Ihre KI ist nicht sicher: Wie LLM-Hijacking und Prompt-Leaks eine neue Welle von Datenverstößen auslösen

26. Mai 2025

Die Sicherheitslage rund um große Sprachmodelle (LLMs) hat sich 2025 dramatisch verändert. Immer häufiger geraten nicht schlecht gesicherte Datenbanken, sondern die Schnittstellen zu Künstlicher Intelligenz ins Visier von Angreifern. Die Folgen: massive Datenlecks, gestohlene API-Schlüssel und hohe Kosten durch missbräuchliche Nutzung.

Ein besonders aufschlussreicher Fall ereignete sich bei einem schnell wachsenden Fintech-Startup. Unter Zeitdruck kopierte ein Junior-Entwickler versehentlich einen API-Schlüssel in ein öffentliches GitHub-Repository. Innerhalb weniger Stunden war der Schlüssel kompromittiert, wurde in Online-Foren gebündelt und auf Discord an ein kriminelles Netzwerk weiterverkauft. Als der CTO den sprunghaften Anstieg bei den Nutzungskosten bemerkte, war der Schaden bereits immens: Tausende Dollar an Rechenressourcen waren verbraucht – und sensible Geschäftsdaten möglicherweise öffentlich zugänglich.

Dieser Vorfall steht exemplarisch für eine Serie von Sicherheitsverstößen, die sich in der ersten Jahreshälfte 2025 häuften. Im Januar wurde das chinesische Sprachmodell DeepSeek Ziel eines Angriffs: Die gestohlenen API-Schlüssel ermöglichten es Angreifern, mehr als zwei Milliarden Tokens abzufragen – mit unbekannten Konsequenzen.

Nur wenige Wochen später traf es den beliebten Chatbot-Aggregator OmniGPT, der Nutzer mit verschiedenen LLMs verbindet. Bei einem umfassenden Leak wurden über 34 Millionen Nutzernachrichten sowie Tausende API-Schlüssel kompromittiert – ein Super-GAU in Sachen Datensicherheit.

Diese Vorfälle markieren eine bedrohliche Entwicklung: Sicherheitslücken bei KI-Anwendungen werden nicht mehr nur durch technische Fehler verursacht, sondern durch gezielte, raffinierte Angriffe auf die Schnittstellen zwischen Mensch und Maschine. Wer LLMs in seine Geschäftsprozesse integriert, muss sich darüber im Klaren sein, dass nicht nur Daten, sondern auch Vertrauen auf dem Spiel stehen.

Das neue Drehbuch: Wenn Angreifer nicht nur Daten, sondern auch Kontrolle übernehmen

Seit Jahren machen wir uns Sorgen darüber, dass Hacker Dateien stehlen oder Daten gegen Lösegeld zurückhalten.

Aber LLM-Hijacking ist etwas anderes – etwas Seltsameres und Heimtückischeres.

Angreifer haben es auf das „Gehirn“ abgesehen, das Ihre Apps, Ihre Forschung und Ihr Unternehmen antreibt.

Sie scrapen GitHub, scannen Cloud-Konfigurationen und durchsuchen sogar Slack-Kanäle nach offengelegten API-Schlüsseln. Sobald sie einen gefunden haben, können sie Schattennetzwerke aufbauen, den Zugriff weiterverkaufen, weitere Informationen für laterale Bewegungen extrahieren oder einfach Service-Rechnungen in Höhe von Summen auflaufen lassen, die jeden CFO in Ohnmacht fallen lassen würden.

Nehmen Sie den Fall DeepSeek, bei dem Angreifer Reverse Proxies verwendeten, um ihre Spuren zu verwischen, sodass Dutzende von böswilligen Akteuren dieselben gestohlenen Schlüssel unentdeckt ausnutzen konnten. Das Ergebnis? Sie könnten mit einer riesigen Rechnung für die unbefugte Nutzung von KI aufwachen – und mit dem Albtraum, dass Ihre privaten Daten, ob persönlich oder beruflich, im Internet veröffentlicht werden.

