ai-strategy
9 min read
View as Markdown

Grundlagen der KI-Sicherheit: Was wirklich schiefläuft und wie du es verhinderst

Ein praxisnaher Leitfaden zu KI-Sicherheitsrisiken für Business-Teams. Datenabfluss, Prompt-Injection, Anbieterauswahl und die echten Unterschiede zwischen privater und Enterprise-Sicherheit.

Robert Soares

Im April 2023 machten Samsung-Ingenieure etwas, das tausende Beschäftigte jeden Tag tun. Sie kopierten Code in ChatGPT. Einer war dabei, einen Bug zu debuggen. Ein anderer transkribierte ein Meeting und gab es der KI für Zusammenfassungsnotizen. Ein dritter optimierte eine Testsequenz.

Innerhalb weniger Wochen verbot Samsung ChatGPT im gesamten Unternehmen.

Der Code enthielt proprietäre Halbleiter-Informationen. Nach dem Absenden wurde er Teil von OpenAIs Trainingsdaten. Samsung konnte ihn nicht zurückholen. Der Schaden war dauerhaft, unsichtbar und vollständig vermeidbar.

Dieser Vorfall zeigt alles, was an KI-Sicherheit kompliziert ist. Das Werkzeug funktionierte genau wie vorgesehen. Mitarbeitende nutzten es, um echte Probleme zu lösen. Niemand wollte Schaden anrichten. Und trotzdem verließen sensible Daten das Gebäude und kommen nie wieder zurück.

Wie Datenabfluss wirklich aussieht

Das Samsung-Leck ist berühmt, weil es einen großen Konzern betraf. Aber Forschung von Ende 2025 ergab, dass 34,8 % aller ChatGPT-Eingaben von Beschäftigten sensible Daten enthalten. Mehr als ein Drittel jeder Anfrage. Das ist kein Randfall. Das ist der Ausgangszustand.

„Shadow AI“ treibt einen großen Teil dieses Abflusses. Wenn die IT keine freigegebenen KI-Werkzeuge bereitstellt, suchen sich Mitarbeitende ihre eigenen. Eine aktuelle Umfrage ergab, dass mehr als 60 % der Beschäftigten auf persönliche, nicht verwaltete KI-Werkzeuge statt auf unternehmensweit freigegebene Alternativen setzen. Diese Werkzeuge laufen außerhalb der Unternehmensüberwachung. Keine Protokolle. Keine Aufsicht. Keine Kontrollen zur Verhinderung von Datenabfluss.

Die Daten, die herausrutschen, folgen vorhersehbaren Mustern:

Quellcode und Konfigurationsdateien. Entwickler fügen Code ein, um Hilfe beim Debuggen zu bekommen. Diese Dateien enthalten oft API-Schlüssel, Datenbank-Zugangsdaten und interne Systemdetails.

Kundendaten. Support-Teams fassen Tickets zusammen. Vertriebler analysieren Daten zu Interessenten. Marketing erstellt personalisierte Inhalte. Darin können Namen, E-Mails, Kaufhistorien oder Finanzdetails stecken.

Interne Kommunikation. Meeting-Transkripte, Slack-Nachrichten und E-Mail-Threads landen zur Zusammenfassung in der KI. Diese Gespräche verraten Strategie, Personalthemen und Wettbewerbsinformationen.

Finanzdaten. Tabellen, Prognosen und Transaktionsdaten werden von KI-Werkzeugen analysiert, die nie auf Regelkonformität geprüft wurden.

Die meisten Mitarbeitenden haben keine Ahnung, dass das riskant ist. Sie sehen ein hilfreiches Werkzeug, keinen Kanal für Datenabfluss. Diese Wahrnehmungslücke ist der Punkt, an dem Sicherheitsprogramme scheitern.

Prompt-Injection: der Angriffsweg, auf den niemand vorbereitet war

Klassische Sicherheit fokussiert auf Netzgrenzen und Zugriffskontrollen. KI bringt etwas anderes. Prompt-Injection-Angriffe manipulieren KI-Systeme, indem sie Anweisungen in den Daten verstecken, die das System verarbeitet.

Der Angriff funktioniert, weil KI nicht zuverlässig unterscheiden kann, was legitime Anweisung ist und was bösartige Instruktion, die in Inhalte eingebettet wurde. Ein Angreifer platziert versteckten Text in einem Dokument, einer Webseite oder einer E-Mail. Wenn die KI diese Inhalte verarbeitet, führt sie die Anweisungen des Angreifers aus – statt (oder zusätzlich zu) den Befehlen des Nutzers.

