KI-Wissensbasis für Versicherer und Banken: VAIT, BAIT, MaRisk und DORA konform

Q: Wie stuft die BaFin KI-Systeme unter DORA ein?

Die BaFin behandelt KI-Systeme in ihrer Orientierungshilfe 2025 als IKT-Assets im Sinne von DORA. Modelle, Trainingsdaten, Inferenzpipelines und eingebundene Bibliotheken müssen vollständig in den IKT-Risikomanagementrahmen integriert werden. Das bedeutet: Aufnahme in das Bestandsverzeichnis nach Artikel 8 DORA, Klassifizierung nach Kritikalität, Risikobewertung, dokumentierte Kontrollen, kontinuierliches Monitoring sowie Einbindung in BCM und Ausstiegsstrategie nach Artikel 11. Für kritische oder wichtige Funktionen gelten umfangreichere Schutzmassnahmen, die nachweisbar dokumentiert sein müssen.

Q: Welche Anforderungen stellt VAIT an KI-Chatbots bei Versicherern?

VAIT verlangt ein strukturiertes Berechtigungsmanagement, dokumentierte Informationsrisikoanalysen, Protokollierung und klare Verantwortlichkeiten entlang des gesamten Lebenszyklus. Für einen KI-Chatbot bedeutet das: rollenbasierte Zugriffe auf Wissensquellen, Netzwerksegmentierung zwischen Chatbot, LLM und Kernsystemen, durchgängige Verschlüsselung, Protokollierung von Prompts und Antworten sowie eine dokumentierte Datenklassifizierung. Die Anforderungen lassen sich deckungsgleich auf die Kontroll-Schicht der KI-Wissensbasis abbilden, die wir als Standardarchitektur einsetzen. So erfüllen Versicherer VAIT, MaRisk und DORA in einem Zug.

Q: Wie löse ich das Drei-Säulen-Modell aus MaRisk, DORA und xAIT in der Praxis?

Die Ablösung der xAIT durch DORA erzeugt ein Drei-Säulen-Modell: MaRisk als Rahmen für das allgemeine Risikomanagement, DORA für die verbindliche IKT-Sicherheit und die angepasste xAIT (VAIT, BAIT, KAIT, ZAIT) als sektorspezifische Konkretisierung. Um Nachweise nicht dreifach zu erbringen, empfehlen wir ein zentrales Kontrollregister mit Mapping zu allen drei Säulen. Jede Kontrolle in der KI-Wissensbasis referenziert die betroffenen Normen, sodass ein einziger Nachweis mehrere Prüfungsfragen gleichzeitig beantwortet. Das reduziert Aufwand bei Innenrevision und Aufsichtsgespräch spürbar.

Q: Wie erkenne ich Model Drift in einer KI-Wissensbasis einer Bank?

Die BaFin verlangt ein Monitoring, das über reine Verfügbarkeit hinausgeht und KI-spezifische Anomalien wie Model Drift früh erkennt. In der Praxis kombinieren wir drei Messebenen: statistische Verteilungsprüfung von Inferenz-Inputs gegen die Trainingsverteilung, Qualitätsbewertung der Antworten über kontinuierliche Evaluationssets und Fachbereichsfeedback über eingebundene Bewertungsschleifen. Ergänzend überwachen wir Prompt-Injections, Kapazitätsengpässe und Latenzprofile. Abweichungen lösen definierte Eskalationspfade aus, die in das IKT-Incident-Management nach DORA eingebunden sind.

Q: Wie bekommen CIOs Schatten-KI in Banken und Versicherungen unter Kontrolle?

