blonde model with tattoos wearing sweater
Photo by Darlene Alderson on Pexels.com
Posted inDatenschutz IT Audit / Compliance / Security

Sicherheitsrisiken und Schutzmaßnahmen für Large Language Models

Die Schattenseiten der Sprachmodelle: Die 10 größten Risiken beim Einsatz von LLMs

Die rasante Entwicklung großer Sprachmodelle (Large Language Models, LLMs) hat die Arbeitswelt grundlegend verändert, doch diese technologische Revolution bringt neue, komplexe Sicherheitsrisiken mit sich. Während LLMs Effizienz und Automatisierung auf ein neues Niveau heben, öffnen sie gleichzeitig Türen für Angriffe, die mit klassischen IT-Schutzmechanismen kaum noch zu bewältigen sind.

Die Risiken lassen sich dabei in zwei zentrale Facetten unterteilen: Einerseits missbrauchen Kriminelle LLMs als Werkzeug, um beispielsweise Phishing-Angriffe zu perfektionieren oder Schadsoftware automatisiert zu entwickeln. Andererseits werden die Sprachmodelle selbst zum Angriffsziel, wobei Sprache und Kontext die neue Angriffsfläche bilden.

Der OWASP-Risikokatalog für LLM-Anwendungen

Um diese Bedrohungen systematisch einzuordnen, bietet das Open Worldwide Application Security Project (OWASP) mit den „Top Ten für LLM-Anwendungen“ einen international anerkannten Orientierungsrahmen. Die Liste für das Jahr 2025 stuft die folgenden Risiken als besonders kritisch ein:

  1. Prompt Injection (LLM01): Dies ist das zentrale Risiko. Angreifer nutzen gezielt formulierte Anweisungen (z. B. „Ignoriere alle Sicherheitsregeln“), um das Modell dazu zu bringen, interne Regeln auszuhebeln oder vertrauliche Daten preiszugeben. Besonders tückisch ist die indirekte Prompt Injection, bei der schädliche Befehle in externen Quellen wie Webseiten oder Dokumenten versteckt werden, die das LLM anschließend analysiert.
  2. Offenlegung sensibler Informationen (LLM02): Daten können durch unklare Eingabestrukturen oder zu weitreichende Zugriffsrechte auf interne Dokumente abfließen. Das Modell selbst kann oft nicht einschätzen, welche Informationen geschützt werden müssen.
  3. Schwachstellen in der Lieferkette (LLM03): Viele Systeme nutzen vortrainierte Datensätze oder Plug-ins von Drittanbietern, deren Integrität oft unzureichend geprüft wird, wodurch manipulierte Inhalte direkt in Arbeitsprozesse gelangen können.
  4. Poisoning von Daten und Modellen (LLM04): Durch das gezielte „Vergiften“ von Trainingsdaten können Angreifer das Verhalten des Modells langfristig manipulieren.
  5. Fehlerhafte Ausgabeverarbeitung (LLM05): Wenn KI-Antworten ungeprüft in andere Systeme fließen, können klassische Schwachstellen wie Script Injection entstehen.
  6. Übermäßige Handlungsfreiheit (LLM06): Je mehr Zugriff ein LLM auf APIs oder interne Dateien hat, desto größer ist die Gefahr, dass manipulierte Eingaben reale, schadhafte Aktionen in der IT-Umgebung auslösen.
  7. Offenlegung von System-Prompts (LLM07): Angreifer können durch geschickte Fragen die unsichtbaren Steueranweisungen (System-Prompts) des Modells rekonstruieren, was wertvolle Einblicke in Sicherheitsmechanismen liefert.
  8. Schwachstellen in Vektoren und Embeddings (LLM08): Die semantische Darstellung von Informationen in KI-Datenbanken kann manipuliert werden, um gezielte Fehlinterpretationen hervorzurufen.
  9. Fehlinformationen (LLM09): Modelle können halluzinierte oder bewusst gesetzte Falschinformationen erzeugen, was die Verlässlichkeit der Ergebnisse gefährdet.
  10. Unbegrenzter Verbrauch (LLM10): Massenhafte automatisierte Abfragen können die Ressourcen und Kosten (Pay-As-You-Go-Lizenzen) unkontrolliert in die Höhe treiben, was auch als „Denial of Wallet“-Angriff bezeichnet wird.

Menschliches Verhalten als Risikofaktor

Trotz der technischen Architektur bleibt der Mensch ein entscheidender Risikofaktor. Oftmals führen zu weitreichende Berechtigungen dazu, dass Mitarbeiter über das LLM Informationen abrufen können, für die sie eigentlich keine Berechtigung haben. Auch das unvorsichtige Hochladen interner Verträge oder Personaldaten in einen KI-Chat stellt ein erhebliches Datenschutzrisiko dar.

Ein weiteres spezifisches Risiko bei Cloud-KI-Diensten (wie etwa dem Microsoft Copilot) ist das „Web Grounding“: Suchanfragen an externe Suchmaschinen wie Bing verlassen die geschützte Dienstgrenze und können außerhalb der EU verarbeitet werden, was datenschutzrechtliche Restrisiken birgt.

Fazit: Ganzheitlicher Schutz erforderlich

Ein wirksamer Schutz entsteht nur, wenn technische, organisatorische und prozessuale Maßnahmen ineinandergreifen. Unternehmen sollten KI-Systeme so gestalten, dass Benutzereingaben nicht unmittelbar zur Steuerungsgrundlage werden und Modellantworten stets einen Prüfprozess durchlaufen, bevor sie in automatisierte Abläufe einfließen. Die konsequente Kontrolle der Ein- und Ausgaben sowie die Beschränkung der Befugnisse nach dem Prinzip der minimalen Rechte sind unverzichtbare Bausteine für einen sicheren KI-Betrieb.