ai-security

KI-Sicherheit 2026: Wo AI-Systeme gerade reihenweise versagen — und was du dagegen tun kannst

Shadow AI, Prompt Injection, vergiftete Agenten, Deepfake-CEO-Fraud: Die aktuellen Schwachstellen von KI-Systemen — mit echten Vorfällen, Zahlen und einer Business-Checkliste für KMU.

Stand: · Lebendes Dokument — wird aktualisiert

Dein Unternehmen hat bereits ein AI-Problem. Du weißt es nur noch nicht.

77 %
Angestellte
haben sensible Firmendaten in AI-Tools geteilt
83 %
Unternehmen
haben keine einzige technische Kontrolle dagegen
97 %
AI-Datenlecks
ohne vorherige AI-Sicherheitsmaßnahmen
4,63 Mio
USD Schaden
durchschnittlicher AI-Vorfall laut IBM 2025

Das sind keine Schätzungen aus einem Marketing-Whitepaper. Das ist der IBM Cost of a Data Breach Report 2025.

Anders gesagt: Während du diesen Artikel liest, tippt irgendwer in deiner Firma gerade einen Kundennamen, eine Preisliste oder einen Vertragsentwurf in ein LLM, das du nie freigegeben hast. Und niemand weiß davon.

Ich bin Raphael, ich baue AI-Infrastruktur für mich und für Kunden — und ich sehe diese Lücken jede Woche. Dieser Artikel ist keine Panikmache. Er ist eine Bestandsaufnahme: die sechs Bereiche, in denen AI-Systeme aktuell versagen, mit echten Vorfällen, Zahlen, und einer konkreten Checkliste am Ende. Wenn du mit KI arbeitest — als Geschäftsführer, IT-Verantwortliche, CTO — solltest du das bis zum Ende lesen.

KI-Sicherheit 2026 — die zwölf Angriffsvektoren im Überblick

Der State of Play 2026

Die Bedrohungslage hat sich fundamental verschoben. Bis vor zwei Jahren war “AI-Sicherheit” ein akademisches Thema. Heute ist es die Schnittstelle, an der drei Probleme zusammenlaufen:

  1. Technische Angriffe gegen die Modelle selbst (Prompt Injection, Jailbreaks, Data Poisoning)
  2. Organisationsrisiken durch Mitarbeiter, die schneller sind als die Governance (Shadow AI, Datenleaks)
  3. Regulatorischer Druck durch den EU AI Act, dessen Vollstreckung am 2. August 2026 scharfgeschaltet wird — mit Bußgeldern bis 35 Millionen Euro oder 7 Prozent des weltweiten Konzernumsatzes

Ich gehe die sechs Angriffsflächen durch, die aus meiner Sicht 2026 am meisten Schaden anrichten. Keine Theorie — nur Vorfälle, die bereits passiert sind.

1. Prompt Injection: Der Angriff, den keine Firewall kennt

Prompt Injection ist seit zwei Jahren Platz eins der OWASP LLM Top 10 — aus gutem Grund. Angreifer schmuggeln Anweisungen in den Eingabestrom eines Modells, sodass es seine eigenen Regeln überschreibt. Bei der direkten Variante tippt der Angreifer den manipulativen Prompt selbst. Bei der indirekten — und viel gefährlicheren — Variante versteckt er die Anweisung in einer Webseite, einem PDF, einer Email oder einem Kalendereintrag, und wartet, bis die AI des Opfers das Dokument unschuldig liest.

Business-Impact: Direkte Datenexfiltration aus Postfächern, CRM-Daten, Vertragsentwürfen. Meldepflicht nach DSGVO Artikel 33 binnen 72 Stunden. Bußgeld bis 4 Prozent Konzernumsatz. Und weil das Ganze über ein legitimes System läuft, das der Mitarbeiter selbst bedient hat, sieht kein klassischer Firewall etwas Verdächtiges.

2. Agenten und MCP: Die neue Angriffsfläche, die 2026 explodiert

Agenten sind LLMs, die selbstständig Tools aufrufen — Browser, Filesystem, Shells, Emails, APIs. 2024 war das noch Spielerei. 2025 wurde es produktiv. 2026 ist es überall: Cursor, Claude Code, Microsoft Copilot Agents, Devin, Manus. Und mit dem Model Context Protocol (MCP) von Anthropic gibt es jetzt einen offenen Standard, über den beliebige Tools angedockt werden — de-facto die Lingua Franca der Agenten.

Genau dort entsteht ein komplett neuer Angriffsvektor.

Agenten und MCP sind 2026 das, was unverschlüsselte Datenbanken 2010 waren: unterschätzt, weit verbreitet, und die Exploits sind bereits öffentlich dokumentiert.

3. Halluzinationen und Slopsquatting: Wenn die AI lügt — und jemand das ausnutzt

LLMs erfinden plausibel klingende Fakten. Das ist keine neue Erkenntnis. Neu ist, dass Angreifer diese Halluzinationen systematisch monetarisieren.

