Immer mehr Angriffe zielen auf die Inferenz von KI-Systemen, also die Phase, in der Modelle Antworten erzeugen und sensible Daten verarbeiten. Adversariale Prompts, Manipulationen und API-Missbrauch zeigen, wie verwundbar diese Schnittstelle ist – und wie wichtig gezielte Schutzmaßnahmen werden.
Adversariale Prompts, Manipulationen und API-Missbrauch machen die Inferenz zur verwundbarsten Phase moderner KI-Systeme
(Bild: 3dkombinat - stock.adobe.com)
Künstliche Intelligenz ist heute ein fester Bestandteil vieler geschäftskritischer Anwendungen – von Chatbots über Finanzanalyse-Tools bis hin zu E-Health-Plattformen. Dabei rückt eine Phase besonders in den Fokus von Angreifern: die Inferenz. Sie findet nach der Trainingsphase statt und generiert die Antworten auf Prompts. Die dabei verwendeten und erzeugten Daten sind häufig hochsensibel – personenbezogene Informationen, geschäftskritische Kennzahlen oder vertrauliche Inhalte.
Genau hier setzen neue Angriffsformen an: Adversariale Prompts können die Ausgabe des Modells gezielt manipulieren. Prompt-Injection-Techniken umgehen Sicherheitsmechanismen und API-Missbrauch führt nicht selten zu Datendiebstahl, Systemüberlastung oder sogar zum Ausspionieren des Modells.
Trotz dieser Gefahren konzentrieren sich viele Sicherheitskonzepte primär auf Trainings- und Deployment-Phasen. Die Inferenz-Pipeline bleibt oft ungeschützt und wird damit zur versteckten Schwachstelle in der Sicherheitsarchitektur. Das besondere Risiko liegt im direkten Nutzerkontakt – ob über Web-Oberflächen, mobile Apps, Chatbots oder APIs.
Fehlen grundlegende Schutzmechanismen wie Rate-Limiting, Authentifizierung, Autorisierung oder eine kontinuierliche Überwachung der Zugriffe, haben Angreifer leichtes Spiel. Offene Schnittstellen ohne Bot-Schutz erleichtern den Missbrauch, etwa durch automatisierte Abfragen („Prompt Farming“) oder systematische Manipulationen von Antworten.
Die gute Nachricht: Bereits etablierte IT-Sicherheitsmaßnahmen sind eine adäquate Lösung – sie müssen aber konsequent und kontextabhängig eingesetzt werden:
Die Verschlüsselung sämtlicher Modellzugriffe, einschließlich der internen Service-Kommunikation, schützt vor Man-in-the-Middle-Angriffen.
Strikte Zugriffskontrollen und Authentifizierungsmechanismen, etwa durch Tokens, Client-Zertifikate oder signierte Requests, stellen sicher, dass nur verifizierte Clients und Nutzer auf die Systeme zugreifen können.
Rate-Limiting und Bot-Schutzmechanismen wie Fingerprinting oder verhaltensbasiertes Scoring erkennen einen Missbrauch frühzeitig und wehren ihn ab.
Die Analyse von Telemetriedaten und semantischen Auffälligkeiten in den Modellantworten ermöglicht es, Anomalien und Angriffsmuster schnell zu identifizieren.
Schutzmaßnahmen wie Web Application und API Protection (WAAP) setzen bereits an der Schnittstellenebene an und lassen sich direkt an der Edge implementieren, um mit geringer Latenz und hoher Effizienz Bedrohungen abzuwehren.
Über die etablierten Basismaßnahmen hinaus ist es entscheidend, auch speziell auf die Inferenz zugeschnittene Schutzmechanismen einzusetzen. Dazu gehören Eingabefilter, die Prompts auf verdächtige Muster oder manipulative Sprachkonstruktionen prüfen, sowie semantische Sicherheitsprüfungen, die Antworten auf Datenlecks oder untypische Muster analysieren. Ergänzend können „Honeypot-Prompts“ Angriffe frühzeitig enttarnen. Auch die Überwachung von Abfragefrequenzen und -variationen hilft, Model-Stealing oder Prompt-Farming zu erkennen. Adaptive Sicherheitslogiken schließlich passen Prüfmechanismen dynamisch an neue Angriffstechniken an und mindern so das Risiko adversarieller Manipulation im Betrieb.
Langfristig erfordert der Schutz der Inferenz-Phase einen strategischen Ansatz, der Governance und technische Aspekte gleichermaßen berücksichtigt. Teams müssen Sicherheitsanforderungen schon bei der Modellauswahl, der Gestaltung der Hosting-Architektur und der API-Definition berücksichtigen. Sie sollten außerdem die Privacy-by-Design-Prinzipien konsequent auf die gesamte KI-Infrastruktur anwenden.
Ein solcher Ansatz umfasst die Integration von Eingabefiltern, semantischen Sicherheitsprüfungen und adaptiven Sicherheitslogiken, die sich veränderten Bedrohungslagen anpassen. Darüber hinaus ist die Edge-Integration sicherheitsrelevanter Komponenten ein wirkungsvolles Mittel. Am Netzwerkrand implementiert, erkennen sie Angriffe so nah wie möglich am Eintrittspunkt, entlasten zentrale Systeme und reduzieren Latenzen.
Auch Dokumentation und Compliance spielen eine zentrale Rolle. Die lückenlose Protokollierung von Zugriffen, Modellentwicklung, Eingaben und Sicherheitsvorfällen bildet die Grundlage für Audits und die Erfüllung regulatorischer Anforderungen wie der DSGVO oder des EU AI Acts. Außerdem schafft sie Transparenz über die gesamte Nutzungskette hinweg. Diese Transparenz ist entscheidend, um Verantwortlichkeiten klar zuzuordnen, Schwachstellen schnell zu identifizieren und die Nachvollziehbarkeit von Entscheidungen zu gewährleisten – insbesondere dann, wenn KI-gestützte Systeme in sensiblen Bereichen eingesetzt werden.
Zudem fördert ein konsequentes Compliance-Framework die Implementierung standardisierter Sicherheitsrichtlinien von der Modellkonzeption bis hin zum Betrieb. Klar definierte Prozesse für Risikoanalysen, Freigaben und kontinuierliche Sicherheitsüberprüfungen verhindern, dass Sicherheitsmaßnahmen verwässern oder umgangen werden. Schulungen und Awareness-Programme sorgen dafür, dass Entwickler- und Betriebsteams die besonderen Risiken der Inferenz-Phase kennen und im Einklang mit regulatorischen Vorgaben handeln.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Unternehmen, die Inferenz-Workloads frühzeitig absichern, minimieren Datenschutz- und Integritätsrisiken und schaffen Vertrauen bei Kunden und Partnern. In einer Zeit, in der KI-Anwendungen immer tiefer in Geschäftsprozesse integriert sind, entscheidet robuste Sicherheit maßgeblich über Akzeptanz und langfristigen Erfolg.
Über die Autorin: Elena Simon ist General Manager DACH bei Gcore.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/98/d0/98d0a1fbfcf297fea40510e5c5ebec35/0125506762v2.jpeg "Ein in freier Wildbahn entdecktes Malware-Sample enthält eine versteckte Prompt Injection – gezielt platziert, um KI-basierte Sicherheitsanalysen zu unterlaufen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0d/01/0d015aa795dca91b0c31622cc551c9ca/0116437499.jpeg "Viele KI-Unternehmen haben Datensicherheit nicht gerade im Kern ihrer DNA. Sie benutzen Daten zum Training der eigenen Software, lagern sie in Cloud-Servern, teils außerhalb Europas aus oder geben wenig Einblicke in die Speicherfristen. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/d8/15d8af54d9e583cf22afaad3fa6576b4/0119527626v1.jpeg "Damit Deutschland bei KI nicht ins Hintertreffen gerät, braucht es vor allem mehr Klarheit und Sicherheit im Umgang mit den gesetzlichen Vorgaben. (Bild: © tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/62/5b627a6796ceb5333a403f9f5d6f813c/0122181205v2.jpeg "ETH-Benchmark bescheinigt KI-Sprachmodellen eine noch unzureichende Compliance. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/d4/82d439a1eb704449f3e298b30a431a25/0126403448v2.jpeg "KI für den Alltagsgebrauch ist sehr neugierig, aber manche LLMs schnüffeln mehr als andere. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ad/0f/ad0f8362c14619bd187093e55ad6b03d/0126456680v2.jpeg "Schatten-IT erleichtert zwar in Unternehmen manchmal Abläufe, bringt aber Sicherheitsrisiken und Produktivitätsverluste mit sich. (Bild: © robsonphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/6f/486fe36273660b81eded55651cbc161f/0123295403v1.jpeg "Ein neues Research Paper von Trend Micro zeigt, wie sich Angreifer die vermeintliche Transparenz von KI-Systemen zunutze machen können. Das Modell DeepSeek-R1, das mit Chain-of-Thought (CoT) Reasoning arbeitet, gibt in seinen Antworten detaillierte Denkschritte preis – und genau das macht es angreifbar. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/03/c003288d927184f8b2813d28b31081c2/0128543277v1.jpeg "Security-Gates im Secure Software Development Lifecycle, kurz Secure SDLC, prüfen Datenquellen, Modellartefakte und Tool-Zugriffe, bevor agentenbasierte Architekturen externe Schnittstellen nutzen. (Bild: © Urupong - stock.adobe.com)")