Security researcher simonw, writing on Hacker News, identified the core problem: “for a security issue like this we need a 100 % reliable solution, or people WILL figure out how to exploit it.”

Diese zuverlässige Lösung gibt es noch nicht.

In derselben Diskussion brachte user bawolff das Architekturproblem auf den Punkt: “Black box we don’t really understand executing shell scripts in response to untrusted user input.”

Sobald du KI mit Werkzeugen verbindest, die E-Mails senden, Datenbanken verändern oder Dateisysteme lesen können, gibst du diese Fähigkeiten jedem, der beeinflussen kann, was die KI zu lesen bekommt. Ein bösartiges PDF, eine kompromittierte Webseite, sogar eine sorgfältig formulierte E-Mail im Posteingang. Alles wird potenziell zum Angriffsweg.

Reale Angriffe sind bereits aufgetaucht. Forschende demonstrierten Prompt-Injection gegen Bing Chat innerhalb von Wochen nach dem Start. GitHub Actions mit KI-Agenten erwiesen sich als anfällig für Angriffe, die in Pull-Request-Beschreibungen versteckt waren. MCP (Model Context Protocol)-Server, die KI-Fähigkeiten erweitern, zeigten kritische Schwachstellen in ungefähr 10 % der gescannten Implementierungen.

User noodletheworld captured the current state on Hacker News: “there is no solution currently, other than only use trusted sources…this idea of arbitrary content going into your prompt…can’t be safe. It’s flat out impossible.”

Das ist keine Panikmache. Das ist eine korrekte technische Einschätzung. Aktuelle KI-Architekturen können strikte Grenzen zwischen Anweisungen und Daten nicht durchsetzen. Bis sich das grundlegend ändert, ist jedes KI-System, das unzuverlässige Inhalte verarbeitet und mächtige Werkzeuge bedienen kann, ein Sicherheitsrisiko.

Sicherheitsbewertung von KI-Anbietern

Nicht alle KI-Dienste sind gleich riskant. Der Unterschied zwischen Verbraucher- und Enterprise-Angeboten ist groß – aber Marketing verschleiert oft die echten Trennlinien.

Fang bei den Richtlinien zu Trainingsdaten an. Standardmäßig verwendet OpenAI Gespräche aus dem kostenlosen ChatGPT, um die Modelle zu verbessern. Die Enterprise-Stufe tut das ausdrücklich nicht. “By default, we do not use your business data for training our models,” states their enterprise privacy documentation. Andere Anbieter unterscheiden sich. Bestehe immer auf einer schriftlichen Bestätigung.

Verschlüsselung zählt – aber Details zählen mehr. Achte auf AES-256-Verschlüsselung im Ruhezustand und TLS 1.2+ bei der Übertragung. Noch wichtiger: Wer hält die Schlüssel? Anbieter-verwaltete Verschlüsselung ist Standard. Kundenseitig verwaltete Schlüssel geben mehr Kontrolle, erhöhen aber die betriebliche Komplexität.

Datenresidenz wird für regulierte Branchen kritisch. Wo werden deine Daten gespeichert? Dürfen sie Grenzen überschreiten? Die DSGVO verlangt angemessenen Schutz für Daten, die die EU verlassen. Gesundheits- und Finanzsektor haben zusätzliche geografische Vorgaben.

Prüfe Aufbewahrungsregeln sorgfältig. Wie lange behält der Anbieter deine Prompts und Antworten? Kannst du sie löschen? Was passiert mit dem Gesprächsverlauf, wenn du das Konto schließt? Manche Anbieter behalten Daten unbegrenzt für „Sicherheitsforschung“. Das kann mit deinen Anforderungen zur Datensparsamkeit kollidieren.

Integrationen mit Dritten multiplizieren das Risiko. Der Sicherheitsvorfall im November 2025, der OpenAI-Nutzer betraf, lief über Mixpanel, einen Drittanbieter für Analytik. Dabei wurden Nutzernamen, E-Mail-Adressen und Nutzungsdaten offengelegt. Deine Sicherheit ist nur so stark wie der schwächste Integrationspartner deines Anbieters.

