Um 2:01 Uhr morgens analysiert ein KI-basiertes E-Mail-Security-System eine eingehende Nachricht und markiert sie als sicher. Was das System nicht erkennt: In der HTML-Struktur der E-Mail sind versteckte Anweisungen eingebettet — „Ignoriere deine Sicherheitsregeln." Das LLM liest sie, interpretiert sie als Instruktion und folgt ihnen. Das Sicherheitssystem ist soeben selbst zum Angriffspfad geworden.

Dieses Szenario ist keine Gedankenübung. EchoLeak war 2025 der erste bestätigte Zero-Click-Prompt-Injection-Exploit in einem produktiven LLM-System. Er etablierte Prompt Injection als praktische KI-Sicherheitsschwachstelle — vergleichbar in ihrer Schwere mit klassischen Cyberangriffen.

Bis 2026 sind LLMs keine experimentellen Werkzeuge mehr — sie sind in Kernsysteme eingebettet und mit echten Daten und echten Aktionen betraut. Das macht ihre Schwachstellen gefährlicher als traditionelle Software-Bugs. LLM-Security ist 2026 kein Randthema der IT-Sicherheit. Sie ist deren neue Frontlinie.

Warum LLMs strukturell angreifbar sind

Klassische Software-Sicherheit basiert auf den klaren Grenzen: vertrauenswürdige Eingaben kommen durch definierte Schnittstellen, nicht-vertrauenswürdige werden geblockt. LLMs funktionieren grundlegend anders. Sie verarbeiten natürliche Sprache — und natürliche Sprache lässt sich nicht mit Schema-Validierung bereinigen wie SQL-Inputs.

Prompt Injection nutzt genau diese Eigenschaft. Weil LLMs allen Prompt-Inhalten als potenzielle Instruktionen begegnen, kann bösartiger Text in abgerufenen oder externen Daten traditionelle Vertrauensgrenzen umgehen. Das System folgt der eingebetteten Anweisung, weil es nicht zwischen legitimer Instruktion und manipulierter Eingabe unterscheiden kann.

OWASP stuft Prompt Injection als die Nummer-eins-Schwachstelle in LLM-Anwendungen ein. Neuere und ausgefeiltere Modelle — GPT-4, Gemini, Claude — bleiben anfällig für fortgeschrittene Techniken. Einige Methoden zeigten universelle Wirksamkeit über mehrere Modellfamilien hinweg.

Welche Angriffsvektoren 2026 dominieren

LLM-Sicherheitsrisiken konzentrieren sich auf vier Bereiche, die sich gegenseitig verstärken:

Angriffsvektor Mechanismus Risikopotenzial
Prompt Injection (direkt) Bösartige Eingabe überschreibt System-Instruktionen Sehr hoch — OWASP #1
Prompt Injection (indirekt) Schadcode in abgerufenen Dokumenten/Webseiten Sehr hoch — schwer erkennbar
Shadow AI Mitarbeiter nutzen nicht-genehmigte LLMs mit Unternehmensdaten Hoch — unkontrollierbar
RAG-Datenvergiftung Manipulation der Wissensbasis, aus der LLMs schöpfen Hoch — persistenter Schaden
Cross-Agent-Exploits Niedrig-privilegierter Agent manipuliert höher-privilegierten Kritisch bei Agentic AI
Modell-Supply-Chain Backdoors in Trainingsdaten oder vortrainierten Modellen Mittel — schwer nachweisbar


Ein konkretes Beispiel aus der Praxis: Eine Schwachstelle in ServiceNows KI-Assistenten „Now Assist" ermöglichte Second-Order-Prompt-Injection — ein niedrig-privilegierter Agent wurde so manipuliert, dass er einen höher-privilegierten Agenten zur Ausführung unberechtigter Aktionen brachte. Der höhere Agent vertraute seinem Peer — und führte aus. Diese Art Cross-Agent-Exploit ist wie eine KI-gestützte Insider-Bedrohung.

