwäscheverordnung.

Ziel ist es, den Kampf gegen Geldwäsche und Terrorismusfinanzierung zu intensivieren und europaweit einheitliche Standards für betroffene Unternehmen und Behörden zu schaffen.”

Obwohl die Fristen für die Umsetzung erst im Jahr 2027 enden, sind erste Auswirkungen bereits jetzt deutlich spürbar. Die BaFin hat Ende 2024 aktualisierte Anwendungs- und Auslegungshinweise zum Geldwäschegesetz veröffentlicht, die seit dem 01.02.2025 gelten und zentrale Neuerungen des Pakets bereits antizipieren.

Finanzinstitute und Co. müssen daher schon jetzt ihre internen Prozesse und IT-Systeme überprüfen und Anpassungen vorbereiten.”

Künftig stehen insbesondere zwei regulatorische Veränderungen im Mittelpunkt: ein deutlich erweiterter Verpflichtetenkreis sowie die klare methodische Trennung zwischen Geldwäscheprävention und der Bekämpfung von Terrorismusfinanzierung.

Drei zentrale Herausforderungen für Finanzinstitute

Die zunehmende Digitalisierung – von Online-Banking über Instant Payments bis zu Kryptowährungen – hat die Menge und Komplexität relevanter Daten explodieren lassen. Das Aufspüren der Herkunft von Geldern und das Erkennen verdächtiger Muster ist heute deutlich ressourcenintensiver als vor einigen Jahren. Traditionelle, regelbasierte Monitoring-Systeme stoßen inzwischen an technische Grenzen, da sie mit den zunehmend komplexen Methoden von Finanzkriminellen kaum Schritt halten können. Finanzinstitute sehen sich dadurch mit drei zentralen Herausforderungen konfrontiert.

Daten zentralisieren – und pflegen

Die Basis jeder wirksamen Geldwäscheprävention ist ein vollständiges, aktuelles und nutzbares Datenfundament. Doch genau hier liegt ein strukturelles Problem vieler Institute. Daten zu Transaktionen und Kundenprofilen liegen meist in unterschiedlichen Systemen vor – oft über Jahrzehnte gewachsen und nur punktuell miteinander verbunden. Um dies zu ändern, investieren immer mehr Banken und Versicherer in moderne Datenarchitekturen – insbesondere in Data-Warehouse- oder Lakehouse-Strukturen wie Snowflake oder Databricks, kombiniert mit Streaming-Technologien wie Apache Kafka oder Apache Flink.

Ziel ist es, relevante Informationen in Echtzeit analysierbar zu machen. Doch die technische Konsolidierung ist komplex. Unterschiedliche Datenformate und veraltete Kernbankensysteme erschweren die Integration.”

Hinzu kommt, dass die Datenqualität selbst häufig unzureichend ist – unvollständige Kundenprofile, Mehrfacheinträge oder unterschiedliche Schreibweisen erschweren die Verarbeitung und führen zu Fehlalarmen. Für ein zuverlässiges Monitoring müssen daher Systeme integriert und Prozesse zur kontinuierlichen Datenpflege etabliert werden. Nur wer auf konsistente, aktuelle und vollständig strukturierte Daten zurückgreifen kann, ist überhaupt in der Lage, im nächsten Schritt verdächtige Aktivitäten valide zu identifizieren.

Echtzeit-Monitoring wird Pflicht – Batch-Verarbeitung ist Vergangenheit

Auf dieser Datenbasis setzt der zweite zentrale Schritt auf, die Umstellung vom klassischen Batch-basierten Monitoring auf eine durchgängig Echtzeit-fähige Transaktionsüberwachung. Die zunehmende Nutzung von SEPA Instant Payments, Krypto-Transfers und globalem Zahlungsverkehr mit extrem kurzen Settlement-Zeiten lässt keine Verzögerung mehr zu. Wenn Gelder in Sekunden transferiert werden, ist eine Überwachung „über Nacht“ wirkungslos. Die EU-Geldwäscheverordnung trägt diesem Umstand Rechnung – Institute müssen in der Lage sein, potenziell verdächtige Transaktionen in Echtzeit zu erkennen und bei Bedarf zu stoppen. Transaktionen müssen ohne spürbare Latenz verarbeitet, analysiert und bewertet werden.

