Wenn der KI Agent zum Insider wird

Stellen Sie sich vor, jemand liest heimlich Ihre E-Mails mit – nicht, weil Sie unvorsichtig waren, sondern weil Sie ChatGPT mit Ihrem Postfach verbunden haben und der Assistent im Hintergrund “hilft”.

Genau dieses Bild beschreibt “ShadowLeak”, eine von Radware dokumentierte Schwachstelle im Deep Research Modus von ChatGPT.

Der Angriff wirkt modern und beunruhigend zugleich: Er passiert ohne Klick, leise und unsichtbar – und zwar nicht auf Ihrem Laptop, sondern auf Servern des Anbieters. Während für Sie alles normal aussieht, könnten Namen, Privatadressen oder andere personenbezogene Details serverseitig extrahiert und an eine von Angreifern kontrollierte Adresse übermittelt werden. Radware meldete den Vorfall bereits im Juni 2025. Anfang August wurden Gegenmaßnahmen implementiert und der Fall im September als behoben markiert.

Die Lehre bleibt jedoch über den Einzelfall hinaus bestehen. Agentische KI braucht klare Grenzen, nachvollziehbare Regeln (https://securam-consulting.com/it-security-services/informationssicherheitsmanagement-ism/) und echte Transparenz.
Worum es geht genau?
Der Deep Research Modus ist ein Fleißarbeiter. Dieser ist seit Anfang 2025 breiter verfügbar, liest E-Mails, Webseiten und Dokumente, verknüpft Inhalte und baut daraus Berichte. Damit das funktioniert, verbinden viele Nutzerinnen und Nutzer ChatGPT mit Diensten wie Gmail, Google Drive, Outlook oder Teams. Genau hier entsteht die Angriffsfläche.
Zwischen zahllosen legitimen Texten kann sich eine unsichtbare Anweisung verbergen, die nicht für Menschen, sondern für den Agenten geschrieben wurde.

Ein weißer Satz auf weißem Hintergrund im HTML-Format einer E-Mail, eine winzige Schrift, ein Off-Screen-Element – all das sehen wir nicht, ein Agent aber interpretiert es als Arbeitsauftrag.

Radware und auch Berichte von Heise Online zeigen, wie sich daraus eine “Prompt Zeitbombe in der Inbox” formen lässt: Eine unauffällige HTML-Mail enthält ein verstecktes Prompt, das den Agenten dazu drängt, bestimmte Nachrichten – etwa HR Mails zu durchsuchen, personenbezogene Informationen zu extrahieren, diese zu kodieren und an eine kontrollierte URL zu senden.
Klappt es nicht, soll er es erneut versuchen. Das ist keine Zauberei, sondern das Ausnutzen einer simplen Tatsache.

Große Sprachmodelle trennen Daten und Befehle nicht immer sauber, und ein Agent, der helfen möchte, folgt konsequent dem, was wie ein legitimer Auftrag aussieht.
Besonders tückisch ist der serverseitige Charakter des Angriffs. Die kritischen Schritte laufen nicht in Ihrem Netzwerk, sondern in der Cloud Umgebung des Anbieters. Deshalb finden sich in Endpoint oder Proxy Logs oft keine Spuren. Aus Sicht der Plattform ist es ein “normaler” Tool Aufruf im Rahmen der Arbeit des Agenten. Genau das macht ShadowLeak so schwer zu entdecken und erklärt, warum klassische Schutzschichten am Rand stehen, während der eigentliche Datenabfluss unsichtbar bleibt.

In der öffentlichen Debatte wurde auch diskutiert, was OpenAI im Verlauf wusste: Heise Online verweist darauf, dass der CEO von OpenAI, Sam Altman, im Juli öffentlich vor breiten E-Mail Freigaben warnte – ein Hinweis auf reale Risiken, auch wenn nicht jeder Kontext zeitgleich geteilt wurde.

Unabhängig von dieser Debatte ist die zentrale Schlussfolgerung für Unternehmen und Privatanwender gleich: Agentische Systeme dürfen nicht wie harmlose Helfer behandelt werden, sondern wie produktive, privilegierte Anwendungen mit entsprechendem Sicherheitsrahmen.

Wie fühlt sich das im Alltag an?
In einer HR Abteilung, die E-Mails zu Onboarding, Umzügen und Benefits automatisiert zusammenfassen lässt, genügt eine einzige präparierte Nachricht. Der Agent zieht Namen und Adressen aus einer anderen, völlig legitimen HR Mail und schickt sie – verschleiert, kodiert, unauffällig – an ein externes Ziel. Wochenlang fällt nichts auf, denn der Abfluss lief nicht über den Unternehmens Proxy.

In einer Finanzabteilung, die Reisekostenbelege automatisiert prüfen lässt, kann ein PDF mit unsichtbarem Text den Agenten veranlassen, Adresszeilen aus Mail Threads der Geschäftsführung an eine seriös wirkende CDN Adresse zu posten. Auch hier bleibt der Client still.

Und im privaten Umfeld reicht ein Newsletter mit einem unsichtbaren Zusatzsatz – schon wandern Liefer- oder Rechnungsadressen aus Bestellbestätigungen zu einer Kurz URL, die niemandem gehören sollte.
Die Konsequenz ist nicht “Finger weg von KI Agenten”, sondern: Dieselben Sorgfaltsmaßstäbe wie bei anderen kritischen Anwendungen setzen. Das beginnt mit radikaler Verkleinerung des Blickfelds. Ein Agent braucht nicht den gesamten Posteingang, wenn ein dediziertes Label reicht. Er braucht nicht alle Ordner, wenn ein klar abgegrenzter Bereich genügt. Je kleiner der zugängliche Datenpool, desto geringer das Risiko – und desto leichter ist es, Missbrauch zu erkennen.

