Das Wichtigste in Kürze
- 89 % der Unternehmen registrierten laut Check Point 2026 Cyber Security Report innerhalb eines Quartals mindestens einen sicherheitsrelevanten KI-Prompt.
- Jeder 41. Prompt wird als High Risk eingestuft – darunter Datenexfiltration, Privilege Abuse und Prompt Injection.
- Die Risiken entstehen nicht durch Shadow-AI allein, sondern ebenso in offiziell genehmigten Tools wie Microsoft Copilot oder ChatGPT Enterprise.
- Drei zentrale Risikocluster: Data Exposure durch Mitarbeitereingaben, Privilege Escalation über KI-Agenten und indirekte Prompt Manipulation.
- Vier Sofortmaßnahmen: technisch durchgesetzte AI-Policy, Prompt-Monitoring, DLP-Erweiterung auf GenAI-Schnittstellen und ganzheitliche Governance für sanctioned und unsanctioned AI.
Neun von zehn Organisationen haben innerhalb eines Quartals mindestens einen KI-Prompt registriert, der als sicherheitsrelevant eingestuft wurde. Jeder 41. Prompt fällt in die Kategorie High Risk – darunter Datenexfiltration, Privilege Abuse und Prompt Injection. Das zeigt der Check Point 2026 Cyber Security Report. Die Quelle dieser Risiken sind dabei nicht externe Angreifer, sondern die eigenen Mitarbeitenden in regulären Produktivsystemen.
Die 89-Prozent-Marke sollte jede Sicherheitsorganisation alarmieren. Denn sie belegt, dass es sich nicht um Einzelfälle handelt, sondern um ein strukturelles Problem. Über 16 Prozent aller untersuchten Prompts weisen Charakteristiken auf, die mit Data Exposure, Privilege Abuse oder Prompt Manipulation verknüpft sind. Wer GenAI-Governance bisher als strategische Planungsaufgabe betrachtet hat, muss sie ab sofort als operative Pflicht behandeln.
Wo die Risiken tatsächlich entstehen
Die Annahme, dass primär unautorisierte Shadow-AI-Nutzung das Problem darstellt, greift zu kurz. Der Report zeigt ein differenzierteres Bild: Riskante Prompts entstehen genauso in offiziell freigegebenen Tools – Microsoft Copilot, ChatGPT Enterprise, interne Chatbot-Implementierungen. Mitarbeitende nutzen diese Werkzeuge in Business-Workflows, in Customer-facing-Systemen und in alltäglichen Produktivitätstools. Nicht in Sandboxes, nicht in Experimenten, sondern direkt in der Produktion.
Das macht die Sache komplizierter. Denn eine reine Blockade-Strategie, die unsanctioned AI unterbindet, adressiert nur einen Teil des Risikos. Wenn ein Vertriebsmitarbeiter vertrauliche Kundendaten in den offiziell genehmigten Copilot eingibt, um eine Präsentation zu erstellen, ist das aus IT-Security-Perspektive genauso problematisch wie die Nutzung eines nicht autorisierten Free-Tier-Tools. Das Problem ist systemisch, nicht individuell.
Drei Risikokategorien im Detail
Der Check Point Report identifiziert drei zentrale Risikocluster, die Security-Verantwortliche kennen und adressieren müssen.
Data Exposure
Data Exposure bildet die häufigste Kategorie. Mitarbeiter geben sensible Unternehmensdaten direkt in Prompts ein – Kundendaten, interne Finanzzahlen, Quellcode, strategische Dokumente. Laut Report tut das etwa ein Drittel der Mitarbeiter aktiv, oft ohne böse Absicht. Sie wollen schlicht produktiver arbeiten und unterschätzen, dass eingegebene Daten je nach Konfiguration für das Training der Modelle verwendet oder in Log-Systemen gespeichert werden können. Klassische DLP-Mechanismen greifen hier häufig nicht, weil die Daten über API-Schnittstellen oder Browser-basierte Interfaces abfließen, die nicht im traditionellen Perimeter-Monitoring enthalten sind.
Privilege Abuse
KI-Agenten und Copilot-Systeme werden zunehmend mit breiten Zugriffsrechten ausgestattet, damit sie effektiv arbeiten können. Sie greifen auf Datenbanken zu, lesen E-Mails, durchsuchen SharePoint-Strukturen. Wenn ein Nutzer per Prompt Informationen abruft, auf die er über die KI-Schnittstelle Zugriff erhält, obwohl seine eigentliche Berechtigung das nicht vorsieht, entsteht eine klassische Privilege-Escalation – nur eben nicht durch einen Exploit, sondern durch ein Designproblem in der Berechtigungsarchitektur.
Prompt Manipulation
Indirekte Prompt Injection nutzt Daten, die KI-Systeme automatisiert verarbeiten, als Angriffsvektor. Ein manipuliertes Dokument, das ein Chatbot zusammenfasst, kann versteckte Anweisungen enthalten, die das Verhalten des Modells verändern. Diese Angriffe zielen nicht auf den Nutzer, sondern auf die KI selbst, und sie sind mit herkömmlichen Sicherheitswerkzeugen schwer zu erkennen.
