Die unsichtbare Grundlage jeder Banking-KI: Sichere und nachvollziehbare Dateitransfers

Banking-KI ist nur so gut wie die Dateien, mit denen sie versorgt wird. Wer Dateitransfers als reine Infrastruktur betrachtet, übersieht schnell veraltete Datenbestände.

Was steckt hinter dem vierteljährlichen Transaktionsvolumen von über 250 Millionen US-Dollar bei PaperTrl, bewegt regulierte Bankdateien zwischen Partnern und Systemen und ist zugleich die erste Komponente, die Ihr KI-Agent verantwortlich macht, wenn er die falsche Antwort liefert? Die Antwort lautet: die Dateitransfer-Ebene. Nicht besonders glamourös. Aber leicht zum Sündenbock zu machen.

Genau darin liegt die Herausforderung.

Vertrauen in KI beginnt bei den Datenflüssen

Es ist einfach, eine KI-Roadmap für Banken rund um Modellauswahl, Prompt Engineering, Retrieval-Architektur und Governance zu planen. Die Dateitransfer-Ebene taucht dabei oft nicht einmal auf der Präsentationsfolie auf, weil sie zu operativ erscheint. Genau so entsteht jedoch die Situation, in der hochentwickelte KI-Systeme auf FTP-Skripten und Batch-Jobs aufbauen, für die sich niemand wirklich verantwortlich fühlt. Nicht gerade die Zukunft des Bankings, die sich ein Vorstand vorgestellt hat.

KI-Agenten treffen ihre Entscheidungen nicht auf magische Weise auf Basis aktueller Informationen. Sie arbeiten mit den Daten, die ihnen zur Verfügung gestellt werden. Veraltete Eingabedaten führen daher häufig zu veralteten Ergebnissen. Nutzt beispielsweise ein Modell zur Transaktionsüberwachung für die Bewertung von Kartenumsätzen einen Konto-Status-Export vom Vortag, arbeitet es nicht einfach langsamer als in Echtzeit – es bewertet eine andere Datengrundlage, als angenommen wird. Wird eine tägliche Datei zur Kundenrisikobewertung verspätet an die Betrugspräventionsplattform übertragen oder enthält sie einen fehlerhaften Filialcode, den der Parser zwar akzeptiert, aber nicht korrekt klassifizieren kann, verschlechtert sich der Kontext, auf dessen Grundlage das Modell arbeitet. Das Modell macht keine Pause, um den Fehler zu erkennen oder zu hinterfragen. Es berechnet trotzdem ein Ergebnis.

Vertrauen in KI entsteht bereits auf der Dateiebene – noch bevor das Modell überhaupt das erste Token verarbeitet. Besonders dann, wenn Bankprozesse darauf angewiesen sind, dass Daten vollständig und pünktlich bereitgestellt werden.

Warum veraltete Dateien gefährlicher sind als fehlende Dateien

Fehlende Dateien machen Lärm. Ein Batch-Prozess schlägt fehl, ein Alarm wird ausgelöst und jemand muss die Ursache finden. Ärgerlich, aber wenigstens bemerkt jeder sofort, dass etwas schiefgelaufen ist.

Die eigentliche Gefahr sind jedoch veraltete Dateien – und die sind deutlich leiser.

Same-Day-ACH-Dateien in den USA werden in drei täglichen Verarbeitungsfenstern abgewickelt. Die Einreichungsfristen liegen um 10:30 Uhr, 14:45 Uhr und 16:45 Uhr Eastern Time. Verpasst eine Datei für das 14:45-Uhr-Fenster diese Frist, etwa weil ein Skript länger läuft als geplant, kommt sie nicht einfach nur verspätet an. Nachgelagerte Prozesse arbeiten in der Zwischenzeit möglicherweise mit veralteten Daten – und zwar für die gesamte Zeitspanne zwischen dem erwarteten und dem tatsächlichen Eingang der Datei. Wenn die Anwendung lediglich protokolliert, dass eine gültige Datei verarbeitet wurde, verschwindet diese zeitliche Lücke oft vollständig aus den Systemen, die das Unternehmen später überprüft.

