KI-Agenten werden im Finanzsektor erst dann wirklich heikel, wenn sie nicht mehr nur Hinweise geben, sondern Aktionen anstoßen: Zahlungen prüfen, Compliance-Fälle sortieren, Kreditprozesse vorbereiten oder Liquidität verschieben. Genau an dieser Stelle setzt SAFR an, ein neuer Runtime-Ansatz der Monetary Authority of Singapore und ihrer Industriepartner.
Das Wichtigste in 30 Sekunden
- Anlass: Singapurs Finanzaufsicht MAS arbeitet mit der Branche an SAFR, einem Kontrollrahmen für KI-Agenten im Finanzsektor.
- Kernidee: Nicht der Chatbot steht im Mittelpunkt, sondern die Aktion vor der Ausführung: Darf ein Agent diesen Schritt wirklich anstoßen?
- Warum das wichtig ist: In Banken können falsch ausgeführte Aktionen Kunden, Märkte, Compliance und Bilanzprozesse direkt treffen.
- Europa-Bezug: DORA und AI Act rahmen Resilienz und Risiko. SAFR zeigt konkreter, wie Laufzeit-Kontrollen zwischen Agent und Kernsystem aussehen können.

Inhaltsverzeichnis
- Was SAFR anders macht
- Warum Banken anders riskant sind
- Die entscheidende Schicht: Kontrolle vor der Ausführung
- Was Europa daraus lernen kann
- Praxischeck für Unternehmen
- Meine Einschätzung
Was SAFR anders macht
Viele KI-Regeln drehen sich um Modelle, Trainingsdaten, Transparenz oder die Frage, welche Anwendungen erlaubt sind. SAFR verschiebt den Blick eine Ebene tiefer in den laufenden Betrieb. Das Whitepaper „Safeguards for Agentic Finance at Runtime“ beschreibt eine Kontrollschicht, die zwischen einem KI-Agenten und den Systemen sitzt, auf die dieser Agent zugreifen möchte.
Der Unterschied ist praktisch. Ein Sprachmodell kann eine Empfehlung formulieren. Ein agentisches System kann dagegen Zwischenschritte planen, Werkzeuge auswählen und Aktionen auslösen, ohne dass bei jedem Schritt ein Mensch danebensteht. In einem normalen Büroprozess ist das schon anspruchsvoll. Im Finanzsektor wird es kritisch, weil selbst kleine Aktionen Folgen haben können: ein freigegebener Zahlungsauftrag, eine falsch priorisierte Compliance-Meldung, ein fehlerhaft angestoßener Kredit-Workflow.
SAFR ist nach eigener Darstellung keine neue Aufsichtsvorgabe und auch kein Ersatz für bestehende Kontrollen. Der Ansatz versteht sich als Referenzmodell für Runtime-Governance: vorgeschlagene Aktionen werden geprüft, begrenzt, protokolliert und bei Bedarf eskaliert, bevor sie in ein Kernsystem laufen.
Warum Banken anders riskant sind
Im Finanzsektor ist Autonomie nicht nur eine Produktivitätsfrage. Eine Entscheidung kann direkt Kunden betreffen, rechtliche Pflichten auslösen oder Marktpositionen verändern. Das SAFR-Whitepaper nennt unter anderem Zahlungen, Liquiditätsmanagement, Compliance-Triage, Kreditbewertung und Nachbearbeitung von Transaktionen als Felder, in denen agentische Systeme denkbar sind.
Genau dort reicht ein klassischer Hinweis wie „Mensch in der Schleife“ oft nicht mehr aus. Wenn ein Agent Hunderte Vorschläge vorbereitet, Zahlungen clustert oder Auffälligkeiten sortiert, muss vorab klar sein, welche Grenzen gelten: Welche Beträge darf das System überhaupt anfassen? Welche Kundengruppen sind ausgeschlossen? Welche Aktionen brauchen zwingend eine menschliche Freigabe? Was passiert, wenn mehrere Agenten ähnliche Entscheidungen treffen und sich ein Risiko dadurch verstärkt?
