Fünf Cyber-Resilienz-Irrtümer in Financial Services

Unsere Studie zeigt, wo Annahmen und Realität auseinanderfallen – und worauf es ankommt

veröffentlicht am 11.03.2026 | Lesezeit: ca. 5 Minuten
Christian Nern
Christian Nern

Keyfacts:

  • Trotz hoher Cyber-Investitionen fehlt vielen Finanzinstituten im Ernstfall die operative Handlungsfähigkeit.
  • Es scheitert selten an Technik, sondern an Automatisierung, Harmonisierung der Daten, klaren Rollen und messbarer Steuerung. Ohne eindeutige Entscheidungen verlieren Institute im Krisenfall wertvolle Zeit.
  • Unsere aktuelle Studie zeigt: Zukunftsfähige Cyber-Resilienz erfordert integrierte Operating Models, starke Identitätsarchitekturen, wirksame Detection und Response Fähigkeiten sowie klar geregelte KI Governance.

Die Finanzbranche investiert seit Jahren in Cyber Security – und trotzdem kämpfen viele Institute damit, im Ernstfall schnell, verlässlich und wirksam zu reagieren. Unsere aktuelle Cyber‑Resilienz‑Studie unter Entscheiderinnen und Entscheidern, darunter 50 Führungskräfte aus dem Finanzsektor, zeigt deutlich: Zwischen Anspruch und gelebter Resilienz klafft noch immer eine große Lücke.

Warum ist das so? Und was müssen Verantwortliche für IT- und Cyber Security in Banken, bei Asset Managern und Versicherern verändern, um auch unter Druck handlungsfähig zu bleiben?

Von Reaktion zu Resilienz – Cyber Security neu gedacht

Wie weit sind Unternehmen bei der Optimierung der Cybersicherheit in Unternehmen – und welche Schlussfolgerungen lassen sich aus der Praxis ableiten? Antworten liefert der von KPMG unterstützte aktuelle IDC InfoBrief zum Thema Cybersicherheit.

Studie herunterladen

Die Auswertung der Studienergebnisse zeigt, dass viele Finanzdienstleister wenig automatisiert sind, viele Securtiy-Silos haben oder an strukturellen Hürden scheitern. Diese fünf Irrtümer zählen zu den häufigsten:

1. Der blinde Fleck: Cyber Security ist vielerorts nicht organisationsweit verankert

Was viele annehmen: Cyber Security ist Teil der Gesamtorganisation – schließlich gibt es Richtlinien, Verantwortliche und definierte Security-Rollen.

Was die Studie zeigt: Trotz zunehmender Bedrohungslage haben nur rund 20 Prozent der Finanzdienstleister Cyber Security organisationsweit verankert. In der Mehrheit fehlt damit eine konsistente, automatisierte Integration von Cyber Security in Governance-, Risiko- und Steuerungsstrukturen sowie eine klare Ausrichtung an Geschäfts- und Resilienz-Zielen.

Warum das problematisch ist: Im Krisenfall sind Unternehmen nur eingeschränkt steuerungsfähig und haben zu lange Reaktionsgeschwindigkeiten. Es entsteht unter Umständen ein Zeitverlust durch fehlende Informationen, unklare Rollen, Entscheidungswege und Eskalationsmechanismen.

2. Transparenz über Cyberrisiken und Wirksamkeit von Kontrollen sind begrenzt

Was viele annehmen: Sicherheitsvorfälle werden ausreichend analysiert.

Was die Studie zeigt: 40 Prozent der Befragten haben ein unvollständiges Asset-Inventar, rund ein Drittel eine unzureichende Protokollierung kritischer Systeme oder fehlende Kontextualisierung von Vorfällen sowie 30 Prozent keine zentrale Transparenz über ihre IT-Umgebung.

Warum das problematisch ist: Für die 2nd Line entscheidet sich Cyber Resilienz in der Nachweisbarkeit. Für eine nachvollziehbare Dokumentation gegenüber dem Management, der internen Revision und der Aufsicht, sollten Cyberrisiken demnach systematisch identifiziert, bewertet und in bestehende Risiko-Frameworks integriert werden. Kontrollen und Sicherheitsmaßnahmen sollten so ausgestaltet sein, dass ihre Wirksamkeit messbar, nachvollziehbar und prüfbar ist. Dazu zählt auch ein Third Party Risk Management (TPRM), um die Risiken aus Drittparteien und Cloud-Services überwachen zu können.

3. Richtlinien für digitale Identitäten sind uneinheitlich oder existieren nicht

Was viele annehmen: IAM- und PAM-Strukturen sind vorhanden.

Was die Studie zeigt: Nur 34 Prozent geben an, dass unternehmensweite Richtlinien für digitale Identitäten (IAM / PAM / CIAM) existieren. Und nur 34 Prozent der Unternehmen priorisieren in den nächsten 12 Monaten den Aufbau eines übergreifenden strategischen Zielbilds für das Digital Identity Management (inkl. IAM, PAM und CIAM).

