Je stärker Unternehmen KI-Agenten einsetzen, desto größer wird auch die Angriffsfläche für Cyberattacken. Dabei geraten nicht mehr nur klassische IT-Systeme ins Visier, sondern zunehmend auch die Modelle selbst, ihre Prompts und die Datenflüsse, auf denen sie basieren.
Der aktuelle Top 50 Cybersecurity Threats-Report von Splunk, einem Unternehmen von Cisco, zeigt, dass Angriffe auf KI-Systeme deutlich an Bedeutung gewinnen. Neue Risikofelder wie Backdoor Injection, Jailbreaking, Model Extraction und Model Poisoning beeinflussen schon heute die Cybersicherheit von Unternehmen.
Viele dieser Angriffe zielen direkt auf große Sprachmodelle und ihre Eingaben ab. So können promptbasierte Manipulationen Schutzmechanismen umgehen, schädliche Ausgaben provozieren oder sensible Daten offenlegen. Gerade Prompt Injection entwickelt sich zu einem Sicherheitsproblem, das mit der stärkeren Verbreitung agentischer KI zunehmend zur realen Bedrohung wird.
Wenn KI den falschen Befehlen folgt
Wie gehen Cyberkriminelle bei Prompt Injection vor? Bei dieser Angriffsmethode versuchen sie, Large Language Modelle (LLMs) gezielt zu manipulieren. Dafür platzieren sie versteckte, zusätzliche Anweisungen in Prompts, Dokumenten oder anderen Inhalten, die das Modell verarbeitet. Erkennt das Modell diese nicht als Manipulationsversuch, interpretiert es sie als legitime Instruktionen. Es missachtet dann vorherige Vorgaben und führt ungewollte Aktionen aus.
Grundsätzlich lassen sich zwei Angriffsformen unterscheiden:
- Bei der direkten Prompt Injection zielen Angriffe unmittelbar auf das Modell ab. Dabei werden Befehle geschickt in Prompts getarnt. Ziel ist es, Schutzmechanismen und vorgegebene Regeln zu umgehen, damit das System Anweisungen befolgt, die eigentlich blockiert werden sollten. Je leistungsfähiger und autonomer KI-Systeme arbeiten, desto größer ist das Risiko, dass solche Manipulationen konkrete Folgen für Anwendungen und Prozesse haben.
- Bei der indirekten Prompt Injection hingegenwerden schädliche Anweisungen in externe Inhalte wie E-Mails, Dokumente oder Webseiten eingebettet und bei der Analyse durch das Sprachmodell verarbeitet. Dadurch interpretiert das System manipulierte Instruktionen als legitimen Bestandteil des Kontexts und gibt beispielsweise interne Daten preis, verfälscht Ergebnisse oder stößt unerwünschte Aktionen an. Besonders schwer zu erkennen ist diese Variante, da die schädlichen Anweisungen in externen Inhalten versteckt sind.
Prompt Injection als Einfallstor für Folgeangriffe
Prompt Injection ist kein Randphänomen, sondern ein möglicher Ausgangspunkt für eine ganze Kette von Angriffen auf KI-Systeme und agentische Anwendungen. Der Splunk-Report veranschaulicht, dass promptbasierte Manipulationen vor allem bei Jailbreaking und Content Abuse eine zentrale Rolle spielen: Angreifer bringen Modelle dazu, Schutzmechanismen zu umgehen, schädliche Inhalte zu erzeugen oder interne Vorgaben zu missachten. Zugleich können solche Manipulationen auch weitere Angriffe begünstigen, etwa wenn Modelle vertrauliche Informationen preisgeben oder wenn versteckte Instruktionen in Trainings- oder Fine-Tuning-Daten eingebracht werden, die später wie eine digitale Hintertür wirken.
Prävention mit Kontrollen und Zugriffsbeschränkungen
Unternehmen sollten sich beim Schutz vor Prompt Injection nicht allein auf die eingebauten Sicherheitsmechanismen von Sprachmodellen verlassen. Entscheidend ist vielmehr, Eingaben und externe Inhalte konsequent zu prüfen, bevor sie in sensible KI-Workflows einfließen. Dazu gehören klare Regeln für die Validierung von Prompts und Kontextdaten, die laufende Überwachung von Modell-Ein- und -Ausgaben auf auffällige Muster sowie zusätzliche Kontrollmechanismen für Anwendungen mit erhöhtem Risiko. Gerade dort, wo KI-Systeme Inhalte aus E-Mails, Dokumenten oder dem Web verarbeiten, ist die Trennung zwischen vertrauenswürdigen und potenziell manipulierten Informationen von zentraler Bedeutung.
Zudem sollten KI-Anwendungen möglichst klar von kritischen Systemen und sensiblen Daten abgegrenzt werden. Strikte Zugriffskontrollen, menschliche Prüfungen sensibler Prozesse, eine stärkere Segmentierung von KI-Anwendungen sowie kontinuierliche Tests gegen bekannte Angriffs- und Umgehungstechniken können das Risiko deutlich senken. Für Unternehmen bedeutet das: Der Schutz vor Prompt Injection beschränkt sich nicht nur auf das Sprachmodell, sondern beginnt bereits bei der Architektur der Anwendung, in die es eingebettet ist. Gerade bei KI-Agenten, die eigenständig auf Inhalte zugreifen oder Aktionen anstoßen, braucht es neben zusätzlichen Kontrollinstanzen und klaren Zugriffsgrenzen eine Sicherheitsarchitektur, die mögliche Fehlreaktionen begrenzt.
Prompt Injection von Anfang an mitdenken
Mit der wachsenden Verbreitung von KI-Agenten wird die Prävention von Prompt Injection zu einem Sicherheitsaspekt, den Unternehmen von Beginn an in ihre KI-Strategie einbeziehen müssen. Denn je stärker Sprachmodelle in operative Abläufe, Datenzugriffe und automatisierte Entscheidungen eingebunden sind, desto größer werden die möglichen Folgen gezielter Manipulationen. Prompt Injection zeigt exemplarisch, dass sich die Risikobetrachtung bei KI nicht allein auf das Modell beschränken darf. Gefragt ist vielmehr ein ganzheitlicher Blick auf Eingaben, Datenquellen, Systemrechte und nachgelagerte Prozesse. Nur wenn Unternehmen diese Zusammenhänge von Anfang an berücksichtigen, lässt sich das Potenzial agentischer KI nutzen, ohne neue Schwachstellen in sicherheitskritischen Bereichen zu schaffen.