Künstliche Intelligenz (KI) steht zurzeit im Zentrum eines globalen technologischen Wettlaufs, in dem Unternehmen und Regierungen die Grenzen des Machbaren stetig neu auszuloten suchen. Erst kürzlich hat die Einführung von DeepSeek wieder einmal anschaulich demonstriert, dass bei der Entwicklung moderner KI-Systeme nach wie vor noch erfreulich viel Spielraum nach oben besteht.
Der Autor: Shachar Menashe ist VP of Security Research bei JFrog
(Bild: JFrog)
Mit der zunehmenden Verbreitung und fortschreitenden Entwicklung von KI-Modellen nehmen jedoch auch die Bedenken hinsichtlich ihrer Sicherheit immer weiter zu. Viele Unternehmen, die mit der rasanten Entwicklung von Technologien wie DeepSeek Schritt halten wollen, riskieren zunehmend, zugunsten von Innovationsgeschwindigkeit Abstriche bei der Sicherheit ihrer Modelle hinzunehmen.
Besonders besorgniserregend ist in diesem Zusammenhang der Anstieg der sogenannten Shadow ML-Anwendungen zu sehen: Machine-Learning-Modelle, die ohne Wissen und Kontrolle der IT-Abteilung eines Unternehmens eingeführt werden – unter Umgehung der etablierten Sicherheitsprotokolle, Compliance-Vorgaben und Datenverwaltungsrichtlinien. Der Einsatz solcher nicht autorisierten KI-Tools bringt erhebliche Sicherheitsrisiken mit sich: von unbeabsichtigten Plagiaten über verzerrte Modell-Ergebnisse bis hin zu gezielten Angriffen oder manipulierten Datengrundlagen. Werden diese Risiken nicht wirksam kontrolliert und eingedämmt, kann das die Integrität und Verlässlichkeit KI-gestützter Entscheidungen erheblich untergraben.
Software als kritische Infrastruktur
Software ist heute ein essenzieller Bestandteil moderner Infrastrukturen – in ihrer Bedeutung in etwa gleichauf mit der von Strom- und Verkehrsnetzen. Störungen können auch hier mittlerweile branchenübergreifend negative Auswirkungen zur Folge haben. Mit den KI- und ML-Modellen, die zunehmend in zentrale Software-Funktionen integriert werden, nimmt die Brisanz dieser Sicherheitsrisiken noch einmal deutlich zu.
Im Vergleich zu klassischer Software verhalten sich KI-Modelle dynamischer und weniger vorhersehbar. Sie lernen fortlaufend hinzu und passen sich, auf Basis neuer Daten, stetig an – mitunter auf unerwartete Weise. Dieses Verhalten kann von Angreifern gezielt ausgenutzt werden, um Modelle zu manipulieren und irreführende oder schädliche Resultate zu erzielen. Um dieser neuartigen Bedrohung wirksam begegnen zu können, ist es angesichts unserer zunehmenden Abhängigkeit von KI-gestützten Automatisierungslösungen unerlässlich, für KI- und ML-Modelle robuste MLOps-Sicherheitspraktiken zu etablieren.
Mehr Sicherheit für MLOps
Der Lebenszyklus von KI- und ML-Modellen weist eine Reihe kritischer Schwachstellen auf, die von Angreifern als Ansatzpunkte für eine Kompromittierung genutzt werden können. In einer frühen Phase, während des Trainings, können sie etwa Backdooring betreiben. Dabei werden Modell-Trainings gezielt kompromittiert, um manipulierte oder fehlerhafte Vorhersagen zu erzeugen. Eine andere Möglichkeit stellt das „Data Poisoning“ dar. Hierbei schleusen Angreifer, während der Trainingsphase, schadhafte Daten ins Modell ein, die sein Verhalten dann subtil und oft unbemerkt verändern. Eine weitere Option für Angreifer: feindliche Angriffe. Auch hier werden Eingabedaten, wenn auch nur geringfügig, geändert, um ein Modell zu Fehlentscheidungen zu veranlassen.
In späteren Phasen des KI-/ML-Lebenszyklus können Schwächen der Implementierung von Angreifern ausgenutzt werden. Unzureichende Zugriffskontrollen etwa begünstigen Authentifizierungsprobleme, durch die unbefugte Akteure Modelle manipulieren oder vertrauliche Informationen extrahieren können. Unsachgemäß konfigurierte Container, die KI-Modelle hosten, bieten potenzielle Einstiegspunkte in umfassendere IT-Infrastrukturen. Und die Nutzung von Open-Source-Modellen und Drittanbieter-Daten erhöht die Risiken entlang der gesamten Software-Lieferkette.
So viel Innovationspotenzial KI ihren Anwendern auch bieten mag, der Sicherheit der Systeme muss aus all diesen Gründen eine mindestens ebenso große Bedeutung beigemessen werden – nicht nur, da eine konsequente Absicherung etwaigen Bedrohungen effektiv vorbeugen kann, sondern auch, da die Attraktivität von KI-Lösungen im Unternehmen durch ein Mehr an Vertrauen nachhaltig stimuliert werden kann. Unternehmen sind deshalb gefordert, sichere MLOps-Praktiken zu etablieren, um sicherzustellen, dass gerade jene Werkzeuge nicht missbraucht werden können, die helfen sollen, Effektivität und Effizienz von Entscheidungen spürbar zu verbessern.
