2025 hat die Diskussion um KI-Sicherheit von akademischen Whitepapers in die Vorstandsetagen katapultiert. Was bisher als theoretisches Risiko galt, wurde durch eine Serie realer Vorfälle zur operativen Realität. Der Adversa AI Report fasst es zusammen: GenAI war in 70 Prozent aller dokumentierten KI-Sicherheitsvorfälle involviert. Agentic AI verursachte die gefährlichsten Ausfälle. Und 2025 übertraf alle vorherigen Jahre zusammen im Volumen der Sicherheitsverletzungen.
35 Prozent aller Vorfälle durch einfache Prompts ausgelöst
Eine der beunruhigendsten Erkenntnisse: 35 Prozent aller realen AI-Security-Incidents wurden durch einfache Prompt-Manipulation ausgelöst – keine Malware, kein Exploit-Code, keine technische Raffinesse. Ein paar geschickt formulierte Sätze genügten, um KI-Systeme dazu zu bringen, vertrauliche Daten preiszugeben, unautorisierte Transaktionen auszulösen oder Sicherheitsmechanismen zu umgehen. Der Schaden einzelner Vorfälle lag teils über 100.000 Dollar. Warum Prompt Injection ein strukturell unlösbares Problem bleibt, haben wir separat analysiert.
Die Highlight-Vorfälle des Jahres
Amazon Q Extension Hack
Sicherheitsforscher demonstrierten, wie eine manipulierte Browser-Extension den KI-Assistenten Amazon Q dazu bringen konnte, internen Quellcode und vertrauliche Unternehmensdaten zu exfiltrieren. Der Angriff nutzte Indirect Prompt Injection über den Browser-Kontext – ein Vektor, den unsere Detailanalyse ausführlich beschreibt.
Voice Clone des italienischen Verteidigungsministers
Betrüger klonten die Stimme des italienischen Verteidigungsministers und kontaktierten mehrere Geschäftsleute mit der Bitte um dringende Finanztransaktionen. Fast eine Million Euro wurden erbeutet, bevor der Betrug aufflog. Der Vorfall markiert den Übergang von textbasiertem BEC zu Voice-basiertem CEO-Fraud – mit KI als Enabler.
Erster Zero-Click AI Exploit
Forscher dokumentierten den ersten nachgewiesenen Zero-Click-Exploit gegen ein KI-System: Ein bösartiger Payload, eingebettet in ein Dokument, das von einem RAG-System verarbeitet wurde. Ohne jede Benutzerinteraktion wurde Code auf dem Host-System ausgeführt. Der Angriff zeigte, dass KI-Systeme als Brücke zwischen Daten und Ausführung eine völlig neue Klasse von Zero-Click-Schwachstellen ermöglichen.
GTG-1002: KI-gestützte Angriffskampagne
Die als GTG-1002 bezeichnete Kampagne war einer der ersten dokumentierten Fälle, in denen Angreifer KI systematisch für Reconnaissance, Phishing-Generierung und automatisierte Exploit-Auswahl einsetzten. Die Kampagne zielte auf europäische Finanzinstitute und nutzte LLMs zur Erstellung täuschend echter Kommunikation in mehreren Sprachen.
OAuth Supply Chain Attack (UNC6395)
Die Bedrohungsgruppe UNC6395 kompromittierte OAuth-Token-Ketten, um über legitime Drittanbieter-Integrationen Zugang zu Unternehmensumgebungen zu erlangen. Der Angriff verdeutlicht die wachsende Gefährdung durch Supply-Chain-Schwachstellen in der KI-Infrastruktur.
Shadow AI Breaches
Mehrere Fortune-500-Unternehmen meldeten Datenverluste, weil Mitarbeiter proprietäre Daten in nicht genehmigte KI-Tools eingegeben hatten. Samsung stand exemplarisch für das Problem, nachdem Ingenieure Quellcode in ein LLM hochluden. Die Shadow-AI-Problematik betrifft inzwischen jedes fünfte Unternehmen.
LLMjacking und EchoLeak (CVE-2025-32711)
LLMjacking – das Kapern fremder LLM-API-Zugänge für eigene Zwecke – wurde 2025 zum Massenphänomen. Parallel deckte CVE-2025-32711 (EchoLeak) eine Schwachstelle auf, durch die LLM-Antworten vorangegangener Sessions für nachfolgende Nutzer sichtbar wurden. Ein klassisches Isolation-Problem mit gravierenden Datenschutzfolgen.
Die Forschung bestätigt die Eskalation
Der Stanford HAI 2025 AI Index dokumentiert einen Anstieg der AI-Security-Incidents um 56,4 Prozent zwischen 2023 und 2024 – und 2025 hat diesen Trend deutlich verschärft. Carnegie Mellon und Anthropic zeigten in einer gemeinsamen Studie, dass LLMs eigenständig vollständige Cyberangriffe ausführen können – einschließlich der Replikation des Equifax-Breaches von 2017 mit 147 Millionen betroffenen Datensätzen. Die Details dieser Forschung sind alarmierend.
Menschliche Deepfake-Erkennung liegt laut aktuellen Studien bei nur 24,5 Prozent. Das bedeutet: Drei von vier Deepfakes werden von Menschen nicht erkannt. Für Unternehmen, die auf visuelle oder akustische Identitätsprüfung setzen, ist das eine existenzielle Schwachstelle.
Was 2025 für 2026 bedeutet
2025 hat bewiesen, dass KI-Sicherheit kein Nischenthema ist. Die Vorfälle zeigen ein klares Muster: Einfache Angriffe (Prompt Injection) verursachen überproportionalen Schaden. Autonome KI-Systeme schaffen neue Angriffsvektoren, die sich mit traditionellen Methoden nicht kontrollieren lassen. Und die Geschwindigkeit, mit der neue Techniken von der Forschung in die Praxis übergehen, schrumpft von Jahren auf Monate.
Wer die Lehren aus 2025 ignoriert, wird 2026 teuer dafür bezahlen. Die Prognosen für 2026 zeigen, wohin die Reise geht.
Quellen
- Adversa AI – AI Security Report 2025
- Stanford HAI – AI Index Report 2025
- Carnegie Mellon University / Anthropic – LLM Cyberattack Autonomy Study, 2025
- MITRE ATLAS – AI Incident Database, Jahresübersicht 2025
- HP Security Lab – Automated Token Theft Report, 2025
- NVD – CVE-2025-32711 (EchoLeak)