CIOs etablieren ein zentrales KI-Register, verpflichtende Freigabeprozesse und Monitoring für Low-Code- und SaaS-Tools in den Fachbereichen. Konkret: Inventur aller genutzten Assistenten via Netzwerk- und SaaS-Discovery, klare Policy zum Umgang mit externen LLMs, technische Blockaden für nicht freigegebene Dienste und ein niederschwelliger Freigabepfad mit Risikoklassifizierung. Parallel bieten wir eine interne KI-Wissensbasis als attraktive Alternative, damit Fachbereiche keinen Umweg über Schatten-KI gehen müssen. So erfüllen Sie die DORA-Forderung, die Entstehung unregulierter Schatten-IT zu unterbinden.

Q: Warum ist AI Literacy im Vorstand nach Artikel 5 DORA Pflicht?

Artikel 5 DORA verankert die Letztverantwortung für IKT- und KI-Risiken beim Leitungsorgan. Vorstände von Versicherern und Banken müssen algorithmische Entscheidungen, Datenabhängigkeiten und Auswirkungen auf das Geschäftsmodell eigenständig bewerten können. Das setzt nachweisbare Sachkunde voraus – sowohl zu Funktionsweise und Grenzen generativer KI als auch zu den aufsichtsrechtlichen Rahmenbedingungen. Wir unterstützen mit strukturierten Vorstands-Briefings, die die BaFin-Orientierungshilfe, die DORA-Pflichten und die konkreten Entscheidungen im eigenen Haus verzahnen. Die Teilnahme wird protokolliert und ist prüfungsrelevant.

Q: Für welche Unternehmensgröße ist sensified ai-os gedacht?

Primär für den Mittelstand mit 50-500 Mitarbeitern, die über Einzeltools hinausgewachsen sind und eine kontrollierte, skalierbare AI-Infrastruktur brauchen. Aber auch größere Unternehmen nutzen die Plattform für spezifische Geschäftsbereiche.

Q: Was passiert mit meinen Daten?

Ihre Daten bleiben in Ihrem Tenant. Die Plattform nutzt standardisierte Connectoren für den Zugriff auf Ihre Systeme, speichert Wissen in Ihrer dedizierten Knowledge-Instanz und verarbeitet KI-Anfragen über den kontrollierten AI Gateway mit klarer Provider- und Policy-Steuerung.

AI-native Plattformbasis

Kostenloses BaFin-Readiness-Assessment: Wir prüfen Ihre KI-Assets gegen VAIT, BAIT, MaRisk und DORA – in 14 Tagen.

Art. 8 DORA

IKT-Asset-Register für KI-Komponenten

3 Säulen

MaRisk, DORA und angepasste xAIT synchronisiert

EU-Hosting

Datenresidenz für Banken und Versicherer

<14 Tage

BaFin-Readiness-Assessment bis zur Roadmap

Art. 5 DORA

AI-Literacy-Nachweis für das Leitungsorgan

Das Problem

Die vier grössten KI-Governance-Lücken im Finanzsektor

Die BaFin stuft KI-Systeme klar als IKT-Assets unter DORA ein. Damit gelten für Modelle, Trainingsdaten, Bibliotheken und Chatbots dieselben Anforderungen an Register, Risikobewertung und Notfallmanagement wie für klassische Kernbanksysteme. In der Praxis sehen wir vier wiederkehrende Schwachstellen.

KI ohne IKT-Register

Modelle, Trainingsdaten und Chatbots fehlen im Bestandsverzeichnis nach Artikel 8 DORA – Data Lineage ist nicht nachvollziehbar.

Schatten-KI im Fachbereich

Low-Code-Assistenten und SaaS-LLMs umgehen das IKT-Risikomanagement und gefährden die Nachweisfähigkeit gegenüber der Aufsicht.

Kein Model-Drift-Monitoring

Klassisches Verfügbarkeits-Monitoring erkennt weder Drift noch Adversarial Attacks noch Inference-Anomalien in LLM-basierten Wissensbasen.

Vendor-Lock-in Cloud-LLM

Ohne interoperable Exportformate für Modelle und Metadaten verletzen Häuser die Exit-Strategie-Pflicht nach Artikel 11 DORA.

