AI OPS Blog
Recht & Compliance

Prompt Injection: Die unterschätzte Sicherheitslücke in KI-Systemen

Eine präparierte E-Mail genügt und der KI-Assistent gibt interne Daten preis. Wie Prompt Injection funktioniert, was EchoLeak lehrt und was Sie dagegen tun.

ZAVION - AI OPS Engine19. Juni 202610 min
Prompt Injection: Die unterschätzte Sicherheitslücke in KI-Systemen

Das Wichtigste in Kürze

  • Prompt Injection ist die zentrale Schwachstelle von KI-Systemen, denn Modelle können Anweisungen und Daten nicht zuverlässig unterscheiden
  • EchoLeak (CVE-2025-32711) bewies den Ernstfall, eine einzige präparierte E-Mail liess Microsoft 365 Copilot ohne jeden Klick interne Daten preisgeben
  • OWASP ordnet Prompt Injection sechs von zehn Risikokategorien für agentische Anwendungen zu, laut IBM haben nur 37 Prozent der Organisationen eine Schatten-KI-Richtlinie
  • Schutz ist möglich, Minimalrechte, Freigaben für schreibende Aktionen, Ausgabefilter und Protokollierung gehören in jedes produktive KI-System

Stellen Sie sich einen neuen Mitarbeiter vor, der jede Anweisung befolgt, egal von wem sie kommt, vom Chef, aber auch aus einer E-Mail, einer Webseite oder einem PDF. Genau so verhalten sich KI-Systeme, wenn niemand gegensteuert. Prompt Injection heisst diese Angriffsklasse, und sie ist keine Theorie mehr. Je mehr Zugriff Ihre KI-Assistenten auf Postfächer, Dokumente und Systeme erhalten, desto grösser das Fenster für Angreifer.

Warum das Problem grundsätzlicher Natur ist

Sprachmodelle verarbeiten alles als Text, die Anweisung des Betreibers, die Frage des Nutzers und den Inhalt der E-Mail, die das System gerade liest. Eine harte technische Grenze zwischen 'Befehl' und 'Daten' existiert nicht. Ein Angreifer muss also keinen Server hacken, es genügt, Anweisungen dort zu platzieren, wo die KI liest, etwa in einer E-Mail-Signatur, in weisser Schrift auf weissem Grund, in den Metadaten eines Dokuments oder auf einer Webseite, die der Agent besucht. Besonders heikel ist die indirekte Variante, bei der der Schadtext gar nicht vom Nutzer stammt, sondern in Inhalten steckt, die das System automatisch verarbeitet.

EchoLeak: Der dokumentierte Ernstfall

Wie real das ist, zeigte die Schwachstelle EchoLeak (CVE-2025-32711) in Microsoft 365 Copilot, aufgedeckt von Forschern von Aim Security und mit einem Schweregrad von 9,3 von 10 bewertet. Beim Angriff landet eine unauffällige E-Mail mit versteckten Anweisungen im Postfach. Der Empfänger muss nichts anklicken. Sobald er später Copilot eine ganz normale Frage stellt, zieht das System die präparierte Mail als Kontext heran, führt die versteckten Anweisungen aus und schleust vertrauliche Daten nach aussen. Microsoft hat die Lücke serverseitig geschlossen und keinen Missbrauch in freier Wildbahn festgestellt. Die Architektur-Lektion bleibt, dass potenziell jeder KI-Assistent betroffen ist, der auf mehrere interne Datenquellen zugreift.

Was die Sicherheits-Community 2026 misst

9,3 / 10

Schweregrad der EchoLeak-Lücke (CVSS)

6 von 10

OWASP-Risikokategorien für Agenten, auf die Prompt Injection einzahlt

37%

der Organisationen mit Richtlinie gegen Schatten-KI (IBM)

9,6 / 10

Schweregrad einer 2025 gemeldeten MCP-Server-Lücke

Der OWASP-Report zum Stand der agentischen KI-Sicherheit zeichnet ein klares Bild. Prompt Injection bleibt der häufigste Ausgangspunkt von Sicherheitsvorfällen in produktiven Agenten-Systemen und zahlt auf sechs der zehn OWASP-Risikokategorien für agentische Anwendungen ein. Dazu kommen verwundbare Bausteine der Agenten-Infrastruktur selbst, etwa eine 2025 gemeldete Lücke in einem verbreiteten MCP-Werkzeug mit Schweregrad 9,6. Und organisatorisch klafft eine Lücke, denn nur 37 Prozent der Organisationen haben laut IBM überhaupt eine Richtlinie, um unkontrolliert eingesetzte KI-Werkzeuge im Unternehmen zu erkennen.

Wie Sie sich konkret schützen

Die schlechte Nachricht ist, dass sich Prompt Injection nicht restlos 'wegpatchen' lässt, weil sie aus der Funktionsweise der Modelle folgt. Die gute ist, dass mit sauberer Architektur aus einem Totalschaden ein beherrschbares Restrisiko wird. Die Verteidigung setzt nicht am Modell an, sondern an dem, was das Modell tun darf.

