Das hier ist ein vollständig KI generierter Artikel.

Künstliche Intelligenz durchdringt Geschäftsprozesse, Verwaltung und kritische Infrastrukturen – und damit rückt zwangsläufig die Frage nach „KI-Sicherheit“ in den Fokus. Doch wer hofft, man könne einfach ein paar Benchmarks maximieren und damit das Thema abhaken, irrt: Weder lassen sich KI-Fähigkeiten zuverlässig über heutige Tests erfassen, noch existiert ein universeller Messwert, der Sicherheit in einem einzigen Score abbildet.

Warum Benchmarks für KI-Sicherheit nicht reichen

In der klassischen Software-Sicherheit haben sich über Jahrzehnte Methoden und Metriken etabliert: Penetrationstests, statische Codeanalyse, Architektur-Reviews und schliesslich prozessbasierte Reifegradmodelle wie das Building Security In Maturity Model (BSIMM). Diese Werkzeuge sind nicht perfekt, aber sie erlauben eine nachvollziehbare Einschätzung von Risiken und Fortschritt.

Bei KI-Systemen ist die Lage komplizierter. Benchmarks messen meist eng umrissene Fähigkeiten: Genauigkeit auf einem Datensatz, Robustheit gegen bestimmte Angriffe, Einhaltung vorgegebener Richtlinien. Sicherheit ist jedoch eine emergente, systemische Eigenschaft. Sie hängt vom Zusammenspiel vieler Komponenten ab: Trainingsdaten, Modellarchitektur, Inferenzumgebung, Integrationen in andere Systeme und nicht zuletzt vom Verhalten der Nutzerinnen und Nutzer.

Hinzu kommt: Selbst bei nicht-emergenten Eigenschaften zeigen sich Grenzen. Schon heute ist bekannt, dass viele KI-Benchmarks „überlernt“ sind – Modelle optimieren auf den Test, ohne wirklich robuster oder verlässlicher zu werden. Wer also nur den Benchmark-Score maximiert, erhält bestenfalls eine Kennzahl, aber keine belastbare Aussage zur Sicherheit im realen Einsatz.

Was wir überhaupt messen können – und was nicht

Bevor sich etwas messen lässt, muss klar sein, was gemessen werden soll und ob die Messgrösse überhaupt zur eigentlichen Fragestellung passt. In der Physik ist der Unterschied zwischen diskreten Objekten (z.B. Anzahl oder Masse) und kontinuierlichen Grössen (z.B. Spektren) etabliert. In der Informationssicherheit ist die Lage diffiziler: Informationen lassen sich nicht so einfach zählen oder wiegen.

Moderne KI-Modelle – insbesondere grosse Sprachmodelle – arbeiten intern mit hochdimensionalen, kontinuierlichen Repräsentationen. Die Gewichte eines Modells kodieren eine Art „Spektrum“ von Zusammenhängen, das aus den Trainingsdaten gelernt wurde. Schon kleine Unterschiede in Datenauswahl oder Trainingsprozess können zu deutlich anderen internen Strukturen führen, obwohl Architektur und Algorithmen identisch bleiben.

Diese Komplexität macht es praktisch unmöglich, das interne Informationsspektrum eines Modells vollständig zu erfassen oder gar zu bewerten. Jede Messung ist eine Projektion auf wenige, von Menschen definierte Kriterien. Daraus folgt: Wir können bestimmte Eigenschaften testen, aber wir erhalten nie eine vollständige, objektive Messung der „Vertrauenswürdigkeit“ eines Modells.

Vertrauen, Bias und das Beobachterproblem

Vertrauen in KI wird oft so diskutiert, als liesse es sich ähnlich wie die Zuverlässigkeit einer Maschine bestimmen. Doch bereits bei Menschen ist unklar, wie sich „Informationsvertrauen“ objektiv messen liesse. In der Informationssicherheit ist bekannt, dass Beobachter versteckte Kanäle (Sub-Channels) in Kommunikationssystemen grundsätzlich nicht sicher ausschliessen können. Übertragen auf KI bedeutet das: Es ist theoretisch unmöglich, allein durch Beobachtung der Ausgaben sicher festzustellen, ob ein Modell zusätzliche, unerwünschte Informationen kodiert oder preisgibt.

Dazu kommt die inhärente Variabilität probabilistischer Modelle. Die gleiche Anfrage kann – je nach Formulierung, Kontext oder Zufallssaat – unterschiedliche Antworten erzeugen, im Extremfall sogar widersprüchliche. Für sicherheitskritische Anwendungen ist das ein Problem: Wenn semantisch identische Aufgaben zu gegensätzlichen Ergebnissen führen können, wird die Verifikation des Systemverhaltens zur Herausforderung.

Diese Eigenschaften machen deutlich, dass heutige KI-Systeme in einem strengen Sinn nicht „vertrauenswürdig“ im Sinne klassischer Sicherheitsgarantien sind. Sie können nützlich und in vielen Szenarien ausreichend zuverlässig sein, aber eine formale, umfassende Vertrauenszusage ist mit den aktuellen Technologien nicht erreichbar.

