EZB warnt Banken vor KI-gestützten Cyber-Bedrohungen
Die Europäische Zentralbank hat eine offizielle Warnung an alle Banken im Euroraum herausgegeben und sie aufgefordert, ihre Abwehrmaßnahmen gegen Cyberangriffe zu verstärken, die von fortschrittlichen KI-Modellen generiert werden.
Der Mythos-Mythos: Wie fehlender Zugang zu KI zum systemischen Hauptrisiko für den europäischen Bankensektor wurde
Frank Elderson, stellvertretender Vorsitzender des Aufsichtsgremiums der Europäischen Zentralbank, gab am 13. Mai 2026 eine Warnung heraus, die unter jeder anderen Nachrichtenlage Schlagzeilen gemacht hätte: Europäische Banken müssen sich sofort, „jetzt sofort“, auf Cyberangriffe mit Anthropics Mythos-KI-Modell vorbereiten, obwohl sie keinen Zugang zu diesem Modell haben und auch nicht bekommen werden. Die Aussage erfolgte in einem Interview für den internen EZB-Aufsichts-Newsletter – und genau dieses fast unsichtbare Format offenbart die wahre Natur des Geschehens. Der Regulierer informiert den Markt nicht so sehr, sondern dokumentiert seine Position für künftige Verfahren.
Das Wesentliche: Was wirklich passiert
Formal warnt die EZB die Banken vor einer neuen Klasse von Cyber-Bedrohungen. Exekutivdirektor Frank Elderson erklärte wörtlich: „Fehlender Zugang [zu Mythos] rechtfertigt keine Untätigkeit. Im Gegenteil, es macht es umso wichtiger, dass die Banken jetzt sofort handeln.“ Der Regulierer stellt fest, dass große US-Banken, die frühzeitigen Zugang zu Mythos erhalten haben, bereits Schwachstellen in ihren Rechenzentren beheben, die das KI-Modell identifiziert hat. Japan wird voraussichtlich innerhalb von zwei Wochen Zugang für seine drei größten Banken erhalten. Europa bleibt außen vor.
Aber die wahre Essenz von Eldersons Aussage ist nicht Cybersicherheit an sich. Es ist ein Akt der regulatorischen Auslagerung von Verantwortung. Die EZB kann europäische Banken nicht vor einer Bedrohung schützen, die sie nicht einmal einschätzen kann. Also verlagert sie die Last auf die Banken selbst: Bereitet euch auf das vor, was ihr nicht sehen könnt, und falls etwas passiert – wir haben euch gewarnt.
Dieses Muster ist jedem vertraut, der die europäische Bankenaufsicht in Krisenzeiten verfolgt hat. Wenn der Regulierer keine direkten Instrumente hat, schafft er eine Papierspur. Mai 2026 ist ein solcher Moment: Mythos kann Schwachstellen autonom identifizieren und ausnutzen, mit einer Geschwindigkeit, die mit bestehenden Tools unerreichbar ist, und Software-Patches in Exploits zurückverwandeln, viel schneller als zuvor. Europäische Banken, denen der Zugang zu diesem Tool verwehrt bleibt, sehen zu, wie US-Wettbewerber Löcher stopfen – und können nur erahnen, wie verwundbar sie selbst sind.
Zeitplan und Kontext
Die Ereigniskette, die zu Eldersons Aussage führte, entwickelte sich rasant. Im April 2026 berichtete Reuters, dass die EZB-Aufsicht die Banken um Informationen über ihre Bereitschaft für eine neue Risikoquelle bitten wolle – KI-gestützte Cyberangriffe. Im selben Monat tauchten Daten auf, dass große US-Banken mit frühem Zugang zu Mythos Dutzende von Schwachstellen in ihren Datensystemen dringend behoben. Anthropic gewährte im Rahmen der Project-Glasswing-Initiative nur wenigen US-Organisationen Zugang – Amazon Web Services, Microsoft, Nvidia, Linux Foundation und JP Morgan.
Anfang Mai eskalierte die Situation. EZB-Präsidentin Christine Lagarde erklärte, die Zentralbank untersuche Abwehrmechanismen gegen Mythos-gesteuerte Angriffe, sei aber aufgrund des fehlenden Zugangs zum Modell im Nachteil. Am 12. Mai kamen Informationen auf, dass die drei größten Banken Japans wahrscheinlich innerhalb von zwei Wochen Zugang zu Mythos erhalten würden. Europa bleibt der einzige große Finanzblock, der von dem Tool abgeschnitten ist.