20 %
erfundene Pakete
in 756.000 analysierten LLM-Code-Samples
43 %
Wiederholungsrate
dieselben halluzinierten Paketnamen kommen konsistent wieder
30.000
Downloads
eines halluzinierten Pakets in 3 Monaten

So funktioniert Slopsquatting: Der Angreifer fragt einen Coding-Agenten nach Paketempfehlungen, sieht welche erfundenen Namen wiederkehren, registriert diese Namen auf npm oder PyPI, und packt Malware hinein. Beim nächsten Entwickler, der die Empfehlung blind pip install-t, landet der Schadcode im Produktivsystem.

Und Halluzinationen haben nicht nur technische Folgen. Die Damien Charlotin AI Hallucination Database zählt bis Juli 2025 über 206 dokumentierte Fälle, in denen Gerichte AI-Halluzinationen sanktioniert haben — bis zur 90-Tage-Suspendierung eines Anwalts in Denver, der erfundene Fallzitate eingereicht hatte. Die Anwälte im MyPillow-Verfahren zahlten je 3.000 USD Strafe für ein Schriftsatz-Dokument mit nicht-existierenden Präzedenzfällen.

4. Shadow AI: Die unsichtbare DSGVO-Lücke in jedem Unternehmen

Zurück zu den Zahlen vom Anfang — aber diesmal im Detail.

68 %
Private Accounts
werden für berufliche AI-Aufgaben genutzt
57 %
davon mit Daten
auch mit sensiblen Unternehmensdaten
670k
USD Aufpreis
Schaden wenn Shadow AI im Spiel war (IBM)

Und hier kommt der DSGVO-Hammer: Artikel 30 verlangt ein Verzeichnis der Verarbeitungstätigkeiten. Wenn du nicht weißt, welche Mitarbeiter welche personenbezogenen Daten in welche AI-Tools uploaden, kannst du dieses Verzeichnis strukturell nicht erfüllen. Du bist nicht-compliant, und zwar nicht aus böser Absicht, sondern weil dir das Tool fehlt, es überhaupt zu sehen.

5. Deepfakes: Wenn du Stimmen und Videos nicht mehr trauen kannst

Die Eintrittshürde für überzeugende Voice- und Video-Fakes ist 2025 zusammengebrochen. Ein glaubwürdiger Voice-Clone braucht unter einer Minute Trainingsmaterial — verfügbar aus jedem LinkedIn-Videopost, jedem Podcast-Auftritt, jedem YouTube-Interview.

Arup (Hongkong, Januar 2024)

25,6 Millionen USD auf fünf Konten überwiesen.

Ein Finance-Mitarbeiter sprach per Videocall mit einem deepgefakten “CFO” und deepgefakten Kollegen. Im Call waren alle Teilnehmer bis auf ihn selbst AI-generiert. Bekanntester Fall weltweit. Das Opfer hatte keine Chance.

Ferrari (Juli 2024)

0 Euro Schaden. Angriff gescheitert.

Versuch mit deepgefakter CEO-Stimme von Benedetto Vigna. Der angesprochene Mitarbeiter stellte eine Kontrollfrage zu einem privaten Buchtitel, den nur der echte CEO wissen konnte. Angriff scheiterte. Die Spur führte nach Österreich.

6. Supply Chain und Data Poisoning: Das Modell selbst ist das Problem

Wer heute ein Modell aus einem öffentlichen Hub wie HuggingFace lädt, lädt möglicherweise eine Backdoor mit.

100+
bösartige Modelle
JFrog auf HuggingFace identifiziert, Feb 2024
352k
verdächtige Files
Protect AI auf HuggingFace, April 2025
250
Dokumente reichen
um Modelle von 600 Mio bis 13 Mrd Parametern zu hintertüren

Und dann kam im Oktober 2025 die Anthropic-Studie, die eine bisherige Grundannahme der KI-Welt zerlegte: Bereits 250 vergiftete Dokumente reichen, um Modelle von 600 Millionen bis 13 Milliarden Parametern erfolgreich zu hintertüren — unabhängig von der Größe des sauberen Datensatzes. Das Problem skaliert nicht mit der Modellgröße. Größere Modelle sind nicht automatisch sicherer.

Wenn du also ein vergiftetes Modell in Code Reviews, Customer Support oder Compliance-Prüfungen einsetzt, kann der Schaden langfristig und schwer messbar sein.