Plattform-Architektur

6 Ebenen. Ein System.

sensified ai-os ist kein einzelnes Tool, sondern eine Plattformbasis aus aufeinander abgestimmten Shared Planes. Jede Ebene löst einen konkreten Bedarf.

Was fehlt, ist kein weiteres Tool. Was fehlt, ist eine gemeinsame Betriebsbasis, die Identität, Wissen, Prozesse, Integrationen und KI-Steuerung in einer kontrollierten Architektur verbindet.

Identity Plane

SSO, Rollen, Tenant-Trennung, sichere Session-Übergabe. Die Basis für alles.

Policy & Approval Plane

Freigabelogik, Guardrails für kritische Aktionen, Eskalationsregeln. Compliance by Design.

Audit & Evidence Plane

Nachvollziehbare Entscheidungen, Ausführungsnachweise, revisionssichere Protokolle.

Connector & MCP Plane

50+ Connectoren, einheitliche Tool-Oberfläche, API-/Webhook-/Batch-Integration.

AI Gateway Plane

Kontrolliertes Modellrouting, Provider-Steuerung, Policy-nahe KI-Nutzung.

Knowledge & RAG Plane

Dokumentenintegration, semantische Suche, Master Share als persistente Wissensbasis.

Vergleich

Cloud-LLM-Punktlösung vs. regulierte KI-Wissensbasis für den Finanzsektor

Kriterium

IKT-Asset-Register (Art. 8 DORA)

Kritikalitätsklassifizierung

VAIT-/BAIT-Kontrollen

Model-Drift-Monitoring

Datenresidenz und Hosting

Exit-Strategie (Art. 11 DORA)

BCM und Wiederherstellung

Prüfungs- und Aufsichtsdialog

Standalone Cloud-LLM

Kein nativer Eintrag im Bestandsverzeichnis, Data Lineage bleibt intransparent.

Keine dokumentierte Einstufung kritischer oder wichtiger Funktionen gegenüber Prüfern.

Berechtigungsmanagement und Segmentierung genügen VAIT/BAIT-Anforderungen nicht.

Überwacht nur Verfügbarkeit, erkennt weder Drift noch Adversarial Attacks verlässlich.

Daten verlassen häufig die EU, Souveränität für Finanzunternehmen nicht belegbar.

Proprietäre Formate begünstigen Vendor-Lock-in, Export von Modellen ist nicht vorgesehen.

Keine getesteten Backups der Modellartefakte, Wiederanlaufzeiten bleiben unklar.

Nachweise müssen für jede Prüfung manuell zusammengesucht werden.

sensified KI-Wissensbasis

Modelle, Trainingsdaten und Bibliotheken sind registriert und mit Verantwortlichen verknüpft.

Klassifizierung nach BaFin-Orientierungshilfe mit nachvollziehbarer Angemessenheitsbegründung.

RBAC, Segmentierung und Verschlüsselung gemäss VAIT-, BAIT- und MaRisk-Vorgaben konfiguriert.

Kontinuierliches Drift-, Prompt-Injection- und Qualitäts-Monitoring mit Eskalationspfaden.

EU-Hosting mit dokumentierter Datenresidenz für Banken, Versicherer und Sparkassen.

Interoperable Exportformate für Modelle, Trainingsdaten und Metadaten vertraglich gesichert.

Getestete Modell-Backups und Recovery-Pläne in das IKT-Notfallmanagement integriert.

Auditfähige Dokumentation und Kontroll-Mapping beschleunigen Innenrevision und BaFin-Dialog.

Konfiguration

Definieren Sie Ihren individuellen Arbeitsraum.

Jedes Unternehmen hat andere Prozesse, andere Systeme, andere Regeln. sensified ai-os zwingt Sie nicht in eine starre Oberfläche. Stattdessen definieren Sie Ihren Arbeitsraum: Welche Connectoren? Welche Freigabelogik? Welches Wissen? Welche Oberflächen?