Zum Einsatz kommen hier In-Memory-Datenbanken kombiniert mit Event-driven Architectures, die auf Streaming-Plattformen basieren. Entscheidungslogiken müssen so integriert sein, dass sie ohne Zeitverlust greifen.”

Eine besondere Herausforderung liegt in der Orchestrierung der Prozesse. Erkennt das Monitoring ein Muster, müssen gegebenenfalls automatisch Maßnahmen eingeleitet werden – etwa die temporäre Blockade eines Kontos oder die Eskalation an einen Compliance-Mitarbeiter. Viele Institute setzen deshalb auf integrierte Fallmanagement-Systeme, die als Workflow-Engine unmittelbar an das Monitoring angeschlossen sind. Doch auch hier zeigen sich technische Hürden. Eine durchgängige Echtzeit-Architektur ist kein Einzelprojekt, sondern erfordert eine tiefgreifende Modernisierung der gesamten Infrastruktur – vom Frontend bis in das Kernbankensystem.

Künstliche Intelligenz – Chance und Herausforderung zugleich

Diese technische Transformation wäre unvollständig ohne die Integration moderner Analyseverfahren – insbesondere durch Künstliche Intelligenz. Klassische Regelwerke reichen nicht mehr aus, um komplexe Geldwäschestrukturen zu erkennen. Verschachtelte Zahlungen, Proxy-Nutzer, plattformübergreifende Transfers oder der Einsatz von Krypto-Mixern stellen Anforderungen, denen nur adaptive, lernende Systeme gewachsen sind. KI-gestützte Monitoringlösungen nutzen dafür heute sowohl Supervised als auch Unsupervised Learning – trainiert auf Verdachtsmeldungen oder anomalen Verhaltensmustern. Viele Institute kombinieren dies mit Graphdatenbanken wie Neo4j, um Verbindungen zwischen Akteuren und Transaktionen sichtbar zu machen, die in relationalen Modellen verborgen bleiben.

Entscheidungen müssen nachvollziehbar und auditierbar bleiben – insbesondere gegenüber interner Revision und Aufsicht. Frameworks wie SHAP oder LIME helfen, die Entscheidungslogik auch bei komplexen Modellen transparent darzustellen.”

Die BaFin hat bereits angedeutet, künftig verstärkt Anforderungen an die Governance von KI-Modellen zu stellen – insbesondere in Bezug auf Trainingsdaten, Modellvalidierung und die fortlaufende Kontrolle von False Positives und False Negatives. Wichtig ist dabei, dass KI kein Ersatz für fundierte Prozesskenntnis ist. Wird ein Modell auf unzureichenden Daten trainiert oder ohne Kontext integriert, droht eine technologische Scheinlösung. Nur durch die strategische Einbettung der KI in Verbindung mit gesteigerter Datenqualität, erhöhter IT-Sicherheit und hochwertiger menschlicher Expertise kann das Potenzial dieser Technologie nachhaltig nutzen.

Abwarten ist ein Fehler

Das EU-Geldwäschepaket stellt Finanzinstitute vor umfangreiche Herausforderungen – organisatorisch ebenso wie technisch. Gerade IT-Abteilungen, die bereits durch andere regulatorische Anforderungen wie etwa DORA stark belastet sind, müssen die anstehenden Veränderungen frühzeitig strategisch angehen. Eine präzise Gap-Analyse bildet dabei den Ausgangspunkt, um den Anpassungsbedarf klar zu identifizieren und priorisierte Maßnahmen umzusetzen.

Entscheidend wird sein, dass Institute die notwendigen Investitionen in Personal, Technologien und Prozesse rechtzeitig tätigen, um wettbewerbsfähig zu bleiben.”

Erfolgreich werden künftig nur jene Finanzinstitute sein, die regulatorische Expertise mit modernen Technologien intelligent verknüpfen. Ein ausgewogener Ansatz, der etablierte AML-Systeme und gut durchdachte KI-Lösungen kombiniert, wird sich als robust erweisen. Wer jetzt proaktiv handelt und seine IT-Architektur frühzeitig auf Echtzeitfähigkeit und analytische Stärke ausrichtet, schafft nicht nur regulatorische Sicherheit, sondern sorgt gleichzeitig dafür, dass verdächtige Transaktionen erkannt und abgewehrt werden – bevor Schaden entsteht. Thomas Stein, Wavestone