  1. 1Der Agent erhält nur Minimalrechte, also nur die Zugriffe, die sein Prozess erfordert. Ein Posteingangs-Assistent braucht kein Recht, Daten zu löschen oder Zahlungen auszulösen.
  2. 2Freigabe vor Wirkung bedeutet, jede Aktion mit Aussenwirkung, vom E-Mail-Versand bis zur Buchung, läuft über eine menschliche Bestätigung oder klar definierte, enge Automatik-Regeln.
  3. 3Eingaben als unzuverlässig behandeln heisst, Inhalte aus E-Mails, Webseiten und Dokumenten werden vom System als Daten markiert und gefiltert, nie als Anweisungen übernommen.
  4. 4Ausgaben prüfen, also Links, Datenabflüsse und ungewöhnliche Werkzeugaufrufe vor der Ausführung gegen Positivlisten laufen lassen.
  5. 5Protokollieren und testen gehört dazu, jede Agenten-Aktion wird aufgezeichnet, und das System wird regelmässig gezielt mit Injection-Versuchen getestet, bevor es Angreifer tun.

Prompt Injection wird uns begleiten, solange Sprachmodelle Texte lesen. Entscheidend ist, ob ein manipulierter Agent bei Ihnen eine peinliche Antwort produziert oder einen Datenabfluss. Diesen Unterschied macht nicht das Modell, sondern die Architektur darum herum.

Quellen

  • Help Net Security: Prompt injection still drives most agentic AI security failures in production (OWASP-Report), https://www.helpnetsecurity.com/2026/06/11/owasp-prompt-injection-ai-security-failures/
  • arXiv: EchoLeak, The First Real-World Zero-Click Prompt Injection Exploit in a Production LLM System, https://arxiv.org/abs/2509.10540
  • Sentra: EchoLeak (CVE-2025-32711), What the Microsoft Copilot Prompt Injection Vulnerability Means for Your Data, https://sentra.io/blog/copilot-echoleak-prompt-injection
  • Hack The Box: Inside CVE-2025-32711 (EchoLeak), https://www.hackthebox.com/blog/cve-2025-32711-echoleak-copilot-vulnerability
  • OWASP GenAI Security Project: Top 10 for Agentic Applications, https://genai.owasp.org/

Fazit von Marcel

Marcel Kaschner, Founder und Managing Director von ZAVION

Die riskantesten Systeme, die ich in Prüfungen sehe, sind nie die mit dem schwächsten Modell, sondern die mit den grosszügigsten Rechten, also Vollzugriff aufs Postfach, Schreibrechte im CRM und kein Protokoll. Prompt Injection lässt sich nicht wegpatchen, sie folgt aus der Funktionsweise der Modelle. Deshalb geht bei uns kein System ohne Berechtigungskonzept, Freigabe-Stufen und lückenlose Protokollierung in den Betrieb. Das ist keine Kür, das ist die Betriebserlaubnis.

Unterschrift Marcel Kaschner

Marcel Kaschner · Founder & Managing Director, ZAVION

Häufige Fragen

Was ist Prompt Injection?

Eine Angriffsklasse, die ausnutzt, dass Sprachmodelle Anweisungen und Daten nicht zuverlässig unterscheiden können. Ein Angreifer platziert versteckte Anweisungen dort, wo die KI liest, etwa in einer E-Mail-Signatur, in weisser Schrift auf weissem Grund oder auf einer Webseite. Besonders heikel ist die indirekte Variante, bei der der Schadtext in Inhalten steckt, die das System automatisch verarbeitet.

Gab es schon reale Schäden durch Prompt Injection?

Ja. Die Schwachstelle EchoLeak (CVE-2025-32711) in Microsoft 365 Copilot zeigte den Ernstfall, denn eine präparierte E-Mail genügte, um das System ohne einen einzigen Klick des Nutzers interne Daten preisgeben zu lassen, Schweregrad 9,3 von 10. Laut OWASP bleibt Prompt Injection der häufigste Ausgangspunkt von Sicherheitsvorfällen in produktiven Agenten-Systemen.

Wie schützt man KI-Systeme vor Prompt Injection?

Nicht am Modell, sondern an dem, was das Modell tun darf. Das bedeutet Minimalrechte für den Agenten, menschliche Freigabe vor jeder Aktion mit Aussenwirkung, Inhalte aus E-Mails und Webseiten als unzuverlässige Daten behandeln, Ausgaben gegen Positivlisten prüfen und jede Aktion protokollieren. So wird aus einem Totalschaden ein beherrschbares Restrisiko.

Aus der Praxis

Wo steckt in Ihren Prozessen der grösste Hebel?

Im kostenlosen Analysegespräch zeigen wir Ihnen, was sich in Ihrem Unternehmen automatisieren lässt und was ausdrücklich nicht. 30 Minuten, keine Folien, keine Verbindlichkeit.

Ehrliche Analyse auf AugenhöheKonkrete Handlungsempfehlung100% vertraulich