KI-Systeme sicher und DORA-konform in der Konfigurationsdatenbank steuern

Wie Finanzinstitute KI‑Systeme lebenszyklusorientiert in der CMDB abbilden.

veröffentlicht am 17.02.2026 | Lesezeit: ca. 4 Minuten
Maximilian Hartmann
Maximilian Hartmann
Lars Laakmann
Lars Laakmann
Axel Luckhardt
Axel Luckhardt

Key Facts:

  • Eine gepflegte CMDB ist zentral für die DORA-Umsetzung, da sie IKT-Assets inklusive KI-Systemen transparent erfasst, strukturiert und überwacht.
  • Laut der BaFin Orientierungshilfe zu künstlicher Intelligenz gelten KI-Systeme als Zusammenspiel mehrerer IKT-Komponenten und müssen ohne eigene „KI-Welt“ vollständig und lebenszyklusorientiert in der CMDB abgebildet werden.
  • Lebenszyklus‑, Versions‑ und Kennzeichnungsmanagement von KI-Systemen in der CMDB sind entscheidend, um Risiken, Änderungen und Vorfälle DORA‑konform nachvollziehbar zu steuern.

Eine gut gepflegte Konfigurationsdatenbank (CMDB) ist für Finanzinstitute ein wertvolles Tool um die Anforderungen des Digital Operational Resilience Act (DORA) und der NIS-2-Richtlinie zu erfüllen. Als zentrale Datenbasis soll sie unterstützen, die Informations- und Kommunikationstechnologie (IKT) von Finanzunternehmen sowie kritische Funktionen zu erkennen, zu kennzeichnen und zu überwachen. In ihrer Orientierungshilfe zu künstlicher Intelligenz (KI), die im Dezember 2025 veröffentlicht wurde, stellt die BaFin klar, dass KI-Systeme genau wie andere IKT-Assets unter die Anforderungen der DORA fallen – unabhängig davon, ob es sich um selbst entwickelte Modelle oder zugekaufte Softwarelösungen handelt.

Abbildung von KI-Systemen in der CMDB und im Informationsverbund

Ein KI-System wird dabei als Kombination aus Hard- und Software sowie der zugrunde liegenden IKT-Infrastruktur verstanden. Ein KI-System ist dementsprechend kein monolithisches Objekt, sondern besteht aus verschiedenen IKT-Assets. Die Herausforderung besteht nun darin, ein KI-Systeme fachlich in seine Einzelteile zu zerlegen und diese entsprechend in der CMDB und somit im Informationsverbund abzubilden. Vereinfacht lässt sich eine KI exemplarisch in folgende Bestandteile aufteilen:

  • Die KI-Anwendung selbst kann der Kategorie „Anwendung“ zugeordnet werden
  • Das LLM-Modell / Algorithmus, der Kategorie „Middleware“
  • Trainingsdaten und die zugehörigen Datenbanken, der Kategorie „Datenbank“
  • Weitere Infrastrukturkomponenten der KI-Anwendung (u.a. Server und Virtuelle Maschinen) der Kategorie “Cluster“ bzw. „Computer“

KI-Systeme benötigen für die Abbildung im Informationsverbund und der CMDB keine neue „KI-Welt“. Die Systeme müssen analysiert, in ihre Bestandteile zerlegt und anschließend dokumentiert werden.

Erfolgsfaktor CMDB – Zentrale Bedeutung für IT-Organisationen

Die Configuration Management Database (CMDB) spielt eine entscheidende Rolle für den Erfolg einer IT-Organisation. Denn sie ermöglicht es, die gesamte IT-Infrastruktur effektiv zu verwalten und hohe Effizienzgrade zu erreichen.

Jetzt lesen

Relevanz des Lebenszyklus bei KI-Systemen und Umgang in der CMDB

Mit ihrer Orientierungshilfe verfolgt die BaFin einen lebenszyklusorientierten Ansatz für den Umgang mit KI-Systemen. Ziel ist es, potenzielle Schwachstellen frühzeitig zu identifizieren und über den gesamten Lebenszyklus hinweg angemessen zu steuern. Für den Betrieb von KI-Systemen empfiehlt es sich daher geeignete Prozesse zur Risikoüberwachung entlang des gesamten Lebenszyklus zu definieren.

Damit KI-System wie gewünscht funktionieren und auf einem aktuellen Stand bleiben, ist das regelmäßige Trainieren des entsprechenden KI-Modells unabdingbar. DORA unterstreicht allerdings, dass jede Änderung entsprechend zu dokumentieren und testen ist, damit auch unabhängige Dritte diese nachvollziehen können. Jede Änderungen, die zum Beispiel durch das Trainieren eines KI-Modells entsteht, sollte entsprechend versioniert und mittels CMDB transparent gemacht werden.