Im Auditbericht wird dann möglicherweise nicht erwähnt, was wirklich problematisch war: Der Kontostatus, den das Betrugserkennungsmodell für die Freigabe einer Transaktion verwendet hat, könnte bereits mehrere Stunden alt gewesen sein, obwohl die Transaktion besser zurückgehalten worden wäre.

Genau das sind die Kosten einer nicht kontrollierten Dateitransfer-Ebene: eine falsche Entscheidung mit einem auf den ersten Blick völlig unauffälligen Zeitstempel.

Zentrales Logging ist nicht dasselbe wie Auditierbarkeit

Eine Aussage, die sich gut verteidigen lässt: Ein System, das jeden Dateitransfer protokolliert, ist nicht automatisch ein System, das revisionssichere Nachweise darüber liefert, was übertragen wurde, wann dies geschah, woher die Dateien kamen und wer den Vorgang autorisiert hat.

Standard-Protokolle zeigen lediglich, dass etwas passiert ist. Auditierbarkeit verknüpft das Ereignis mit seinem operativen Kontext: erwarteter Ankunftszeitpunkt, tatsächlicher Eingang, zugehöriger Workflow, Ausführungsstatus und verantwortliche Person. Dieser Unterschied wird wichtig, wenn Prüfer nicht nur fragen: „Zeigen Sie mir das Transferprotokoll“, sondern: „Wie können Sie nachweisen, dass diese Dateien eingetroffen sind, bevor der nächtliche Risikoprozess gestartet wurde?“ Genau bei dieser zweiten Frage wird es für traditionelle Logging-Konzepte unangenehm.

Stellen Sie sich ein Skript vor, das um 23:47 Uhr erfolgreich eine Datei per FTP an eine Betrugspräventionsplattform überträgt und den Erfolg in einem lokalen Logbuch vermerkt. Erreicht dieser Eintrag nie das SIEM-System (Security Information and Event Management) und wird er nicht mit dem geplanten Workflow verknüpft, erkennt niemand, dass ein Prozess, der um 22:00 Uhr abgeschlossen sein sollte, tatsächlich 107 Minuten verspätet war. Wenn dieser Transfer einen AML-Lauf (Anti-Money Laundering) um Mitternacht versorgt, verarbeitet dieser möglicherweise Daten, die gar nicht hätten verwendet werden dürfen. Das Log bescheinigt dennoch, dass alles funktioniert hat.

Praxistipp: Wenn der Auditbericht Ihres Compliance-Teams lediglich festhält „Datei erfolgreich übertragen“, Ihr Operations-Team aber nicht sagen kann, ob die Datei innerhalb des vereinbarten SLA-Zeitfensters eingetroffen ist, dann verfügen Sie über Logging – aber nicht über echte Audit-Transparenz.

Progress Automate MFT begegnet dieser Herausforderung mit automatisierten Aufgaben, die ohne Skriptprogrammierung erstellt und über eine Coordinator-Agent-Architektur ausgeführt werden können. Eine zentral gehostete Management-Konsole in der Cloud speichert Workflows, Zeitpläne und Richtlinien einschließlich der Ausführungsprotokolle. Die agentenbasierte Ausführung stellt gleichzeitig sicher, dass Dateien nicht in die Cloud übertragen werden müssen. Das Ergebnis ist eine zentrale Nachvollziehbarkeit: Welcher Workflow wurde ausgeführt? Welcher Agent hat ihn gestartet? Wann begann und endete der Prozess? Welche Datei wurde übertragen? Compliance-Verantwortliche erhalten diese Informationen aus einer einzigen Konsole, statt den Ablauf eines Abends aus vier unterschiedlichen Logdateien rekonstruieren zu müssen.

Sichere Endpunkte vervollständigen den Audit-Trail

Zentrale Orchestrierung funktioniert nur dann zuverlässig, wenn auch die Endpunkte selbst nachvollziehbar und abgesichert sind. Wird eine Datei von einem automatisierten Workflow in einem nur unzureichend gesicherten Verzeichnis abgelegt, in dem jeder authentifizierte Benutzer Änderungen vornehmen kann, entsteht eine Lücke zwischen „Transfer erfolgreich bestätigt“ und „Datei unverändert angekommen“. Herzlichen Glückwunsch: Der Workflow hat funktioniert – die Beweiskette allerdings nicht mehr.

