KI-Sicherheit: Alle 15 Top-Modelle anfällig für Multi-Turn-Angriffe

Selbst die fortschrittlichsten KI-Modelle sind anfällig für raffinierte Angriffe über mehrere Gesprächsrunden hinweg. Eine aktuelle Studie zeigt alarmierende Sicherheitslücken.

Forscher von Cisco AI Threat Research haben 15 führende proprietäre KI-Modelle unter die Lupe genommen – darunter Systeme von OpenAI, Anthropic, Google, Amazon und xAI. Das Ergebnis ist ernüchternd: Kein einziges Modell ist immun gegen sogenannte „Multi-Turn"-Angriffe. Dabei nutzen Angreifer iterative Gespräche, um Sicherheitsvorkehrungen systematisch zu umgehen.

Die EU-KI-Verordnung stellt Unternehmen vor neue Herausforderungen bei der Absicherung ihrer Systeme. Welche KI-Anwendungen als Hochrisiko gelten und welche konkreten Dokumentationspflichten Sie jetzt erfüllen müssen, erfahren Sie in diesem kostenlosen Report. Welche KI-Systeme gelten als Hochrisiko – und was müssen Unternehmen jetzt konkret tun?

Die Schwachstelle liegt im Dialog

Die Studie, die Ende Mai 2026 veröffentlicht wurde, basiert auf einem umfangreichen Datensatz: 30.090 Einzelfragen und 6.986 Mehrfachangriffe in 1.456 verschiedenen Unterhaltungen. Die Ergebnisse zeigen ein klares Muster: Je länger ein Gespräch dauert, desto anfälliger werden die Modelle.

Während die Erfolgsquote bei einzelnen Angriffen zwischen 2,2 und 64,9 Prozent lag, stieg sie bei Mehrfachangriffen auf 7,9 bis 88,3 Prozent. Besonders verwundbar zeigte sich Grok 4.1 Fast: Die Erfolgsrate schnellte von 34,2 auf 88,3 Prozent hoch. Gemini 3 Pro folgte einem ähnlichen Muster – von 18,1 auf 73,4 Prozent.

Selbst das widerstandsfähigste Modell, GPT-5.4, musste Federn lassen: Die Angriffsrate stieg von 2,7 auf 24,7 Prozent – eine Verneunfachung. Claude Opus 4.5 erwies sich als robust, verzeichnete aber ebenfalls einen Anstieg von 2,19 auf 11,2 Prozent.

Eine Ausnahme bildete Amazon Nova 2 Lite: Hier sank die Erfolgsquote von 34,1 Prozent bei Einzelfragen auf 7,9 Prozent bei Mehrfachangriffen. Die Cisco-Forscher fordern nun mehr Transparenz von den Entwicklern – sie sollen Angriffsraten nach Strategie veröffentlichen und neue Versionen zurückhalten, wenn sie Sicherheitslücken aufweisen.

KI-Phishing erlebt Renaissance

Die Bedrohungslage wird zusätzlich durch KI-gestütztes Phishing verschärft. Bereits im ersten Quartal 2026 identifizierte Ciscos Talos-Gruppe KI-Phishing als größte Gefahr. Angreifer nutzen Plattformen wie Softr, um täuschend echte Anmeldeseiten zu erstellen – gezielt gegen Regierungsangestellte und öffentliche Verwaltungen.

Nach einem kurzen Rückgang Ende 2025 ist Phishing wieder zur wichtigsten Einstiegsmethode für Netzwerkangriffe geworden. Und der KI-Verkehr wächst rasant: Eine Cisco-Studie prognostiziert, dass sich der KI-Verbraucherverkehr bis Mitte der 2030er Jahre versechsfachen wird. Bis 2035 soll KI-Inferenz ein Viertel des gesamten globalen Netzwerkverkehrs ausmachen.

Die Datenströme unterscheiden sich grundlegend von herkömmlichem Web-Traffic. KI-Inferenzflüsse sind doppelt so lang, KI-Agenten erzeugen bis zu 450 Prozent mehr Verkehr pro Aufgabe. Besonders auffällig: Neun Prozent der KI-Flüsse transportieren mehr Daten vom Nutzer zum Modell als umgekehrt – ein klares Zeichen für die zunehmende Autonomie der Systeme.

