„Cybersecurity ist viel mehr als Sicherheit – es ist ein strategischer Imperativ“ - Interview mit Carsten Fritz
Insight, 22.10.2025
Carsten Fritz ist Product Owner für Managed Application Services bei Sopra Financial Technology. Seit über 20 Jahren arbeitet er in der Finanz-IT und hat sich vom klassischen Softwareentwickler zum Brückenbauer zwischen Technik, Regulatorik und Kundenbedürfnissen entwickelt. Dort gestaltet er sichere, KI-gestützte IT-Services, die Banken und Finanzdienstleister in die Lage versetzen, ihre Prozesse stabil, compliant und effizient zu betreiben.
Herr Fritz, Sie kommen ursprünglich aus der Softwareentwicklung. Heute verantworten Sie Managed Services und das Thema Künstliche Intelligenz bei Sopra Financial Technology. Wie kam es zu diesem Wandel?
Ich habe Informatik studiert und bin über die Softwareentwicklung in die Finanz-IT eingestiegen – das war vor rund 20 Jahren. In dieser Zeit habe ich viel über Strukturen, Prozesse und natürlich über Technologie gelernt. Schon früh wurde mir aber klar: Der wahre Mehrwert entsteht dort, wo man die Technik mit dem Verständnis für die Kundenanforderungen verbindet. Viele meiner Kolleginnen und Kollegen sagten immer wieder: „Carsten, du kannst komplexe Technik so erklären, dass die Kunden sie wirklich verstehen – und du verstehst, was sie brauchen.“ Das war für mich der entscheidende Impuls, stärker in Richtung Produktentwicklung und Produktmanagement zu gehen.
Heute trage ich im Grunde zwei Hüte: Als Product Owner für Managed Application Services sorge ich dafür, dass wir Banken nicht nur IT liefern, sondern Lösungen, die fachlich in ihre Prozesse passen. Und als zentraler Ansprechpartner für alle Fragen rund um Künstliche Intelligenz kümmere ich mich darum, wie wir KI sinnvoll und sicher einsetzen – intern und für unsere Kunden. Dazu gehört auch unsere Trusted AI Platform, die das Vertrauen in KI durch klare Compliance- und Sicherheitsmechanismen stärkt.
Ist IT-Sicherheit ein Technologie-Thema, oder doch viel mehr?
Das Thema IT-Sicherheit ist viel mehr als eine technologische Frage, sie betrifft beispielsweise auch die Unternehmenskultur und das Mindset, weil die Mitarbeitenden eines Unternehmens ein Einfallstor für Cyberangriffe darstellen, wenn man sie nicht für bestimmte Gefahren sensibilisiert. So entstehen rund 80 Prozent der Schäden durch Social Engineering oder Phishingversuche. Ein Angreifer nutzt also nicht eine technische Schwachstelle, sondern eine menschliche. Ich hatte neulich ein eindrückliches Beispiel: Eine Awareness-Plattform hat innerhalb von fünf Minuten einen Deepfake unseres Geschäftsführers erstellt, der mich angeblich persönlich anrief. Die Stimme, die Mimik, die Wortwahl – alles klang absolut echt. Wenn man da nicht kritisch bleibt, fällt man leicht darauf rein.
Deshalb sage ich: IT-Sicherheit ist heute eine Führungsaufgabe. Sie gehört in die DNA jedes Unternehmens. Technik ist nur die eine Seite. Die andere ist das Bewusstsein der Mitarbeitenden. Nur wenn beide zusammenwirken, entsteht echte Sicherheit. Natürlich bleibt es ein Wettrennen: Sind die „bösen Buben“ schneller oder wir? Aber wenn wir Menschen sensibilisieren, Risiken zu erkennen, und gleichzeitig unsere Technologien stetig weiterentwickeln, haben wir die beste Chance, vorne zu bleiben.
CIOs spielen in vielen Unternehmen noch immer eine untergeordnete Rolle – technisch wichtig, aber strategisch unterschätzt. Sehen Sie das auch so?
Ja, das beobachte ich oft. Der CIO ist verantwortlich für Systeme, Daten und Sicherheit – und trotzdem wird er in vielen Unternehmen nur daran gemessen, wie er seine Kosten managed. Dabei hängt vom Funktionieren seiner Arbeit oft das gesamte Geschäftsmodell ab. Man erwartet heute ganz selbstverständlich, dass IT sicher ist. Egal ob beim Online-Banking oder beim Smartphone – Sicherheit ist vorausgesetzt. Der CIO sorgt dafür, dass genau das gewährleistet ist. Aber diese Leistung bleibt häufig unsichtbar.
