
EZB fordert Banken im Euroraum auf, bis Oktober KI-Abwehrpläne vorzulegen, da systemisches Cyberrisiko auf 'schwerwiegend' erhöht wurde
Die Europäische Zentralbank hat die größten Banken des Euroraums aufgefordert, bis zum 31. Oktober 2026 einen umfassenden Aktionsplan zur Abwehr von Cybersicherheitsbedrohungen durch fortschrittliche KI-Modelle vorzulegen und warnt vor einer dauerhaften Veränderung der Bedrohungslage.
EZB fordert Aktionspläne von 110 Banken
Die Europäische Zentralbank verschickte am 7. Juli einen Brief an die Vorstandsvorsitzenden der 110 bedeutenden Institute, die sie direkt beaufsichtigt, und forderte sie auf, bis zum 31. Oktober 2026 einen Aktionsplan vorzulegen. Der von der Vorsitzenden des Aufsichtsgremiums Claudia Buch unterzeichnete Brief beschreibt fortschrittliche KI-Modelle, die Schwachstellen identifizieren und funktionsfähige Exploits generieren können, als eine langfristige Veränderung, nicht als vorübergehendes Phänomen.
Es handelt sich um eine langfristige Veränderung der Bedrohungslage, nicht um ein vorübergehendes Phänomen oder ein Risiko, das mit einem einzigen Werkzeug verbunden ist.
Die EZB erwartet von den Banken, dass sie ihre Gefährdung sofort bewerten und einen Plan entwickeln, der sowohl kurzfristige Maßnahmen (Patchen, Schutz der Angriffsfläche) als auch langfristige Schritte (Bestandskontrollen, Modernisierung der Infrastruktur) umfasst. Jeder Plan muss dem zuständigen Gemeinsamen Aufsichtsteam vorgelegt werden, woraufhin die EZB ihn prüfen und Rückmeldung geben wird. Die Aufsichtsbehörde betonte, dass die Verantwortung bei den Leitungsorganen der Banken liegt und dass keine einheitliche, sektorweite Reaktion auferlegt wird.
Der Mythos-Auslöser
Die Dringlichkeit folgt auf die Enthüllung von Mythos 5 durch das US-Startup Anthropic im April 2026, einem Modell, das ohne Sicherheitsklassifizierer gebaut wurde und beispiellose Fähigkeiten in den Bereichen Cybersicherheit und Hacking zeigte. Nur eine begrenzte Anzahl von Unternehmen hat im Rahmen von 'Project Glasswing' Zugang. Mitte Juni verhängte das Weiße Haus ein Verbot für ausländische Staatsbürger, neue Anthropic-Modelle aus Gründen der nationalen Sicherheit zu nutzen, aber das Verbot endete am 1. Juli, angeblich nachdem Chinas Zhipu AI ein vergleichbares System auf den Markt gebracht hatte.
Im Juni stufte der Europäische Ausschuss für Systemrisiken (ESRB) die systemische Cyberrisikobewertung von 'hoch' auf 'schwerwiegend' hoch und warnte, dass Grenz-KI-Modelle böswilligen Akteuren einen Vorteil verschaffen, indem sie schnellere, umfangreichere und ausgefeiltere Angriffe ermöglichen. Der ESRB forderte eine koordinierte EU-Reaktion unter Einbeziehung von KI-Anbietern, Sicherheitsfirmen, Open-Source-Software-Wartenden und Banken.
Brüssel startet eigene Testkapazität
Am selben Tag, an dem der EZB-Brief veröffentlicht wurde, stellte die Europäische Kommission einen Aktionsplan vor, um eine sichere Plattform zum Testen der Cybersicherheitsrisiken fortschrittlicher KI-Modelle aufzubauen. Vizepräsidentin Henna Virkkunen sagte, die EU müsse mit den KI-getriebenen Veränderungen der Cybersicherheit Schritt halten.
KI verändert die Bedeutung von Cybersicherheit und wir müssen Schritt halten.
Die Plattform, die von der ENISA und der Gemeinsamen Forschungsstelle betrieben werden soll, wird voraussichtlich bis 2027 betriebsbereit sein. Sie wird simulierte Umgebungen für kritische Sektoren (Finanzen, Energie, Gesundheit, Verkehr) bereitstellen und Leitlinien für öffentliche und private Organisationen erstellen, um unter transparenten Bedingungen Zugang zu fortschrittlichen KI-Fähigkeiten zu erhalten. Der Plan sieht keine neuen Rechtsvorschriften oder Mittel vor, sondern stützt sich auf bestehende Rahmenwerke. Die Risikominderungspflichten des KI-Gesetzes für fortgeschrittene Modelle gelten ab dem 2. August 2026.
Was als nächstes passiert
Die Banken müssen ihre Pläne bis zum 31. Oktober 2026 vorlegen. Die Kommission wird im vierten Quartal 2026 eine Resilienzkampagne für kritische Open-Source-Software und eine europäische KI-für-Cybersicherheit-Grand-Challenge starten, um einheimische Lösungen zu fördern. Die folgende Zeitleiste fasst die wichtigsten Meilensteine zusammen.
- Anthropic enthüllt Mythos 5, ein Modell mit fortgeschrittenen Cybersicherheits- und Hacking-Fähigkeiten.
- ESRB erhöht systemische Cyberrisikobewertung von 'hoch' auf 'schwerwiegend'.
- Weißes Haus verbietet ausländischen Staatsbürgern die Nutzung neuer Anthropic-Modelle aus Gründen der nationalen Sicherheit.
- Verbot des Weißen Hauses für ausländische Nutzer von Anthropic-Modellen endet.
- EZB sendet Brief an 110 Banken, fordert Aktionspläne; Europäische Kommission stellt ihren Cybersicherheits- und KI-Aktionsplan vor.
- Risikominderungspflichten des KI-Gesetzes für fortgeschrittene Modelle treten in Kraft.
- Frist für Banken zur Vorlage ihrer Aktionspläne bei der EZB.
- EU-Sicherheitsplattform zum Testen von KI-Cybersicherheitsrisiken wird voraussichtlich betriebsbereit sein.