Unternehmen hinken hinterher

Die Sicherheitsarchitektur der Unternehmen hält mit der KI-Entwicklung nicht Schritt. Laut dem Cloud Security Report 2026 von Check Point betreiben bereits 70 Prozent der Organisationen generative KI in Produktion, 64 Prozent haben KI-Agenten integriert. Doch die Lücke zwischen Anspruch und Wirklichkeit ist gewaltig: 77 Prozent haben ihre Sicherheitsstrategien angepasst, aber nur 26 Prozent verfügen über die nötige Architektur zur Umsetzung.

Die mangelnde Transparenz ist alarmierend: Nur fünf Prozent der Unternehmen haben vollständigen Überblick über die von ihren Mitarbeitern genutzten KI-Tools. Das wird besonders gefährlich, wenn KI-Agenten mehr Autonomie erhalten. Daten von Akeyless zeigen: 67 Prozent der Organisationen vermuten, dass KI-Agenten bereits auf Daten außerhalb ihres Zuständigkeitsbereichs zugegriffen haben. 61 Prozent mussten bereits Zugangsdaten zurückziehen oder austauschen.

Die Erkennung eines kompromittierten KI-Agenten dauert im Schnitt 14 Stunden, die Eindämmung fast eine ganze Woche. Ein Vergleich verdeutlicht das Problem: Ein KI-Agent verarbeitet rund 2.000 Sicherheitsvorfälle pro Tag, ein menschlicher Analyst schafft etwa 1.800 bis 2.000 im ganzen Jahr. Die schnellste laterale Bewegung eines Angreifers dauert heute nur 27 Sekunden – der Branchendurchschnitt liegt bei 29 Minuten.

Da KI-Modelle neue Einfallstore für Cyberkriminelle öffnen, müssen Unternehmen ihre Sicherheitsstrategie grundlegend überdenken. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie aktuelle Bedrohungen abwenden und gesetzliche Anforderungen effizient erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Die Zeit wird zum entscheidenden Faktor

Die Sicherheitslage verschärft sich rasant. KI verkürzt das Zeitfenster zwischen der Entdeckung einer Schwachstelle und dem Angriff von Tagen auf Minuten. Die britische Regierung warnt, dass sich die Cybersicherheitsfähigkeiten von KI-Modellen etwa alle vier Monate verdoppeln.

Der Verizon Data Breach Investigations Report 2026 analysierte über 31.000 Sicherheitsvorfälle und 22.000 bestätigte Datenlecks in 145 Ländern. Ergebnis: Die Ausnutzung von Schwachstellen hat gestohlene Zugangsdaten als häufigste Einstiegsmethode abgelöst – 31 Prozent aller Datenlecks. Die durchschnittliche Zeit zum Schließen dieser Lücken ist jedoch auf 43 Tage gestiegen. Ein gefährliches Fenster, das KI-gestützte Angriffe gezielt nutzen.

Auch die interne Unternehmensführung hinkt hinterher. Gartner-Forscher stellen fest: Unternehmen mit Einheitsstrategie für KI-Agenten scheitern häufiger. Experten warnen, dass technische Teams oft nicht zwischen der technischen Fähigkeit eines Agenten und seiner rechtlichen Berechtigung unterscheiden. Gartner prognostiziert, dass bis 2027 rund 40 Prozent der Organisationen bestimmte KI-Agenten aufgrund ungelöster Governance-Konflikte einstellen werden.

Neue Sicherheitsstandards in Sicht

Der Ausweg könnte in automatisierten, architekturgetriebenen Sicherheitslösungen liegen. Im Mai 2026 veröffentlichte das NSA AI Security Center ein Papier zum Model Context Protocol (MCP) und identifizierte fünf kritische Risikokategorien: Serialisierung, Vertrauensgrenzen, Agentenmissbrauch, dynamische Werkzeugaufrufe und Kontextfreigabe.

Erste technische Lösungen wie Agent Threat Rules (ATR) versprechen Abhilfe. Ein früher Test identifizierte 751 bestätigte bösartige Produktionsfähigkeiten unter 96.096 geprüften Systemen. Branchenexperten erwarten, dass KI-gestützte Bedrohungsjagd und automatisierte Eindämmungsstrategien bald vom Wettbewerbsvorteil zur Grundvoraussetzung werden. Aufsichtsräte sollten ihre Bereitschaft nicht an der Anzahl eingesetzter KI-Tools messen, sondern an konkreten Kennzahlen wie Erkennungs- und Eindämmungszeiten. Denn die Angriffe bewegen sich längst in Maschinengeschwindigkeit.

de | wissenschaft | 69426826 |