Dann wurde am 13. Mai Eldersons Interview veröffentlicht. Er beschreibt Mythos als „Wendepunkt in der Cybersicherheit“ – ein Tool, das scheinbar geringfügige Schwachstellen zu schwerwiegenden Angriffsvektoren kombinieren kann. Und gleichzeitig räumt er ein, dass europäische Banken Mythos nicht nur nicht zur Verteidigung nutzen können, sondern nicht einmal das Ausmaß ihrer eigenen Verwundbarkeit gegenüber diesem Tool einschätzen können.
Wer gewinnt und wer verliert
US-Banken gewinnen – aber nicht so, wie es auf den ersten Blick scheint. JP Morgan und andere Project-Glasswing-Teilnehmer erhalten nicht nur ein Verteidigungstool, sondern einen asymmetrischen Informationsvorteil. Sie kennen ihre Schwachstellen, wissen, wie Mythos sie findet, und können Angriffsvektoren modellieren. Europäische Banken entbehren dieser Informationen, was sie anfälliger für Angriffe von Gegnern macht, die – lassen Sie mich betonen – Mythos oder ähnliche Modelle unabhängig davon einsetzen können, ob Banken Zugang zu ihnen haben.
Europäische Banken verlieren – strukturell und möglicherweise irreversibel. Es geht nicht nur um den fehlenden Zugang zu einem bestimmten Modell. Daten von Binance Research zeigen, dass KI-gestützte Angriffe 4,5-mal mehr Gelder pro Angriff erbeuten und 9-mal mehr Transaktionsaktivität erzeugen als herkömmliche Methoden. Im Jahr 2025 stieg die Zahl der Identitätsdiebstähle im Jahresvergleich um 1400 %, wobei 88 % aller Deepfake-Betrugsfälle mit Krypto-Assets in Verbindung standen. Obwohl dies Daten aus der Kryptoindustrie sind, ist die Angriffsmethodik universell – und europäische Banken bleiben ohne ein Tool, das sie erkennen könnte.
Der europäische Regulierer verliert als Institution. Eldersons Aussage ist ein Eingeständnis struktureller Schwäche. Die EZB kann Anthropic nicht zwingen, Zugang zu gewähren. Sie kann keine eigenen Tests durchführen. Sie kann das Ausmaß der Bedrohung nicht einschätzen. Alles, was sie tun kann, ist, den Banken zu sagen: „Bereitet euch vor.“ Das ist keine Regulierung; es ist eine Ermahnung.
Was die Medien nicht sagen
Die erste und kritischste unerzählte Geschichte: Die EZB-Warnung erfolgte drei Monate nach einem massiven Bankdatenleck in Frankreich über ein staatliches Register – 1,2 Millionen Konten wurden durch gestohlene Zugangsdaten eines Regierungsangestellten kompromittiert. Dies war kein KI-gestützter Hack, sondern ein klassischer Angriff mit Social Engineering und kompromittierten Zugangsdaten. Wenn das europäische Bankensystem sich nicht gegen einen Angriff dieses Niveaus verteidigen konnte, wie soll es sich dann auf Mythos vorbereiten, das „Schwachstellen autonom identifizieren und ausnutzen kann, mit einer Geschwindigkeit und in einem Umfang, die über bestehende Tools hinausgehen“?
Der zweite verborgene Faktor: Das Problem liegt nicht nur oder in erster Linie bei den Banken selbst, sondern bei ihren Auftragnehmern. Elderson betonte ausdrücklich, dass kritische Infrastrukturen und externe Dienstleister, die von Banken genutzt werden, gefährdet sind. Das bedeutet, dass der Verwundbarkeitsperimeter viel breiter ist als die eigenen Bilanzen der Banken. Abwicklungsfirmen, Cloud-Anbieter, SWIFT-Gateway-Systeme, Rechenzentren – alle könnten durch Schwachstellen kompromittiert werden, die eine KI wie Mythos schneller findet, als Menschen sie schließen können. Und während US-Gegenstücke durch Mythos getestet werden, bleiben europäische „blind“.