Das Whitepaper verweist auch auf ein systemisches Problem: Wenn viele Institute ähnliche Modelle einsetzen oder von wenigen gemeinsamen KI-Anbietern abhängen, können sich Verhaltensmuster unter Stress angleichen. Für Finanzmärkte ist das kein Nebenthema. Korrelationen, die in ruhigen Zeiten unsichtbar bleiben, können in Krisen plötzlich wichtig werden.

Die entscheidende Schicht: Kontrolle vor der Ausführung
Der interessante Teil von SAFR ist nicht ein weiteres Ethikpapier, sondern die technische Platzierung. Die Kontrollschicht sitzt nicht nur in der Schulung, im Policy-Dokument oder im nachträglichen Audit. Sie bewertet Aktionen in dem Moment, in dem ein Agent sie ausführen möchte.
Praktisch bedeutet das: Der Agent schlägt eine Aktion vor. SAFR-Logik prüft, ob diese Aktion zu den erlaubten Rollen, Betragsgrenzen, Kundensegmenten, regulatorischen Vorgaben und internen Richtlinien passt. Bei unkritischen Fällen kann die Aktion durchlaufen. Bei Grenzfällen wird sie zurückgewiesen, angepasst oder an einen Menschen eskaliert. Entscheidend ist die Spur: Wer oder was hat die Aktion vorgeschlagen, welche Regel hat gegriffen, warum wurde freigegeben oder gestoppt?
Für Banken ist diese Nachvollziehbarkeit fast so wichtig wie die Verhinderung des Fehlers selbst. Ohne belastbares Protokoll lässt sich später kaum erklären, ob ein KI-Agent korrekt gehandelt hat. Das betrifft interne Revision, Aufsicht, Kundenkommunikation und Haftungsfragen.
Was Europa daraus lernen kann
Europa startet nicht bei null. Der Digital Operational Resilience Act, kurz DORA, verpflichtet Finanzunternehmen zu stärkerer digitaler Widerstandsfähigkeit. Der AI Act setzt zusätzlich Risikokategorien und Pflichten für KI-Systeme. Trotzdem bleibt bei agentischer KI eine operative Lücke: Wie wird aus einer abstrakten Pflicht eine konkrete Kontrolle im Moment der Ausführung?
SAFR liefert darauf keine fertige europäische Antwort. Singapur ist ein anderer Rechtsraum, und das Whitepaper ist keine EU-Vorschrift. Aber der Ansatz zeigt, wohin die Diskussion wandert. Bei agentischer KI reicht es nicht, ein Modell vor dem Start zu prüfen und dann auf gute Absichten zu hoffen. Unternehmen müssen definieren, welche Aktionen ein Agent überhaupt versuchen darf, welche Daten er nutzen kann, welche Schwellenwerte gelten und wann ein Mensch verbindlich übernimmt.
Für europäische Banken, Versicherer und Fintechs könnte diese Runtime-Sicht besonders nützlich werden. Sie verbindet technische Umsetzung mit regulatorischer Sprache: Policy-bound execution, Echtzeitvalidierung, Auditierbarkeit und Eskalationspfade sind nicht nur Sicherheitsbegriffe. Sie sind die Brücke zwischen KI-Experiment und prüfbarem Betrieb.
Praxischeck für Unternehmen
Auch außerhalb großer Banken lohnt sich der Blick auf SAFR. Viele Unternehmen werden KI-Agenten zunächst in weniger regulierten Prozessen einsetzen: Rechnungsprüfung, Beschaffung, Support, interne Recherche oder Vertragsvorbereitung. Die gleiche Grundfrage bleibt: Welche Aktion darf ein Agent ohne menschliche Freigabe anstoßen?
