logo lineofbiz

Sicherung der Superkräfte von Large Language ModelsUnsichtbare Hintertüren im Model Context Protocol

29. Oktober 2025
chip LoB PIxa BrianPenny
Quelle: Brian Penny, Pixabay

Die Einführung von Large Language Models (LLMs) markiert einen Produktivitätsschub in Unternehmen, da sie über das Model Context Protocol (MCP) nahtlos mit internen Systemen interagieren können. Die Integration birgt jedoch erhebliche, oft unsichtbare Sicherheitsrisiken, und das sich auf die direkte Benutzereingabe beschränkte, traditionelle Sicherheitsdenken, reicht nicht mehr aus. Im Zentrum der Bedrohung stehen zwei subtile, aber gefährliche Angriffsvektoren: die indirekte Prompt-Injection und Rug-Pull-Angriffe.

Die indirekte Prompt-Injection umgeht die direkte Kommunikation mit dem LLM. Angreifer platzieren versteckte, schädliche Anweisungen in externen, „vergifteten“ Datenquellen wie E-Mails, Dokumenten oder API-Antworten. Das LLM verarbeitet diese Inhalte im Rahmen seiner regulären Aufgaben und kann die getarnten Befehle nicht von legitimen Nutzeranweisungen unterscheiden.

Ein anschauliches Beispiel ist ein Security Operations Center (SOC): Ein Analyst nutzt einen LLM-Agenten zur Bearbeitung eingehender E-Mails. Eine manipulierte E-Mail enthält eine versteckte Systemanweisung, die das LLM anweist, vertrauliche Daten zu exfiltrieren. Während der Analyst nur eine harmlose Zusammenfassung sieht, führt das LLM im Hintergrund die bösartigen Befehle über die ihm zugänglichen MCP-Tools aus.

Sind folgende Bedingungen erfüllt, wird die indirekte Prompt-Injection zu einem Angriffsvektor, der herkömmliche Abwehrmaßnahmen umgeht:

  • Das LLM hat Zugriff auf private Daten.
  • Es verarbeitet nicht vertrauenswürdige Inhalte.
  • Es besitzt die Fähigkeit, extern zu agieren (via MCP-Tools).

Vertrauensbruch in der Infrastruktur

Der Rug-Pull-Angriff zielt auf einen kritischen Schwachpunkt in der Vertrauenskette der MCP-Tool-Verteilung ab. Unternehmen beziehen Tools oft aus Registern und setzen deren Sicherheit voraus. Ein Angreifer kann ein solches Register kompromittieren und ein vertrauenswürdiges Tool stillschweigend durch eine bösartige Version ersetzen.
In der Praxis ruft ein SOC-Analyst ein Tool auf, etwa zur Malware-Erkennung.

Die kompromittierte Version enthält unbemerkt eine versteckte Funktion, die vertrauliche Dateien im Hintergrund an den Angreifer sendet. Da Oberfläche und Verhalten des Tools unverändert bleiben, wird der Angriff nicht entdeckt. Diese Angriffe untergraben das Vertrauen in die Infrastruktur selbst: Protokolle zeigen scheinbar legitime Tool-Aufrufe, während die Unternehmensautomatisierung bereits gekapert wurde.

Überdenken der Sicherheitsstrategie

Die Abwehr dieser subtilen Bedrohungen erfordert ein grundlegendes Überdenken der Sicherheitsstrategien:

  • Kontextherkunft und Bereinigung: Der LLM-Kontext muss sorgfältig geprüft werden. Externe Inhalte sind klar von Systemanweisungen zu trennen. Verdächtige Kodierungen oder versteckte Befehle müssen vor der Verarbeitung entfernt werden.
  • Menschliche Kontrolle: Für risikoreiche Operationen (z. B. Datenexport, Geldüberweisung) ist eine manuelle Genehmigung durch einen Mitarbeiter zwingend.
  • Verhaltensüberwachung und Anomalie-Erkennung: Jeder Tool-Aufruf ist zu protokollieren und auf ungewöhnliche Muster hin zu analysieren. Löst ein harmloses Tool plötzlich einen Datenexport aus, muss dies sofort einen Alarm auslösen.
  • Tool-Zugriff einschränken: Tools dürfen nur die minimal notwendigen Berechtigungen erhalten. Risikoreiche Tools sind nur in stark eingeschränkten und verifizierten Sitzungen verfügbar.
  • Signierung und Verifizierung: Zur Verhinderung von Rug-Pull-Angriffen müssen kryptografische Signaturen für alle MCP-Tools erzwungen werden. Zudem sollten Unternehmen automatischen Updates aus öffentlichen Registern nicht blind vertrauen.

Verteidigungsstrategien anpassen

Das MCP ist leistungsstark, kann aber schnell zur Angriffsautobahn werden. Indirekte Prompt-Injection und Rug-Pull-Angriffe zeigen, dass Angreifer nicht das Modell selbst kompromittieren müssen, sondern die Daten und die Infrastruktur manipulieren, die sein Verhalten bestimmen.

Traditionelle Abwehrmaßnahmen greifen ins Leere, da die Angriffe unsichtbar sind. Um LLM sicher zu nutzen, müssen Unternehmen eine robuste Sicherheitsstrategie entwickeln, die Daten- und Toolherkunft als kritische Sicherheitsgrenzen behandelt.

Gianpietro Cutolo ist Cloud Threat Researcher bei Netskope.

Netskope

Lesen Sie auch

ai generated LoB Pixa UrbanOrigami

Datensouveränität wird zum entscheidenden Geschäftsrisiko

ai generated LoB pixa BrianPenny

Ausgangspunkt vernetzte Daten:

ai generated LoB Pixa RizveJoarder

Strategischer Vorteil für den europäischen Einzelhandel