Prompt Injection – Das größte Risiko in AI Driven Software
Warum Firewalls hier nicht helfen.

Das Problem

Prompt Injection ist aktuell eines der größten Sicherheitsrisiken bei LLM-Integrationen, AI-Agents, Tool-Calling und automatisierten Softwarepipelines. Das Prinzip ist simpel und gefährlich: Ein manipulierter Input (z.B. in einem Kontaktformular, einer E-Mail oder einem Dokument) bringt das LLM dazu, seine eigentlichen Instruktionen zu ignorieren.

Ein erfolgreicher Angriff kann:

• Sicherheitsregeln umgehen: "Ignoriere alle vorherigen Anweisungen und..."
• Systemprompts überschreiben: Die Identität und Regeln des Bots ändern.
• Daten exfiltrieren: Interne Informationen an den Angreifer senden.
• Aktionen auslösen: Ungewollte API-Calls oder Datenbank-Operationen starten.

Warum es noch keine perfekte Lösung gibt

Die großen Player haben keine finale Lösung. Warum? Weil LLMs Sprache probabilistisch interpretieren. Sie unterscheiden nicht zuverlässig zwischen Daten (dem Input des Users) und Instruktionen (dem Befehl des Entwicklers). Für das Modell ist alles nur Text, der fortgesetzt werden soll.

Das Swiss-Cheese-Prinzip

Da es keine "Silberkugel" gibt, müssen wir auf das Swiss-Cheese-Prinzip setzen: Mehrere löchrige Security-Layer nacheinander im Einsatz.

Warum? Weil jeder einzelne Layer nicht sicher genug ist. Aber wenn man sie stapelt, werden die Löcher verdeckt.

• Input Validation: Prüfen, was reinkommt, bevor es das LLM erreicht.
• Output Filtering: Prüfen, was rausgeht, bevor es den User erreicht.
• Tool-Sandboxing: Beschränken, was die KI technisch überhaupt tun kann.
• Rechtebegrenzung: Principle of Least Privilege für den KI-Agenten.
• Human-in-the-loop: Kritische Aktionen erfordern Bestätigung.
• Logging & Monitoring: Anomalien erkennen, wenn sie passieren.

Jeder Layer hat Löcher. Aber hoffentlich nicht an derselben Stelle.

Realität

Wer AI in produktive Systeme integriert, braucht eine Security-Architektur – keine Prompt-Tricks. "Bitte sei sicher" in den System Prompt zu schreiben, reicht nicht.