Prompt-Injection in KI: Kostenfalle für deutsche KMU

Viele kleine und mittlere Unternehmen setzen 2025 und 2026 auf KI-Assistenten wie Microsoft 365 Copilot oder ChatGPT, um E-Mails zusammenzufassen, Angebote zu erstellen oder Rechnungen zu prüfen. Das spart Zeit und entlastet Teams. Gleichzeitig entsteht ein neues Risiko, das im Alltag leicht übersehen wird: manipulierte Inhalte von außen, die den Assistenten zu falschen Aktionen verleiten.

Genau hier setzt Prompt Injection an. Sicherheitsanalysen wie „EchoLeak“ (CVE-2025-32711) und die Studie „ConfusedPilot“ zeigen, dass selbst produktive Unternehmensumgebungen betroffen sein können. In einem dokumentierten Fall reichte eine präparierte E-Mail aus, um ohne Klick Daten über einen automatisch nachgeladenen Link nach außen zu übertragen. Für KMU bedeutet das nicht nur ein IT-Problem, sondern ein Geschäftsrisiko mit finanziellen und rechtlichen Folgen.

Prompt Injection beschreibt einen Angriff, bei dem ein KI-Modell durch versteckte Anweisungen in externen Inhalten manipuliert wird. Statt nur Daten auszuwerten, folgt der Assistent zusätzlichen, schädlichen Instruktionen. Diese können in E-Mails, PDFs, Webseiten oder Support-Tickets eingebettet sein.

Die EchoLeak-Analyse zeigt, dass eine präparierte E-Mail in Kombination mit automatischem Nachladen externer Inhalte zu einem Zero-Click-Datenabfluss führen kann.

Im dokumentierten EchoLeak-Fall wurde eine Referenz in Markdown so gestaltet, dass der Assistent vertrauliche Daten in eine Bild-URL einbaute. Der Client lud diese Grafik automatisch nach. Da der Abruf über eine erlaubte Microsoft-Domain lief, wurden bestehende Schutzmechanismen umgangen. Die Studie ordnet dies als Prompt-Injection mit mehrstufiger Umgehung von Klassifikatoren und Redaktionsmechanismen ein.

Die wissenschaftliche Analyse „ConfusedPilot“ zeigt zusätzlich strukturelle Schwächen von RAG-Systemen, also Assistenten, die interne Dokumente abrufen. Manipulierte Dokumente können andere Quellen übersteuern, Zitate unterdrücken oder veraltete, eigentlich gelöschte Inhalte wieder einspielen.

1. E-Mail und PDF in Microsoft 365 oder Google Workspace: Ein Lieferant sendet eine PDF mit versteckten Anweisungen. Der Assistent fasst sie zusammen und greift auf interne Angebotsdaten zu. Durch eine manipulierte Referenz wird ein externer Abruf ausgelöst, der vertrauliche Inhalte kodiert überträgt. Laut EchoLeak kann dieser Prozess ohne zusätzlichen Klick stattfinden.

2. Ticketsystem oder CRM: Ein Support-Ticket enthält Text, der den Assistenten anweist, weitere interne Kundendaten einzubeziehen oder bestimmte Quellen zu ignorieren. Die ConfusedPilot-Studie beschreibt, wie solche eingebetteten Instruktionen Zitate unterdrücken oder Inhalte priorisieren können. Das Ergebnis sind verfälschte Antworten oder die Offenlegung sensibler Informationen.

3. Einkauf und Rechnungsfreigabe: Wird ein Assistent genutzt, um Rechnungen zu prüfen oder SEPA-Daten abzugleichen, kann eine manipulierte Rechnung Anweisungen enthalten, die IBAN oder Zahlungsdetails zu überschreiben. Kombiniert mit automatisierten Workflows entsteht das Risiko falscher Bestellungen oder Überweisungen.

In allen drei Szenarien geht es nicht um spektakuläre Hacks, sondern um die Ausnutzung normaler Arbeitsprozesse. Genau das macht Prompt Injection für KMU so relevant.

Die analysierten Studien liefern vor allem technische Details. Für Unternehmen ergeben sich daraus jedoch konkrete Kostenblöcke. Ein Zero-Click-Datenabfluss kann eine forensische Untersuchung auslösen, inklusive externer IT-Dienstleister und interner Ressourcenbindung.

Hinzu kommen mögliche Meldepflichten nach DSGVO, falls personenbezogene Daten betroffen sind. Das bedeutet Dokumentation, Abstimmung mit Datenschutzbeauftragten und gegebenenfalls Information von Kunden oder Partnern. Auch die Prüfung von Auftragsverarbeitungsverträgen mit Cloud-Anbietern wird relevant.

Direkte finanzielle Schäden entstehen, wenn manipulierte Zahlungsdaten verarbeitet werden oder falsche Bestellungen ausgelöst werden. Selbst wenn ein Vorfall schnell gestoppt wird, entstehen Ausfallzeiten und Vertrauensverlust. Die in den Studien beschriebenen Umgehungen bestehender Schutzmechanismen zeigen, dass sich Unternehmen nicht allein auf Standardkonfigurationen verlassen sollten.

Die wissenschaftlichen Analysen empfehlen einen mehrschichtigen Ansatz. Zentrale Maßnahme ist die strikte Trennung von externen Inhalten und internen Anweisungen. Externe Dokumente sollten vor der Einbindung gekennzeichnet und bereinigt werden.

Ebenso wichtig ist eine kontrollierte Tool-Nutzung. Assistenzsysteme sollten nur minimale Rechte erhalten. Exporte von Kundenlisten oder Zahlungsdaten benötigen ein Vier-Augen-Prinzip. Automatische Medienvorschauen können über interne Proxy-Lösungen oder restriktive Content-Security-Policies abgesichert werden, wie es in der EchoLeak-Analyse vorgeschlagen wird.

Weitere Bausteine sind Protokollierung und Alarmierung bei ungewöhnlichen URL-Parametern, Data-Loss-Prevention-Regeln sowie getrennte Konten für Assistenz-Tools. Rechnungen sollten nur aus verifizierten Kanälen verarbeitet werden. Laut den veröffentlichten Empfehlungen sind einzelne Filter allein nicht ausreichend, sondern müssen kombiniert werden.

Prompt Injection ist für deutsche KMU kein theoretisches Problem, sondern ein dokumentiertes Risiko in produktiven KI-Systemen. Die Fälle EchoLeak und ConfusedPilot zeigen, dass selbst etablierte Schutzmechanismen umgangen werden können. Entscheidend ist daher nicht, ob ein Assistent eingesetzt wird, sondern wie.

Wer minimale Rechte vergibt, sensible Aktionen absichert und externe Inhalte konsequent isoliert, reduziert das Risiko deutlich. Gleichzeitig sollte jede KI-Einführung als Sicherheitsprojekt verstanden werden, nicht nur als Effizienzmaßnahme.