| Prüffrage | Warum sie zählt | Konkreter Einstieg |
|---|---|---|
| Welche Aktionen sind erlaubt? | Agenten brauchen einen klaren Handlungskorridor. | Erlaubte Tools, Beträge, Datenarten und Kundengruppen schriftlich festlegen. |
| Was braucht Freigabe? | Nicht jede Aktion darf automatisch laufen. | Schwellenwerte für Zahlungen, Vertragsänderungen oder externe Kommunikation definieren. |
| Was wird protokolliert? | Ohne Spur ist Kontrolle im Nachhinein kaum möglich. | Prompt, Tool-Aufruf, Entscheidung, Regelprüfung und Ergebnis speichern. |
| Wer ist verantwortlich? | Autonomie entbindet nicht von Zuständigkeit. | Fachbereich, IT, Compliance und Revision müssen Rollen vor dem Rollout klären. |

Warum Guardrails allein nicht reichen
Viele KI-Projekte beginnen mit Guardrails: Das Modell soll bestimmte Antworten vermeiden, keine vertraulichen Daten ausgeben oder riskante Vorschläge markieren. Das ist sinnvoll, aber im Finanzkontext zu wenig. Ein sprachlicher Guardrail verhindert nicht automatisch, dass ein Tool-Aufruf eine falsche Zahlung vorbereitet oder ein Workflow eine Kundengruppe systematisch benachteiligt.
Runtime-Kontrolle muss deshalb näher an der Aktion liegen. Sie muss verstehen, welches System angesprochen wird, welche Parameter übergeben werden, welche Grenzen gelten und welche Folgen ein Fehler hätte. Das ist weniger glamourös als ein neues Modell. Für produktive KI-Agenten dürfte es aber entscheidender sein.
Meine Einschätzung
SAFR ist vor allem deshalb spannend, weil es KI-Agenten aus der Demo-Ecke herausholt. Der Ansatz behandelt sie nicht als Chatfenster mit etwas mehr Komfort, sondern als handelnde Software, die in bestehende Finanzsysteme eingreifen kann. Genau diese Perspektive fehlt vielen KI-Debatten noch.
Für Europa wäre der falsche Reflex, SAFR einfach als weiteres Compliance-Dokument abzulegen. Der nützlichere Schritt wäre, die Laufzeitfrage in konkrete Architektur zu übersetzen: Welche Aktionen werden vor Ausführung geprüft? Welche Regeln sind maschinenlesbar? Welche Entscheidung landet automatisch beim Menschen? Welche Protokolle reichen im Streitfall wirklich aus?
Die offene Frage bleibt, wie gut solche Kontrollschichten mit echten, heterogenen Bankensystemen zusammenspielen. Alte Kernbankensysteme, Outsourcing, Cloud-Dienste, unterschiedliche Datenmodelle und internationale Aufsichtspflichten machen die Umsetzung schwer. Trotzdem ist der Richtungswechsel richtig: Wer KI-Agenten in kritische Prozesse lässt, braucht nicht nur ein besseres Modell. Er braucht eine Bremse, ein Protokoll und jemanden, der verantwortlich bleibt.
Weiterlesen
FAQ
Was ist SAFR?
SAFR steht für „Safeguards for Agentic Finance at Runtime“. Gemeint ist ein Referenzansatz, der vorgeschlagene Aktionen von KI-Agenten im Finanzsektor vor der Ausführung prüft, begrenzt, dokumentiert und bei Bedarf eskaliert.
Ist SAFR eine neue Regulierung?
Nein. Das Whitepaper beschreibt SAFR ausdrücklich nicht als regulatorische Vorgabe oder Aufsichtserwartung. Es ist ein technischer und organisatorischer Referenzrahmen, der mit bestehenden Regeln zusammenspielen kann.
Warum ist das für Europa relevant?
Weil europäische Finanzunternehmen KI-Agenten ebenfalls in regulierten Prozessen einsetzen wollen. DORA und AI Act schaffen den Rahmen, aber Unternehmen müssen daraus konkrete Laufzeit-Kontrollen für einzelne Aktionen bauen.
Quellen und weiterführende Informationen
- Monetary Authority of Singapore: MAS Partners Industry to develop Safeguards for AI Agents in Finance
- MAS/Industry Whitepaper: Safeguards for Agentic Finance at Runtime
- World Economic Forum: The AI Playbook for Financial Services
- EIOPA: Digital Operational Resilience Act (DORA)
- FF News: MAS Unveils SAFR Framework to Secure AI Agents in Financial Services
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-05