Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > Das 2,5-fache Problem: Warum KI-Penetrationstests die Diskussion um Datensicherheit neu ausrichten

Das 2,5-fache Problem: Warum KI-Penetrationstests die Diskussion um Datensicherheit neu ausrichten

von Patrick Spencer updated Mai 28, 2026 Cybersecurity-Risikomanagement
Lesezeit: 7 Minuten

Wenn Ihr Application-Security-Pentest eine 13%ige Rate schwerwiegender Schwachstellen ergibt, nehmen Sie das als Routine. Liegt sie bei 32%, stoppen Sie das Deployment. Der Cobalt State of Pentesting 2026 zeigt: Im Durchschnitt liegt die Rate schwerwiegender Schwachstellen bei KI- und LLM-basierten Systemen bei 32% – fast 2,5-mal so hoch wie bei klassischen Unternehmensanwendungen. Cobalt benennt die Ursache klar: Prompt Injection hat alle anderen Kategorien überholt und steht nun an der Spitze der OWASP LLM Top 10.

Neue Angriffsflächen – Model-Tooling, Plugin-Orchestratoren, Retrieval Pipelines, Connector-Berechtigungen – schaffen Risiken, die klassische App-Sec-Tools nicht abdecken. Die Verantwortung für die Behebung ist in den meisten Unternehmen unklar, da KI gleichzeitig in Security-, Daten- und Plattform-Engineering-Teams angesiedelt ist.

Pen-Tester ziehen daher die Schlussfolgerung, die die Branche bislang vermieden hat: KI-Systeme sind keine weitere Anwendungsschicht. Sie stellen eine strukturell riskantere Systemklasse dar und benötigen ein eigenes Threat Model, einen eigenen sicheren SDLC und eigene Laufzeitkontrollen.

5 Wichtige Erkenntnisse

1. KI weist 2,5-mal so viele schwerwiegende Schwachstellen auf wie Legacy-Anwendungen.

Cobalts State of Pentesting 2026 zeigt: 32% der Findings bei KI- und LLM-Systemen gelten als Hochrisiko, bei klassischen Unternehmensanwendungen sind es 13%. Das ist kein Abstimmungsproblem – es ist ein struktureller Unterschied in der Angriffsfläche, der ein separates Threat Model, einen eigenen sicheren SDLC und eigene Laufzeitkontrollen erfordert. Wer KI mit klassischen App-Sec-Prozessen testet, unterschätzt die Rate schwerwiegender Schwachstellen um mehr als das Doppelte. KI-Governance beginnt mit der klaren Anerkennung dieser Lücke.

2. Prompt Injection ist das neue Top-Risiko laut OWASP LLM.

HackerOne verzeichnete einen Anstieg von 540% bei Bug-Bounty-Meldungen zu Prompt Injection im Jahresvergleich – Angreifer haben zur KI-Einführungswelle aufgeschlossen. Prompt Injection steht nun an der Spitze der OWASP LLM Top 10. Neue Angriffsflächen – Model-Tooling, Plugin-Orchestratoren, Retrieval Pipelines, Connector-Berechtigungen – schaffen Risiken, die klassische App-Sec-Tools nicht abdecken.

3. Containment ist die Lücke, nicht Detection.

63% der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen, 60% können einen fehlverhaltenden Agenten nicht beenden, 55% können KI-Systeme nicht vom Netzwerk isolieren. Die Lücke zwischen Governance und Containment beträgt 15 bis 20 Prozentpunkte – Unternehmen investieren in das Monitoring von KI, nicht in deren Begrenzung. Selbst bei optimistischen Prognosen wird etwa ein Viertel der Unternehmen Ende 2026 noch immer keine grundlegenden Containment-Maßnahmen für bereits eingesetzte KI-Systeme haben. Audit-Trails ohne Kill Switch sind ein Nachweis für einen Vorfall, nicht für dessen Verhinderung.