Der regulatorische Countdown läuft: 2. August 2026

Während du all das liest, tickt eine Uhr mit. Die wichtigsten Stichtage im EU AI Act:

DatumWas gilt
2. Februar 2025Verbote (Social Scoring, biometrische Massenüberwachung) + AI-Literacy-Pflicht für Mitarbeiter
2. August 2025GPAI-Pflichten + Governance anwendbar
2. August 2026Volle Anwendbarkeit. AI-Office hat Vollstreckungsbefugnisse.
2. August 2027High-Risk-AI in regulierten Produkten endgültig im Geltungsbereich

Die Cheat Sheet: 15 Do’s und 15 Don’ts für KMU

Ich habe die wichtigsten Regeln aus der Recherche als druckbares 1-Pager-Cheat-Sheet zusammengestellt — weil 30-seitige Security-PDFs niemand liest. Hier die Kurzversion:

Do's
  1. Inventarisieren. Welche AI-Tools laufen? Welche Daten? Welche Verträge?
  2. Enterprise-Tier kaufen. Zero-Retention ist kein Luxus.
  3. AVV abschließen mit jedem Anbieter, der personenbezogene Daten sieht.
  4. Mitarbeiter schulen — AI-Literacy ist seit Feb 2025 Gesetz.
  5. Out-of-Band verifizieren. Jede Zahlung per Rückruf.
  6. Least Privilege für Agenten. Tool-Tokens mit minimalem Scope.
  7. Human-in-the-Loop für destruktive Aktionen.
  8. MCP-Server hashen und pinnen.
  9. Dependency-Pinning plus private Registry.
  10. Logs aller LLM-Interaktionen zentral sammeln.
  11. Output-Klassifikatoren vor jedem Bot-Output.
  12. Modelle aus signierten Quellen mit Scanner prüfen.
  13. DPIA durchführen vor Produktiveinsatz mit Personendaten.
  14. Kontrollfragen im Management gegen Voice-Clones.
  15. Notfallplan für AI-Vorfall — wer entscheidet, wer meldet, 72-h-Pflicht.
Don'ts
  1. Niemals Geschäftsgeheimnisse in kostenlose Consumer-LLMs.
  2. Niemals AI-Code ungeprüft pip install-en.
  3. Niemals Zitate aus LLMs in Rechtsdokumente ohne Prüfung.
  4. Niemals MCP-Server aus unbekannten Repos ohne Audit.
  5. Niemals latest-Tags für Modelle oder MCP-Server.
  6. Niemals Bot-Vollzugriff auf Postfach/Filesystem ohne Sandbox.
  7. Niemals einer Stimme oder Video allein vertrauen — nicht 2026.
  8. Niemals AI-Outputs ohne Disclaimer bei rechtsverbindlichen Aussagen.
  9. Niemals Mitarbeiter ohne Alternative verbieten.
  10. Niemals EU-Personendaten in US-Tools ohne TIA.
  11. Niemals System-Prompts als echtes Geheimnis — sie werden extrahiert.
  12. Niemals Prompt-Injection-Schutz allein dem LLM-Anbieter überlassen.
  13. Niemals “uns trifft es nicht” — KMU sind laut BSI das Hauptziel.
  14. Niemals AI-Vorfälle verschweigen — Meldepflicht DSGVO, NIS2, AI Act.
  15. Niemals eine AI-Strategie ohne Security-Strategie starten.

Die drei Dinge, die du dir merken solltest

Was du diese Woche machen solltest

Dein 7-Tage-Fahrplan zur AI-Sicherheit

  • Heute: Frag drei Mitarbeiter: “Welches AI-Tool hast du diese Woche benutzt?”. Du wirst überrascht sein.
  • Tag 2: Lege ein einfaches AI-Inventar an — Spreadsheet reicht. Spalten: Tool, Abteilung, Datentypen, offizielle Freigabe (ja/nein).
  • Tag 3: Prüfe deine Enterprise-Tier-Optionen für die drei meistgenutzten Tools. Preise sind moderat, Zero-Retention ist Standard.
  • Tag 4: Schreibe eine 1-Pager-Policy — keine 30 Seiten, ein A4. Was ist erlaubt, was nicht, woran erkenne ich sensible Daten.
  • Tag 5: Richte Out-of-Band-Verifikation für Zahlungsanweisungen ein — klare Schwelle, klarer Prozess.
  • Tag 6: Plane ein 60-Minuten-Meeting mit deinem IT-Lead zum Thema MCP und Agenten-Berechtigungen.
  • Tag 7: Setze dir einen wiederkehrenden Quartals-Termin “AI-Sicherheits-Check” in den Kalender.

Brauchst du Hilfe bei der Umsetzung? Ich baue AI-Infrastruktur für Unternehmen — mit Fokus auf DSGVO, EU AI Act und echter Sicherheit statt Security-Theater. Wenn du wissen willst, wo dein Unternehmen aktuell steht, schreib mir kurz. Erstes Gespräch kostet nichts, außer 30 Minuten Zeit.

Und wenn dir dieser Artikel weitergeholfen hat, teil ihn mit deiner IT oder deiner Geschäftsführung. Diese Zahlen gehören auf mehr Schreibtische.

Weiterlesen:

Quellen (Recherche-Stand: 11. April 2026): OWASP LLM Top 10 (2025), OWASP Top 10 for Agentic AI (Dezember 2025), NIST AI RMF, MITRE ATLAS, BSI Lagebericht 2025, EU AI Act Implementation Timeline, IBM Cost of a Data Breach Report 2025, Anthropic Research Oktober 2025, Aim Labs, HiddenLayer, JFrog, Protect AI, Pillar Security, Invariant Labs, Simon Willison, Trend Micro, Socket.dev, Damien Charlotin AI Hallucination Database.