Wie Laufzeitangriffe profitable KI in Budget-Schwarze Löcher verwandeln

Dieser Artikel ist Teil der Sonderausgabe von VentureBeat „Die wahren Kosten von KI: Leistung, Effizienz und ROI im großen Maßstab“. Lesen Sie mehr in dieser Sonderausgabe.

Das Potenzial von KI ist unbestreitbar, doch ebenso hoch sind die unerwarteten Sicherheitskosten auf der Inferenzebene. Neue Angriffe auf die operative Seite von KI treiben die Budgets in die Höhe, gefährden die Einhaltung gesetzlicher Vorschriften und untergraben das Kundenvertrauen. All dies gefährdet den Return on Investment (ROI) und die Gesamtbetriebskosten von KI-Implementierungen in Unternehmen.

KI hat Unternehmen mit ihrem Potenzial für bahnbrechende Erkenntnisse und Effizienzsteigerungen fasziniert. Doch während Unternehmen ihre Modelle schnell operationalisieren, zeichnet sich eine ernüchternde Realität ab: Die Inferenzphase, in der KI Investitionen in Echtzeit in Geschäftswert umsetzt, steht unter Druck. Dieser kritische Punkt treibt die Gesamtbetriebskosten (TCO) in einem Ausmaß in die Höhe, das in anfänglichen Geschäftsszenarien nicht vorhersehbar war.

Sicherheitsverantwortliche und CFOs, die KI-Projekte aufgrund ihres transformativen Potenzials genehmigt haben, kämpfen nun mit den versteckten Kosten für den Schutz dieser Systeme. Angreifer haben erkannt, dass KI in der Inferenz für Unternehmen erst richtig zum Tragen kommt und genau hier den größten Schaden anrichten kann. Die Folge ist eine kaskadenartige Kostensteigerung: Die Eindämmung von Sicherheitsverletzungen kann in regulierten Branchen 5 Millionen US-Dollar pro Vorfall übersteigen, Compliance-Nachrüstungen kosten Hunderttausende, und Vertrauensbrüche können Kursverluste oder Vertragskündigungen auslösen, die den prognostizierten KI-ROI zunichtemachen. Ohne Kostenbegrenzung bei der Inferenz wird KI zu einem unkontrollierbaren Budget-Joker.

KI-Inferenz entwickelt sich schnell zum „nächsten Insider-Risiko“, sagte Cristian Rodriguez, Field CTO für Amerika bei CrowdStrike , dem Publikum bei RSAC 2025 .

Andere Technologieführer teilen diese Ansicht und sehen einen gemeinsamen blinden Fleck in der Unternehmensstrategie. Vineet Arora, CTO bei WinWire , stellt fest, dass sich viele Unternehmen „stark auf die Sicherung der KI-Infrastruktur konzentrieren und dabei unabsichtlich die Inferenz vernachlässigen“. Dieses Versäumnis, erklärt er, „führt zu unterschätzten Kosten für kontinuierliche Überwachungssysteme, Echtzeit-Bedrohungsanalysen und schnelle Patch-Mechanismen.“

Ein weiterer kritischer blinder Fleck ist laut Steffen Schreier, SVP für Produkte und Portfolio bei Telesign , „die Annahme, dass Modelle von Drittanbietern gründlich geprüft und grundsätzlich sicher in der Anwendung sind.“

Er warnte, dass diese Modelle in der Realität oft nicht anhand der spezifischen Bedrohungslandschaft oder Compliance-Anforderungen eines Unternehmens bewertet wurden. Dies könne zu schädlichen oder nicht konformen Ergebnissen führen, die das Markenvertrauen untergraben. Schreier erklärte gegenüber VentureBeat: „Schwachstellen bei der Inferenzzeit – wie Prompt Injection, Ausgabemanipulation oder Kontextlecks – können von Angreifern ausgenutzt werden, um schädliche, verzerrte oder nicht konforme Ergebnisse zu erzeugen. Dies birgt ernsthafte Risiken, insbesondere in regulierten Branchen, und kann das Markenvertrauen schnell untergraben.“