Prompting statt Hacking: neue Angriffsflächen

Ein weiterer Unterschied zur traditionellen Software-Sicherheit liegt in der Art der Angriffe. Während früher der Fokus auf dem Ausnutzen technischer Schwachstellen im Code lag, verschiebt sich bei KI-Systemen vieles in Richtung Interaktion: Prompt-Engineering, Jailbreaks und gezielte Kontextmanipulation können das Verhalten eines Modells massiv beeinflussen, ohne dass dessen interne Parameter verändert werden müssen.

Das erschwert die Detektion von Angriffen. Wenn sich die Ausgaben eines Modells schon bei harmlosen Formulierungsvarianten ändern, wie lässt sich dann erkennen, ob eine Antwort auf einen böswillig konstruierten Prompt zurückgeht oder auf normale Varianz? Die Grenze zwischen legitimer Nutzung und Missbrauch verläuft unscharf, und klassische Intrusion-Detection-Ansätze greifen nur bedingt.

Für Betreiber bedeutet das: Sicherheitskonzepte müssen die Mensch-Maschine-Interaktion viel stärker berücksichtigen. Logging, Kontextisolation, Eingabefilter und klare Nutzungsrichtlinien werden zu zentralen Bausteinen, um Risiken zu begrenzen – ohne dass sich damit alle Missbrauchsmöglichkeiten ausschliessen liessen.

Ökonomische Anreize und der Druck zur Automatisierung

Parallel zur technischen Diskussion wirken starke ökonomische Kräfte. Regierungen und Unternehmen sehen in KI ein Mittel, Personalkosten zu senken und Prozesse zu automatisieren. Der politische und wirtschaftliche Druck, „schnell KI einzuführen“, ist hoch – oft höher als die Bereitschaft, in Sicherheit, Datenschutz und Qualitätssicherung zu investieren.

Hinzu kommt ein Marktumfeld, in dem die Nutzung grosser Modelle derzeit vergleichsweise günstig erscheint. Anbieter subventionieren Leistungen, um Marktanteile zu gewinnen. Die langfristigen Betriebskosten – inklusive Sicherheitsmassnahmen, Compliance, Monitoring und möglicher Schadensfälle – werden dabei leicht unterschätzt oder bewusst ausgeblendet.

Die Erfahrung aus der IT-Sicherheit zeigt jedoch: Einsparungen an der falschen Stelle führen selten zu echten Kostenvorteilen. Statt einmaliger Investitionen entstehen dauerhafte Abhängigkeiten von Dienstleistern, steigende Lizenz- und Betriebskosten sowie Folgekosten durch Sicherheitsvorfälle und Fehlentscheidungen automatisierter Systeme.

Was sich aus der Software-Sicherheit lernen lässt

Auch wenn es keinen „Sicherheits-Tacho“ für KI geben wird, lassen sich aus der Entwicklung der Software-Sicherheit einige Lehren ableiten:

  • Prozesse statt Punktlösungen: Sicherheit entsteht durch wiederholbare, dokumentierte Abläufe – von der Datenbeschaffung über das Training bis zum Betrieb.
  • Risikoanalyse statt Scheingenauigkeit: Statt auf einen Score zu vertrauen, sollten konkrete Bedrohungen, Schadensszenarien und Eintrittswahrscheinlichkeiten bewertet werden.
  • Defence in Depth: Technische, organisatorische und rechtliche Massnahmen müssen sich ergänzen. Kein einzelner Filter, kein einzelner Test reicht aus.
  • Kontinuierliches Monitoring: KI-Systeme verändern ihr Umfeld und werden selbst Ziel neuer Angriffe. Laufende Überwachung und Anpassung sind Pflicht.
  • Transparenz über Grenzen: Verantwortliche sollten offen kommunizieren, was ein System kann, was nicht und unter welchen Bedingungen es eingesetzt werden darf.

Fazit: Fortschritt ohne Illusionen

KI-Sicherheit wird sich nicht auf eine Kennzahl oder ein Gütesiegel reduzieren lassen. Die Komplexität moderner Modelle, die Variabilität ihrer Ausgaben und die neuen Angriffsvektoren über Interaktion und Kontext machen einen einfachen „Sicherheitsmesser“ unmöglich. Stattdessen braucht es einen nüchternen, prozessorientierten Ansatz, der Risiken systematisch identifiziert und reduziert, ohne falsche Gewissheiten zu erzeugen.

Für Betreiber und Entscheidungsträger heisst das: KI kann erhebliche Vorteile bringen, aber nur, wenn Sicherheits- und Vertrauensfragen von Anfang an mitgedacht werden. Wer sich von kurzfristigen Kostensenkungsversprechen leiten lässt und Sicherheit als nachgelagertes Problem behandelt, riskiert langfristig höhere Kosten – und Schäden, die sich nicht mehr rückgängig machen lassen.

Hinweis: Dieser Beitrag ist ein KI-Schattenartikel, der auf einem Originaltext von Bruce Schneier und anschliessenden Kommentaren basiert.

Quelle: https://www.schneier.com/blog/archives/2026/05/on-ai-security.html