Die BaFin beschreibt exemplarisch folgende Phasen eines KI-Lebenszyklus:

  1. Datenbeschaffung und -aufbereitung
  2. Modellentwicklung und Training
  3. Modellbereitstellung und -integration
  4. Betrieb und Nutzung
  5. Wartung, Updates und Incident Response
  6. End of Life Management

Diese Phasen sind in das entsprechende Datenmodell der jeweils eingesetzten CMDB zu übersetzen, sodass man idealerweise nicht vom toolseitigen Datenmodell abweicht. Der Lebenszyklus ist anschließend für die KI-Systeme wie auch für die anderen Configuration Items (Cis) in der CMDB zu pflegen und zu überwachen.

DORA-Umsetzung: Unterschätzte Bedeutung der Konfigurationsdatenbank CMDB

Die CMDB unterstützt dabei, IKT-Altsysteme sowie kritische und wichtige Funktionen zu erkennen und zu kennzeichnen. Angesichts der umfangreichen DORA-Anforderungen verhilft sie zu Transparenz und Effizienz und öffnet außerdem die Tür zu weiteren Anwendungsfällen.

Jetzt lesen

Kennzeichnung von KI-Systemen in der CMDB

Sowohl die BaFin als auch die DORA haben hohe Anforderungen an IKT-Risiken wie beispielsweise die Datensicherheit. Auch KI-Systeme können sensible Daten verarbeiten und sind entsprechend schützenswert. Daher ist die Klassifikation sowie die Anforderung an Vertraulichkeit, Authentizität und Verfügbarkeit (Schutzbedarfe) entsprechend zu ermitteln und zu berücksichtigen.

In der Praxis pflegen Finanzinstitute neben den regulatorisch vorgegebenen Feldern weitere Attribute und/oder Flags an CIs. Auf Basis der Ausführungen in der BaFin-Orientierungshilfe könnten Institute überlegen, Systeme, die KI verwenden, entsprechend in der CMDB zu kennzeichnen oder ein entsprechendes Flag zu pflegen. Somit wären auch im Falle von schwerwiegender IKT-bezogener Vorfälle unmittelbar erkennbar, ob KI-Komponenten betroffen sind, oder nicht.

Handlungsempfehlungen für das IT-Configuration Management aus der BaFin Orientierungshilfe

Aus den vorherigen Ausführungen lassen sich folgende Handlungsempfehlungen für das IT-Configuration Management zusammenfassen:

  1. KI-Systeme sind Teil des Informationsverbund und sind entsprechend zu dokumentieren und regelmäßig zu aktualisieren.
  2. Die Rolle des Lebenszyklus-Managements nimmt aufgrund häufiger Änderungen an KI-Systemen zu.
  3. Im Informationsverbund sollten mittels CMDB KI-Systeme sowie relevante Infrastrukturkomponenten entsprechend gekennzeichnet werden, sofern sie in Bezug zu einer KI stehen.

Zu berücksichtigen sind die entsprechende Ausgangssituation eines jeden Finanzinstituts, der individuelle DORA-Umsetzungsstand sowie die eingesetzte Software und somit Kompatibilität. Letztendlich sollten sich die getroffenen Maßnahmen in den Gesamtkontext des IKT-Risikomanagementrahmens einbetten lassen. Auch KI-basierte CMDB-Tools, dessen Möglichkeiten wir bereits betrachtet haben, könnten die Verwaltung komplexer IT-Landschaften vereinfachen.

Das könnte Sie auch interessieren

Cloud und Cyber Security

NIS-2 – neue Anforderungen an die Cybersicherheit für Finanzunternehmen

16.01.2026 | ca. 5 Minuten Lesezeit

Regularie ergänzt DORA-Pflichten und nimmt die Geschäftsführung in persönliche Haftung.

Vaike Metzger
Vaike Metzger
Christian Nern
Christian Nern
Lucas Daus
Lucas Daus
Datenmanagement und KI

Ein Blick auf die neue BaFin-Orientierungshilfe zu künstlicher Intelligenz

16.01.2026 | ca. 6 Minuten Lesezeit

DORA, AI Act und mehr: Wie Finanzinstitute KI-Risiken meistern

Daniel Wagenknecht
Daniel Wagenknecht
Julia Ester
Julia Ester
Christian Wächter
Christian Wächter
Lächelnde Frau, die einen Laptop benutzt und sich im Büro umsieht.
Datenmanagement und KI

Künstliche Intelligenz macht die CMDB noch leistungsfähiger

17.09.2025 | ca. 7 Minuten Lesezeit

So revolutioniert KI in Finanzunternehmen den IT-Betrieb.

Lars Laakmann
Lars Laakmann
Maximilian Hartmann
Maximilian Hartmann
Nathalie Cona
Nathalie Cona
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.