Aber die Sache wird noch komplizierter durch das Durchsickern von System-Prompts. System-Prompts – die geheimen Skripte, die einem GPT sagen, wie es sich verhalten soll – sollten vor den Endnutzern verborgen bleiben. Mit dem richtigen Prompt können Angreifer jedoch Modelle dazu bringen, diese Anweisungen preiszugeben und so die Logik, Regeln und manchmal sogar äußerst sensible Informationen offenlegen, die Ihre KI unter Kontrolle halten. Plötzlich spielt die KI, die Sie zu verstehen glaubten, nach den Regeln eines anderen.

Warum uns das alle beunruhigen sollte

Große Sprachmodelle (LLMs) halten mit rasanter Geschwindigkeit Einzug in nahezu alle Lebens- und Arbeitsbereiche: vom Kundenservice über das Gesundheitswesen bis hin zu juristischer Recherche und Softwareentwicklung. Doch mit jeder neuen Anwendung wächst nicht nur die Faszination – sondern auch die Angriffsfläche. Während Unternehmen KI-Systeme eifrig integrieren, scheint die Sicherheitskultur vielerorts noch im Zeitalter von „Passwort123“ steckengeblieben zu sein.

Parallel dazu floriert ein digitaler Schwarzmarkt für LLM-Exploits. Gestohlene Zugriffsschlüssel werden in Chatforen wie Discord gehandelt, als wären es Sammelkarten. Immer ausgefeiltere Werkzeuge ermöglichen es Angreifern, Prompts und sensible Inhalte abzufangen. Sicherheitslücken werden ausgenutzt, noch bevor Unternehmen überhaupt von ihrer Existenz wissen – die Angreifer sind den Verteidigern stets einen Schritt voraus.

Besorgniserregend ist vor allem eines: Je autonomer diese Systeme werden, desto größer wird das potenzielle Schadensausmaß im Falle eines Angriffs. Wir befinden uns in einem Wettlauf um Kontrolle, Vertrauen – und um die Frage, wie viel Verantwortung wir Maschinen überlassen wollen.

Die Vorstellung, KI sei „nur ein weiteres Werkzeug“, greift zu kurz. Sprachmodelle verhalten sich nicht wie klassische Software. Sie lernen, verallgemeinern und treffen Entscheidungen, deren Herleitung selbst Fachleute oft nicht vollständig erklären können. Sicherheit lässt sich nicht im Nachhinein einbauen – sie muss von Anfang an mitgedacht werden.

Doch inmitten des globalen KI-Goldrauschs setzen viele Unternehmen blind auf Technologien, deren Funktionsweise sie kaum verstehen. Dabei übersehen sie ein zentrales Risiko: LLMs werden immer mehr zum Herzstück geschäftskritischer Prozesse – von der ärztlichen Diagnose bis zur Finanzanalyse. Ein Fehler, ein Hack, ein unvorhersehbarer Output kann immense Folgen haben.

Die Konsequenz? Ohne einen grundlegenden Kurswechsel droht nicht nur finanzieller Schaden, sondern ein noch gravierenderer Verlust: das Vertrauen in diese Technologie. Die nächste Phase der KI-Integration wird davon abhängen, ob die Öffentlichkeit diese Systeme als sicher, transparent und vertrauenswürdig erlebt. Wer jedoch weiterhin auf undurchsichtige, schlecht gesicherte Systeme setzt, handelt fahrlässig – und riskiert, dass aus der Technologiehoffnung ein Sicherheitsdesaster wird.

Was sich idealerweise schon gestern hätte ändern müssen

Was also tun angesichts wachsender Risiken im Umgang mit großen Sprachmodellen (LLMs)? Die Antwort ist klar: handeln – und zwar sofort. Denn die Bedrohung ist real, und die Zeit, in der man sich auf Hoffnung oder Standardsicherheit verlassen konnte, ist vorbei.

