CrowdStrike hat seine Sammlung dokumentierter Prompt-Injection-Angriffe erweitert. Für Unternehmen, die KI-Agenten an E-Mails, Dokumente und Web-Inhalte lassen, verschiebt sich damit die Sicherheitslage. Was die neuen Techniken können und welche Pflichten der EU AI Act auslöst.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Über 200 dokumentierte Angriffsmethoden zählt die Prompt-Injection-Sammlung des Sicherheitsanbieters CrowdStrike inzwischen, seit dem 7. Juli 2026 sind fünf davon neu.[1] Prompt Injection bezeichnet das Unterschieben von Anweisungen, die ein KI-Agent für legitime Befehle hält. Je mehr Zugriff diese Agenten auf E-Mails, Dokumente und Firmensysteme bekommen, desto größer wird der Schaden eines einzigen Treffers.

Das Wichtigste in Kürze

  • CrowdStrike ergänzt seine Taxonomie um 18 Einträge, fünf davon völlig neue Angriffsklassen; die Sammlung umfasst nun über 200 Techniken.
  • Die Methoden reichen von schlafenden Auslöse-Befehlen bis zu getarnten Systemmarkierungen, die vertrauenswürdige und fremde Eingaben verwischen.
  • OWASP führt Prompt Injection seit der Ausgabe 2025 als Risiko Nummer eins für KI-Anwendungen.
  • Der EU AI Act verpflichtet Betreiber von Hochrisiko-KI in Artikel 15 ausdrücklich zu Robustheit und Cybersicherheit.

Warum reicht eine versteckte Notiz, um einen KI-Agenten zu kapern?

Kellner-Marionette an Fäden vor weißem Hintergrund mit Servierglocke
KI-Agent kann Anweisungen vom verarbeiteten Text nicht sicher unterscheiden, weshalb versteckte Befehle in Web-Inhalten als echte Kommandos wirken

Ein KI-Agent verarbeitet Anweisung und fremden Text im selben Kontextfenster und kann beide nicht sicher unterscheiden. Eine in Web-Inhalt oder E-Mail versteckte Notiz wirkt deshalb wie ein echter Befehl.

Ein Sprachmodell trennt nicht zuverlässig zwischen der Anweisung seines Betreibers und dem Text, den es verarbeitet. Beides landet im selben Kontextfenster. Schmuggelt ein Angreifer seine Befehle in eine Website, eine E-Mail oder ein Ticket, behandelt der Agent sie wie eine echte Weisung.

Das BSI stuft diese Lücke als intrinsische Schwachstelle anwendungsintegrierter KI-Sprachmodelle ein, nicht als Bug, der sich mit einem Patch schließen lässt. OWASP führt Prompt Injection in der Ausgabe 2025 als Risiko Nummer eins für KI-Anwendungen.[2] Grundbegriffe von Zero Trust bis Angriffsklasse ordnet unser Cybersecurity-Glossar ein.

Die fünf neuen Angriffsklassen im Überblick

Auffällig ist, wie unauffällig die Methoden arbeiten. Die Technik Trigger-Activated Rule Addition legt eine schlafende Regel an, die erst bei einem bestimmten Stichwort erwacht und so jede Erstprüfung übersteht. Special Token Injection ahmt interne Formatierungszeichen nach, damit das Modell fremde Inhalte für einen bevorzugten Systembefehl hält.

Andere Varianten zerlegen einen Schadbefehl in harmlose Einzelteile oder blockieren gezielt die Wörter, mit denen ein Modell sonst ablehnt. Die Infografik ordnet alle fünf Klassen ein.

Prompt Injection gegen KI-Agenten
CrowdStrikes Taxonomie im Juli 2026
200+
dokumentierte Techniken in der Sammlung
18
neue Ergänzungen am 7. Juli 2026
Nr. 1
OWASP-Risiko für KI-Anwendungen 2025

Die fünf neuen Angriffsklassen

1
Trigger-Activated Rule Addition
Schlafende Regel, die erst bei einem Stichwort erwacht und die Erstprüfung übersteht.
2
Cognitive Token Suppression
Blockiert die Wörter, mit denen ein Modell sonst ablehnen würde.
3
Algorithmic Payload Decomposition
Zerlegt den Schadbefehl in Einzelteile, die je für sich harmlos wirken.
4
Special Token Injection
Ahmt interne Systemmarkierungen nach und erschleicht sich Vorrang.
5
Unwitting User Context-Data Injection
Versteckt den Befehl in vertrauenswürdigen Kontextdaten statt im Prompt.

Nicht die einzelne Lücke ist das Problem, sondern dass Prompt Injection zur Bauart der Modelle gehört. Ein KI-Agent mit weitreichenden Rechten braucht dieselbe Kontrolle wie ein neuer Mitarbeiter ohne Sicherheitsüberprüfung.

— Markus Seyfferth, Chefredakteur Dr. Web

Was deutsche Unternehmen jetzt tun müssen

Die Haftung bleibt beim Betreiber, nicht beim KI-Anbieter. Der EU AI Act verlangt in Artikel 15 ausdrücklich Robustheit und Cybersicherheit für Hochrisiko-Systeme.

Eine einzelne Gegenmaßnahme gegen Prompt Injection existiert nicht, das betont auch CrowdStrike. Wirksam ist nur ein Bündel aus mehreren Schichten. Konkret heißt das: Jede Kontextquelle gehört ins Bedrohungsmodell, von Dateien über RAG-Pipelines und Postfächer bis zu SaaS-Daten. Die Rechte des Agenten sollten so eng wie möglich gefasst und alle Ein- und Ausgaben gefiltert sein. Kritische Aktionen wie Zahlungen oder Vertragsabschlüsse laufen nur nach menschlicher Freigabe.

Rechtlich stehen deutsche Betreiber in der Pflicht. Unter dem EU AI Act haftet nicht das Modell, sondern das Unternehmen, das den Agenten einsetzt; bei kritischer Infrastruktur kommt NIS2 hinzu. Der Vorfall reiht sich in eine Serie ein: manipulierte Webseiten bei Zscaler, GitHubs ausgetrickster KI-Agent, dazu die Debatte um eine mögliche Hintertür in Claude Code.

Für den Einstieg genügt eine Bestandsaufnahme: Welche KI-Agenten laufen im Unternehmen, worauf dürfen sie zugreifen, und wo fehlt bislang die menschliche Freigabe? Erst wenn diese Fragen beantwortet sind, sollte der nächste Agent produktiv gehen.

Quellen

[1] CrowdStrike: „CrowdStrike Uncovers New Prompt Injection Techniques“

[2] OWASP: „OWASP Top 10 for LLM Applications 2025“

Mehr Newshunger?

4,5 10 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?