Angreifer vergiften Trainingsdaten und lenken KI in falsche Bahnen. Security-Teams können Manipulation durch Data Poisoning und Risiken für LLM und RAG mit einer „AI Bill of Materials“, Anomalieerkennung und gezielten Schutzmaßnahmen erkennen verhindern und so die Integrität von Entscheidungen sicherstellen.
Vertrauen in KI entsteht nicht allein durch Technologie, sondern durch Transparenz, klare Regeln, unabhängige Kontrolle und einen offenen gesellschaftlichen Diskurs.
Künstliche Intelligenz (KI) hat sich längst zu einem fundamentalen Element vieler Entscheidungsprozesse entwickelt. Sprachmodelle wie ChatGPT oder KI-Assistenten wie Mistral Le Chat bestimmen mit, wie wir sowohl im beruflichen als auch privaten Kontext Informationen aufnehmen, Inhalte generieren und Strategien entwickeln – häufig auch ohne, dass dies offen kommuniziert wird. KI-Agenten können sogar autonom handeln und dynamisch auf ihre Umgebung reagieren. Doch je stärker wir KI-Systeme in zentrale Prozesse einbinden, desto größer wird auch das Risiko. Eine der aktuell am meisten unterschätzten Bedrohungen: Data Poisoning – die gezielte Manipulation von Trainingsdaten, auf deren Grundlage KI ihre Entscheidungen trifft oder Schlussfolgerungen zieht.
Im Unterschied zu klassischen Cyberangriffen, bei denen Systeme direkt angegriffen oder infiltriert werden, ist die Gefahr des Data Poisoning subtiler. Angreifer platzieren gezielt falsche oder verzerrte Inhalte in öffentlich zugängliche Quellen ein – in der Hoffnung, dass diese später von KI-Systemen als Trainingsdaten verwendet und verarbeitet werden. Solche Angriffe erfordern keinen Systemzugriff, da die Veröffentlichung manipulierter Daten oder Modelle oft legitim erscheint. Besonders betroffen sind sogenannte Retrieval-Augmented Generation (RAG)-Modelle, die fortlaufend auf externe Informationen zugreifen – selbst nach der Trainingsphase.
Ein weit verbreitetes Missverständnis besteht darin, dass minimale Veränderungen in Trainingsdaten keine spürbaren Effekte hätten. Studien zeigen allerdings, dass allein die Manipulation von 0,01 Prozent der Daten ausreichen kann, um das Verhalten großer Sprachmodelle messbar zu verändern. Selbst kleinste Mengen manipulierter Inhalte können also langfristig zu inhaltlichen Verzerrungen führen, Desinformation verstärken oder automatisierte Entscheidungen negativ beeinflussen – häufig, ohne dass es Nutzerinnen und Nutzern überhaupt auffällt. Die Grenze zwischen Manipulation, Fehlern und legitimer Vielfalt ist schwer zu ziehen. Hinzu kommt, dass bei kommerziellen Modellen meist keine Transparenz darüber besteht, auf welchen Daten sie basieren, und damit auch nicht darüber, wie anfällig sie für solche Eingriffe sind.
Wenn KI zur Zielscheibe geopolitischer Interessen wird
Zwei Entwicklungen machen Data Poisoning zu einer realen und akuten Bedrohung: Einerseits steigt die Abhängigkeit von KI-gestützten Systemen rapide, da immer mehr Unternehmen, Institutionen und Privatpersonen diese für Informationsgewinnung oder Entscheidungsfindung nutzen, wodurch gesellschaftliche und wirtschaftliche Prozesse zunehmend verwundbar werden. Andererseits beobachten wir angesichts geopolitischer Spannungen eine Professionalisierung von Desinformationskampagnen, die gezielt auf das Training oder die Informationsbeschaffung von KI-Assistenten zielen, um die Wahrnehmung ihrer Nutzer zu beeinflussen.
Anfang des Jahres konnte beispielsweise gezeigt werden, wie pro-russische Akteure gezielt öffentlich zugängliche Online-Quellen manipuliert haben, um Einfluss auf KI-Systeme zu nehmen. Dabei wurden über Monate hinweg zahlreiche scheinbar harmlose Beiträge in Diskussionsforen, Blog-Kommentaren und Online-Enzyklopädien platziert – etwa mit Falschaussagen wie „der Ukraine-Konflikt, der bereits 2014 durch westliche Provokationen ausgelöst wurde“. Die Inhalte waren so gestaltet, dass sie automatisierten Systemen Seriosität und inhaltliche Unbefangenheit suggerieren. Weil viele KI-Modelle auf solche frei verfügbaren Inhalte zurückgreifen – sei es im Training oder in Echtzeitanfragen –, können manipulierte Narrative unbemerkt in ihren Output einfließen und dort als vermeintlich neutrale Fakten erscheinen. Als Folge dieser Desinformationskampagne ließen sich in mehreren Fällen manipulierte Formulierungen direkt in den Antworten großer Sprachmodelle nachweisen.