Wenn die Inferenz beeinträchtigt wird, wirken sich die Folgen auf mehrere Arten auf die Gesamtbetriebskosten aus. Die Budgets für Cybersicherheit schnellen in die Höhe, die Einhaltung gesetzlicher Vorschriften wird gefährdet und das Vertrauen der Kunden schwindet. Diese wachsende Besorgnis spiegelt sich in der Stimmung der Führungskräfte wider. In der CrowdStrike -Umfrage „State of AI in Cybersecurity“ waren nur 39 % der Befragten der Meinung, dass die Vorteile generativer KI die Risiken deutlich überwiegen, während 40 % sie für vergleichbar hielten. Diese Ambivalenz unterstreicht ein wichtiges Ergebnis: Sicherheits- und Datenschutzkontrollen sind zu den wichtigsten Anforderungen für KI-Initiativen der neuen Generation geworden. Bemerkenswerte 90 % der Unternehmen implementieren oder entwickeln mittlerweile Richtlinien zur Steuerung der KI-Einführung. Die größten Bedenken sind nicht länger abstrakt; 26 % nennen die Preisgabe sensibler Daten und 25 % befürchten feindliche Angriffe als Hauptrisiken.

Sicherheitsverantwortliche äußern unterschiedliche Ansichten hinsichtlich der allgemeinen Sicherheit der KI der nächsten Generation. Die größten Bedenken konzentrieren sich auf die Offenlegung sensibler Daten durch LLMs (26 %) und feindliche Angriffe auf KI-Tools (25 %).

Die einzigartige Angriffsfläche, die durch die Ausführung von KI-Modellen entsteht, wird von Angreifern aggressiv ausgelotet. Um sich dagegen zu schützen, rät Schreier: „Jede Eingabe muss als potenzieller feindlicher Angriff betrachtet werden.“ Frameworks wie die OWASP Top 10 für Large Language Model (LLM)-Anwendungen katalogisieren diese Bedrohungen, die nicht länger theoretischer Natur sind, sondern aktive Angriffsvektoren mit Auswirkungen auf Unternehmen darstellen:

1. Prompte Injection (LLM01) und unsichere Ausgabeverarbeitung (LLM02): Angreifer manipulieren Modelle über Ein- oder Ausgaben. Schädliche Eingaben können dazu führen, dass das Modell Anweisungen ignoriert oder proprietären Code preisgibt. Eine unsichere Ausgabeverarbeitung liegt vor, wenn eine Anwendung den KI-Antworten blind vertraut. Dadurch können Angreifer schädliche Skripte in nachgelagerte Systeme einschleusen.
2. Trainingsdaten-Poisoning (LLM03) und Modell-Poisoning: Angreifer manipulieren Trainingsdaten, indem sie manipulierte Proben einschleusen und versteckte Auslöser platzieren. Später kann eine harmlose Eingabe schädliche Ausgaben auslösen.
3. Denial-of-Service-Angriff auf Modelle (LLM04): Angreifer können KI-Modelle mit komplexen Eingaben überlasten und dabei übermäßige Ressourcen verbrauchen, um sie zu verlangsamen oder zum Absturz zu bringen, was zu direkten Umsatzeinbußen führt.
4. Schwachstellen in der Lieferkette und bei Plugins (LLM05 und LLM07): Das KI-Ökosystem basiert auf gemeinsam genutzten Komponenten. Beispielsweise legte eine Schwachstelle im Flowise LLM-Tool private KI-Dashboards und sensible Daten, darunter GitHub-Token und OpenAI-API-Schlüssel, auf 438 Servern offen.
5. Offenlegung sensibler Informationen (LLM06): Durch geschicktes Abfragen können vertrauliche Informationen aus einem KI-Modell extrahiert werden, wenn diese Teil seiner Trainingsdaten waren oder im aktuellen Kontext vorhanden sind.
6. Übermäßige Handlungsfähigkeit (LLM08) und übermäßiges Vertrauen (LLM09): Einem KI-Agenten ungeprüfte Berechtigungen zum Ausführen von Handelsgeschäften oder Ändern von Datenbanken zu erteilen, ist im Falle einer Manipulation ein Rezept für eine Katastrophe.
7. Modelldiebstahl (LLM10): Die proprietären Modelle eines Unternehmens können durch ausgeklügelte Extraktionstechniken gestohlen werden – ein direkter Angriff auf seinen Wettbewerbsvorteil.

Diesen Bedrohungen liegen grundlegende Sicherheitslücken zugrunde. Angreifer melden sich häufig mit kompromittierten Anmeldeinformationen an. Anfang 2024 waren laut dem CrowdStrike 2025 Global Threat Report 35 % der Cloud-Angriffe auf gültige Anmeldeinformationen zurückzuführen, und neue, nicht zugeordnete Cloud-Angriffsversuche stiegen um 26 %. Eine Deepfake-Kampagne führte zu einer betrügerischen Überweisung von 25,6 Millionen US-Dollar , während KI-generierte Phishing-E-Mails eine Klickrate von 54 % aufwiesen – mehr als viermal höher als von Menschen verfasste.

