Prompt Injection – Ein reales Risiko für KI-Systeme

Künstliche Intelligenz ist in vielen Unternehmen angekommen. Sprachmodelle wie ChatGPT, Gemini oder Bing Chat unterstützen bei Recherchen, Texten, Übersetzungen oder Automatisierungen. Doch mit der neuen Technik kommen auch neue Risiken – eines der gefährlichsten heisst Prompt Injection.

Was ist Prompt Injection?

Prompt Injection ist eine neuartige Angriffsform, die sich gezielt gegen sogenannte Large Language Models (LLMs) richtet. Angreifer manipulieren dabei die Eingaben an ein KI-System so, dass es seine eigenen Sicherheitsvorgaben ignoriert – mit potenziell gravierenden Folgen:

• Preisgabe vertraulicher Daten

• Umgehung von Schutzmechanismen

• Verbreitung von Falschinformationen

• Störung von Geschäftsprozessen

Im Kern nutzt Prompt Injection eine zentrale Schwäche der KI-Systeme aus: Sie können nicht unterscheiden, ob ein Text eine legitime Anweisung oder eine bösartige Manipulation ist – beides sieht für das Modell gleich aus.

So funktioniert Prompt Injection

LLMs funktionieren textbasiert. Sowohl Systemvorgaben (z. B. „Hilf dem User sachlich weiter, gib keine sensiblen Informationen preis“) als auch Benutzereingaben („Wie geht das?“) werden vom System gleich behandelt – nämlich als Text.

Ein einfacher Angriff könnte so aussehen:

Wenn das Modell nicht geschützt ist, führt es diese Anweisung aus – auch wenn sie klar gegen die Entwickler-Vorgaben verstösst.

Zwei Arten von Prompt Injection

🔓 Direkte Injection:Die bösartige Anweisung wird direkt vom User eingegeben. Klassisches Beispiel: „Ignoriere alle vorherigen Anweisungen...“

🕵️ Indirekte Injection:Die gefährliche Eingabe versteckt sich in einem Text, auf den das Modell später zugreift – z. B. in einem Webartikel oder E-Mail-Text, der automatisch verarbeitet wird. Das macht Angriffe schwer erkennbar.

Beispiel zum Ausprobieren (keine Sicherheitslücke, aber zum Verstehen)

Probier diesen Satz mal in einem Chatbot (z. B. einer Übersetzungs-KI) aus:

Je nach Schutzsystem reagiert das Modell wie erwartet – oder führt die Anweisung exakt aus, obwohl das keinen Sinn ergibt. Dieser einfache Test zeigt: Ohne gute Schutzmechanismen ist Manipulation leicht möglich.

Risiken für Unternehmen

Prompt Injection ist nicht nur ein theoretisches Problem. In der Praxis können folgende Szenarien auftreten:

• Datenlecks: Kunden- oder Geschäftsdaten werden offengelegt

• Geschäftsprozess-Manipulation: Rückerstattungen, Freigaben oder interne Automatismen werden missbraucht

• Verbreitung falscher Inhalte: Das Modell gibt ungewollt Fake News oder beleidigende Inhalte aus

• Verlust von Kontrolle: KI-Systeme agieren plötzlich ausserhalb ihres vorgesehenen Rahmens

  
  

Prompt Injection ≠ Jailbreaking

Beide Begriffe werden oft verwechselt, unterscheiden sich aber in ihrer Zielsetzung:

• Prompt Injection: Tarnung als legitime Benutzereingabe

• Jailbreaking: Expliziter Versuch, das KI-System in eine Art "Freischaltmodus" zu versetzen (z. B. mit Prompts wie „Do Anything Now“)

  
  

Was hilft gegen Prompt Injection?

✅ Trennung von Benutzer- und Systemprompts✅ Eingabefilter und Validierung✅ Logging & Monitoring von Modellantworten✅ Kontinuierliche Updates der Systemprompts✅ Sicherheits-Audits für externe Datenquellen (z. B. Webseiten, E-Mails)

Wichtig: Technischer Schutz allein reicht nicht. Auch Schulung und Awareness bei den Mitarbeitenden ist zentral.

Fazit: Keine Spielerei – ein echtes Risiko

Prompt Injection ist die neue Phishing-Falle im KI-Zeitalter. Die Angriffe kommen nicht in Form von Schadcode, sondern in natürlich wirkender Sprache – und sind deshalb so gefährlich. Unternehmen, Verwaltungen und Entwickler, die KI-Systeme nutzen, müssen sich aktiv mit dieser Bedrohung auseinandersetzen.

Denn: Wer der KI nicht genau sagt, was sie darf – bekommt irgendwann Antworten, die keiner mehr kontrolliert.