Wir sehen unsere Rolle darin, ihn zu stärken. Mit unseren Managed Services liefern wir nicht nur Technologie, sondern auch Expertise und operative Unterstützung. Der CIO behält die Verantwortung, kann sie aber mit Know-how und Ressourcen absichern. So wird er vom Verwalter zum strategischen Gestalter. Mit unseren Services liefern wir ihm die Unterstützung, so dass er sich auch mit Strategie beschäftigen kann. Dieser Schritt ist wichtig, um auch zukünftig effektive IT liefern zu können.
Wo begegnen Ihnen in der Praxis die größten Schwachstellen – und wie können Banken und FinTechs sie vermeiden?
Die Schwachstellen liegen meist dort, wo neue Technologien auf alte Strukturen treffen. Aktuell ist das beim Thema KI der Fall. Viele Institute erkennen zwar das Potenzial, unterschätzen aber die Sicherheitsfragen. Neue Technologien bringen immer neue Risiken mit sich. Wer sie nicht versteht, kann sie auch nicht richtig absichern. Das bedeutet: Man muss sich intensiv mit der Funktionsweise, den möglichen Angriffsszenarien und den regulatorischen Implikationen beschäftigen. Hundertprozentige Sicherheit gibt es nicht – aber wer Risiken versteht, kann sie gezielt reduzieren. Dafür braucht es Expertise, Erfahrung und die Fähigkeit, Risiken wirtschaftlich zu bewerten. Hier sollte man auch genug selbst reflektiert sein und sich Unterstützung holen, wenn man nicht über diese Expertise verfügt. Denn Sicherheit darf nicht zum Kostenfaktor werden, sondern muss wirtschaftlich tragfähig sein.
Wie sieht ein moderner Cybersecurity-Ansatz für Banken aus?
Das Stichwort lautet Zero Trust. Das bedeutet, man vertraut keinem System oder Nutzer blind, sondern gewährt nur so viele Berechtigungen, wie unbedingt nötig sind. Dieses Prinzip minimiert Angriffsflächen enorm. Dazu kommt die Überwachung der Aktivitäten
mit technischen Maßnahmen wie Endpoint-Security, Netzwerküberwachung und Verschlüsselung. Aber entscheidend ist der intelligente Einsatz neuer Technologien: KI kann etwa Muster in Kommunikationsströmen erkennen, die auf Angriffe hinweisen – oder im Bereich Anti-Financial Crime verdächtige Transaktionen automatisch markieren. So lassen sich Auffälligkeiten in Millionen von Datensätzen schnell und effektiv erkennen, bevor Schaden entsteht. Dabei ist es wichtig, den Menschen im Loop zu halten. Während die KI die Routinearbeit übernimmt und Muster erkennt, kann der Mensch sich darauf konzentrieren, diese erkannten Auffälligkeiten zu bewerten. Wir sprechen hier von „Human in the Loop“: Mensch und Maschine als Team.
Welche Rolle spielt die Regulatorik – ist sie eher Bremse oder Beschleuniger?
Ich sehe sie ganz klar als Beschleuniger. Die Regulatorik zwingt Unternehmen dazu, sich bewusst mit Risiken auseinanderzusetzen. Vorgaben wie DORA sind nicht da, um zu blockieren, sondern um Resilienz zu fördern. Der Gesetzgeber sagt sinngemäß: „Kennt eure Risiken, plant eure Maßnahmen, und stellt sicher, dass ihr auch nach einem Angriff wieder arbeitsfähig seid.“ Das ist für mich kein Spagat, sondern ein ganzheitlicher Ansatz. Gleiches gilt für den AI Act. Er schafft klare Rahmenbedingungen, unter denen wir KI einsetzen dürfen – und verpflichtet uns, ethische und sicherheitsrelevante Aspekte zu berücksichtigen. Wenn man beides zusammendenkt, entsteht ein robustes, vertrauenswürdiges System – und das ist genau das Ziel.
Was unterscheidet Managed Service 2.0 von bisherigen Ansätzen?