Das OWASP-Framework veranschaulicht, wie verschiedene LLM-Angriffsvektoren auf unterschiedliche Komponenten einer KI-Anwendung abzielen, von der sofortigen Injektion in die Benutzeroberfläche bis hin zur Datenvergiftung in den Trainingsmodellen und der Offenlegung vertraulicher Informationen aus dem Datenspeicher.

Die Sicherung von KI erfordert eine disziplinierte Rückbesinnung auf die Sicherheitsgrundlagen – allerdings aus moderner Perspektive. „Ich denke, wir müssen einen Schritt zurücktreten und sicherstellen, dass die Grundlagen und Prinzipien der Sicherheit weiterhin anwendbar sind“, argumentierte Rodriguez. „Derselbe Ansatz, den man zur Sicherung eines Betriebssystems verfolgen würde, wäre auch für die Sicherung dieses KI-Modells relevant.“

Dies bedeutet, einheitlichen Schutz über alle Angriffspfade hinweg durchzusetzen, mit rigoroser Datenverwaltung, robustem Cloud Security Posture Management (CSPM) und Identity-First-Sicherheit durch Cloud Infrastructure Entitlement Management (CIEM), um die Cloud-Umgebungen, in denen die meisten KI-Workloads laufen, abzusichern. Da Identität zum neuen Perimeter wird, müssen KI-Systeme mit denselben strengen Zugriffskontrollen und Laufzeitschutzmaßnahmen verwaltet werden wie alle anderen geschäftskritischen Cloud-Ressourcen.

Schatten-KI , also die nicht genehmigte Nutzung von KI-Tools durch Mitarbeiter, schafft eine riesige, unbekannte Angriffsfläche. Ein Finanzanalyst, der einen kostenlosen Online-LLM für vertrauliche Dokumente nutzt, kann unbeabsichtigt vertrauliche Daten preisgeben. Wie Rodriguez warnte, können Abfragen an öffentliche Modelle „zu den Antworten anderer werden“. Um dem entgegenzuwirken, bedarf es einer Kombination aus klaren Richtlinien, Mitarbeiterschulungen und technischen Kontrollen wie dem AI Security Posture Management (AI-SPM), um alle KI-Ressourcen zu erkennen und zu bewerten, ob genehmigt oder nicht.

Während Gegner KI als Waffe einsetzen, wendet sich das Blatt. Wie Mike Riemer, Field CISO bei Ivanti , beobachtet, beginnen Verteidiger, „das volle Potenzial von KI für Cybersicherheitszwecke zu nutzen, um riesige Datenmengen aus verschiedenen Systemen zu analysieren“. Diese proaktive Haltung ist für den Aufbau einer robusten Verteidigung unerlässlich, die mehrere Schlüsselstrategien erfordert:

Budget für Inferenzsicherheit vom ersten Tag an: Der erste Schritt besteht laut Arora darin, mit einer umfassenden risikobasierten Bewertung zu beginnen. Er empfiehlt, die gesamte Inferenz-Pipeline abzubilden, um jeden Datenfluss und jede Schwachstelle zu identifizieren. „Indem wir diese Risiken mit möglichen finanziellen Auswirkungen verknüpfen“, erklärt er, „können wir die Kosten einer Sicherheitsverletzung besser beziffern“ und ein realistisches Budget erstellen.

Um dies systematischer zu gestalten, sollten CISOs und CFOs mit einem risikoadjustierten ROI-Modell beginnen. Ein Ansatz:

Sicherheits-ROI = (geschätzte Kosten des Verstoßes × jährliche Risikowahrscheinlichkeit) – Gesamtinvestition in die Sicherheit

Wenn beispielsweise ein LLM-Inferenzangriff einen Verlust von 5 Millionen US-Dollar verursachen könnte und die Wahrscheinlichkeit 10 % beträgt, beträgt der erwartete Verlust 500.000 US-Dollar. Eine Investition von 350.000 US-Dollar in Abwehrmaßnahmen in der Inferenzphase würde einen Nettogewinn von 150.000 US-Dollar an vermiedenem Risiko bringen. Dieses Modell ermöglicht eine szenariobasierte Budgetierung, die direkt an die finanziellen Ergebnisse gekoppelt ist.