1. API-Schlüssel sind kein Beifang – sie sind Plutonium.
Behandeln Sie sie auch so. Schlüssel gehören weder in Code-Repositories noch in Chatverläufe oder Protokolle. Ihr Zugriff sollte beschränkt, regelmäßig rotiert und streng überwacht sein. Wer heute noch Zugangsdaten in Slack teilt, handelt grob fahrlässig.

2. Überwachen Sie alles – in Echtzeit.
Die Nutzung von LLMs darf kein blinder Fleck bleiben. Wer nicht mitbekommt, dass seine KI mitten in der Nacht unerwartet riesige Datenmengen verarbeitet, riskiert nicht nur massive Cloud-Kosten, sondern öffnet Angreifern Tür und Tor. Sichtbarkeit ist der erste Schritt zu Kontrolle.

3. Vertrauen ist gut – zusätzliche Sicherheitslagen sind besser.
Die eingebauten Sicherheitsfunktionen vieler Modelle sind ein Anfang, aber kein Schutzschild. Unternehmen müssen eigene Schutzmechanismen etablieren: Input-Filter, Output-Prüfungen, Missbrauchserkennung. Wer LLMs in Interaktion mit Nutzern bringt, sollte stets davon ausgehen, dass jemand versucht, das System zu überlisten.

4. Red-Teaming muss zum Standard werden.
Testen Sie Ihre Systeme, als wären Sie der Angreifer. Beauftragen Sie interne oder externe Teams damit, Ihre LLM-Anwendungen zu knacken – bevor es andere tun. Nur so lassen sich Schwachstellen aufdecken, bevor sie zum Einfallstor werden.

5. Zugriffsrechte sind kein Detail, sondern ein Sicherheitsfundament.
Geben Sie Ihrem Chatbot nicht universellen Zugriff auf Ihre Systeme. Trennen Sie Bereiche, definieren Sie Rollen, begrenzen Sie Befugnisse – so, wie Sie es bei menschlichen Mitarbeitenden auch tun würden.

Es gibt erste positive Entwicklungen. Anbieter wie Nexos.ai, WhyLabs oder Lasso Security entwickeln Überwachungstools und Schutzmechanismen gegen Prompt-Injection und andere Angriffsszenarien. Noch ist keine Lösung perfekt – aber es entsteht endlich ein Ökosystem, das die Risiken ernst nimmt.

Denn eines steht fest: Das Gehirn Ihrer KI ist angreifbar – wenn Sie es nicht schützen, wird es jemand anderes benutzen.

LLM-Hijacking und das Auslesen von System-Prompts sind keine Zukunftsängste, sondern bereits Realität. Wer KI-Systeme heute in sein Unternehmen integriert, ohne ihnen echte Sicherheitsstrukturen zur Seite zu stellen, spielt mit dem Feuer. LLMs werden zunehmend zum digitalen Nervensystem moderner Organisationen. Wer sie nicht schützt, riskiert mehr als nur einen Ausfall – er riskiert das Vertrauen in das ganze Unternehmen.

Hoffnung ist keine Strategie.
Die Zukunft der KI ist vielversprechend – aber nur, wenn wir uns jetzt entschlossen mit ihrer Schattenseite auseinandersetzen. Sonst kommt der nächste Angriff schneller, als der Optimismus weichen kann.

Autor: Vincentas Baubonis ist Experte für Full-Stack-Softwareentwicklung und Web-App-Sicherheit mit Schwerpunkt auf der Identifizierung und Behebung kritischer Schwachstellen in IoT, Hardware-Hacking und Penetrationstests in Unternehmen. Als Leiter der Sicherheitsforschung bei Cybernews leitet er ein Team, das bedeutende Datenschutz- und Sicherheitsprobleme aufgedeckt hat, von denen namhafte Organisationen und Plattformen wie die NASA, Google Play und PayPal betroffen sind. Unter seiner Führung führt das Cybernews-Team jährlich über 7.000 Forschungsarbeiten durch und veröffentlicht mehr als 600 Studien, die Verbrauchern und Unternehmen umsetzbare Erkenntnisse zu Datensicherheitsrisiken liefern.

---

Bild/Quelle: https://depositphotos.com/de/home.html