Prompt Injection lässt sich nicht wegpatchen, nur eingrenzen
Prompt Injection ist kein Bug, sondern ein architektonischer Schwachpunkt von Sprachmodellen. Was das für KI-Agenten und die KI-Lieferkette heißt und wie Sie das Risiko mit ISO 27001, ISO 42001 und dem EU AI Act eingrenzen.
Kurz gesagt
Prompt Injection ist kein Bug, den man wegpatcht, sondern ein architektonischer Schwachpunkt von Sprachmodellen: Sie trennen nicht sauber zwischen vertrauenswürdigem Befehl und eingeschleusten Daten. Bei KI-Agenten wird daraus eine falsche Handlung statt nur einer falschen Antwort. Dazu kommt das Risiko der KI-Lieferkette. Schützen heißt eingrenzen: minimale Rechte, geprüfte Ein- und Ausgaben, menschliche Freigabe für riskante Aktionen und Überwachung.
Read in English: English version
Die Lage ist eindeutig: Der aktuelle OWASP-Bericht zur Sicherheit von KI-Agenten (Stand Juni 2026) sammelt erstmals reale Vorfälle statt nur Theorie. Die unbequeme Botschaft: Prompt Injection ist kein Fehler, den der nächste Patch behebt. Es ist ein Konstruktionsmerkmal heutiger Sprachmodelle.
Warum Prompt Injection bleibt
Ein Sprachmodell hat keine eingebaute Grenze zwischen „das ist ein Befehl von mir" und „das sind nur Daten, die ich lese". Wer Anweisungen in ein Dokument, eine E-Mail, eine Webseite oder einen Code-Kommentar einschleust, kann das Modell dazu bringen, sie als Befehl auszuführen. Filter und enge Rechte senken das Risiko, beseitigen es nicht. Bei einem Agenten, der selbst handelt, wird aus einer falschen Antwort eine falsche Aktion: eine Mail, eine Bestellung, ein Systemzugriff.
Das zweite, oft übersehene Risiko: die KI-Lieferkette
KI-Agenten bestehen selten aus einem Stück. Sie nutzen Frameworks und Open-Source-Bausteine, die wiederum andere Bausteine nutzen. Wird einer davon vergiftet, erbt jedes Projekt die Schwachstelle, oft tausendfach und unbemerkt. Genau das hat sich zuletzt gezeigt: ein manipuliertes Paket tief in der Lieferkette verbreiteter Agenten-Bibliotheken. Wer KI-Komponenten einkauft, kauft ihre Schwachstellen mit.
Was wirklich schützt
Nicht das Versprechen, das Problem wegzupatchen, sondern konsequente Eindämmung an mehreren Stellen gleichzeitig:
| Risiko | Maßnahme | Andockpunkt |
|---|---|---|
| Eingeschleuste Befehle (Prompt Injection) | Geprüfte Ein- und Ausgaben, Befehl und Daten trennen | ISO/IEC 27001 (Integrität) |
| Übermächtiger Agent | Minimale Rechte je Aktion (Least Privilege) | ISO/IEC 27001 Annex A (Zugriff) |
| Riskante autonome Aktionen | Menschliche Freigabe, Limits, Sandbox | EU AI Act Art. 14 (Aufsicht) |
| Vergiftete Komponenten | Herkunft prüfen, Versionen pinnen, Lieferkette härten | ISO/IEC 27001 (Lieferkette) |
| Unbemerktes Fehlverhalten | Überwachung, Audit-Trail | ISO/IEC 42001 Kap. 9 |
Wo das in Normen andockt
Wer ISO/IEC 27001 und ISO/IEC 42001 sauber betreibt, hat den Rahmen schon stehen: Zugriffssteuerung, Integrität und Lieferkettensicherheit aus der 27001, KI-Risiko und Überwachung aus der 42001, menschliche Aufsicht aus dem AI Act. Für Agenten kommen vor allem Handlungs-Leitplanken und eine härtere Lieferkette dazu. Wie Sie das in Ihrem Haus aufsetzen, klären wir im kostenlosen Erstgespräch.
Häufige Fragen
Kann man Prompt Injection verhindern?+
Nicht vollständig. Es ist ein architektonischer Schwachpunkt von Sprachmodellen, die Befehl und Daten nicht sauber trennen. Man grenzt es ein durch geprüfte Ein- und Ausgaben, minimale Rechte, menschliche Freigabe für riskante Aktionen und lückenlose Überwachung.
Was ist das Lieferketten-Risiko bei KI?+
KI-Agenten nutzen viele Open-Source-Bausteine. Wird einer davon manipuliert, erben alle Projekte die Schwachstelle, oft unbemerkt. Schutz: Herkunft prüfen, Versionen festschreiben und Komponenten überwachen, wie bei jeder Software-Lieferkette nach ISO/IEC 27001.
Welche Norm hilft bei der Absicherung von KI-Agenten?+
Eine Kombination: ISO/IEC 27001 für Zugriff, Integrität und Lieferkette, ISO/IEC 42001 für KI-Risiko und Überwachung, dazu die menschliche Aufsicht aus Artikel 14 des EU AI Act.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & ISO/IEC 27001 Lead Auditor (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Mehr über mich.
Stand: 17. Juni 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.