Digitale Kollegen unter falschem Einfluss: Die Sicherheitsrisiken von KI-Agenten

von | Sep. 26, 2025 | News

zuletzt aktualisiert 14. Oktober 2025

KI-Agenten – neue Angreifer und Angriffsflächen

KI-gestützte Agenten wie Microsoft Copilot und Google Gemini werden zunehmend in Unternehmensprozesse integriert, um Effizienz zu steigern und Routineaufgaben zu automatisieren. Diese Systeme sind mehr als nur Chatbots; sie sind proaktive Werkzeuge, die selbstständig Aufgaben planen und auf Unternehmensdaten zugreifen. Obwohl die Hersteller kontinuierlich an der Absicherung dieser Technologien arbeiten, dienen jüngste, inzwischen geschlossene Sicherheitslücken als lehrreiche Warnungen. Sie illustrieren eine neue Klasse von Bedrohungen, die ein grundlegendes Umdenken in der IT-Sicherheit erfordern.

Konzeptbild zur KI-Sicherheit: Aus einem digitalen Kalendereintrag mit der Aufschrift 'Invitation' entspringt ein leuchtender, blauer Phishing-Haken. Ein Strom aus roten und blauen digitalen Datenpartikeln wird von dem Haken aus dem Kalender gezogen.
Eine harmlose Kalendereinladung wird zum Köder, um KI-Assistenten zu kapern und sensible Daten abzufischen.

Fall Google Gemini: Vielseitige Angriffsvektoren durch Prompt-Injection

Die tiefe Integration von Gemini in das Google Workspace-Ökosystem schuf Angriffsflächen, die das Potenzial der sogenannten „Prompt-Injection“ verdeutlichen. Dabei werden für den Nutzer unsichtbare Befehle in scheinbar harmlosen Inhalten platziert, um die KI zu manipulieren.

Eine Studie israelischer Sicherheitsforscher der Tel Aviv University, des Technion und der Firma SafeBreach mit dem Titel „Invitation Is All You Need“ zeigte, wie manipulierte Kalendereinladungen den Gemini-Assistenten dazu bringen konnten, schädliche Aktionen auszuführen. Fragte ein Nutzer etwa nach seinem nächsten Termin, wurde im Hintergrund der versteckte Befehl aktiviert. Die demonstrierten Angriffe hatten es in sich. Sie reichten von der Exfiltration sensibler E-Mails bis hin zu direkten Manipulationen von Kernprozessen. So hätte ein Angreifer theoretisch durch eine manipulierte Bewerbung den KI-Recruiting-Assistenten anweisen können, alle anderen qualifizierten Kandidaten unbemerkt auszusortieren oder sensible interne Gehaltsdaten preiszugeben. 

Die Forscher demonstrierten sogar physische Konsequenzen: In einem Experiment gelang es ihnen, über eine manipulierte Kalendereinladung und eine harmlose Nutzeranfrage („Danke“) Lichter in einer Wohnung auszuschalten, Fenster zu öffnen und sogar den Boiler zu aktivieren. Dies zeigt, dass KI-Agenten die Grenze zwischen der digitalen und der physischen Welt überbrücken und zu gefährlichen Werkzeugen werden können.

Ein weiteres Beispiel verdeutlichte das Risiko für Social Engineering: Marco Figueroa, GenAI Bug Bounty Programs Manager bei Mozilla, versteckte durch für den Menschen unsichtbaren Text eine gefälschte Passwort-Warnung in einer E-Mail. Als ein Nutzer Gemini um eine Zusammenfassung bat, präsentierte die KI die Falschmeldung als legitime Warnung und missbrauchte so das Vertrauen des Nutzers in das System. Google reagierte nach der Offenlegung dieser Schwachstellen mit der Implementierung mehrerer Schutzmaßnahmen.

Fall Microsoft Copilot: Von automatisierter Exfiltration zu Integritätsrisiken

Auch bei Microsoft Copilot wurden Schwachstellen identifiziert, die die neue Komplexität von KI-Sicherheitsrisiken aufzeigen und sowohl technische als auch prozessuale Fragen aufwerfen.

„EchoLeak“ – Automatisierte Datenexfiltration ohne Nutzerinteraktion

Sicherheitsforscher des Unternehmens Aim Labs entdeckten eine kritische Zero-Click-Schwachstelle namens „EchoLeak“. Hierbei reichte das Senden einer einzigen, speziell präparierten E-Mail an einen Mitarbeiter aus. Ohne jegliche weitere Interaktion des Nutzers konnte Copilot im Hintergrund dazu veranlasst werden, sensible Informationen aus dem Kontext des Anwenders (z. B. aus internen Dokumenten oder Teams-Chats) zu extrahieren und an einen externen Server zu senden.

