Start Blog KI-Sicherheit
Alle Artikel
Security 20. Oktober 2025 8 Min. Lesezeit

KI-Sicherheit: Warum Ihr KI-System einen Pentest braucht

Prompt Injection, Jailbreaks, Data Leakage – KI-Systeme haben eigene Schwachstellen. Warum Penetrationstests für KI unverzichtbar sind.

Sie haben Ihre IT abgesichert. Firewalls, Penetrationstests, Schulungen. Dann führen Sie ein KI-System ein – und plötzlich gibt es eine neue Angriffsfläche, die Ihre klassischen Sicherheitsmaßnahmen nicht abdecken.

KI-Systeme sind keine normalen Anwendungen. Sie haben eigene Schwachstellen, die eigene Tests erfordern.

Die wichtigsten Angriffsvektoren

Prompt Injection

Ein Angreifer schleust Anweisungen in die Eingabe ein, die das Verhalten der KI verändern. Beispiel: Ein Chatbot soll nur Produktfragen beantworten – aber mit dem richtigen Prompt gibt er interne Informationen preis.

Indirect Prompt Injection

Noch gefährlicher: Schadcode versteckt in Dokumenten, Websites oder E-Mails, die die KI verarbeitet. Ein manipuliertes PDF kann die KI anweisen, sensible Daten an den Angreifer zu senden.

Jailbreaking

Techniken, um die eingebauten Sicherheitsvorkehrungen der KI zu umgehen. „Tu so, als wärst du DAN (Do Anything Now)" – und plötzlich ignoriert die KI ihre Regeln.

Data Leakage

Die KI gibt Informationen preis, die sie nicht preisgeben sollte – System-Prompts, Trainingsdaten, oder Informationen aus dem Kontext anderer Nutzer.

Details zu diesen Angriffsvektoren finden Sie auf unserer Seite zu Penetrationstests für KI-Systeme.

Warum klassische Pentests nicht reichen

Ein Standard-Penetrationstest prüft Infrastruktur, Netzwerk, Webanwendungen. Aber:

  • Andere Werkzeuge – Statt SQLMap und Burp Suite brauchen Sie spezialisierte LLM-Testing-Tools
  • Andere Methodik – Es geht um Sprache, Kontext, Manipulation – nicht um Buffer Overflows
  • Anderes Know-how – Sie brauchen Tester, die KI verstehen, nicht nur Netzwerke
  • Andere Referenz – OWASP Top 10 für LLMs statt klassische OWASP

Was ein KI-Pentest testet

  • Prompt Injection Resistenz – Wie robust ist das System gegen manipulierte Eingaben?
  • System Prompt Extraktion – Kann ein Angreifer die internen Anweisungen auslesen?
  • Jailbreak-Versuche – Lassen sich die Guardrails umgehen?
  • Daten-Exfiltration – Können Informationen aus dem RAG-System gestohlen werden?
  • Kontext-Isolation – Sind Daten verschiedener Nutzer/Mandanten sauber getrennt?
  • Output-Manipulation – Kann die KI zu gefährlichen oder falschen Aussagen gebracht werden?

OWASP Top 10 für LLMs: Die OWASP hat eine spezielle Top-10-Liste für LLM-Anwendungen veröffentlicht. Sie ist der Goldstandard für KI-Sicherheit und sollte die Basis jedes KI-Pentests sein.

Wann ist ein KI-Pentest sinnvoll?

  • Vor dem Go-Live – Bevor Kunden oder Mitarbeiter das System nutzen
  • Nach größeren Änderungen – Neue Modelle, neue Datenquellen, neue Funktionen
  • Regelmäßig – Angriffstechniken entwickeln sich ständig weiter
  • Nach Vorfällen – Wenn etwas Unerwartetes passiert ist

Absicherung über den Pentest hinaus

Ein Pentest zeigt Schwachstellen. Aber Sicherheit braucht mehr:

  • Zero Trust Architektur – Jeder Zugriff wird geprüft (mehr erfahren)
  • Monitoring – Auffällige Anfragen erkennen und blockieren
  • Rate Limiting – Brute-Force-Angriffe verhindern
  • Input Validation – Bekannte Angriffsmuster filtern
  • Output Filtering – Sensible Informationen vor der Ausgabe erkennen

Für höchste Anforderungen: Air-Gapped KI-Systeme bieten maximale Isolation.

OWASP Top 10 für LLMs im Detail

Die OWASP (Open Worldwide Application Security Project) hat eine spezialisierte Top-10-Liste für LLM-Anwendungen veröffentlicht, die als Referenz für jeden KI-Pentest dient. Für Unternehmen ist es wichtig, diese Risiken zu kennen und gezielt dagegen vorzugehen.

Die kritischsten Schwachstellen

  • LLM01: Prompt Injection – Manipulation der KI durch speziell gestaltete Eingaben. Betrifft sowohl direkte Nutzereingaben als auch indirekte Injections über verarbeitete Dokumente.
  • LLM02: Insecure Output Handling – KI-Ausgaben werden ohne Validierung in nachgelagerte Systeme weitergeleitet, was zu XSS, SQL-Injection oder anderen Angriffen führen kann.
  • LLM03: Training Data Poisoning – Manipulation der Trainingsdaten, um das Verhalten des Modells zu verändern. Besonders relevant bei Finetuning mit externen Daten.
  • LLM06: Sensitive Information Disclosure – Die KI gibt versehentlich vertrauliche Informationen aus Trainingsdaten, System-Prompts oder dem RAG-Kontext preis.