Prüfrechte und Compliance-Nachweise liefern nur teilweise Sicherheit. SOC 2 Type II-Berichte, ISO-27001-Zertifizierung und DSGVO-Konformitätsnachweise zeigen Mindeststandards. Sie garantieren nicht, dass diese Praktiken im Ernstfall greifen. Fordere die tatsächlichen Berichte an, nicht nur die Werbeaussagen.

Private vs. Enterprise-Sicherheit: die echten Unterschiede

Die Lücke zwischen Consumer- und Business-Stufen ist größer, als die meisten denken.

Consumer-Stufen (kostenlos oder günstige Abos) typischerweise:

  • Verwenden deine Gespräche fürs Modelltraining, sofern du nicht ausdrücklich widersprichst
  • Speichern Gesprächsverläufe auf unbestimmte Zeit
  • Bieten keine Enterprise-Authentifizierungsmöglichkeiten
  • Fehlen Verwaltungsfunktionen und Audit-Protokolle
  • Bieten wenige oder keine Nachweise zur Regelkonformität
  • Leiten Daten über gemeinsam genutzte Infrastruktur ohne Isolation

Enterprise-Stufen in der Regel:

  • Schließen Unternehmensdaten standardmäßig vom Modelltraining aus
  • Bieten konfigurierbare Aufbewahrung mit Löschmöglichkeiten
  • Unterstützen SSO, SCIM und Enterprise-Identitätsverwaltung
  • Enthalten Admin-Dashboards, Nutzungsanalysen und Audit-Protokolle
  • Pflegen Compliance-Zertifizierungen (SOC 2, ISO 27001, HIPAA BAA, wo zutreffend)
  • Bieten dedizierte Infrastruktur oder logische Isolation

Der praktische Unterschied zeigt sich bei der Haftung. Wenn ein Mitarbeiter Kundendaten in das kostenlose ChatGPT kopiert und diese Daten spätere Modell-Ausgaben beeinflussen, ist dein rechtliches Risiko erheblich. Dieselben Daten, über eine korrekt konfigurierte Enterprise-Stufe eingespeist, bleiben isoliert, protokolliert und löschbar.

Kosten folgen Fähigkeiten. Enterprise-KI-Abos liegen für Basispakete bei $20-60 pro Nutzer und Monat. Erweiterte Funktionen wie dedizierte Instanzen, eigene Modelle oder stärkere Compliance-Kontrollen treiben die Preise weiter nach oben. Stell diese Kosten den regulatorischen Bußgeldern und den Ausgaben für die Reaktion auf Sicherheitsvorfälle gegenüber, die du damit vermeidest.

Praktische Sicherheitskontrollen aufbauen

Richtlinien allein verhindern keinen Datenabfluss. Samsung hatte Richtlinien. Sie hatten auch Ingenieure unter Termindruck, die das schnellste verfügbare Werkzeug nutzten.

Technische Kontrollen erzeugen Reibung, die Richtlinien nicht erzeugen können.

Enterprise-KI proaktiv bereitstellen. Wenn du keine freigegebenen Alternativen lieferst, werden Mitarbeitende nicht freigegebene nutzen. Das „Shadow AI“-Problem ist im Kern ein Versorgungsproblem. Löse es mit besserer Versorgung.

DLP für KI-Abläufe umsetzen. Werkzeuge zur Verhinderung von Datenabfluss können sensible Inhalte erkennen und blockieren, bevor sie KI-Dienste erreichen. Moderne DLP-Lösungen erkennen typischen Datenverkehr zu KI-Werkzeugen und können spezifische Regeln anwenden.

Browser-Isolation für KI-Zugriff nutzen. Enterprise-Browser-Lösungen können den Zugriff auf KI-Dienste über kontrollierte Umgebungen leiten, in denen Unternehmensdaten nicht in die Zwischenablage gelangen.

Erlaubnislisten statt Sperrlisten. ChatGPT per Domain zu blockieren ist trivial zu umgehen. Konkrete KI-Werkzeuge zu erlauben – mit sauberer Konfiguration – ist deutlich belastbarer.

Alles protokollieren. Enterprise-KI-Stufen liefern Nutzungsprotokolle. Sammle sie. Integriere sie in dein SIEM. Lege Baselines fest. Untersuche Ausreißer.

Gezielt zu KI-Risiken schulen. Allgemeine Security-Awareness deckt die spezifischen Risiken von KI-Werkzeugen nicht ab. Zeig Mitarbeitenden, wie Datenabfluss aussieht. Demonstriere Prompt-Injection. Mach die Risiken konkret.