4. Pen-Tests finden, was da ist.

Prompt Injection, Tool-Call-Missbrauch und Connector-Missbrauch treffen alle auf derselben Ebene: der Datenebene. Der Exploit landet im Modell, der Schaden in den Daten. Die entscheidende Frage für das Ausmaß ist nicht „Kann das Modell getäuscht werden?“ – der 540%ige Anstieg bei HackerOne bestätigt, dass das passieren wird –, sondern „Welche Daten werden bei einer Täuschung berührt und wer kann nachweisen, was passiert ist?“ Kontrollen auf Anwendungsebene beantworten nur den ersten Teil. Kontrollen auf Datenebene beantworten beide.

5. Nur Data-Layer-Governance ist zukunftssicher.

ABAC-Durchsetzung, FIPS 140-3-Verschlüsselung und manipulationssichere Audit-Logs auf der Datenebene begrenzen den Schaden selbst im Exploit-Fall. Wird das Modell dazu gebracht, Daten anzufordern, die es nicht erhalten sollte, verweigert die Policy Engine – und der Versuch wird protokolliert. Der Exploit wird so zur protokollierten Verweigerung statt zum Compliance-Vorfall.

Sie Vertrauen Darauf, Dass Ihr Unternehmen Sicher Ist. Aber Können Sie Es Nachweisen?

Jetzt Lesen

Die Kiteworks-Daten zeigen, warum die Lücke existiert

Der Kiteworks Prognosebericht 2026 macht den Zusammenhang deutlich. Das Pen-Test-Problem ist eine Folge eines Steuerungsproblems, das die Umfrage quantifiziert: Unternehmen investieren in das Monitoring von KI, nicht in deren Begrenzung. 63% können keine Zweckbindung für KI-Agents durchsetzen – der Agent kann alles tun, was seine Connectors erlauben, unabhängig von der Policy. 60% können einen fehlverhaltenden Agenten nicht schnell beenden – es gibt keinen Kill Switch, nur ein Deployment, das zurückgerollt werden muss. 55% können KI-Systeme nicht vom Netzwerk isolieren – der Agent, der eine Anbieter-API aufruft, kann auch auf Ihre Fileshares zugreifen.

Die Lücke zwischen Governance und Containment beträgt 15 bis 20 Prozentpunkte: 59% haben Human-in-the-Loop-Überwachung, 58% kontinuierliches Monitoring, 56% Datenminimierung. Selbst bei optimistischen Planungen werden etwa ein Viertel der Unternehmen Ende 2026 noch immer keine grundlegenden Containment-Maßnahmen für bereits eingesetzte KI-Systeme haben. Der Prognosebericht 2026 bezeichnet dies als das zentrale Spannungsfeld der agentenbasierten KI-Sicherheit – und es wird sich nicht von selbst lösen.

Warum das ein Data-Layer- und kein App-Sec-Problem ist

Verfolgen Sie jedes Cobalt-Angriffsmuster bis zum eigentlichen Schaden. Prompt Injection: Das Modell nimmt eine Anweisung an, die es nicht hätte annehmen dürfen, und erzeugt ein unerwünschtes Ergebnis. Tool-Call-Missbrauch: Das Modell ruft eine Funktion mit Parametern auf, die es nicht hätte verwenden dürfen. Connector-Missbrauch: Das Modell greift auf ein System zu, auf das es keinen Zugriff haben sollte.

In allen Fällen landet der Exploit im Modell, der Schaden in den Daten. Die entscheidende Frage für das Ausmaß ist nicht „Kann das Modell getäuscht werden?“ – es kann, und der 540%ige Anstieg bei HackerOne zeigt, dass es passieren wird –, sondern „Welche Daten berührt das Modell bei einer Täuschung und wer kann nachweisen, was passiert ist?“ Kontrollen auf Anwendungsebene beantworten nur den ersten Teil. Kontrollen auf Datenebene beantworten beide und liefern den Nachweis, den Aufsichtsbehörden verlangen.