Progress MOVEit Transfer bildet die sichere Endpunkt-Schicht. Die Lösung nutzt AES-256-Verschlüsselung für gespeicherte Dateien auf Basis moderner Kryptographie mit FIPS-Modus, verschlüsselte Übertragungskanäle sowie manipulationssichere Protokollierung, die jede Dateiaktion einer authentifizierten Identität zuordnet.

Diese Verantwortlichkeit erstreckt sich auch auf die Personen, die die Aktivitäten prüfen dürfen. Die Berechtigungsstufe „Audit User“ in MOVEit Transfer ermöglicht internen Revisionsabteilungen und Prüfern den Zugriff auf Aktivitätsberichte, Benutzerzugriffsdaten und Audit-Protokolle, ohne dass sie Dateiinhalte einsehen oder Systemeinstellungen verändern können. Das Prinzip der minimalen Rechtevergabe („Least Privilege“) wird damit konsequent auch auf die Audit-Funktion angewendet.

Mit MOVEit 2025.1 wurde zudem die Unterstützung für OpenID Connect (OIDC) eingeführt. Dadurch kann die Authentifizierung über unternehmensweite Identitätsanbieter wie Microsoft Entra ID oder Okta erfolgen, während MOVEit weiterhin sämtliche Datei- und Systemaktivitäten dokumentiert.

Welchen Nutzen hat Ihre KI-Ebene davon?

Die Implementierung bei Brentwood Bank zeigt den praktischen Mehrwert. Die über 100 Jahre alte Regionalbank mit einem zehnköpfigen IT-Team betreibt heute täglich zwischen 10 und 20 automatisierte Prozesse – an Spitzentagen sogar bis zu 40 – mit MOVEit Cloud und MOVEit Automation. Eine quartalsweise verschlüsselte Dateiübertragung, die früher rund drei Stunden manuellen Aufwand erforderte, wird heute in etwa 15 Minuten abgeschlossen. Insgesamt konnte das Team bis zu fünf Stunden manueller Arbeit pro Tag einsparen.

Die Zeitersparnis ist dabei weniger entscheidend als das, wofür sie steht. Manuelle Dateitransfers verwandeln Routineaufgaben in wiederkehrende menschliche Entscheidungen darüber, ob eine Datei zum richtigen Zeitpunkt am richtigen Ort landet. Sind diese Entscheidungen schwer zu überwachen oder zu auditieren, helfen richtliniengesteuerte und automatisierte Workflows dabei, den Menschen als potenzielle Fehlerquelle zu reduzieren und durch einen planbaren, nachvollziehbaren Prozess zu ersetzen. Weniger Heldentaten. Weniger unerklärliche Rettungsaktionen.

Für Ihre KI-Infrastruktur ergeben sich daraus ganz praktische Vorteile:

• Aktuellere und besser kontrollierte Dateien statt lediglich der zuletzt verfügbaren Version
• Überprüfung der Zustellung anhand der von der Fachabteilung geforderten Zeitpläne – nicht nur nach dem Zeitpunkt, zu dem ein Skript zufällig ausgeführt wurde
• Eine lückenlose Nachvollziehbarkeit, die Transferereignisse mit dem Workflow-Zeitplan verknüpft und die Frage „Ist die richtige Datei zur richtigen Zeit angekommen?“ belastbar beantwortet
• Identitätsbasierte Zugriffsprotokolle, die Dateiaktionen eindeutig authentifizierten Benutzern oder Systemen zuordnen

Und das nicht, weil das KI-Modell höflich darum bittet, sondern weil die zugrunde liegende Infrastruktur genau dafür entwickelt wurde.

Stellen Sie Ihrem Operations-Team vor der nächsten KI-Einführung eine einfache Frage: Können Sie für eine KI-gestützte Entscheidung von gestern nachweisen, welche Dateien die Grundlage gebildet haben und ob diese rechtzeitig eingetroffen sind? Wenn die Antwort nur durch die Prüfung von vier verschiedenen Systemen möglich ist, gehört Ihre Dateitransfer-Ebene noch nicht zu Ihrem KI-Fundament. Mit Progress Automate MFT für Banken lässt sich genau das ändern.