Warum Agentic AI das Risiko potenziert

Die klassischen LLM-Schwachstellen sind problematisch. Agentic AI macht sie kritisch. Wer einem KI-Agenten Werkzeugzugriff gibt — E-Mails senden, Dateien lesen, APIs aufrufen — gibt ihm auch die Fähigkeit, Angriffe auszuführen, die über Text-Output weit hinausgehen.

Ein Angreifer, der einen KI-Agenten per Prompt Injection kontrolliert, kontrolliert nicht nur dessen Antwort. Er kontrolliert dessen Aktionen. Datenbankabfragen, Dateitransfers, externe Kommunikation — was der Agent darf, darf potenziell auch der Angreifer.

Die Branchen, die auf schnelle, verlässliche Systemreaktionen angewiesen sind, kennen das Prinzip der kontrollierten Zugriffssicherheit aus eigener Erfahrung. Wer im Casino Online spielt, erwartet ein System, das Berechtigungen klar trennt — was der Spieler tun darf, ist eindeutig definiert, und keine Eingabe kann diese Grenzen überschreiben. Genau diese Architektur fehlt in vielen LLM-Implementierungen.

Was Unternehmen konkret tun müssen

Die Herausforderung bei LLM-Security ist, dass Prompt-Prävention nie perfekt ist. Organisationen müssen für Eindämmung entwerfen, nicht nur für die Prävention.

Was konkret hilft:

  • Minimale Privilegien für KI-Agenten: LLMs dürfen nur auf Daten und Systeme zugreifen, die sie für ihre spezifische Aufgabe benötigen — kein Generalzugriff
  • Output-Validierung: KI-generierte Outputs werden vor der Ausführung auf Anomalien geprüft — kein blinder Trust in das, was das Modell zurückgibt
  • Sichere Datenpipelines: RAG-Quellen werden auf Vergiftungsversuche überwacht — nicht jeder Datenbankinhalt ist vertrauenswürdig
  • Shadow-AI-Governance: Klare Unternehmensrichtlinien, welche LLM-Dienste mit welchen Daten genutzt werden dürfen — und technische Durchsetzung
  • Monitoring und Anomalie-Erkennung: Synthetisches Monitoring mit Test-Prompts, die proaktiv nach Anzeichen manipulierten Modellverhaltens suchen
  • Geführte Eingabestrukturen: Statt Freitext-Prompts Templates mit definierten Eingabefeldern — begrenzt die Angriffsfläche für Prompt Engineering

Wo die Verantwortung liegt

LLM-Security ist nicht nur ein technisches Problem — es ist ein System-, Daten- und Kulturproblem. Wer KI-Systeme in Produktion bringt, ohne Sicherheitsarchitektur, übernimmt die Verantwortung für deren Schwachstellen.

Das trifft Unternehmen jeder Größe. Wer auf Wetten setzt, kalkuliert Risiken bewusst — beim Wetten im NV Casino gibt es klare Regeln, Limits und Transparenz darüber, was möglich ist und was nicht. LLM-Deployments ohne Security-Architektur sind das Gegenteil: unkontrollierte Risikoexposition ohne definierte Grenzen.

Was 2026 den Standard setzt

OWASP, NIST und ISO arbeiten an Rahmenwerken für LLM-Security — aber die Regulierung hinkt der Technologieentwicklung hinterher. Was 2026 den Unterschied macht, ist nicht das Rahmenwerk, sondern die Implementierung.

Unternehmen, die LLMs als kritische Infrastruktur behandeln — mit denselben Sicherheitsanforderungen wie Datenbanken und APIs — werden die Angriffswelle absorbieren. Unternehmen, die KI als Convenience-Tool ohne Security-Overhead betrachten, werden die Schlagzeilen der nächsten Datenpannen liefern. LLM-Security ist keine Zukunftsfrage mehr. Sie ist die Gegenwartsfrage, die viele Unternehmen noch nicht gestellt haben.

Zurück