KI hat den schwächsten Eingang ins Unternehmen geöffnet

Fast jedes Unternehmen, das generative KI zügig eingeführt hat, verband damit dieselbe Hoffnung: mehr Produktivität, schnellere Abläufe, weniger Routinearbeit. Diese Rechnung geht in vielen Fällen auch auf. Allerdings gerät dabei leicht aus dem Blick, dass genau dieselben Systeme einen neuen Zugang schaffen, der für Angreifer besonders attraktiv ist, weil er sich sprachlich manipulieren lässt.

Wie groß die Lücke zwischen Nutzung und Absicherung ist, zeigt eine Umfrage von VentureBeat unter 100 technischen Entscheidungsträgern. Lediglich 34,7 Prozent der befragten Organisationen gaben an, dedizierte Schutzmaßnahmen gegen Prompt Injection eingeführt zu haben. Die übrigen 65,3 Prozent hatten entsprechende Werkzeuge entweder nicht beschafft oder konnten nicht einmal verlässlich sagen, ob solche Kontrollen in ihrem Stack vorhanden sind. Das deutet auf ein bekanntes Muster hin: Innovation wird schneller operationalisiert als Sicherheit.

Ein Vorfall, der die Maßstäbe verschoben hat

Spätestens seit dem Herbst 2025 ist klar, dass es sich nicht um ein theoretisches Randproblem handelt. Im September 2025 identifizierte das Threat-Intelligence-Team von Anthropic, wie Infosecurity Magazine berichtete, eine staatlich unterstützte chinesische Gruppe, die Claude Code, also einen legitimen KI-Coding-Assistenten, per Jailbreak zu einer autonomen Angriffsplattform umfunktionierte. Die KI übernahm 80 bis 90 Prozent der taktischen Arbeit in einer Kampagne gegen rund 30 Organisationen, darunter Technologieunternehmen, Finanzinstitute, Chemiehersteller und Behörden.

Bemerkenswert ist vor allem, wie wenig menschliche Eingriffe erforderlich waren. Pro Ziel mussten die Operatoren lediglich an vier bis sechs Entscheidungspunkten eingreifen. Aufklärung, Schwachstellenscans, das Abgreifen von Zugangsdaten, die Erstellung maßgeschneiderter Exploits sowie die Dokumentation nach Abschluss der Operation liefen weitgehend automatisiert und mit Tausenden Anfragen pro Sekunde.

Auch die Methode ist aufschlussreich. Die Angreifer erklärten dem System, es handle sich um defensive Tests im Auftrag eines legitimen Sicherheitsdienstleisters. Anschließend zerlegten sie den schädlichen Ablauf in viele kleine, für sich genommen unauffällige Aufgaben. Zusammengenommen ergab sich daraus jedoch eine vollständige Spionageoperation.

Warum sich Prompt Injection nicht einfach wegpatchen lässt

Nach aktuellen Einordnungen der OWASP ist Prompt Injection die wichtigste Schwachstelle in Anwendungen mit großen Sprachmodellen. Sie tritt in 73 Prozent der produktiven KI-Deployments auf. Je nach Systemkonfiguration liegen die Erfolgsraten von Angriffen zwischen 50 und 84 Prozent. Schon diese Spannbreite zeigt, dass es nicht um Einzelfälle, sondern um eine strukturelle Klasse von Risiken geht.

Am 13. Februar 2026 führte OpenAI für ChatGPT den sogenannten Lockdown Mode ein und räumte öffentlich ein, dass sich Prompt Injection in KI-Browsern womöglich nie vollständig beheben lässt. Diese Aussage ist deshalb relevant, weil sie nicht von außen an die Branche herangetragen wurde, sondern vom Anbieter selbst. Die Ursache liegt nach heutigem Kenntnisstand in der Architektur: Sprachmodelle können vertrauenswürdige Instruktionen und bösartige Eingaben, die in Inhalten versteckt sind, nicht zuverlässig voneinander trennen.

Dass daraus konkrete Sicherheitsprobleme entstehen, belegen mehrere kritische Schwachstellenmeldungen aus den Jahren 2025 und 2026. Microsoft Copilot erhielt einen CVSS-Wert von 9,3, GitHub Copilot erreichte 9,6 und Cursor IDE 9,8. Wer hier noch von hypothetischen Szenarien spricht, unterschätzt die Lage.

Produktivitätsgewinn und Angriffsfläche wachsen gleichzeitig

Besonders problematisch wird die Situation dort, wo KI nicht nur antwortet, sondern handelt. Der Cisco State of AI Security 2026, auf den Vectra AI verweist, beschreibt eine erhebliche Diskrepanz: 83 Prozent der Organisationen planen den Einsatz agentischer KI-Systeme, aber nur 29 Prozent fühlen sich in der Lage, diese auch sicher zu betreiben. Diese Differenz von 54 Punkten steht für Tausende Unternehmen, die autonome Systeme an sensible Prozesse anbinden möchten, ohne das Sicherheitsniveau entsprechend anzuheben.

Agentische KI liest Datenbanken aus, greift auf APIs zu, führt Code aus und verschickt Nachrichten im Namen des Unternehmens. Wenn eine Prompt Injection in einem solchen Umfeld gelingt, geht es nicht bloß um einen kompromittierten Chatverlauf. Der Angreifer erhält faktisch einen authentifizierten Insider mit programmatischem Zugriff auf Infrastruktur.

Dass der Markt für Prompt-Sicherheit von 1,51 Milliarden US-Dollar im Jahr 2024 auf 1,98 Milliarden US-Dollar im Jahr 2025 gewachsen ist, bei einer jährlichen Wachstumsrate von 31,5 Prozent, überrascht daher kaum. Die Dynamik erinnert an zugangsdatenbasierte Sicherheitsverletzungen, die bereits heute einen großen Teil realer Vorfälle ausmachen.

Was die besser vorbereiteten Organisationen anders machen

Bei den 34,7 Prozent, die bereits Schutzmaßnahmen eingeführt haben, lassen sich drei Muster erkennen. Erstens behandeln sie das Sprachmodell als nicht vertrauenswürdigen Akteur. Ergebnisse werden validiert, bevor sie Aktionen auslösen, und externe Inhalte werden gefiltert, bevor sie das Modell erreichen.

Zweitens trennen sie Berechtigungen konsequent. Ein Coding-Assistent darf nicht ohne menschliche Freigabe in Produktion deployen. Das klingt selbstverständlich, steht aber im Alltag häufig im Konflikt mit Bequemlichkeit und mit den alltäglichen Abkürzungen in der Cybersicherheit, die in vielen Unternehmen weiterhin toleriert werden.

Drittens betreiben sie fortlaufendes adversariales Testen. Sicherheitsteams versuchen also aktiv, die eigenen KI-Deployments mit denselben Techniken zu kompromittieren, die reale Angreifer verwenden würden.

Das Zeitfenster wird kleiner

Für Europa kommt ein weiterer Faktor hinzu. Der AI Act der Europäischen Union wird am 2. August 2026 vollständig anwendbar, mit Ausnahmen für einzelne Bereiche. Prompt Injection lässt sich bereits jetzt sieben maßgeblichen Rahmenwerken zuordnen, darunter OWASP, MITRE ATLAS, NIST und ISO 42001. Damit wird das Thema nicht nur zu einem operativen, sondern auch zu einem Compliance-Risiko.

Hinzu kommt die Geschwindigkeit moderner Angriffe. Die durchschnittliche Zeit zwischen Erstzugriff und lateraler Bewegung sank 2025 auf nur noch 29 Minuten, also um 65 Prozent gegenüber dem Vorjahr. Wenn KI immer größere Teile der Angriffskette automatisiert, dürfte dieses Fenster weiter schrumpfen. Die Werkzeuge, die Unternehmen für mehr Effizienz eingeführt haben, steigern damit zugleich die operative Schlagkraft der Gegenseite.