Ein KI-Agent mit Zugriff auf Postfach, Dateien und externe Tools kann aus gelesenen Inhalten echte Aktionen machen. Check Point Research beschreibt in einem neuen Bericht eine stärkere operative Rolle von KI in beobachteten Angriffspfaden. Die Zahlen stammen aus Herstellertelemetrie; sie sind keine repräsentative Lagebeschreibung für Deutschland, Europa oder die Welt.
Das Wichtigste in 30 Sekunden
- Check Point Research veröffentlichte am 14. Juli 2026 den AI Security Report 2026.
- Der Hersteller berichtet aus eigener Telemetrie, Vorfällen und Fallstudien, dass KI in beobachteten Angriffspfaden häufiger operative Aufgaben übernimmt.
- Lange bösartige Prompt-Injection-Payloads wurden laut Check Point zwischen März und Mai 2026 etwa fünfmal häufiger erkannt; im Mai lagen sie bei knapp einem Prozent der beobachteten Prompts.
- Für Teams mit KI-Agenten folgt daraus vor allem eines: Rechte klein halten, kritische Aktionen bestätigen lassen und fremde Inhalte nicht wie vertrauenswürdige Anweisungen behandeln.

Ein neuer Report, aber keine globale Angriffsstatistik
Check Point Research veröffentlichte den AI Security Report 2026 am 14. Juli. Der Bericht bündelt nach Angaben des Herstellers Telemetrie, Vorfälle und Fallstudien aus dem vorangegangenen Jahr. Seine zentrale Beobachtung: KI werde in den untersuchten Angriffspfaden nicht nur für Entwürfe, Übersetzungen oder Code eingesetzt, sondern übernehme zunehmend operative Schritte.
Für Unternehmen, Verwaltungen und kleinere Teams mit Agenten an E-Mail-Postfächern, Dokumentenablagen, Webzugriff oder internen Tools ist das ein relevanter Befund. Eine Messung der gesamten Bedrohungslage ist er nicht. Der öffentlich lesbare Reporttext legt weder eine vollständig nachvollziehbare Stichprobe noch Kundenauswahl, Rohdaten oder eine vollständige Methodik offen. Die Check-Point-Werte lassen sich deshalb nicht auf alle Organisationen oder Regionen hochrechnen.
Welche Werte Check Point tatsächlich nennt
Der Report trennt mehrere Kennzahlen, die leicht durcheinandergeraten können. Check Point meldet erstens eine ungefähr verfünffachte Detektion langer bösartiger Prompt-Injection-Payloads zwischen März und Mai 2026. Im Mai lagen sie laut Bericht bei knapp einem Prozent der beobachteten Prompts. Zweitens stieg der Anteil der als High Risk eingestuften GenAI-Prompts in der Herstellertelemetrie im Jahresvergleich von zwei auf vier Prozent.
| Beobachtung von Check Point | Bezugsrahmen | Was daraus nicht folgt |
|---|---|---|
| Etwa fünffach mehr lange bösartige Prompt-Injection-Payloads | März bis Mai 2026; im Mai knapp ein Prozent der beobachteten Prompts | Keine globale Steigerungsrate und keine Aussage über jedes Unternehmen |
| High-Risk-GenAI-Prompts von zwei auf vier Prozent | Jahresvergleich in Check Points Telemetrie | Keine deutsche oder europäische Betroffenheitsquote |
| 5,91 Prozent High-Risk-Prompts | Business Services in den Daten des Herstellers | Keine branchenübergreifende Rangliste |
Diese Trennung ist mehr als redaktionelle Vorsicht. Ohne sie wird aus einer begrenzten Herstellerbeobachtung schnell eine falsche Alarmmeldung. Die Zahlen können auf einen relevanten Trend hinweisen, ersetzen aber keine unabhängige Statistik.

Assistent, Agent und autonome Behauptung sind nicht dasselbe
Assistent: beantwortet Fragen oder erstellt Inhalte innerhalb einer Unterhaltung.
Agent: kann mehrstufige Aufgaben planen und mit Dateien, Anwendungen, Onlinediensten oder Konten arbeiten.
Autonome Behauptung: KI führe Angriffe generell allein und ohne Menschen aus. Dafür liefert das Dossier keinen Beleg.
Check Point beschreibt eine stärkere operative Mitwirkung in beobachteten Angriffspfaden. Daraus wird nicht, dass KI jeden Angriff selbstständig ausführt. Bei komplexen Angriffen bleiben Ziele, Zugänge, Infrastruktur und Entscheidungen häufig von Menschen geprägt. Praktisch relevant ist etwas anderes: Ein Agent kann auf einen fremden Inhalt reagieren und anschließend über bestehende Rechte handeln.
So wird aus einem fremden Inhalt eine riskante Aktion
Das BSI und OWASP beschreiben indirekte Prompt Injection als Risiko, wenn ein System externe Inhalte wie Webseiten, Dokumente oder E-Mails verarbeitet. In solchen Inhalten können Anweisungen stecken, die ein Modell fälschlich als Arbeitsauftrag deutet. Gefährlich wird das besonders dann, wenn der Agent zugleich sensible Daten lesen und Werkzeuge bedienen darf.
Fremder Inhalt → der Agent interpretiert eine Anweisung → er nutzt Daten- oder Toolzugriff → eine kritische Aktion wird ausgelöst.
Das ist keine Beschreibung einer einzelnen Produktlücke und auch kein CVE. Es ist eine Risikokategorie. Ob daraus Datenweitergabe, eine unerwünschte Nachricht oder ein Zugriff auf ein verbundenes System entsteht, hängt von Berechtigungen, Freigaben und der konkreten Einbindung ab.
Vier Grenzen vor dem Start eines Agenten
- Minimale Rechte: Ein Agent sollte nur auf die Daten und Funktionen zugreifen, die er für eine klar abgegrenzte Aufgabe braucht.
- Menschliche Freigaben: Zahlungen, externe Nachrichten, Rechteänderungen und andere kritische Schritte sollten nicht ohne Bestätigung ausgeführt werden.
- Fremde Inhalte trennen: Webseiten, Anhänge und E-Mails sind Eingaben, keine vertrauenswürdigen Befehle.
- Logs und Tests: Teams sollten Aktionen nachvollziehen und Agenten gezielt mit adversarialen Eingaben prüfen.
Das BSI empfiehlt unter anderem minimale Berechtigungen, die Bestätigung wichtiger Handlungen, Protokollkontrolle und aktuelle Software. OWASP ergänzt die Kennzeichnung externer Inhalte, Ein- und Ausgabefilter sowie adversariales Testen. Diese Maßnahmen senken Risiken, sie garantieren aber nicht, dass Prompt Injection vollständig verschwindet.