Die Plattform liefert die Shared Planes. Sie liefern die Domäne. Das Ergebnis ist kein generisches Tool, sondern Ihr AI-natives Betriebssystem.

So funktioniert es

Die sensified-Antwort: eine KI-Wissensbasis, die VAIT, BAIT, MaRisk und DORA gleichzeitig erfüllt

Was bedeutet eine DORA-konforme KI-Wissensbasis für Versicherer und Banken? Eine DORA-konforme KI-Wissensbasis integriert alle Modelle, Trainingsdaten und Chatbots als IKT-Assets in das Bestandsverzeichnis nach Artikel 8, bettet sie in den IKT-Risikomanagementrahmen ein und belegt Kritikalität, Kontrollen und Exit-Strategie prüfungssicher.

1 BaFin-Readiness-Assessment

Inventur aller KI-Assets und Gap-Analyse gegen VAIT, BAIT, MaRisk und DORA

2 Governance-Architektur

Drei-Säulen-Modell aus MaRisk, DORA und xAIT in einem Kontrollregister abbilden

3 Controlled Rollout

KI-Wissensbasis mit RBAC, Segmentierung und EU-Hosting produktiv nehmen

4 Operate, Assure und Exit

Kontinuierliches Monitoring, Prüfungsunterstützung und getestete Ausstiegsfähigkeit

FAQ

Häufig gestellte Fragen.

Wie stuft die BaFin KI-Systeme unter DORA ein?

Die BaFin behandelt KI-Systeme in ihrer Orientierungshilfe 2025 als IKT-Assets im Sinne von DORA. Modelle, Trainingsdaten, Inferenzpipelines und eingebundene Bibliotheken müssen vollständig in den IKT-Risikomanagementrahmen integriert werden. Das bedeutet: Aufnahme in das Bestandsverzeichnis nach Artikel 8 DORA, Klassifizierung nach Kritikalität, Risikobewertung, dokumentierte Kontrollen, kontinuierliches Monitoring sowie Einbindung in BCM und Ausstiegsstrategie nach Artikel 11. Für kritische oder wichtige Funktionen gelten umfangreichere Schutzmassnahmen, die nachweisbar dokumentiert sein müssen.

Welche Anforderungen stellt VAIT an KI-Chatbots bei Versicherern?

VAIT verlangt ein strukturiertes Berechtigungsmanagement, dokumentierte Informationsrisikoanalysen, Protokollierung und klare Verantwortlichkeiten entlang des gesamten Lebenszyklus. Für einen KI-Chatbot bedeutet das: rollenbasierte Zugriffe auf Wissensquellen, Netzwerksegmentierung zwischen Chatbot, LLM und Kernsystemen, durchgängige Verschlüsselung, Protokollierung von Prompts und Antworten sowie eine dokumentierte Datenklassifizierung. Die Anforderungen lassen sich deckungsgleich auf die Kontroll-Schicht der KI-Wissensbasis abbilden, die wir als Standardarchitektur einsetzen. So erfüllen Versicherer VAIT, MaRisk und DORA in einem Zug.

Wie löse ich das Drei-Säulen-Modell aus MaRisk, DORA und xAIT in der Praxis?

Die Ablösung der xAIT durch DORA erzeugt ein Drei-Säulen-Modell: MaRisk als Rahmen für das allgemeine Risikomanagement, DORA für die verbindliche IKT-Sicherheit und die angepasste xAIT (VAIT, BAIT, KAIT, ZAIT) als sektorspezifische Konkretisierung. Um Nachweise nicht dreifach zu erbringen, empfehlen wir ein zentrales Kontrollregister mit Mapping zu allen drei Säulen. Jede Kontrolle in der KI-Wissensbasis referenziert die betroffenen Normen, sodass ein einziger Nachweis mehrere Prüfungsfragen gleichzeitig beantwortet. Das reduziert Aufwand bei Innenrevision und Aufsichtsgespräch spürbar.

