Der Stand der KI-Sicherheit im Jahr 2025: Wichtige Erkenntnisse aus dem Cisco-Bericht

Da immer mehr Unternehmen KI einsetzen, ist es wichtiger denn je, die damit verbundenen Sicherheitsrisiken zu verstehen. KI verändert Branchen und Arbeitsabläufe, bringt aber auch neue Sicherheitsherausforderungen mit sich, denen sich Unternehmen stellen müssen. Der Schutz von KI-Systemen ist unerlässlich, um Vertrauen zu erhalten, die Privatsphäre zu schützen und einen reibungslosen Geschäftsbetrieb zu gewährleisten. Dieser Artikel fasst die wichtigsten Erkenntnisse aus Ciscos jüngster Studie zusammen:Stand der KI-Sicherheit im Jahr 2025Der Bericht „KI-Sicherheit heute“ bietet einen Überblick darüber, wo KI-Sicherheit heute steht und was Unternehmen für die Zukunft beachten sollten.

Eine wachsende Sicherheitsbedrohung für KI

Wenn uns das Jahr 2024 etwas gelehrt hat, dann, dass die Einführung von KI schneller voranschreitet, als viele Unternehmen sie absichern können. Laut Ciscos Bericht nutzen zwar rund 72 % der Unternehmen KI in ihren Geschäftsfunktionen, doch nur 13 % fühlen sich bereit, ihr Potenzial sicher zu maximieren. Diese Lücke zwischen Akzeptanz und Bereitschaft ist größtenteils auf Sicherheitsbedenken zurückzuführen, die nach wie vor das Haupthindernis für einen breiteren Einsatz von KI in Unternehmen darstellen. Noch besorgniserregender ist, dass KI neue Bedrohungen mit sich bringt, denen herkömmliche Cybersicherheitsmethoden nicht vollständig gewachsen sind. Im Gegensatz zu konventioneller Cybersicherheit, die oft feste Systeme schützt, bringt KI dynamische und adaptive Bedrohungen mit sich, die schwerer vorherzusagen sind. Der Bericht hebt mehrere neue Bedrohungen hervor, die Unternehmen kennen sollten:

• Angriffe auf die Infrastruktur: KI-Infrastruktur ist zu einem Hauptziel für Angreifer geworden. Ein bemerkenswertes Beispiel ist die Kompromiss von NVIDIAs Container Toolkit, das es Angreifern ermöglichte, auf Dateisysteme zuzugreifen, Schadcode auszuführen und Berechtigungen zu erweitern. Ebenso wurde Ray, ein Open-Source-KI-Framework für die GPU-Verwaltung, kompromittiert bei einem der ersten realen Angriffe auf KI-Frameworks. Diese Fälle zeigen, wie sich Schwachstellen in der KI-Infrastruktur auf viele Benutzer und Systeme auswirken können.
• Risiken in der Lieferkette: Schwachstellen in der KI-Lieferkette stellen ein weiteres großes Problem dar. Rund 60 % der Unternehmen setzen auf Open-Source-KI-Komponenten oder -Ökosysteme. Dies birgt Risiken, da Angreifer diese weit verbreiteten Tools kompromittieren können. Der Bericht erwähnt eine Technik namens „Schläfrige Gurke”, wodurch Angreifer KI-Modelle auch nach der Verteilung manipulieren können. Dies macht die Erkennung extrem schwierig.
• KI-spezifische Angriffe: Neue Angriffstechniken entwickeln sich rasant. Methoden wie Prompt Injection, Jailbreaking und Trainingsdatenextraktion ermöglichen es Angreifern, Sicherheitskontrollen zu umgehen und auf vertrauliche Informationen in Trainingsdatensätzen zuzugreifen.

Angriffsvektoren für KI-Systeme

Der Bericht hebt die Entstehung neuer Angriffsmethoden hervor, mit denen böswillige Akteure Schwachstellen in KI-Systemen ausnutzen. Diese Angriffe können in verschiedenen Phasen des KI-Lebenszyklus erfolgen, von der Datenerfassung und dem Modelltraining bis hin zur Bereitstellung und Inferenz. Ziel ist oft, die KI zu unbeabsichtigtem Verhalten zu bringen, private Daten preiszugeben oder schädliche Aktionen auszuführen.

In den letzten Jahren sind diese Angriffsmethoden immer ausgefeilter und schwerer zu erkennen geworden. Der Bericht beleuchtet verschiedene Arten von Angriffsvektoren:

• Jailbreaking: Bei dieser Technik werden gegnerische Eingabeaufforderungen erstellt, die die Sicherheitsmaßnahmen eines Modells umgehen. Trotz Verbesserungen der KI-Abwehr zeigen Ciscos Untersuchungen, dass selbst einfache Jailbreaks gegen fortschrittliche Modelle wie DeepSeek R1 weiterhin wirksam sind.
• Indirekte Prompt-Injektion: Im Gegensatz zu direkten Angriffen manipuliert dieser Angriffsvektor die Eingabedaten oder den Kontext, den das KI-Modell indirekt nutzt. Angreifer können kompromittierte Quellmaterialien wie schädliche PDFs oder Webseiten bereitstellen, wodurch die KI unbeabsichtigte oder schädliche Ergebnisse generiert. Diese Angriffe sind besonders gefährlich, da sie keinen direkten Zugriff auf das KI-System erfordern und Angreifer so viele traditionelle Abwehrmaßnahmen umgehen können.
• Extraktion und Vergiftung von Trainingsdaten: Ciscos Forscher haben gezeigt, dass Chatbots dazu gebracht werden können, Teile ihrer Trainingsdaten preiszugeben. Dies wirft ernsthafte Bedenken hinsichtlich Datenschutz, geistigem Eigentum und Compliance auf. Angreifer können Trainingsdaten auch durch das Einfügen schädlicher Eingaben verfälschen. Erschreckenderweise Vergiftung nur 0.01 % der großen Datensätze wie LAION-400M or COYO-700M kann das Modellverhalten beeinflussen und dies ist mit einem kleinen Budget (ca. 60 USD) möglich, wodurch diese Angriffe für viele böswillige Akteure zugänglich werden.

Der Bericht hebt ernsthafte Bedenken hinsichtlich des aktuellen Stands dieser Angriffe hervor, da Forscher eine Erfolgsquote von 100 % gegen fortgeschrittene Modelle wie DeepSeek R1 sowie Lama 2. Dies deckt kritische Sicherheitslücken und potenzielle Risiken auf, die mit ihrer Nutzung verbunden sind. Darüber hinaus identifiziert der Bericht das Auftreten neuer Bedrohungen wie sprachbasierte Jailbreaks die speziell auf multimodale KI-Modelle ausgerichtet sind.

Erkenntnisse aus Ciscos KI-Sicherheitsforschung

Das Forschungsteam von Cisco hat verschiedene Aspekte der KI-Sicherheit bewertet und mehrere wichtige Erkenntnisse gewonnen:

• Algorithmisches Jailbreaking: Forscher zeigten, dass selbst Top-KI-Modelle automatisch ausgetrickst werden können. Mit einer Methode namens Angriffsbaum mit Beschneidung (TAP)Forscher umgingen die Schutzmechanismen von GPT-4 und Llama 2.
• Risiken bei der Feinabstimmung: Viele Unternehmen optimieren ihre Basismodelle, um die Relevanz für bestimmte Bereiche zu verbessern. Forscher fanden jedoch heraus, dass diese Feinabstimmung interne Sicherheitsvorkehrungen schwächen kann. Optimierte Versionen waren über dreimal anfälliger für Jailbreaking und produzierten 22-mal häufiger schädliche Inhalte als die ursprünglichen Modelle.
• Extraktion von Trainingsdaten: Cisco-Forscher nutzten eine einfache Dekompositionsmethode, um Chatbots dazu zu bringen, Fragmente von Nachrichtenartikeln zu reproduzieren und so die Quellen des Materials zu rekonstruieren. Dies birgt das Risiko, sensible oder vertrauliche Daten preiszugeben.
• Datenvergiftung: Datenvergiftung: Ciscos Team zeigt, wie einfach und kostengünstig es ist, große Web-Datensätze zu manipulieren. Für etwa 60 US-Dollar gelang es Forschern, 0.01 % der Datensätze wie LAION-400M oder COYO-700M zu manipulieren. Sie betonen außerdem, dass dieser Grad der Manipulation ausreicht, um spürbare Veränderungen im Modellverhalten zu verursachen.

Die Rolle der KI bei Cyberkriminalität

KI ist nicht nur ein Angriffsziel – sie wird auch zum Werkzeug für Cyberkriminelle. Der Bericht stellt fest, dass Automatisierung und KI-gestütztes Social Engineering Angriffe effektiver und schwerer zu erkennen gemacht haben. Von Phishing-Betrug bis hin zum Voice-Cloning hilft KI Kriminellen, überzeugende und personalisierte Angriffe zu entwickeln. Der Bericht identifiziert außerdem den Anstieg bösartiger KI-Tools wie „DarkGPT”, die speziell entwickelt wurden, um Cyberkriminalität durch die Generierung von Phishing-E-Mails oder die Ausnutzung von Schwachstellen zu unterstützen. Besonders besorgniserregend ist ihre Zugänglichkeit. Selbst wenig erfahrene Kriminelle können nun hochgradig personalisierte Angriffe erstellen, die traditionelle Abwehrmaßnahmen umgehen.

Best Practices zur Sicherung von KI

Angesichts der Volatilität der KI-Sicherheit empfiehlt Cisco Unternehmen mehrere praktische Schritte:

1. Verwalten Sie Risiken über den gesamten KI-Lebenszyklus hinweg: Es ist entscheidend, Risiken in jeder Phase des KI-Lebenszyklus zu identifizieren und zu reduzieren – von der Datenbeschaffung und dem Modelltraining bis hin zur Bereitstellung und Überwachung. Dazu gehört auch die Sicherung von Drittanbieterkomponenten, die Anwendung strenger Schutzmaßnahmen und die strenge Kontrolle der Zugriffspunkte.
2. Verwenden Sie etablierte Cybersicherheitspraktiken: Obwohl KI einzigartig ist, sind traditionelle Best Practices für Cybersicherheit weiterhin unerlässlich. Techniken wie Zugriffskontrolle, Berechtigungsverwaltung und Datenverlustprävention können eine entscheidende Rolle spielen.
3. Fokus auf gefährdete Bereiche: Unternehmen sollten sich auf die Bereiche konzentrieren, die am wahrscheinlichsten angegriffen werden, wie Lieferketten und KI-Anwendungen von Drittanbietern. Durch das Verständnis der Schwachstellen können Unternehmen gezieltere Abwehrmaßnahmen ergreifen.
4. Mitarbeiter schulen und ausbilden: Da KI-Tools immer weiter verbreitet sind, ist es wichtig, Benutzer zu schulen in verantwortliche KI Nutzung und Risikobewusstsein. Eine gut informierte Belegschaft trägt dazu bei, die versehentliche Offenlegung und den Missbrauch von Daten zu reduzieren.

Weiter denken

Die Verbreitung von KI wird weiter zunehmen und damit auch die Sicherheitsrisiken. Regierungen und Organisationen weltweit erkennen diese Herausforderungen und entwickeln Richtlinien und Vorschriften zur KI-Sicherheit. Wie der Cisco-Bericht hervorhebt, wird die Balance zwischen KI-Sicherheit und Fortschritt die nächste Ära der KI-Entwicklung und -Bereitstellung bestimmen. Organisationen, die neben Innovation auch Sicherheit priorisieren, sind am besten gerüstet, die Herausforderungen zu meistern und neue Chancen zu nutzen.