Unternehmen sind dieser Entwicklung jedoch keineswegs hilflos ausgeliefert. Entscheidend ist, die Risiken ernst zu nehmen und sie in dem Maß zu behandeln, in dem KI-Technologien eingesetzt werden. Für Unternehmen, die KI-Modelle trainieren, bedeutet das unter anderem, externe Trainingsdaten zu prüfen und zu filtern, ungewöhnliche Muster oder Veränderungen zu identifizieren und unzuverlässige Daten zu entfernen. Ebenso wichtig ist es, private Daten und interne IT-Systeme mit modernen Sicherheitsmaßnahmen zu schützen, um Manipulationen innerhalb der eigenen Infrastruktur zu verhindern. Eine vollständige Dokumentation aller Trainingsquellen – ein sogenannter „AI Bill of Materials“ – ist ein erster notwendiger Schritt, um Risiken wie Data Poisoning zu erkennen und zu minimieren. Mehr Transparenz über verwendete Datenquellen kann den Nutzern von KI-gestützten Tools zudem eine eigene Risikobewertung ermöglichen.
Weiter können Unternehmen, die KI-basierte Tools entwickeln oder intensiv nutzen, durch systematische Anomalieerkennung, Cross-Validierung mit mehreren Modellen oder Ansätzen sowie Performance-Monitoring nach unerwarteten Verhaltensänderungen suchen. Im Falle von Abweichungen sollten Daten- und Modellquellen auf mögliche Manipulationen untersucht werden. Gleichzeitig müssen Mitarbeitende, die mit KI-Assistenten oder Agenten arbeiten, für die möglichen Risiken geschult und sensibilisiert werden. Denn nur, wer Quellen kritisch hinterfragt und Ergebnisse regelmäßig validiert, kann Manipulation frühzeitig erkennen – und Gegenmaßnahmen ergreifen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Zukunft gestalten: Klare Regeln, offener Diskurs
Langfristig reichen technische Lösungen allein nicht aus. Es braucht eine politische Debatte darüber, wer festlegt, welche Daten als Trainingsgrundlage akzeptabel sind und wie solche Entscheidungen demokratisch legitimiert werden können. Derzeit liegt diese Verantwortung bei wenigen großen Tech-Konzernen, die sowohl die Auswahl der Trainingsdaten als auch die Festlegung ethischer Leitlinien und Kontrollmechanismen bestimmen. Diese Intransparenz birgt das Risiko, dass KI-Systeme unbeabsichtigt bestimmte Narrative verstärken oder Falschinformationen verbreiten.
Vertrauen in KI entsteht nicht allein durch Technologie, sondern durch Transparenz, klare Regeln, unabhängige Kontrolle und einen offenen gesellschaftlichen Diskurs. Wenn wir diese Diskussion nicht führen, wird aus einer bislang unsichtbaren Schwachstelle ein systemisches Risiko. Data Poisoning ist keine entfernte Zukunftsbedrohung, sondern eine akute Herausforderung. Je stärker wir auf KI vertrauen, desto wichtiger wird es, sie aktiv vor Manipulation zu schützen. Unternehmen, Politik und Gesellschaft sind gefordert, jetzt zu handeln – besonnen, faktenbasiert und mit Weitblick.
Über den Autor: Pierre Delcher ist Head of Cyber Threat Research bei HarfangLab.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d0/0d/d00d9817e95b958c4e9a5de3827f97dc/0128941867v2.jpeg "Die StackWarp-Sicherheitslücke in AMD-Prozessoren ermöglicht Angreifern, durch Manipulation des Stack-Pointers Sicherheitsmechanismen zu umgehen und auf vertrauliche Daten in virtuellen Maschinen zuzugreifen. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/12/bd121ec45041d6f7dc804f9d5ec61402/0128625025v1.jpeg "Ransomware-Angriffe treffen immer häufiger Unternehmen über externe Dienstleister oder durch KI-gestützte Techniken wie Deepfakes und generiertes Phishing. (Bild: © StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/f5/20/f5202ba457b5b1acd41cf9dcf7fee081/0128966225v1.jpeg "SASE-Plattformen verarbeiten Sicherheitsfunktionen direkt im Datenstrom. Leistungsengpässe wirken sich sofort auf Anwendungen und Richtliniendurchsetzung aus. (Bild: © Thares2020 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f4/92f4b65a1330a2b356a38c36aecb99c1/0127554001v1.jpeg "Ein QNAP-NAS lässt sich direkt in Active-Directory-Domänen integrieren. So können Administratoren Benutzerrechte und Zugriffe zentral über den Domänencontroller steuern. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/d5/07d5de7cfa895e90d88fc9023a0d7050/0128728878v1.jpeg "Zahlen, Vergütung, Transparenz: Der Gehaltsreport zeigt, wie unterschiedlich Einkommen in Deutschland ausfallen. (Bild: ChatGPT / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9c/d4/9cd4542fca3444c54b8f093a2997c760/0121539256v1.jpeg "In den Open-Source-LLMs ChuanhuChatGPT, Lunary und LocalAI finden sich schwerwiegende Sicherheitslücken. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/69/7b6994c4f26dc5077fa985d8092bbbc7/0118038240.jpeg "Die OWASP Machine Learning Security Top Ten analysiert die häufigsten Schwachstellen im Zusammenhang mit ML. (Bild: Aghavni - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/d1/abd13c198ea79dcb5523a529d9aa3f46/0122696219v2.jpeg "Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren. (Bild: scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bc43571ebcc42279c80e170d6efd6/0122051511v1.jpeg "0122051511v1 (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")