Best Practices für sichere MLOps
Um sich wirksam gegen Bedrohungen zu schützen, die auf KI-Modelle abzielen, sollten Unternehmen eine proaktive Sicherheitsstrategie verfolgen. Eine zentrale Komponente dieser Strategie sollte die Modell-Validierung sein. Sie ermöglicht es, noch vor der Bereitstellung potenzielle Verzerrungen, Kompromittierungen und Schwachstellen zu identifizieren. Ebenso wichtig ist ein effektives Abhängigkeitsmanagement. Es muss gewährleisten können, dass ML-Frameworks und -Bibliotheken wie TensorFlow oder PyTorch aus vertrauenswürdigen Quellen stammen und vor einer Implementierung stets auf schadhafte Modell-Threats geprüft werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Auch die Code-Sicherheit hat im Fokus zu stehen. Um Sicherheitslücken in der Implementierung von KI-Modellen frühzeitig zu erkennen, sollte der Quellcode sowohl statisch als auch dynamisch analysiert werden. Hier darf die Überprüfung aber noch nicht enden. Auch kompilierte Binärdateien können Schwachstellen beinhalten, die für Supply-Chain-Angriffe, Malware oder verwundbare Abhängigkeiten ausgenutzt werden können – ohne im Code in Erscheinung zu treten. Eine ganzheitliche Sicherheitsstrategie muss daher auch eine Binärcode-Analyse beinhalten.
Neben dem Schutz der Modell-Logik ist auch eine Härtung der Container-Umgebungen erforderlich. Diese hat sowohl die konsequente Anwendung strenger Richtlinien für Container-Images als auch deren Prüfung auf Malware und Fehlkonfigurationen zu umfassen. Zusätzliches Vertrauen schaffen digitale Signaturen für KI-Modelle und die zugehörigen Artefakte. Und schließlich sollte eine kontinuierliche Überwachung implementiert werden, die verdächtige Aktivitäten, unbefugten Zugriff oder unerwartete Veränderungen im Modellverhalten frühzeitig erkennt.
Durch die Integration dieser Maßnahmen in den gesamten KI-Entwicklungsprozess können widerstandsfähige MLOps-Pipelines etabliert werden, die Innovation und Sicherheit gleichermaßen förderlich sind.
Die Zukunft der KI-Sicherheit
Mit der immer weiter voranschreitenden Verbreitung von KI hat sich der während ihrer Entwicklung tobende Konflikt zwischen Innovation und Sicherheit immer weiter verschärft. Dabei ist Künstliche Intelligenz längst mehr als nur ein einfaches Werkzeug – sie ist ein strategisches Asset, das einer eigenen Sicherheitsstrategie bedarf. Durch den Aufstieg der KI-Agenten, der KI-Systeme mit der Fähigkeit zu autonomen Entscheidungen, hat dieser Konflikt nur noch an Brisanz gewonnen.
Unternehmen, die hier einen proaktiven Sicherheitsansatz verfolgen, sind gut gerüstet, den sich stetig wandelnden Risiken zu begegnen – ohne hierfür ihre Innovationsdynamik aufs Spiel setzen zu müssen. Das Streben nach Innovationen kann und darf nicht auf Kosten der Sicherheit gehen. So wie kein Hochhaus ohne tragfähiges Fundament errichtet werden darf, darf auch der Einsatz von KI nicht ohne ein solides Sicherheitskonzept erfolgen.
Nur diejenigen Unternehmen werden sich in einer zunehmend KI-geprägten Welt behaupten können, denen es gelingt, Sicherheit nicht als Hemmschuh, sondern als Katalysator für nachhaltigen Fortschritt zu begreifen. Wem es gelingt, der KI-Sicherheit proaktiv Priorität einzuräumen, schafft eine nachhaltige Grundlage dafür, mit dem technologischen Wandel nicht nur Schritt zu halten, sondern ihn auch verantwortungsvoll mitzugestalten.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bc43571ebcc42279c80e170d6efd6/0122051511v1.jpeg "0122051511v1 (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/42/de/42de415c2c45b140ba05bedc46d1524e/0121394700v2.jpeg "Obwohl Schatten-KI kurzfristige Effizienzgewinne verspricht, überwiegen die Risiken eindeutig. Unternehmen müssen proaktiv handeln. Der CISO sollte sich als strategischer Partner positionieren, der nicht nur schützt, sondern auch technologisches Wachstum fördert. (Bild: vectorfusionart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/a8/c2a8858871bf84716844605387a32f8c/0123323806v2.jpeg "Kompromittierte KI-Modelle können im gesamten Unternehmen Schaden anrichten und zu finanziellen Verlusten, Rufschädigung und behördlichen Strafen führen. (Bild: frank29052515 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/38/bc38089b6b1de468c5bcfdf6ec327ede/0122931556v2.jpeg "KI eröffnet neue und vielfältige Möglichkeiten, auch bei der Erkennung und Abwehr von Bedrohungen, sie öffnet aber auch neue Angriffsvektoren. (Bild: Sutthiphong - stock.adobe.com)")