Wie erkenne ich Model Drift in einer KI-Wissensbasis einer Bank?

Die BaFin verlangt ein Monitoring, das über reine Verfügbarkeit hinausgeht und KI-spezifische Anomalien wie Model Drift früh erkennt. In der Praxis kombinieren wir drei Messebenen: statistische Verteilungsprüfung von Inferenz-Inputs gegen die Trainingsverteilung, Qualitätsbewertung der Antworten über kontinuierliche Evaluationssets und Fachbereichsfeedback über eingebundene Bewertungsschleifen. Ergänzend überwachen wir Prompt-Injections, Kapazitätsengpässe und Latenzprofile. Abweichungen lösen definierte Eskalationspfade aus, die in das IKT-Incident-Management nach DORA eingebunden sind.

Wie bekommen CIOs Schatten-KI in Banken und Versicherungen unter Kontrolle?

CIOs etablieren ein zentrales KI-Register, verpflichtende Freigabeprozesse und Monitoring für Low-Code- und SaaS-Tools in den Fachbereichen. Konkret: Inventur aller genutzten Assistenten via Netzwerk- und SaaS-Discovery, klare Policy zum Umgang mit externen LLMs, technische Blockaden für nicht freigegebene Dienste und ein niederschwelliger Freigabepfad mit Risikoklassifizierung. Parallel bieten wir eine interne KI-Wissensbasis als attraktive Alternative, damit Fachbereiche keinen Umweg über Schatten-KI gehen müssen. So erfüllen Sie die DORA-Forderung, die Entstehung unregulierter Schatten-IT zu unterbinden.

Warum ist AI Literacy im Vorstand nach Artikel 5 DORA Pflicht?

Artikel 5 DORA verankert die Letztverantwortung für IKT- und KI-Risiken beim Leitungsorgan. Vorstände von Versicherern und Banken müssen algorithmische Entscheidungen, Datenabhängigkeiten und Auswirkungen auf das Geschäftsmodell eigenständig bewerten können. Das setzt nachweisbare Sachkunde voraus – sowohl zu Funktionsweise und Grenzen generativer KI als auch zu den aufsichtsrechtlichen Rahmenbedingungen. Wir unterstützen mit strukturierten Vorstands-Briefings, die die BaFin-Orientierungshilfe, die DORA-Pflichten und die konkreten Entscheidungen im eigenen Haus verzahnen. Die Teilnahme wird protokolliert und ist prüfungsrelevant.

Für welche Unternehmensgröße ist sensified ai-os gedacht?

Primär für den Mittelstand mit 50-500 Mitarbeitern, die über Einzeltools hinausgewachsen sind und eine kontrollierte, skalierbare AI-Infrastruktur brauchen. Aber auch größere Unternehmen nutzen die Plattform für spezifische Geschäftsbereiche.

Was passiert mit meinen Daten?

Ihre Daten bleiben in Ihrem Tenant. Die Plattform nutzt standardisierte Connectoren für den Zugriff auf Ihre Systeme, speichert Wissen in Ihrer dedizierten Knowledge-Instanz und verarbeitet KI-Anfragen über den kontrollierten AI Gateway mit klarer Provider- und Policy-Steuerung.

Termin buchen

Strategiegespräch buchen – 60 Minuten

In 60 Minuten klären wir gemeinsam, wo eine Enterprise-KI-Plattform für Sie den größten Hebel bringt. Konkrete Architektur, kein Verkaufsgespräch.

Vertiefen Sie das Thema in der sensified-Wissensbasis

Vertiefen Sie die regulatorischen Grundlagen einer KI-Wissensbasis im Finanz- und Versicherungswesen mit zwei Pillar-Beiträgen aus der sensified-Wissensbasis.

KI-Wissensbasis für Versicherer und Banken: VAIT, BAIT, MaRisk und DORA konform

AI-native Plattformbasis