Unternehmen, die weniger als 8 bis 12 % ihres KI-Projektbudgets für die Sicherheit in der Inferenzphase bereitstellen, werden später oft von den Kosten für die Wiederherstellung nach Sicherheitsverletzungen und Compliance überrascht . Ein CIO eines Fortune 500-Gesundheitsdienstleisters, der von VentureBeat interviewt wurde und anonym bleiben möchte, gibt an, dass er mittlerweile 15 % seines gesamten KI-Budgets für das Risikomanagement nach dem Training einsetzt, darunter Laufzeitüberwachung, KI-SPM-Plattformen und Compliance-Audits. Ein praktikables Budgetierungsmodell sollte die Kosten auf vier Kostenstellen verteilen: Laufzeitüberwachung (35 %), gegnerische Simulation (25 %), Compliance-Tools (20 %) und Nutzerverhaltensanalyse (20 %).

Hier ist ein Beispiel für die Zuteilung eines 2 Millionen US-Dollar teuren KI-Einsatzes in einem Unternehmen, basierend auf den laufenden Interviews von VentureBeat mit CFOs, CIOs und CISOs, die aktiv Budgets für die Unterstützung von KI-Projekten erstellen:

Diese Investitionen reduzieren die Kosten für die Behebung von Sicherheitsverletzungen, die gesetzlichen Strafen und die SLA-Verstöße und tragen so zur Stabilisierung der KI-Gesamtbetriebskosten bei.

Implementieren Sie Laufzeitüberwachung und -validierung: Beginnen Sie mit der Optimierung der Anomalieerkennung, um Verhaltensweisen auf der Inferenzebene zu erkennen, wie z. B. abnormale API-Aufrufmuster, Entropieverschiebungen in der Ausgabe oder Spitzen in der Abfragehäufigkeit. Anbieter wie DataDome und Telesign bieten mittlerweile Echtzeit-Verhaltensanalysen an, die auf Signaturen für den Missbrauch von KI zugeschnitten sind.

Teams sollten Entropieverschiebungen in den Ausgaben überwachen, Token-Unregelmäßigkeiten in den Modellantworten verfolgen und auf eine atypische Häufigkeit von Abfragen von privilegierten Konten achten. Effektive Setups umfassen das Streamen von Protokollen in SIEM-Tools (wie Splunk oder Datadog) mit maßgeschneiderten KI-Parsern und die Festlegung von Echtzeit-Warnschwellenwerten für Abweichungen von den Modell-Baselines.

Einführung eines Zero-Trust-Frameworks für KI: Zero-Trust ist für KI-Umgebungen unverzichtbar. Es basiert auf dem Prinzip „Niemals vertrauen, immer überprüfen“. Durch die Einführung dieser Architektur, so Riemer, können Unternehmen sicherstellen, dass „nur authentifizierte Benutzer und Geräte Zugriff auf sensible Daten und Anwendungen erhalten, unabhängig von ihrem physischen Standort“.

Zero-Trust zur Inferenzzeit sollte auf mehreren Ebenen erzwungen werden:

• Identität : Authentifizieren Sie sowohl menschliche als auch Service-Akteure, die auf Inferenz-Endpunkte zugreifen.
• Berechtigungen : Beschränken Sie den LLM-Zugriff mithilfe der rollenbasierten Zugriffskontrolle (RBAC) mit zeitlich begrenzten Berechtigungen.
• Segmentierung : Isolieren Sie Inferenz-Microservices mit Service-Mesh-Richtlinien und erzwingen Sie Least-Privilege-Standards über Cloud Workload Protection Platforms (CWPPs).

Eine proaktive KI-Sicherheitsstrategie erfordert einen ganzheitlichen Ansatz, der Transparenz und Lieferkettensicherheit während der Entwicklung, die Sicherung von Infrastruktur und Daten sowie die Implementierung robuster Sicherheitsvorkehrungen zum Schutz von KI-Systemen während der Laufzeit während der Produktion umfasst.

Um den ROI von Enterprise-KI zu sichern, müssen die finanziellen Vorteile der Sicherheit aktiv modelliert werden. Beginnen Sie mit einer ROI-Basisprognose und berücksichtigen Sie anschließend Kostenvermeidungsszenarien für jede Sicherheitsmaßnahme. Die Zuordnung von Cybersicherheitsinvestitionen zu vermiedenen Kosten, einschließlich der Behebung von Vorfällen, SLA-Verstößen und Kundenabwanderung, macht Risikominderung zu einem messbaren ROI-Gewinn.