Warum der Bericht für Deutschland trotzdem relevant ist
Die deutsche Relevanz entsteht nicht durch eine erfundene lokale Angriffsgeschichte. Sie liegt im Arbeitsalltag: Viele Organisationen testen oder nutzen KI-Funktionen bereits für Recherche, Kundenkommunikation, Dokumente und interne Abläufe. Das BSI beschreibt genau die Kombination, die besondere Aufmerksamkeit verlangt: sensible Daten, externe Inhalte und eine Möglichkeit zur Außenkommunikation.
Für eine kleine Verwaltung oder ein mittelständisches Team geht es deshalb zuerst nicht um die Qualität der Antwort. Wichtig ist, welche Dateien ein Agent sehen, welche Systeme er ansteuern und welche Folgen eine falsche Interpretation haben kann. NIST behandelt indirekte Prompt Injection, adversarielle Daten und schädliche Agentenhandlungen ebenfalls als relevante Sicherheitsfragen. Die dortige Anfrage zur Evidenzsammlung ist jedoch weder ein verbindlicher Standard noch eine deutsche oder europäische Rechtsvorgabe.
Meine Einschätzung: Rechte sind die eigentliche Sicherheitsgrenze
Der entscheidende Unterschied liegt nicht darin, ob ein System freundlich antwortet, sondern was es anschließend tun darf. Ein Agent mit Zugriff auf Postfach, Dateien und externe Dienste verbindet Inhalt mit Handlung. Deshalb sollten Rechte und Freigaben vor dem Rollout kleiner werden, nicht erst nach dem ersten Vorfall.
Der Check-Point-Report liefert dafür einen aktuellen Anlass, aber keine fertige Lagekarte. Seine Stärke ist die konkrete Beobachtung von Angriffspfaden; die Grenze bleibt die nicht vollständig öffentliche Methodik. Zusammen ergibt das eine brauchbare Priorität: Schutzvorkehrungen an Agentenschnittstellen prüfen, ohne aus Herstellerzahlen eine allgemeine Panikdiagnose zu machen.
Was offenbleibt
Die öffentliche Fassung des Berichts beantwortet nicht vollständig, wie groß die Datenbasis war, welche Kundengruppen in die Telemetrie einflossen oder wie einzelne Fälle gewichtet wurden. Auch die Fallstudien ersetzen keine unabhängige forensische Aufarbeitung. Für die Einordnung des Trends ist das eine relevante Einschränkung.
Offen bleibt außerdem, wie sich die beobachteten Muster in unterschiedlichen Branchen und Regionen verteilen. Genau deshalb sollten Leserinnen und Leser die Prozentwerte als Check-Point-Beobachtung verstehen, nicht als allgemeine Kennzahl für den eigenen Betrieb.
FAQ
Was ist indirekte Prompt Injection?
Bei indirekter Prompt Injection gelangen Anweisungen über externe Inhalte wie Webseiten, Dateien oder E-Mails in den Kontext eines KI-Systems. Wenn der Agent diese Inhalte falsch als Arbeitsauftrag behandelt und zugleich Toolrechte besitzt, kann daraus eine unerwünschte Aktion entstehen.
Belegt der Report autonome Cyberangriffe?
Nein. Der Report beschreibt eine stärkere operative Rolle von KI in beobachteten Angriffspfaden. Das Dossier belegt nicht, dass KI Angriffe generell vollständig allein oder ohne menschliche Steuerung ausführt.
Reichen Freigaben und Rechteverwaltung als Schutz?
Sie sind wichtige Schutzebenen, aber keine Garantie. BSI und OWASP empfehlen zusätzlich die Trennung nicht vertrauenswürdiger Inhalte, Protokollkontrolle, Filter und gezielte Tests.
Quellen und weiterführende Informationen
- Check Point Research: AI Security Report 2026
- Check Point Research: AI Has Crossed from Assistant to Operator
- BSI: KI-Agenten – Wenn Künstliche Intelligenz selbstständig handelt
- OWASP: LLM01:2025 Prompt Injection
- NIST/CAISI: Request for Information About Securing AI Agent Systems
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-15