Angreifer nutzen KI nicht mehr nur für raffinierte Phishing-Kampagnen, sondern richten sich zunehmend direkt gegen KI-basierte Unternehmenswerkzeuge. Versteckte Prompts in E-Mails können KI-Assistenten unbemerkt manipulieren, Daten exfiltrieren oder unautorisierte Aktionen auslösen.
Cyberkriminelle nutzen KI nicht mehr nur zum Verfassen von Phishing-E-Mails, sondern nehmen zunehmend auch KI-Tools von Unternehmen ins Visier. Dabei entstehen neue Risiken, die ein Umdenken seitens der Sicherheitsverantwortlichen erfordern.
Generative KI ermöglicht es sowohl Einzelpersonen als auch Unternehmen, viele Aufgaben besser und schneller zu erledigen. In Unternehmen kommt KI beispielsweise zunehmend zum Einsatz, um Produktivität, Effizienz und Cybersicherheit zu verbessern. Gleichzeitig wird die Technologie von Cyberangreifern genutzt, um Spam-E-Mails zu erstellen und zu versenden und gezielte, überzeugend wirkende Phishing-Angriffe durchzuführen.
Diese KI-gestützten Cyberbedrohungen entwickeln sich kontinuierlich weiter – und sind nicht die einzigen Arten und Weisen, wie Cyberangreifer sich KI zu Nutze machen. Inzwischen zielen Angreifer zunehmend auch auf die KI-basierten Business-Tools und Cybersicherheitsmaßnahmen von Unternehmen ab, um diese zu manipulieren und zu kompromittieren, die Cyberabwehr der Unternehmen zu schwächen und Daten zu stehlen.
Laut Hostinger nutzen mittlerweile fast acht von zehn Unternehmen (78 Prozent) weltweit KI, um mindestens eine ihrer Geschäftsfunktionen auszuführen oder zu unterstützen. Für knapp die Hälfte der Unternehmen (45 Prozent) trifft dies auf drei oder mehr Geschäftsfunktionen zu. Diese wachsende Abhängigkeit von KI-basierten Tools und Anwendungen führt dazu, dass diese zu immer attraktiveren Zielen für Cyberkriminelle werden.
KI-Assistenten und die großen Sprachmodelle (LLMs), auf denen sie basieren, sind anfällig für Missbrauch. So haben Sicherheitsforscher beispielsweise Vorfälle beobachtet, bei denen Anweisungen an KI, sogenannte Prompts, in legitim erscheinenden E-Mails versteckt wurden. Angreifer setzen darauf, dass diese schädlichen Prompts von den KI-Tools des Zielunternehmens gescannt und verarbeitet werden, die dann kompromittiert und anfällig für Manipulation werden.
Dieser Ansatz wurde zum Beispiel kürzlich in Copilot beobachtet, dem KI-Assistenten von Microsoft 365. Zwar wurde die Sicherheitslücke behoben, aber sie konnte es jedem ermöglichen, Informationen aus einem Netzwerk zu stehlen, ohne die üblichen Autorisierungsprozesse durchlaufen zu müssen. Angreifer können diese Sicherheitslücke ausnutzen, um sensible Informationen über ein Ziel zu sammeln und zu extrahieren.
Dafür senden Angreifer zunächst einem oder mehreren Mitarbeitern eines Unternehmens eine scheinbar harmlose E-Mail, die versteckte und eingebettete schädliche Prompts für KI-Assistenten enthält. Diese E-Mail erfordert keine Interaktion durch einen menschlichen Nutzer und verbleibt unbemerkt im E-Mail-Posteingang. Sobald der betroffene Mitarbeiter jedoch einen KI-Assistenten nutzt, durchsucht dieser ältere E-Mails, Dateien oder Daten, um Kontext für die Aufgabe zu erhalten. Dabei wird der KI-Assistent unbemerkt über den schädlichen Prompt in der zuvor gesendeten E-Mail kompromittiert. Der Prompt könnte den KI-Assistenten zum Beispiel dazu auffordern, sensible Informationen unbemerkt zu extrahieren, schädliche Befehle auszuführen oder Daten zu verändern.
Eine weitere Methode, mit der Angreifer versuchen, mithilfe von E-Mails KI-Assistenten zu manipulieren, besteht darin, das „Gedächtnis“ der KI oder die Art und Weise zu beeinflussen, wie sie Daten findet und verarbeitet. Zum Beispiel können einige KIs auf Informationen aus Quellen außerhalb ihres LLM-Trainingsmodells zugreifen und diese nutzen. Dieser Ansatz nennt sich RAG (Retrieval-Augmented Generation). RAG-Implementierungen sind anfällig für Manipulationen, die dazu führen, dass KI-Assistenten falsche Entscheidungen treffen, falsche Informationen liefern oder unbeabsichtigte Aktionen auf der Grundlage verfälschter Daten ausführen.
Darüber hinaus manipulieren Angreifer auch zunehmend die KI-basierten Komponenten von Cybersicherheitstechnologien. Viele E-Mail-Sicherheitsplattformen sind beispielsweise inzwischen mit KI-gestützten Funktionen ausgestattet, die ihre Nutzung einfacher und effizienter machen. Dazu zählen automatische Antworten, „smarte“ Weiterleitung, automatisches Erkennen und Entfernen von Spam, automatisches Erstellen von Tickets zur Problemlösung und viele weitere. Diese nützlichen Funktionen vergrößern jedoch auch die potenzielle Angriffsfläche, die ein Angreifer ausnutzen kann.
Ein Angreifer, dem es gelingt, diese Funktionen zu kompromittieren, könnte zum Beispiel E-Mail-Sicherheits-Tools dazu bringen, E-Mails automatisch zu beantworten – mit sensiblen Daten als Inhalt der Antwort-E-Mail – und diese so einfach zu stehlen. Alternativ könnte ein Angreifer auch die KI-basierten Funktionen ausnutzen, um Helpdesk-Tickets ohne weitere Überprüfung zu eskalieren, und so Zugriff auf wichtige Systeme oder Daten erhalten. Oder er könnte schädliche Aktivitäten automatisiert auslösen, beispielsweise um Malware zu platzieren oder kritische Daten zu verändern und so Geschäftsprozesse großflächig zu unterbrechen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI-basierte Tools werden immer öfter so konzipiert, dass sie mit einem hohen Maß an Autonomie arbeiten. Dies führt dazu, dass diese Tools dazu gebracht werden können, sich als legitime Nutzer auszugeben. In einem solchen Fall können Angreifer sie nutzen, um im Unternehmensnetzwerk Aktionen auszuführen, für die eigentlich nur besonders vertrauenswürdige Mitarbeiter die entsprechenden Berechtigungen haben. Oder die Angreifer bringen das System über die Tools dazu, sensible Daten preiszugeben oder betrügerische E-Mails zu versenden.
Wie sich E-Mail-Sicherheitsmaßnahmen anpassen müssen
Herkömmliche E-Mail-Sicherheitsmaßnahmen wie ältere E-Mail-Gateways, traditionelle Authentifizierungsprotokolle und Standard-IP-Blacklists reichen nicht länger aus, um diese neuen Bedrohungen abzuwehren. Unternehmen benötigen vielmehr eine E-Mail-Sicherheitsplattform, die gegen die Möglichkeiten von generativer KI gefeit ist.
Um ein Unternehmen gegen immer komplexere, KI-gestützte Angriffe zu schützen, sollte die Plattform in der Lage sein, neben dem Inhalt der E-Mails auch deren Kontext (Thema, Empfänger, Typ usw.), Ton und Verhalten zu verstehen. Außerdem sollten KI-basierte Filter zum Einsatz kommen, die verdächtige E-Mails nicht nur erkennen und blockieren, sondern auch nach und nach lernen, Manipulationen zu verhindern.
Zudem sollten KI-Assistenten isoliert arbeiten und Unternehmen sollten Maßnahmen treffen, um zu verhindern, dass die Assistenten Anweisungen ausführen, die vorher nicht ordnungsgemäß überprüft wurden. Nur weil beispielsweise eine E-Mail angeblich „vom CEO“ versendet wird und Details zu vertraulichen Strategieplänen verlangt, bedeutet dies nicht, dass die KI sofort automatisch darauf reagieren sollte. Dafür müssen die Tools so eingestellt sein, dass sie vor der Ausführung jede Anweisung überprüfen.
Die in Unternehmen eingesetzten KI-Tools basieren zunehmend auf sogenannter „Agentic AI“. Dabei handelt es sich um KI-Systeme, die in der Lage sind, unabhängige Entscheidungen zu treffen und autonom zu handeln. Die Systeme können überlegen, planen, Maßnahmen durchführen und sich in Echtzeit anpassen, um bestimmte Ziele zu erreichen. Gleichzeitig können diese leistungsstarken Funktionen jedoch von Angreifern ausgenutzt werden, weshalb Sicherheits-Tools mehr auf proaktive Bedrohungsmodellierung statt passiver Filterung setzen sollten.
E-Mails sind dafür ein ideales Beispiel, da in diesem Bereich zunehmend KI zum Einsatz kommt und E-Mails nach wie vor einer der häufigsten Angriffsvektoren sind. Sicherheitsstrategien sollten E-Mails daher nicht als reinen Kommunikationskanal, sondern als eine Ausführungsumgebung betrachten, die Zero-Trust-Prinzipien und eine kontinuierliche, KI-spezifische Validierung erfordert.
Über den Autor: Ashok Sakthivel ist Director of Engineering, Email Protection, bei Barracuda Networks und leitet die Entwicklung sicherer, integrierter und skalierbarer Cybersicherheitslösungen. Zuvor war er als Engineering Manager im Bereich Cisco SASE und Cisco Cloud Security bei Cisco tätig und hatte verschiedene Positionen unter anderem bei Hewlett Packard Enterprise, IBM und Affiliated Computer Systems inne.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/ab/d1/abd13c198ea79dcb5523a529d9aa3f46/0122696219v2.jpeg "Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren. (Bild: scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/41/f9414ce31e8109abe69fe576bf3bfdcb/0125224403v2.jpeg "Sicherheitsforschern ist es gelungen, einen Exploit zu entwickeln, der einen Designfehler in kontextbasierten Large Language Models ausnutzt. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/4d/7b4db513dbf3dffae788c10172bf461a/0123980029v2.jpeg "Um herauszufinden, ob er KI-Modelle dazu bringen könnte, Malware zu erstellen und den Chrome Password Manager zu jailbreaken, dachte sich ein Sicherheitsforscher von Cato die fiktive Welt Velora aus. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0a/c7/0ac75b9a5bd49226d22b44d43b763de2/0119487772v2.jpeg "Microsoft hat Schwachstellen bei verschiedenen KI-Modellen gefunden. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/71/a57199965c0f29869054e2edc7f87196/0119847044v2.jpeg "Durch die künstliche Intelligenz rücken die Daten noch mehr ins Blickfeld. Sie zu schützen, muss spätestens jetzt oberste Priorität aller Security-Maßnahmen haben. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/a5/48a5fd373775932cd3a9f9ee62d073c7/0120161205v2.jpeg "Ein Sicherheitsforscher hat auf der Black Hat 2024 gezeigt, wie leicht die KI-Dienste von Microsoft Copilot missbraucht werden können. (Bild: Microsoft / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d6/4e/d64e717ae140dbfe1bfca5ee1daf3747/0128018541v2.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")