Der dritte unterberichtete Aspekt: Die Ökonomie von KI-Angriffen macht Verteidigung grundsätzlich teurer als Angriff. Binance Research stellt fest, dass KI-gestützte Exploits derzeit etwa 1,22 $ pro Vertrag kosten, und es wird erwartet, dass diese Kosten alle zwei Monate um 22 % sinken. Dies ist eine radikal asymmetrische Wirtschaft. Bei Angriffskosten von 1,22 $ muss eine Bank Millionen für Verteidigung ausgeben. Bei fallenden Angriffskosten wird diese Lücke nur noch größer. Und während US-Banken durch das Testen von Mythos zumindest wissen, welche Schwachstellen sie zuerst beheben müssen, sind europäische Banken gezwungen, sich gegen alles gleichzeitig zu verteidigen – was unmöglich ist.
Prognose: Nächste 30 Tage und 90 Tage
30 Tage (bis Mitte Juni 2026):
Der Auslöser wird der Zugang japanischer Banken zu Mythos sein – erwartet innerhalb der nächsten zwei Wochen. Wenn Mitsubishi UFJ, Sumitomo Mitsui und Mizuho mit dem Testen beginnen, wird der erste echte Benchmark erscheinen: Wie viele Schwachstellen findet Mythos in großen asiatischen Banken? Diese Informationen werden wahrscheinlich vertraulich bleiben, aber der Markt wird das Ausmaß durch indirekte Anzeichen erfahren – Notfall-Systemupdates, außerplanmäßige Audits, steigende Ausgaben für Cybersicherheit.
Die EZB wird, wie im April geplant, mit der formellen Erhebung von Informationen bei den beaufsichtigten Banken über deren Bereitschaft für KI-Angriffe beginnen. Ich erwarte, dass die Umfrageergebnisse alarmierend sein werden, und der Regulierer könnte zusätzliche Anweisungen erlassen. Es ist auch wahrscheinlich, dass die EZB ihre diplomatischen Bemühungen verstärken wird, um Zugang zu Mythos für europäische Banken zu erhalten – aber das wird nicht schnell geschehen.
90 Tage (bis Mitte August 2026):
Bis zum Ende des Sommers wird die strukturelle Ungleichheit, die jetzt erst entsteht, offensichtlich werden. Banken mit Zugang zu fortschrittlichen KI-Tools (US-amerikanische und wahrscheinlich japanische) werden ein grundlegend anderes Cyber-Risikoprofil haben als europäische. Ratingagenturen könnten dies in die Kreditratings einfließen lassen – insbesondere wenn es mindestens einen prominenten Vorfall mit einem KI-gestützten Angriff auf eine europäische Bank gibt.
Der Quorum-Cyber-Bericht 2026 stellt bereits fest, dass die durchschnittlichen Lösegeldforderungen im Finanzdienstleistungssektor um 179 % gestiegen sind und die Zahl neuer Ransomware-Gruppen um 30 % zugenommen hat. Ein staatlicher Akteur demonstrierte die Fähigkeit, bis zu 90 % des Eindringungsprozesses mit KI zu automatisieren. Wenn diese Trends anhalten, wird bis August fast unvermeidlich eine europäische Bank zum Opfer – und dann stellt sich die Frage, die die EZB jetzt mit ihrer Warnung vorwegzunehmen versucht: Warum hat sich die Bank nicht auf eine Bedrohung vorbereitet, vor der der Regulierer bereits im Mai gewarnt hat?
Insider-Fazit: Eldersons Aussage vom 13. Mai ist weniger eine Empfehlung als die Schaffung eines regulatorischen Alibis. Wenn (nicht falls) eine europäische Bank einen erfolgreichen Angriff mit KI-Tools der Mythos-Klasse erleidet, wird die EZB sagen können: Wir haben gewarnt, die Bank hätte sich vorbereiten müssen. Aber das zugrunde liegende Problem bleibt ungelöst: Das europäische Bankensystem wurde von einem wichtigen Verteidigungstool abgeschnitten, zu einer Zeit, als die Ökonomie von Cyberangriffen sich radikal zugunsten der Angreifer verschoben hat. Dies ist keine Technologielücke – es ist eine strukturelle Verwundbarkeit, die in der Architektur der globalen Finanzregulierung eingebettet ist.
— Editorial Team