Was Security-Verantwortliche jetzt tun sollten
Die gute Nachricht: Die Maßnahmen, die sich aus diesen Erkenntnissen ableiten, sind konkret und kurzfristig umsetzbar. Vier Schritte verdienen Priorität.
1. AI Acceptable Use Policy technisch durchsetzen. Ein PDF im Intranet reicht nicht. Die Policy muss in den Tools selbst verankert sein – über Eingabefilter, Warnmechanismen und automatisierte Blockaden für bestimmte Datenkategorien. Moderne Endpoint- und Gateway-Lösungen bieten entsprechende Module bereits an.
2. Prompt-Monitoring einführen. Security-Teams müssen Sichtbarkeit darüber gewinnen, welche Daten in welche GenAI-Tools fließen. Das betrifft sowohl sanctioned als auch unsanctioned Nutzung. Die Monitoring-Systeme sollten Prompts anhand von Risikokategorien klassifizieren können, ohne dabei den gesamten Inhalt im Klartext zu speichern – ein Balanceakt zwischen Security und Datenschutz, der technisch lösbar ist.
3. DLP auf GenAI-Schnittstellen ausweiten. Viele DLP-Implementierungen überwachen E-Mail, USB und Cloud-Storage, aber nicht die API-Aufrufe und Browser-Interaktionen mit KI-Diensten. Diese Lücke ist bekannt, wird aber in der Praxis häufig noch nicht geschlossen.
4. Governance ganzheitlich aufsetzen. Check Point empfiehlt explizit, Sichtbarkeit und Governance-Maßnahmen auf die gesamte KI-Nutzung im Unternehmen anzuwenden. Ein Governance-Framework, das nur die offiziell genehmigten Tools adressiert, verfehlt einen erheblichen Teil des Risikos.
Handeln statt abwägen
Die Zahlen aus dem Check Point Report lassen wenig Interpretationsspielraum. 89 Prozent betroffene Organisationen in drei Monaten bedeuten: Die Wahrscheinlichkeit, dass auch Ihr Unternehmen betroffen ist, liegt nahe an der Gewissheit. Jeder 41. Prompt als High Risk klassifiziert bedeutet bei einem Unternehmen mit tausend GenAI-Nutzern: dutzende kritische Vorfälle pro Tag.
GenAI-Security ist keine Aufgabe für das nächste Quartal. Die Prompts passieren jetzt, die Daten fließen jetzt, und die Berechtigungslücken existieren jetzt. CISOs und Security-Leads, die diese vier Sofortmaßnahmen noch nicht auf ihrer Agenda haben, sollten sie dort morgen früh platzieren.
Häufige Fragen
Was genau ist ein riskanter KI-Prompt?
Ein riskanter KI-Prompt ist eine Eingabe in ein GenAI-Tool, die sicherheitsrelevante Merkmale aufweist – etwa die Weitergabe vertraulicher Daten, der Versuch einer Rechteausweitung oder eine manipulative Eingabe, die das Modellverhalten verändern soll.
Warum sind auch offiziell genehmigte KI-Tools ein Sicherheitsrisiko?
Weil Mitarbeiter in genehmigten Tools wie Microsoft Copilot oder ChatGPT Enterprise vertrauliche Daten eingeben. Je nach Konfiguration können diese Daten für Modell-Training verwendet oder in Logs gespeichert werden – unabhängig davon, ob das Tool autorisiert ist oder nicht.
Was ist Prompt Injection und wie funktioniert sie?
Bei einer Prompt Injection werden versteckte Anweisungen in Daten eingebettet, die ein KI-System automatisiert verarbeitet – etwa in Dokumenten oder E-Mails. Der Chatbot führt diese Anweisungen aus, ohne dass der Nutzer es bemerkt, und verändert so sein Verhalten.
Reicht eine schriftliche AI-Policy aus, um Risiken zu minimieren?
Nein. Eine rein dokumentierte Policy ohne technische Durchsetzung wird in der Praxis nicht eingehalten. Die Vorgaben müssen direkt in den Tools verankert sein – über automatisierte Eingabefilter, Warnmechanismen und Blockaden für sensible Datenkategorien.
Wie kann Prompt-Monitoring datenschutzkonform umgesetzt werden?
Moderne Monitoring-Systeme klassifizieren Prompts anhand von Risikokategorien, ohne den gesamten Inhalt im Klartext zu speichern. So lässt sich Sichtbarkeit über Datenflüsse herstellen, ohne gegen Datenschutzanforderungen wie die DSGVO zu verstoßen.
Was bedeutet Privilege Abuse im Kontext von KI-Agenten?
KI-Agenten erhalten oft breite Zugriffsrechte auf Datenbanken, E-Mails und Dateisysteme. Wenn Nutzer über die KI-Schnittstelle Informationen abrufen können, auf die sie eigentlich keinen Zugriff haben sollten, entsteht eine Rechteausweitung durch Designfehler in der Berechtigungsarchitektur.
Welche Unternehmen sind besonders betroffen?
Grundsätzlich alle Unternehmen, die GenAI-Tools im Produktivbetrieb einsetzen. Mit 89 Prozent betroffener Organisationen innerhalb von drei Monaten zeigt der Report, dass es sich um ein branchenübergreifendes, strukturelles Problem handelt – unabhängig von Unternehmensgröße oder Branche.
Quelle des Titelbildes: Pexels / Matheus Bertelli