LLM-Sicherheit & Prompt Injection erklärt (2026)
19. Mai 2001 · von Pentevo
Während Apps LLMs an alles anflanschen, hat sich eine neue Angriffsfläche aufgetan. Das größte Risiko ist Prompt Injection – und es ist die Version des Injection-Problems im KI-Zeitalter. Hier ein verteidigungsorientierter Überblick.
Das Kernproblem
LLMs trennen Anweisungen und Daten nicht sauber. Speist eine Anwendung nicht vertrauenswürdigen Text (eine Webseite, ein Dokument, eine Nutzernachricht) neben ihren echten Anweisungen in das Modell, kann ein Angreifer in diesen Daten Anweisungen verbergen – und das Modell folgt ihnen möglicherweise. Kommt Ihnen bekannt vor? Es ist dieselbe Grundursache wie bei SQL Injection und XSS: nicht vertrauenswürdige Eingaben, die als Code behandelt werden.
Die Hauptrisiken (Themen der OWASP LLM Top 10)
- Prompt Injection – bösartige Anweisungen, in Eingaben versteckt, die das Verhalten des Modells kapern.
- Indirekte Prompt Injection – die bösartige Anweisung steckt in Inhalten, die das Modell später liest (Webseite, E-Mail, Datei) – besonders gefährlich für KI-Agenten, die browsen oder Tools nutzen.
- Preisgabe sensibler Informationen – das Modell dazu bringen, System-Prompts, Geheimnisse oder Daten anderer Nutzer zu verraten.
- Unsichere Ausgabeverarbeitung – Modellausgaben vertrauen und sie ungeprüft an andere Systeme weiterreichen (was nachgelagert XSS oder Befehlsausführung verursachen kann).
- Übermäßige Handlungsvollmacht – einem KI-Agenten mehr Tools/Berechtigungen geben, als er haben sollte.
Warum es schwer ist
Anders als bei SQL gibt es für natürliche Sprache noch keine perfekte „parametrisierte Abfrage“. Man kann Anweisungen und Daten nicht so vollständig trennen wie in einer Datenbank. Deshalb ist die Verteidigung geschichtet, kein einzelner Fix.
Verteidigungen, die helfen
- Alle Modelleingaben als nicht vertrauenswürdig behandeln – und alle Ausgaben ebenso.
- Least Privilege für Agenten – Tools, Scopes und Berechtigungen begrenzen; für sensible Aktionen menschliche Freigabe verlangen.
- Ausgabevalidierung – LLM-Ausgaben nie ungeprüft an ein anderes System weiterreichen.
- Guardrails & Filterung – Ein-/Ausgabe-Klassifikatoren, Allow-Lists für Aktionen.
- Isolation – das, was das Modell erreichen kann, in einer Sandbox halten.
- Testen – Ihre LLM-Funktionen per Red Teaming prüfen, wie Sie jede App pentesten würden.
Das größere Bild
KI-Systeme abzusichern ist heute Teil der Anwendungssicherheit. Da immer mehr Produkte KI-Agenten ausliefern, wird Prompt Injection zu etwas, das standardmäßig getestet werden muss – und Tools, die es verstehen (wie KI-gestütztes Testing), sind gut aufgestellt, um es zu finden. Siehe KI in der Cybersicherheit.
Legen Sie kostenlos Ihre Sicherheitsgrundlagen in der Pentevo Academy.
Häufig gestellte Fragen
Was ist Prompt Injection?
Prompt Injection ist ein Angriff, bei dem bösartige Anweisungen in Eingaben versteckt werden, die ein großes Sprachmodell verarbeitet, und so dessen Verhalten kapern. Die Grundursache: LLMs trennen Anweisungen und Daten nicht sauber. Speist eine Anwendung nicht vertrauenswürdigen Text neben ihren echten Anweisungen in das Modell, kann ein Angreifer dort Anweisungen verbergen, denen das Modell dann folgt.
Was ist der Unterschied zwischen direkter und indirekter Prompt Injection?
Bei direkter Prompt Injection schreibt der Angreifer die bösartige Anweisung direkt in seine Eingabe an das Modell. Bei indirekter Prompt Injection steckt die Anweisung in Inhalten, die das Modell später liest – etwa eine Webseite, eine E-Mail oder eine Datei. Die indirekte Variante ist besonders gefährlich für KI-Agenten, die browsen oder Tools nutzen.
Wie schützt man LLM-Anwendungen vor Prompt Injection?
Es gibt keinen einzelnen Fix; die Verteidigung ist geschichtet. Behandeln Sie alle Modell-Ein- und -Ausgaben als nicht vertrauenswürdig, wenden Sie das Least-Privilege-Prinzip auf Agenten an, validieren Sie jede Ausgabe, bevor sie in andere Systeme gelangt, setzen Sie Guardrails und Filter ein, isolieren Sie, was das Modell erreichen kann, und testen Sie Ihre LLM-Funktionen per Red Teaming wie jede andere App.
Warum lässt sich Prompt Injection nicht einfach beheben?
Anders als bei SQL gibt es für natürliche Sprache noch keine perfekte parametrisierte Abfrage. Man kann Anweisungen und Daten nicht so sauber trennen wie in einer Datenbank. Deshalb ist die Verteidigung geschichtet statt ein einzelner Fix – und deshalb bleibt Prompt Injection eine offene Herausforderung.
Weiterführende Artikel
Autonome Penetrationstests erklärt (2026)
Was autonome Penetrationstests sind, wie kontinuierliches KI-gesteuertes Testen funktioniert, warum es wichtig ist und wie es menschliche Red Teams ergänzt.
AI SecurityKI vs. klassische Penetrationstests: Was brauchen Sie? (2026)
Ein klarer Vergleich von KI-gesteuerten und klassischen menschlichen Penetrationstests – Geschwindigkeit, Kosten, Abdeckung, Tiefe – und warum die beste Antwort meist beides ist.
AI SecurityKI in der Cybersicherheit: Wie KI Pentesting verändert (2026)
Wie künstliche Intelligenz offensive und defensive Sicherheit neu prägt – KI-gesteuerte Penetrationstests, autonome Agenten und was das für Praktiker bedeutet.
AI SecurityKI-Security-Agenten: Was sie sind und wie sie funktionieren (2026)
Was KI-Security-Agenten sind, wie autonome Agenten in der Cybersicherheit schlussfolgern und handeln, ihr Einsatz in Angriff und Verteidigung und die Leitplanken, die sie brauchen.
Praktisch anwenden
Die Pentevo Academy macht aus diesen Konzepten geführte Lektionen, Videos und Quizze — kostenlos.
Kostenlos lernen