Was Data-Layer-Governance in der Praxis bedeutet

Drei Kontrollen leisten den Großteil der Arbeit und verschieben die Schnittstelle zwischen Modell und Daten:

Attributbasierte Zugriffskontrolle bei jedem Datenzugriff. Jede Anfrage eines KI-Agents wird vor dem Datenzugriff anhand von ABAC-Richtlinien geprüft – wer ruft an, welches Dataset wird angefragt, zu welchem Zweck und ob die Policy diese Kombination erlaubt. Das Modell kann zur Anfrage verleitet werden. Die Policy Engine antwortet mit Nein.

FIPS 140-3-validierte Verschlüsselung mit kundengemanagten Schlüsseln. Das Modell sieht niemals entschlüsselte Massendaten, es sei denn, die Policy Engine hat den Zugriff autorisiert. Kundengemanagte Schlüssel außerhalb der Reichweite des KI-Anbieters verhindern, dass selbst eine kompromittierte Orchestrierungsschicht auf die Daten zugreifen kann.

Manipulationssichere Audit-Logs in Echtzeit an SIEM. Jeder Modellzugriff auf regulierte Daten erzeugt einen unveränderbaren Eintrag – Aufrufer-Identität, Dataset, Attributprüfung, Policy-Entscheidung, Zeitstempel. Wenn die Aufsichtsbehörde nach dem Prompt-Injection-Vorfall fragt, haben Sie die Antwort.

Der Kiteworks-Ansatz: Governance, die hält, wenn Prompts versagen

Der Kiteworks Secure MCP Server und das AI Data Gateway erweitern die Data-Layer-Governance auf KI-Agent-Interaktionen. Jeder Modellzugriff auf regulierte Daten läuft über dieselben Kontrollen wie bei menschlichen Anwendern: ABAC bei jedem Zugriff, FIPS 140-3-validierte Verschlüsselung mit kundengemanagten Schlüsseln, manipulationssichere Audit-Trails in Echtzeit und Single-Tenant-Isolierung zur Vermeidung von Cross-Tenant-Angriffspfaden.

Prompt Injection wird weiterhin vorkommen. Der 540%ige Anstieg bei HackerOne wird nicht abflachen. Was sich ändert, ist das Ausmaß des Schadens. Wird das Modell dazu gebracht, Daten anzufordern, die es nicht erhalten sollte, verweigert die Policy Engine – und der Audit-Log zeichnet den Versuch auf. Der Exploit wird so zur protokollierten Verweigerung statt zum Compliance-Vorfall. Das Kiteworks Private Data Network erweitert diese Architektur auf E-Mail, Filesharing, Managed File Transfer, SFTP, Web-Formulare und APIs – alles unter einer Policy Engine und einem konsolidierten Audit-Log.

Was CISOs in diesem Quartal tun sollten

Erstens: Behandeln Sie KI-Systeme als eigene Angriffsfläche im Threat Model. Erstellen Sie einen separaten KI-Track für Threat Modeling mit Prompt Injection, Tool-Call-Missbrauch und Connector-Berechtigungen als Hauptfehlerquellen. Ihr bestehender App-Sec-Prozess unterschätzt die Rate schwerwiegender Schwachstellen um mehr als das Doppelte.

Zweitens: Prüfen Sie Containment-Kontrollen vor Governance-Kontrollen. Governance ist die einfachere Investition – Logging erfordert keine Architekturänderungen. Containment ist schwieriger und wichtiger. Können Sie einen fehlverhaltenden Agenten nicht per Kill Switch beenden, nützen die anderen Kontrollen wenig.

Drittens: Verlegen Sie die Zugriffskontrolle von der Anwendungsebene auf die Datenebene. ABAC bei jeder Modellanfrage zu regulierten Daten, mit FIPS 140-3-validierter Verschlüsselung und kundengemanagten Schlüsseln, ist die einzige Architektur, die Prompt Injection im großen Maßstab übersteht. Die Prognose des Forecast Reports 2026 – 24 bis 36% der Unternehmen werden zum Jahresende noch immer grundlegende Kill Switches und Zweckbindung vermissen – bedeutet: Wer keine Data-Layer-Controls hat, gehört zum Nachzüglerfeld.