Praxisbeispiel: Pentest bei einem Finanzdienstleister
Ein Finanzunternehmen ließ seinen KI-Chatbot für Kundenanfragen testen. Der Pentest deckte auf: Durch eine Indirect Prompt Injection in einem PDF-Dokument konnte der Chatbot dazu gebracht werden, den System-Prompt – inklusive interner Geschäftsregeln für die Kreditvergabe – preiszugeben. Die Lösung: Input-Filtering, Output-Validierung und eine strikte Trennung zwischen System-Instruktionen und Nutzerdaten.

Sichere KI-Architektur aufbauen

Ein Pentest allein reicht nicht aus – Unternehmen brauchen eine durchdachte Sicherheitsarchitektur für ihre KI-Systeme. Die folgenden Ebenen bilden ein Defense-in-Depth-Konzept.

Netzwerkebene

Isolieren Sie KI-Systeme in eigenen Netzwerksegmenten. Der Zugriff sollte nur über definierte Schnittstellen möglich sein. Bei besonders sensiblen Anwendungen bietet eine Air-Gapped-Installation maximalen Schutz, da das System vollständig vom Internet getrennt ist.

Anwendungsebene

Implementieren Sie mehrstufige Sicherheitsmaßnahmen: Input-Validierung filtert bekannte Angriffsmuster, ein Guardrail-System prüft Ausgaben auf sensible Informationen, und Rate Limiting verhindert Brute-Force-Angriffe. Zero Trust Architekturen stellen sicher, dass jeder Zugriff einzeln authentifiziert und autorisiert wird.

Betriebsebene

Richten Sie umfassendes Logging und Monitoring ein. Ungewöhnliche Anfragemuster – etwa wiederholte Versuche, den System-Prompt zu extrahieren – sollten automatisch erkannt und blockiert werden. Regelmäßige Reviews der Logs helfen, neue Angriffsvektoren frühzeitig zu erkennen.

Empfehlung: Kombinieren Sie On-Premise-Betrieb mit einer Zero-Trust-Architektur für maximale Sicherheit. Unsere KI-Beratung hilft Ihnen, die richtige Sicherheitsarchitektur für Ihre Anforderungen zu planen.

Häufig gestellte Fragen zur KI-Sicherheit

Was ist ein KI-Pentest und wie unterscheidet er sich von klassischen Penetrationstests?

Ein KI-Pentest prüft Schwachstellen, die spezifisch für KI-Systeme sind: Prompt Injection, Jailbreaking, Datenexfiltration über den Kontext und Output-Manipulation. Klassische Penetrationstests decken Netzwerk- und Webanwendungsschwachstellen ab, können aber KI-spezifische Angriffsvektoren nicht identifizieren. KI-Pentests nutzen spezialisierte Tools und orientieren sich an der OWASP Top 10 für LLMs statt an der klassischen OWASP Top 10.

Was ist Prompt Injection und warum ist es gefährlich?

Prompt Injection ist ein Angriff, bei dem ein Nutzer gezielt manipulierte Eingaben an ein KI-System sendet, um dessen Verhalten zu verändern. Die KI kann dadurch interne Systemanweisungen preisgeben, Sicherheitsregeln ignorieren oder vertrauliche Daten aus dem RAG-System ausgeben. Indirect Prompt Injection ist noch gefährlicher: Hier wird Schadcode in Dokumente, E-Mails oder Websites eingebettet, die die KI verarbeitet – der Angriff erfolgt also ohne direkten Kontakt zum System.

Wie oft sollte ein KI-Pentest durchgeführt werden?

Ein KI-Pentest sollte vor jedem Go-Live stattfinden, nach jeder größeren Änderung am Modell, den Datenquellen oder den System-Prompts, und mindestens einmal jährlich als regelmäßige Überprüfung. Bei sicherheitskritischen Anwendungen in Finanzen, Gesundheitswesen oder kritischer Infrastruktur empfiehlt sich ein halbjährlicher Rhythmus. Kontaktieren Sie uns für einen KI-Pentest.

Kann On-Premise-KI die Sicherheit verbessern?

Ja, erheblich. On-Premise-KI bietet: keine Datenübertragung an externe Server, volle Kontrolle über Zugriffsrechte und Netzwerksegmentierung, Möglichkeit zur Air-Gapped-Installation für maximale Isolation, einfacheres Monitoring aller Zugriffe und keine Abhängigkeit von den Sicherheitsmaßnahmen externer Anbieter. Die Angriffsfläche wird deutlich reduziert, da der gesamte Datenverkehr im internen Netzwerk bleibt.

Passende Leistungen
KI-Pentest Zero Trust Architektur Air-Gapped KI KI-Beratung

Wie sicher ist Ihre KI?

Wir testen Ihr KI-System auf die wichtigsten Schwachstellen – mit Bericht und Maßnahmenplan.

Pentest anfragen
Weitere Artikel
Datenschutz

Datenschutz und KI: So schützen Sie sensible Daten

KI und DSGVO – wie Sie ChatGPT & Co. nutzen ohne Datenschutz-Verstöße.
Regulierung

EU AI Act: Was Unternehmen jetzt wissen müssen

Risikokategorien, Pflichten, Strafen und Fristen – ein Überblick.