Warum das problematisch ist: Durch fragmentierte Sicherheitsarchitekturen über Cloud- und On-Premise-Umgebungen und den Einsatz von KI bzw. KI-Agenten werden Identitäts- und Zugriffsverwaltung komplexer. Die Kontrolle über sämtliche Identitäten – inklusive KI-basierter und menschlicher Identitäten – sind heute unverzichtbar, da gerade Identitätsdiebstahl z.B. durch Phishing einer der größten Bedrohungen sind. Sie sollten als zentrales architekturelles Element etabliert werden – konsistent über Cloud- und On-Premise-Systeme hinweg.

4. Detection und Response-Fähigkeiten sind nur teilweise etabliert

Was viele annehmen: Ein funktionierendes SIEM oder ein SOC reicht aus, um Bedrohungen schnell zu erkennen und zu reagieren.

Was die Studie zeigt: Ein signifikanter Teil der Finanzdienstleister gibt an, dass die Analyse von Sicherheitsvorfällen und deren Ursachen eine zentrale Herausforderung darstellt. Detection- und Incident Response-Fähigkeiten sind zwar grundsätzlich vorhanden, ihre operative Wirksamkeit ist jedoch häufig eingeschränkt. SOC-, SIEM und CERT-Strukturen verfügen vielfach nur über mittlere Reifegrade, und die Steuerung erfolgt häufig ohne konsistente oder automatisierte KPI-basierte Messung.

Warum das problematisch ist: Incident Response sollte als organisatorische Kernfähigkeit verstanden werden. Auf Basis der Cyberbedrohungen sollten automatisiere Use Cases und Runbooks erstellt werden, um schnell reagieren zu können. Idealerweise hat man ein „KPI-Cockpit“ wie das Infotainementsystem eines Autos. Nur so bekommt man frühzeitig eine solide Einschätzung über die tatsächliche Bedrohungslage und kann entsprechende Maßnahmen einleiten.

5. KI wird zunehmend eingesetzt, Sicherheits- und Governance-Fragen bleiben offen

Was viele annehmen: KI macht Cyber Security automatisch effizienter.

Was die Studie zeigt: KI wird in der Cyber Security bereits zur Automatisierung und Effizienzsteigerung eingesetzt. Gleichzeitig bewerten viele Unternehmen die Reife ihrer KI-Sicherheitsmaßnahmen als gering oder mittel und sehen Herausforderungen bei Governance und Kontrolle.

Warum das problematisch ist: Auch die Angreifer verwenden KI-Technologien zum Beispiel zur Mustererkennung von SOC oder auch KI-Diensten. Ferner, angesichts wachsender Bedrohungsszenarien und neuer regulatorischer Vorgaben wie der EU AI Act müssen Unternehmen KI-Sicherheit von Anfang an systematisch an ihre bestehende Governance- und Risikostrukturen integrieren. Dazu zählen auch eine vollständige KI-Inventur, kontinuierliches Monitoring, gezielte Schulungen zu KI-Bedrohungen für Mitarbeitende und regelmäßige Angriffssimulationen.

 

Aus den Studienergebnissen lassen sich drei zentrale Handlungsfelder ableiten, die für Finanzdienstleister jetzt entscheidend sind.

  • Cyber Security im Operating Model verankern
  • Cyberbedrohungen und Resilienz operativ steuern
  • Cyber Security als Enabler verstehen

Die Studie zeigt ein deutliches Bild: Die technische Basis vieler Finanzinstitute ist solide – aber operative Resilienz scheitert oft an fehlender Struktur, mangelnder Automatisierung, Orientierung an den Cyber-Bedrohungen und unzureichender Messbarkeit. Wer in den kommenden Jahren erfolgreich sein will, braucht: klare Governance, robuste Identitätsmodelle, konsolidierte Detection‑ und Response‑Fähigkeiten und eine moderne, KI‑bereite Sicherheitsarchitektur.

Das könnte Sie auch interessieren

Hochhäuser Büros, EU-Kleinanlegerstrategie RIS: Die Ergebnisse einer KPMG-Vorstudie
Finance und Risk

EU-Retail Investment Strategie: Was Finanzinstitute jetzt beachten müssen

10.03.2026 | ca. 4 Minuten Lesezeit

Frühe RIS-Umsetzung ermöglicht bessere Kundenerlebnisse und effizientere Produktprozesse.

Mathis Frömel
Mathis Frömel
Nils Bartsch
Nils Bartsch
Oliver Thiel
Oliver Thiel
Mergers & Acquisitions

„Wir sehen ein deutlich verbessertes Marktumfeld für Transaktionen.“

05.03.2026 | ca. 4 Minuten Lesezeit

Interview: Der Bankenmarkt steht vor einem Jahr der Konsolidierung – auch in Deutschland.

Marc Oliver Poggel
Marc Oliver Poggel
David Mück
David Mück
Datenmanagement und KI

Zwischen Regelwerk und Intelligenz: KI verändert das Rechnungswesen

04.03.2026 | ca. 5 Minuten Lesezeit

Traditionelle Accounting-Systeme in SAP bleiben führend, aber KI kann sie bereichern.

Benjamin Friebel
Benjamin Friebel
Marius Friedrich
Marius Friedrich
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.