Viertens: Üben Sie das Incident-Playbook für Prompt Injection. Was macht Ihr SOC, wenn ein KI-Agent auf Daten außerhalb seines Berechtigungsrahmens zugreift? Wer wird benachrichtigt? Welche Logs werden gezogen? Welches Evidenzpaket geht an die Aufsichtsbehörde? Tabletop-Übungen sorgen dafür, dass die Lücke nicht erst im Ernstfall auffällt.

Mehr über die Governance von KI-Daten erfahren Sie, wenn Sie eine individuelle Demo vereinbaren.

Häufig gestellte Fragen

Ja. KI/LLM-Systeme weisen laut Cobalt 2026 eine 32%ige Rate schwerwiegender Schwachstellen auf, bei klassischen Anwendungen sind es 13%. Containment-Kontrollen – Zweckbindung, Kill Switches und Netzwerkisolation – sind laut Kiteworks Prognose 2026 die größten Lücken. Erstellen Sie einen separaten KI-Track für Threat Modeling mit Fokus auf Prompt Injection und Tool-Call-Missbrauch und ergänzen Sie diesen um ABAC auf Datenebene sowie manipulationssichere Audit-Trails.

Regulierte KI-Einsatzbereiche benötigen mindestens drei Kontrollen: ABAC bei jeder Modellanfrage, FIPS 140-3-validierte Verschlüsselung mit kundengemanagten Schlüsseln und manipulationssichere Audit-Logs. PCI DSS verlangt den nachweisbaren Schutz von Karteninhaberdaten vor jedem Modell, das diese nicht benötigt – die Policy Engine, nicht das Modell, muss diese Grenze durchsetzen. HIPAA fordert das gleiche Prinzip auf PHI-Ebene.

Vermutlich nicht so, wie Sie denken. 60% der Unternehmen können einen fehlverhaltenden Agenten nicht schnell beenden, und die häufigste Lücke ist die Erkennung – möglicherweise gab es bereits einen Vorfall, ohne dass Sie es wissen. Der 540%ige Anstieg bei Prompt-Injection-Bug-Bounty-Meldungen deutet darauf hin, dass Angreifer aufgeholt haben. Die entscheidende Frage ist nicht, ob Sie einen Vorfall hatten, sondern ob Ihre Audit-Logs es zeigen würden.

Drei Kennzahlen sind entscheidend: Dichte schwerwiegender Schwachstellen (32% vs. 13% laut Cobalt), Containment-Lücke (63% können keine Zweckbindung durchsetzen, 60% fehlt ein Kill Switch, 55% können KI nicht vom Netzwerk isolieren laut Kiteworks Prognose 2026) und KI-gestützte Angriffe von Gegnern (89% Anstieg im Jahresvergleich laut CrowdStrike). Zusammen zeigen sie: KI-Risiko ist kein Problem für 2027, sondern eine Compliance-Priorität für das aktuelle Quartal.

Teilweise. Kommerzielle KI-Angebote bieten einige Governance-Grundfunktionen – Zugriffskontrollen, Aufbewahrungsrichtlinien, Plattform-Audit-Logs. Sie bieten jedoch kein ABAC auf die Unternehmensdaten, die das Modell über Connectors abfragt. Diese Grenze – die Schnittstelle zwischen Daten und Modell – muss Ihre Datenarchitektur durchsetzen, nicht der KI-Anbieter. Das Kiteworks AI Data Gateway steuert diese Ebene unabhängig von der verwendeten KI-Plattform.

Weitere Ressourcen

  • Blogbeitrag
    Zero‑Trust-Strategien für bezahlbaren KI-Datenschutz
  • Blogbeitrag
    Wie 77% der Unternehmen bei der KI-Datensicherheit scheitern
  • eBook
    AI Governance Gap: Warum 91% kleiner Unternehmen 2025 russisches Roulette mit Datensicherheit spielen
  • Blogbeitrag
    Es gibt kein „–dangerously-skip-permissions“ für Ihre Daten
  • Blogbeitrag
    Die Zeit der KI-Policy-Absichtserklärungen ist vorbei – Regulierungsbehörden wollen Beweise

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks