BSI veröffentlicht Sicherheitsleitfaden für KI-Systeme: Warum das auch dich betrifft

von | 12.11.2025 | KI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei umfassende Leitfäden veröffentlicht, die zeigen, wie man KI-Systeme gegen Manipulationen schützt. Klingt technisch? Ist es auch. Aber die Bedrohungen, vor denen das BSI warnt, betreffen uns alle.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zwei umfassende Leitfäden veröffentlicht, die zeigen, wie man KI-Systeme gegen Manipulationen schützt. Klingt technisch? Ist es auch. Aber die Bedrohungen, vor denen das BSI warnt, betreffen uns alle.

Wenn KI-Assistenten zum Sicherheitsrisiko werden

Stell dir vor: Du nutzt einen KI-Assistenten, der deine E-Mails analysiert, Termine verwaltet und auf deine privaten Dokumente zugreifen kann. Praktisch, oder? Aber was, wenn jemand diese KI heimlich manipuliert? Genau darum geht es in den neuen BSI-Dokumenten.

Die Experten warnen vor sogenannten „Evasion Attacks“ – clevere Angriffe, die KI-Systeme austricksen. Das Perfide: Diese Attacken sind oft unsichtbar. Sie verstecken sich in scheinbar harmlosen Texten, Dokumenten oder Webseiten.

Die „tödliche Dreifaltigkeit“ der KI-Sicherheit

Das BSI beschreibt eine besonders gefährliche Konstellation, die sie „Lethal Trifecta“ nennen:

  1. Die KI hat Zugriff auf private Daten (deine E-Mails, Dokumente, Kalender)
  2. Sie verarbeitet Inhalte aus nicht vertrauenswürdigen Quellen (Webseiten, fremde Dokumente)
  3. Sie kann nach außen kommunizieren (E-Mails versenden, Dateien hochladen)

Wenn diese drei Faktoren zusammenkommen, wird es kritisch. Ein Angreifer könnte die KI dazu bringen, sensible Informationen nach außen zu schicken – ohne dass du es merkst.

Angriffe aus dem Nichts: Reale Beispiele

Die BSI-Leitfäden beschreiben konkrete Angriffsszenarien, die längst Realität sind:

Spionage per Langzeitgedächtnis: Ein Nutzer lässt seine KI eine manipulierte Webseite analysieren. Die versteckten Anweisungen auf der Seite werden ins „Langzeitgedächtnis“ der KI übernommen. Von da an sendet die KI heimlich alle Gespräche an einen Server des Angreifers.

GitHub-Repository-Trick: Entwickler nutzen KI-Assistenten, die auf ihre Code-Repositories zugreifen. Ein Angreifer erstellt einen harmlosen Bug-Report in einem öffentlichen Repository. Darin versteckt: Befehle, die die KI dazu bringen, Code aus privaten Repositories zu kopieren und nach außen zu senden.

Vergiftete Konfigurationsdateien: Teams teilen Regelwerke für ihre KI-Assistenten in Open-Source-Projekten. Angreifer schleusen subtile Manipulationen ein, die dazu führen, dass die KI Sicherheitslücken in generierten Code einbaut.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesinnenministerin Nancy Faeser warnen vor Cyberbedrohungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Bundesinnenministerin Nancy Faeser warnen vor Cyberbedrohungen

Was das BSI empfiehlt

Die gute Nachricht: Es gibt konkrete Gegenmaßnahmen. Das BSI präsentiert einen strukturierten Werkzeugkasten, der von einfachen bis zu komplexen Schutzmaßnahmen reicht.

Basis-Absicherung für jeden:

  • Klare Rollenverteilung: Die KI bekommt eine eindeutige Rolle zugewiesen („Du bist ein Rechtsberater“). Das macht es schwerer, sie umzuprogrammieren.
  • Menschliche Kontrolle: Bei kritischen Aktionen muss ein Mensch zustimmen. Will die KI eine E-Mail versenden? Erst nach deiner Bestätigung.
  • Filtersysteme: Verdächtige Links, versteckte Zeichen oder ungewöhnliche Textelemente werden automatisch erkannt und blockiert.
  • Minimale Rechte: Die KI darf nur das, was sie wirklich braucht. Kein Zugriff auf Daten oder Funktionen „auf Vorrat“.

Warum gerade das BSI das richtig gut macht

Hier muss man ehrlich sein: Deutsche Behörden haben nicht immer den besten Ruf, wenn es um digitale Themen geht. Das BSI ist eine erfreuliche Ausnahme. Statt vager Warnungen liefern die Experten hier knallharte, umsetzbare Anleitungen.

Die beiden Leitfäden sind keine akademischen Abhandlungen, sondern Arbeitsmaterial für die Praxis. Es gibt Checklisten, konkrete Beispiele, technische Details – alles, was man braucht, um ein KI-System wirklich abzusichern.

Das BSI macht hier vor, wie moderne Behördenarbeit aussehen sollte: fundiert, praxisnah und ohne unnötiges Fachchinesisch.

Was bedeutet das für dich?

Auch wenn du selbst keine KI-Systeme entwickelst: Die Thematik betrifft dich. Immer mehr Dienste setzen auf KI-Assistenten. Dein E-Mail-Programm, deine Office-Software, dein Kundenservice – überall steckt zunehmend künstliche Intelligenz.

Die Frage ist: Sind diese Systeme gegen Manipulation geschützt? Die BSI-Leitfäden zeigen, worauf du achten solltest:

  • Kann die KI auf deine privaten Daten zugreifen?
  • Verarbeitet sie Inhalte aus dem Internet?
  • Hat sie die Möglichkeit, eigenständig zu kommunizieren?

Je mehr dieser Fragen du mit „Ja“ beantwortest, desto wichtiger wird die Sicherheit. Frag bei Anbietern nach, welche Schutzmaßnahmen sie implementiert haben. Die BSI-Dokumente geben dir die nötigen Stichworte.

KI-Modelle wie ChatGPT können sich irren – doch das tun sie besonders überzeugend
KI-Modelle wie ChatGPT können sich irren – doch das tun sie besonders überzeugend

Ausblick: Ein Katz-und-Maus-Spiel

Die Experten sind sich einig: Es wird kein „fertiges“ Sicherheitskonzept geben. KI-Systeme entwickeln sich rasant weiter – und damit auch die Angriffsmethoden. Das BSI betont deshalb: Sicherheit ist ein fortlaufender Prozess.

Die jetzt veröffentlichten Leitfäden sind ein wichtiger Meilenstein. Sie schaffen eine Grundlage, auf der aufgebaut werden kann. Und sie zeigen: Wenn Behörden wie das BSI ihre Expertise einbringen, entsteht echter Mehrwert für alle.

Die Dokumente sind kostenlos beim BSI verfügbar – eine Pflichtlektüre für jeden, der professionell mit KI arbeitet. Und lesenswert für alle, die verstehen wollen, welche Risiken in der schönen neuen KI-Welt lauern.

Schieb Pro, Schieb Plus, Schieb Flat