Generative KI auf Basis von Large Language Models bringt viele Vorteile, birgt aber auch neue Risiken. Um die innovative Technologie sicher zu nutzen, müssen Unternehmen die wichtigsten Bedrohungen erkennen, bewerten und gezielt adressieren. Wie gelingt das am besten und wo lauern die größten Gefahren?
Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren.
(Bild: scaliger - stock.adobe.com)
Large Language Models (LLMs) sind auf dem Vormarsch. Laut einer aktuellen ESG-Studie setzen 85 Prozent der Unternehmen die neue Technologie bereits ein, 13 Prozent sind in der Entwicklungsphase. Mit einer Durchdringungsrate von 98 Prozent haben LLMs einen festen Platz im Arbeitsalltag erobert und werden dort aller Voraussicht nach auch bleiben. Sie können uns von monotonen Arbeitsabläufen entlasten, Zeit für anspruchsvollere Aufgaben freiräumen und uns produktiver machen.
Aber bei allen Vorteilen birgt die Implementierung der neuen Technologie auch zahlreiche Risiken. Viele Unternehmen sind daher verunsichert und reagieren erst einmal zögerlich. Welche Gefahren lauern und wie bekommt man sie in den Griff? Der erste Schritt zu einem sicheren, verantwortungsvollen Umgang mit LLMs besteht darin, sich der Risiken bewusst zu werden, sie zu bewerten und gezielt zu adressieren. Dabei sollten Unternehmen zwischen Bedrohungen von innen und von außen differenzieren.
Wenn die KI halluziniert
Interne Risiken entstehen, wenn Mitarbeiter und Kunden mit den KI-Modellen interagieren. Zu den größten Problemen zählen Halluzinationen: Wenn die KI eine Frage nicht beantworten kann, fängt sie an zu fantasieren und generiert Output, der zwar plausibel klingt, aber irrelevant und sachlich falsch ist. Gerade im Arbeitskontext kann das sehr heikel sein und schränkt den wahrgenommenen Nutzen von LLMs ein. Anwender sollten den KI-generierten Content daher nie blind übernehmen, sondern alle Informationen sorgfältig prüfen. Sonst besteht die Gefahr, dass das Unternehmen falsche Entscheidungen trifft oder Reputationsverlust erleidet, weil fehlerhafte Inhalte nach außen kommuniziert werden.
Das zweite große Risiko sind Datenlecks. LLMs werden mit riesigen Datenmengen trainiert, die im Falle von individuellen Implementierungen auch sensible Informationen und personenbezogene Daten enthalten können. Viele Unternehmen nutzen heute die Möglichkeit zur Feinjustierung, indem sie vortrainierte LLMs um proprietäre Daten anreichern. Außerdem fließen auch Inhalte aus den Eingabe-Prompts in das Modell ein. Unternehmen sollten sich bewusst sein: Grundsätzlich kann die KI alles, was sie konsumiert, auch wieder ausgeben. Sowohl beim Input als auch beim Output besteht daher das Risiko für Compliance-Verstöße. Selbst Filter, die Datenlecks vermeiden sollen, lassen sich austricksen. So demonstrierten Forscher zum Beispiel, wie sie mit gezieltem Fine-Tuning von GPT-3.5 die Datenschutzkontrollen von OpenAI umgehen konnten.
Eng mit dem Problem der Datenlecks verbunden ist das Risiko für Toxizität. Wenn LLMs mit unausgewogenen Datensätzen trainiert oder durch entsprechenden Nutzer-Input beeinflusst werden, können sie verletzenden oder diskriminierenden Output generieren. Ein bekanntes Beispiel ist Microsofts Twitter-Chatbot Tay, den boshafte Anwender dazu gebracht hatten, beleidigende Tweets zu posten. Nach nur 24 Stunden musste Microsoft Tay wieder vom Markt nehmen und sich öffentlich entschuldigen. Während explizite Toxizität wie Schimpfwörter oder beleidigende Sprache leicht erkennbar ist, lässt sich implizite Toxizität, zum Beispiel Metaphern, Sarkasmus oder Umschreibungen, nur schwer herausfiltern.
Neben Gefahren von innen sind LLMs auch Cyberbedrohungen von außen ausgesetzt. Was, wenn es Cyberkriminellen gelingt, auf Trainingsdaten zuzugreifen? Dann könnten sie nicht nur sensible Informationen stehlen, sondern auch Daten kompromittieren, um den Output der KI zu beeinflussen. Solche Angriffe passieren. Im Juni 2024 meldete zum Beispiel das KI-Unternehmen Hugging Face unautorisierten Zugriff auf seine Spaces-Plattform. Diese bietet Kunden die Möglichkeit, Anwendungen mit KI und Machine Learning (ML) zu erstellen, zu hosten und zu teilen. Eine Kompromittierung hat also weitreichende Folgen.
Trainingsdaten-Poisoning zählt laut OWASP (Open Worldwide Application Security Projekt) zu den drei beliebtesten Angriffstechniken gegen LLMs, neben unsicherem Output Handling und Prompt Injection. Unsicheres Output-Handling nutzt das Unvermögen der KI aus, gefährliche Antworten zu erkennen. Auf diese Weise können Cyberkriminelle zum Beispiel Cross-Site-Scripting- oder Cross-Site-Request-Forgery-Angriffe durchführen. Prompt Injection manipuliert das LLM durch bösartige Eingaben, sodass es zum Beispiel sensible Informationen preisgibt oder Schadcode ausführt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Effektive Strategien, um externe Risiken zu mindern
Es gibt einige bewährte Best Practices, um die Angriffsfläche zu reduzieren. Unverzichtbar ist zum Beispiel ein kontinuierliches Monitoring aller IT-Systeme, die in der Entwicklungs- und Produktionsumgebung eingesetzt werden. Dabei sollten Unternehmen darauf achten, dass das SOC (Security Operations Center) über Erkennungsregeln für LLM-Angriffe verfügt. Elastic Security Labs hat ein solches Repository zum Beispiel auf der Entwicklerplattform GitHub veröffentlicht. Um Angriffe wie Prompt Injection- und unsicheres Output-Handling abzuwehren, empfiehlt sich die Implementierung von Mechanismen zur Eingabe-Validierung und -Bereinigung. Außerdem können Unternehmen das LLM mit Logdaten und historischen Chatverläufen so trainieren, dass es potenziell gefährliche Prompts erkennt.
Eine gute Methode, um ein sicheres LLM zu entwickeln, ist außerdem ein sogenanntes Generative Adversarial Network (GAN). In einem solchen Szenario treten zwei neuronale Netze gegeneinander an. Die eine KI nimmt die Rolle des Angreifers ein und versucht, Schwachstellen auszunutzen, Daten zu exfiltrieren oder zu kompromittieren. Die andere KI soll die Aktionen des Gegners aufdecken, Gegenmaßnahmen ergreifen und den Angriff eindämmen. GAN-Training ist eine effektive Möglichkeit, Schwachstellen in LLMs zu erkennen und die Modelle zu härten.
Interne Risiken adressieren mit Kontrollen, Trainings und RAG
Auch um interne Risiken zu mindern, sind kontinuierliches Monitoring sowie Input- und Output-Kontrollen wichtig. Unternehmen sollten prüfen, wie Mitarbeiter die LLM-Applikationen nutzen, und proaktiv das Bewusstsein für damit verbundene Risiken schärfen. Hier spielen Trainings und Workshops eine zentrale Rolle. Eine gute Datenhygiene und ein Rollen- und Rechtekonzept sorgen außerdem dafür, dass Anwender nur auf Daten zugreifen können, für die sie autorisiert sind. Solche Kontrollen lassen sich zum Beispiel mit einem RAG-Ansatz (Retrieval Augmented Generation) etablieren. Dieser trägt gleichzeitig dazu bei, das Risiko für Halluzinationen zu reduzieren.
RAG ist eine Technik, um das LLM mit Informationen aus privaten oder proprietären Datenquellen anzureichern, ohne es neu zu trainieren. Wenn der Nutzer eine Frage eingibt, durchsucht das Abrufmodell zunächst diese Datenquellen. Die ermittelten Informationen werden als Wissensvektoren in einer Vektordatenbank gespeichert. Daraus generiert das LLM anschließend eine Antwort. So können Unternehmen sicherstellen, dass der Output der KI auf geprüften, verlässlichen Informationen basiert, was die Qualität der Antworten steigert.
Wie jede Innovation bei IT-Systemen birgt auch die Implementierung von LLMs Gefahren. Doch es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu mindern. Viele Security-Experten glauben, dass Cyberkriminelle derzeit im Vorteil sind und die Branche noch aufholen muss. Doch dabei vergessen sie, dass beide Seiten Innovationen nutzen können. Noch lässt sich schwer vorhersehen, wie generative KI die Technologie-Landschaft verändern wird. In jedem Fall sind LLMs sehr leistungsfähige Werkzeuge mit einer steilen Lernkurve. Umso wichtiger ist es, diesen Fortschritt sicher und verantwortungsvoll zu gestalten.
Über den Autor: Thorben Jändling ist Principal Solution Architect EMEA und Sicherheitsexperte bei Elastic.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/a6/e7/a6e794eab43728a152a30c46816041a5/0117565119.jpeg "Was ist eigentlich „KI“ und wie funktioniert ein Large Language Model (LLM)? Im ersten Teil unserer neue Serie „KI in der IT-Sicherheit“ tauchen wir zum besseren Verständnis der Technologie erst einmal in die Grundlagen ein. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/6e/166eba68664be6302671f2898d49bb15/0120492630v2.jpeg "Viele Unternehmen sind sich über die Risiken der KI-Nutzung im Klaren, aber nicht darüber, wie sie sich dagegen schützen können. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/d4/9cd4542fca3444c54b8f093a2997c760/0121539256v1.jpeg "In den Open-Source-LLMs ChuanhuChatGPT, Lunary und LocalAI finden sich schwerwiegende Sicherheitslücken. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b1/16/b11694ff57e5b77b1d1e53d21be6a5c8/0113376989.jpeg "Die OWASP Top 10 für LLM ermöglichen es Unternehmen und Organisationen, die mit diesen Modellen arbeiten, frühzeitig Sicherheitsrisiken und -probleme bei KI zu erkennen, zu bewerten und zu behandeln. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/71/a57199965c0f29869054e2edc7f87196/0119847044v2.jpeg "Durch die künstliche Intelligenz rücken die Daten noch mehr ins Blickfeld. Sie zu schützen, muss spätestens jetzt oberste Priorität aller Security-Maßnahmen haben. (Bild: Alexander Limbach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/82/4b82f6975ee95ff2f0798b21b715bb11/0122200171v2.jpeg "Ein Großteil der Cybersicherheitsprofis hat bereits eine GenAI-Lösung gekauft und hat dies vor. Davon versprechen sie sich Kostensenkung durch weniger personellen Aufwand und weniger Sicherheitsvorfälle. (Bild: mindscapephotos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/b7/11b76b96dbdb151a31906cad21db8a64/0123327739v1.jpeg "Der Autor: Matthias Bissinger ist Senior Security Consultant (DACH) bei aDvens. (Bild: aDvens)")