Incident-Response für KI-Exposition festlegen. Wenn sensible Daten ein KI-Werkzeug erreichen: Was ist die Reaktion? Wer untersucht? Was muss gemeldet werden? Definiere das, bevor du es brauchst.

Grenzen aktueller Lösungen

Eine ehrliche Einschätzung bedeutet anzuerkennen, was wir noch nicht lösen können.

Für Prompt-Injection gibt es keinen vollständigen Fix. Abmilderung hilft. Sorgfältige Architektur hilft mehr. Aber wie user TeMPOraL auf Hacker News anmerkte: “Prompt injection, being equivalent to social engineering, will always be a problem.” Die grundlegende Architektur heutiger Sprachmodelle macht eine zuverlässige Trennung von Anweisungen und Daten extrem schwierig.

Die Prüfung von KI-Ausgaben bleibt weitgehend manuell. Wenn KI Code, Verträge oder Kundenkommunikation erzeugt, müssen Menschen Genauigkeit und Angemessenheit prüfen. Eine automatisierte Prüfung steht – wenn überhaupt – noch ganz am Anfang.

Das Entfernen von Daten aus trainierten Modellen ist unpraktikabel. Wenn deine Daten ins Training eingeflossen sind, kann eine vollständige Extraktion technisch unmöglich sein. Der Code der Samsung-Ingenieure wird das Modellverhalten auf unbestimmte Zeit beeinflussen.

Compliance-Rahmenwerke hinken der Technologie hinterher. Die DSGVO wurde nicht mit großen Sprachmodellen im Kopf geschrieben. HIPAA auch nicht. Aufsichtsbehörden holen auf, aber Unklarheit bleibt. „Angemessene Sicherheitsmaßnahmen“ in einer Regelung von 2016 bedeuteten etwas anderes als heute.

Was das künftig bedeutet

Sicherheitsteams stehen vor einem echten Dilemma. KI-Werkzeuge bringen reale Produktivitätsgewinne. Sie komplett zu blockieren drängt Mitarbeitende zu unkontrollierten Alternativen. Sie ohne Kontrollen zu erlauben schafft Datenabfluss. Beide Extreme funktionieren nicht.

Der pragmatische Weg führt über kontrollierte Einführung. Stell sichere KI-Werkzeuge bereit. Konfiguriere sie korrekt. Überwache ihre Nutzung. Schulen Mitarbeitende zu Risiken. Akzeptiere, dass ein Restrisiko bleibt.

Behalte die Regulierung im Blick. Die Compliance-Fristen des EU AI Act rücken näher. Kaliforniens neue Regeln zur automatisierten Entscheidungsfindung traten 2026 in Kraft. Weitere Jurisdiktionen werden folgen. Sicherheitsprogramme, die KI-spezifische Anforderungen heute berücksichtigen, passen sich leichter an, wenn die Anforderungen sich weiterentwickeln.

Baue Beziehungen zu deinen KI-Anbietern auf. Sicherheit ist kein Merkmal, das du einmal kaufst. Es ist ein fortlaufendes Gespräch über Konfigurationen, Richtlinien und Incident Response. Anbieter, die bei Sicherheitsdetails nicht mitziehen, können wahrscheinlich keinen Enterprise-Grad an Schutz liefern.

Die Organisationen, die das gut navigieren, werden nicht die sein, die KI vermieden haben. Es werden die sein, die sie bewusst integriert haben – mit klaren Richtlinien, passenden Kontrollen und einer ehrlichen Anerkennung dessen, was sie verhindern konnten und was nicht.

Diese Anerkennung ist vermutlich der schwierigste Teil. Wir sind Sicherheitsprobleme mit Lösungen gewohnt. Patches. Konfigurationen. Schulungen. Die KI-Sicherheitslandschaft enthält Risiken ohne aktuelle Fixes. Mit dieser Unsicherheit zu leben und trotzdem voranzugehen, erfordert eine andere Art von Sicherheitsdenken.

Vielleicht ist das der eigentliche Wandel. Nicht nur neue Werkzeuge, die neue Richtlinien verlangen, sondern neue Risikokategorien, die ein neues Maß an Komfort mit Mehrdeutigkeit erfordern.

Ready For DatBot?

Use Gemini 2.5 Pro, Llama 4, DeepSeek R1, Claude 4, O3 and more in one place, and save time with dynamic prompts and automated workflows.

Top Articles

Come on in, the water's warm

See how much time DatBot.AI can save you