Die Forscher bezeichneten das Kernproblem als „LLM Scope Violation“. Im Kern bedeutet dies: Eine unprivilegierte, externe Datenquelle, wie eine simple E-Mail, erlangt durch den KI-Agenten die Fähigkeit, auf hochprivilegierte, interne Unternehmensdaten zuzugreifen und diese zu manipulieren. Der Angriff umging dabei systematisch mehrere von Microsoft implementierte Verteidigungslinien und demonstrierte ein fundamentales Designrisiko in agentischen Systemen.
Für das Beheben dieser Schwachstellen benötigte Microsoft rund fünf Monate, in denen die Kunden potenziell verwundbar waren.

Die Audit-Protokoll-Schwachstelle – Risiken für Compliance und Transparenz

Ein anderer, von dem IT-Experten Zack Korman gemeldeter Vorfall betraf eine grundlegende Sicherheitsfunktion in Microsofts IT-Landschaft. Eine Schwachstelle ermöglichte es, Copilot so anzuweisen, dass Dateizugriffe nicht im Audit-Protokoll von Microsoft 356 erfasst wurden. Solche Lücken in der Protokollierung erschweren die Nachverfolgung von Sicherheitsvorfällen und können zu Problemen bei der Einhaltung von Compliance-Vorgaben (z. B. DSGVO, HIPAA) führen. Kritisch war hierbei auch, dass Microsoft sich nach der Behebung der Lücke gegen eine proaktive Information der Kunden entschied.

Handlungsempfehlungen für Unternehmen

Die analysierten Schwachstellen bei Google und Microsoft sind behoben. Dennoch zeigen sie eindrücklich, dass KI-Agenten eine neue Angriffsfläche schaffen, die über traditionelle IT-Sicherheit hinausgeht. Die Manipulation erfolgt oft nicht durch das Ausnutzen von Code-Fehlern, sondern durch die geschickte Beeinflussung des Sprachmodells. Die sichere Integration von KI in Unternehmensprozesse erfordert daher eine Anpassung der Sicherheitsstrategien, die technische Schutzmaßnahmen mit klarer Governance und geschulten Mitarbeitern kombiniert.

  1. Security Awareness erweitern: Mitarbeiter müssen dafür sensibilisiert werden, dass KI-Systeme manipulierbar sind. Schulungen müssen die Risiken von Prompt-Injections oder des Social Engineerings durch KI-Assistenten thematisieren.
  2. KI-Governance und Richtlinien etablieren: Es sind klare Regeln für den Einsatz von KI-Agenten erforderlich. Der Zugriff auf Daten und Systeme sollte nach dem „Principle of Least Privilege“ (so wenige Rechte wie nötig) streng reglementiert werden, um bereits „LLM Scope Violations“ im Ansatz zu verhindern.
  3. Anbieter-Management und Transparenz einfordern: Unternehmen sollten von Anbietern Transparenz bezüglich der Sicherheitsarchitektur, der implementierten Schutzmaßnahmen und des Umgangs mit Schwachstellenmeldungen verlangen. Die Zuverlässigkeit von Sicherheitsfunktionen wie der Audit-Protokollierung muss ein zentrales Kriterium sein.

KI-Agenten sind gekommen, um zu bleiben. Doch ihre Einführung darf nicht von naiver Technikbegeisterung geprägt sein. Die Fälle Google und Microsoft zeigen: Nur wenn wir die Risiken verstehen und eine robuste Sicherheitskultur etablieren, kann das immense Potenzial dieser Technologie sicher nutzbar gemacht werden.

KI-Agenten | sicherheit

verwandte Artikel:

Neueste Artikel & Insights über den Einsatz von KI im Personalwesen

Wenn KI-Trainer vor Chatbots warnen

Einleitung: Die paradoxe Vertrauenskrise im KI-Ökosystem Generative KI wird in Organisationen und im Alltag immer präsenter. Unternehmen versprechen Effizienzgewinne und setzen zunehmend auf Automatisierung – teils verbunden mit Stellenabbau. Ein...

mehr lesen

Personalplanung mit KI: Eine Übersicht

Summary In der Personalplanung vollzieht sich ein Wandel durch Künstliche Intelligenz (KI), der sämtliche Branchen und Unternehmensgrößen umfasst. KI-gestützte Workforce-Planning-Lösungen werden branchenübergreifend – etwa im Gesundheitswesen,...

mehr lesen

Impressum & Datenschutz