Mit unseren Managed Services 2.0 bieten wir Kunden ein modular aufgebautes Lösungsangebot, mit dem sie ihre Prozesse ganzheitlich und entlang ihrer spezifischen Bedürfnisse steuern und verbessern können. Das bedeutet beispielsweise, dass wir Sicherheit und die Berücksichtigung regulatorischer Vorgaben von Anfang an integrieren – schon in der Konzeptions- und Entwicklungsphase. In klassischen Projekten ist es oft so: Das System wird entwickelt, getestet und am Ende an den Betrieb übergeben. Erst dann kommen die Security-Teams ins Spiel, die sich mit dem fertigen Produkt vertraut machen müssen. Das kostet Zeit, Geld und führt zu Reibungsverlusten.
Wir machen das anders: Unsere Security- und Compliance-Experten sitzen von Anfang an mit am Tisch. Wir prüfen direkt, wie Eingaben abgesichert sind, wie Reports generiert werden, wie Schwachstellen automatisiert erkannt werden können. So entsteht ein Service, der von Grund auf sicher ist – kein Flickenteppich, sondern ein durchdachtes Gesamtkonzept. Das nennen wir Managed Service 2.0 – und für den Kunden ist das im besten Sinne ein Rundum-sorglos-Paket: sicher, compliant, skalierbar und sofort produktiv.
Wie reagieren Ihre Kunden auf diesen Ansatz?
Sehr positiv. Wir haben etwa mit der Helaba Invest einen Kunden, der auch in unserem Podcast Tech & Tacheles über seine Erfahrungen spricht. Dort ging es um das Thema
„Risikomanagement delegieren mit System“. Das Fazit war eindeutig: Wenn die Verantwortlichkeiten klar geregelt sind und das Vertrauen stimmt, sind Managed Services kein Kontrollverlust, sondern eine enorme Entlastung. Die Kunden wissen, was sie von uns erwarten können, und steuern uns gezielt. Besonders geschätzt wird die Kommunikation auf Augenhöhe. Wir sprechen nicht nur über IT, sondern auch über die zugrunde liegenden Prozesse im Unternehmen. Hier kann ich genau meine Stärke ausspielen, indem ich die technische Unterstützung genau auf den fachlichen Bedarf anpasse. Das schafft gegenseitiges Verständnis und führt dazu, dass sich unsere Kunden abgeholt fühlen – fachlich wie technisch.
Wie groß ist das Marktpotenzial für Managed Services und KI-Lösungen im Finanzsektor?
Der Markt ist bedeutsam – vor allem bei mittelständischen Banken. Viele Institute verfügen nicht über große eigene IT-Abteilungen, müssen aber dieselben regulatorischen Anforderungen erfüllen wie Großbanken. Genau hier setzt unsere Unterstützung an. Wir bringen das technische Know-how, die regulatorische Erfahrung und die Fähigkeit, Alt- und Neusysteme intelligent zu verbinden. Das betrifft zum Beispiel Mainframe-Technologien, bei denen Know-how oft verloren geht, ebenso wie KI-gestützte Anwendungen. Mit unserer Trusted AI Platform bieten wir eine Compliance-konforme, leicht integrierbare Lösung, die speziell auf Banken zugeschnitten ist. Wir beobachten, dass etwa 20 Prozent der Institute bereits erste KI-Pilotprojekte umgesetzt haben. Viele davon stehen jetzt vor der Frage: Wie bringen wir das in den produktiven, regulierten Betrieb? Genau hier bietet unsere AI-Plattform den regelkonformen Rahmen – in der sicheren und skalierbaren Umsetzung.
Herr Fritz, wenn Sie nach vorn blicken – welche Rolle spielt KI in der Cybersecurity von morgen?
KI wird der Taktgeber. Aber sie ersetzt den Menschen nicht – sie verstärkt ihn. KI hilft uns, wiederkehrende Aufgaben effektiv, präzise und verlässlich zu erledigen, Muster zu erkennen und Risiken aufzuzeigen. Der Mensch bleibt aber der Entscheider. Seine Intuition, sein kritisches Denken, seine ethische Bewertung – das sind Fähigkeiten, die KI (noch) nicht hat. Ich sehe die Zukunft deshalb in der Symbiose: KI als verlässlicher Assistent, der Komplexität reduziert, und der Mensch als Dirigent, der die richtigen Entscheidungen trifft. Nur so entsteht eine sichere, resiliente und zukunftsfähige IT-Landschaft.
Carsten Fritz wird am 30.Oktober 2025 in Kooperation mit dem Bankingclub ein Webinar zum Thema „Ihre Bank ist nur so sicher wie Ihr schwächstes IT-System“ veranstalten. Mehr Informationen und die Möglichkeit zur Anmeldung für das Webinar finden Sie hier.
Haben Sie Fragen an unsere Experten?