Unternehmen sollten drei ROI-Szenarien modellieren, die eine Baseline, Sicherheitsinvestitionen und die Wiederherstellung nach einem Sicherheitsverstoß umfassen, um die Kostenvermeidung deutlich zu machen. Beispielsweise verhinderte ein Telekommunikationsunternehmen durch die Einführung einer Ausgabevalidierung über 12.000 fehlgeleitete Anfragen pro Monat und sparte so jährlich 6,3 Millionen US-Dollar an SLA-Strafen und Callcenter-Aufkommen. Verknüpfen Sie Investitionen mit vermiedenen Kosten durch Behebung von Sicherheitsverstößen, SLA-Verstöße, Markenauswirkungen und Kundenabwanderung, um gegenüber CFOs ein tragfähiges ROI-Argument zu liefern.

CFOs müssen klar kommunizieren, wie Sicherheitsausgaben das Geschäftsergebnis schützen. Um den KI-ROI auf der Inferenzebene zu sichern, müssen Sicherheitsinvestitionen wie jede andere strategische Kapitalallokation modelliert werden: mit direktem Bezug zu Gesamtbetriebskosten, Risikominimierung und Umsatzsicherung.

Verwenden Sie diese Checkliste, um Investitionen in die KI-Sicherheit im Sitzungssaal vertretbar und im Haushaltszyklus umsetzbar zu machen.

1. Verknüpfen Sie jede KI-Sicherheitsausgabe mit einer geplanten TCO-Reduzierungskategorie (Compliance, Behebung von Sicherheitsverletzungen, SLA-Stabilität).
2. Führen Sie Kostenvermeidungssimulationen mit Szenarien mit einem 3-Jahres-Horizont durch: Basisszenario, geschützt und auf Sicherheitsverletzungen reagierend.
3. Quantifizieren Sie das finanzielle Risiko durch SLA-Verletzungen, behördliche Bußgelder, Vertrauensverlust in die Marke und Kundenabwanderung.
4. Modellieren Sie Sicherheitsbudgets auf Inferenzebene gemeinsam mit CISOs und CFOs, um organisatorische Silos aufzubrechen.
5. Präsentieren Sie Sicherheitsinvestitionen als Wachstumstreiber und nicht als Overhead und zeigen Sie, wie sie die KI-Infrastruktur für eine nachhaltige Wertschöpfung stabilisieren.

Dieses Modell schützt nicht nur KI-Investitionen; es schützt Budgets und Marken und kann die Glaubwürdigkeit der Vorstandsetage schützen und steigern.

CISOs müssen KI-Risikomanagement als geschäftsfördernden Faktor präsentieren, quantifiziert anhand von ROI-Schutz, Erhalt des Markenvertrauens und regulatorischer Stabilität. Da KI-Inferenz immer stärker in die Umsatzabläufe eindringt, ist deren Schutz kein Kostenfaktor, sondern die Steuerungsebene für die finanzielle Nachhaltigkeit von KI. Strategische Sicherheitsinvestitionen auf Infrastrukturebene müssen mit finanziellen Kennzahlen begründet werden, auf deren Grundlage CFOs handeln können.

Der Weg in die Zukunft erfordert von Unternehmen, Investitionen in KI-Innovationen mit entsprechenden Investitionen in deren Schutz in Einklang zu bringen. Dies erfordert eine neue Ebene der strategischen Ausrichtung. Ivanti CIO Robert Grazioli erklärte gegenüber VentureBeat: „Die Abstimmung zwischen CISO und CIO wird entscheidend sein, um moderne Unternehmen effektiv zu schützen.“ Diese Zusammenarbeit ist unerlässlich, um die Daten- und Budgetsilos aufzubrechen, die die Sicherheit gefährden. So können Unternehmen die tatsächlichen Kosten von KI managen und ein risikoreiches Glücksspiel in einen nachhaltigen Wachstumsmotor mit hohem ROI verwandeln.

Schreier von Telesign fügte hinzu: „Wir betrachten KI-Inferenzrisiken aus der Perspektive digitaler Identität und Vertrauen. Wir integrieren Sicherheit über den gesamten Lebenszyklus unserer KI-Tools – mit Zugriffskontrollen, Nutzungsüberwachung, Ratenbegrenzung und Verhaltensanalysen, um Missbrauch zu erkennen und sowohl unsere Kunden als auch deren Endnutzer vor neuen Bedrohungen zu schützen.“

Er fuhr fort: „Wir betrachten die Ausgabevalidierung als eine kritische Ebene unserer KI-Sicherheitsarchitektur, insbesondere weil viele Risiken bei der Inferenzzeit nicht davon herrühren, wie ein Modell trainiert wird, sondern davon, wie es sich in der Praxis verhält.“