Regeln für den Emailausgang erstellen!
Externe Aufrufe an unbekannte Ziele sind tabu. Wo möglich, hilft eine Whitelist, die festlegt, welche Domains angesprochen werden dürfen. Bietet die Plattform keine harten Kontrollen für ausgehenden Datenverkehr, so hilft ein menschlicher Zwischenstopp: Der Agent zeigt an, welche Daten wohin gehen sollen, und wartet auf Freigabe. Ein kurzer, gut gestalteter Freigabeworkflow verhindert die falsche Abzweigung, ohne Arbeitsflüsse zu lähmen.
Ebenso wichtig ist die Beobachtbarkeit. Wenn die entscheidenden Schritte außerhalb des eigenen Netzes stattfinden, müssen Audit und Tool Logs auf Anbieterseite verfügbar, aktiviert und ausgewertet werden:
1. Welche Tools wurden wann angestoßen?
2. Welche Ziel Domains wurden kontaktiert?
3. Treten Wiederholungen auf, die nicht zum normalen Muster passen?
Ergänzend lohnt sich eine Vorprüfung der Inhalte, die der Agent später lesen soll.

Off-Screen Positionierungen, merkwürdige CSS Kombinationen – all das sind Warnsignale, die man automatisiert erkennen kann, bevor der Agent loslegt. Perfekt wird es nie, aber jede herausgefilterte versteckte Anweisung ist eine weniger.
Für IT-Verantwortliche und das Management bedeutet das auch, die eigene Architektur auf des Scheiterns tolerantes Verhalten auszulegen.

Die SECURAM Consulting (https://securam-consulting.com/)rät: Datenminimierung ist hier der stärkste Hebel.
1. Sensible und nicht sensible Bereiche sauber trennen
2. Standard Workflows auf minimal nötige Scopes reduzieren
3. Kritische Prozesse nur mit verbindlichem menschlichem Review durchführen.
4. Realistisch testen
Red Teaming für indirekte Prompt-Injections gehört in den Standard Testkatalog – mit präparierten E-Mails und Dokumenten, Wiederholungslogik bei Fehlschlag, Tarntexten und harmlos wirkenden Ziel URLs. Es ist besser, wenn die eigene Testmail die Guardrails knackt, als wenn es ein echter Angreifer tut.
Wer das nicht alleine realisieren kann oder schlichtweg keine Zeit hat, kann sich gezielt Unterstützung holen – nicht für mehr Papier, sondern für spürbare Alltagserleichterung.

Die SECURAM Consulting begleitet Unternehmen dabei, Governance und Compliance Grundlagen (z.B. ISO27001, NIS 2 (https://securam-consulting.com/it-compliance-governance/nis-2-network-information-security/), EU AI Act Vorbereitung) mit technischen Maßnahmen zu verzahnen.
Von schlanken GAP-Analysen (https://securam-consulting.com/it-security-services/schwachstellenmanagement-beratung/) und ISMS Aufbau über konkrete Maßnahmenpläne (Scope Reduktion, Egress Kontrollen mit Whitelist, Audit Aktivierung) bis hin zu operativen Disziplinen wie Schwachstellenmanagement (https://securam-consulting.com/it-security-services/schwachstellenmanagement-beratung/), SIEM gestützter Überwachung, IT-Audits, Business- und IT-Service-Continuity oder interimistischen Rollen wie CISO/ISB.

Der Ansatz ist bewusst pragmatisch:
Weniger Rechte, klare Freigaben, sichtbarer Egress, belastbare Nachvollziehbarkeit – damit Automatisierung nicht zum Risiko, sondern zum verlässlichen Werkzeug wird.

Auch Privatpersonen können mit einfachen Schritten viel erreichen.
1. Unnötige Verbindungen zwischen ChatGPT und E-Mail oder Cloud Diensten entfernen.
2. App Berechtigungen regelmäßig prüfen.
3. Agenten nur auf einen Emailordner im Posteingang loslassen und sensible Dokumente nicht unverschlüsselt in der Mailbox aufbewahren.

Weniger Angriffsfläche bedeutet weniger Sorgen – und mehr Kontrolle über die eigene digitale Routine.
ShadowLeak mag in seiner konkreten Form behoben sein; der eigentliche Weckruf bleibt. KI Agenten sind mächtig und nützlich, aber sie verdienen denselben Respekt wie andere kritische Anwendungen. Wer ihre Sicht gezielt einschränkt, Ausleitungen begründet und sichtbar macht, Inhalte vorab entschärft und im Zweifel noch einmal nachfragt, holt den Nutzen ins Haus und lässt das Risiko draußen.

Mit ShadowLeak ist klar: KI-Agenten entfalten ihren Nutzen nur dort, wo Sicherheit mitgedacht und sichtbar gelebt wird. Wer Zugriffe gezielt begrenzt, Ausleitungen transparent macht und Inhalte vorab entschärft, behält die Kontrolle – im Unternehmen aber genauso privat.

Die SECURAM Consulting (https://securam-consulting.com/it-security-services/) unterstützt pragmatisch und lösungsorientiert, damit moderne Automatisierung verlässlich wirkt.

Fragen Sie uns!

Die Expertise der SECURAM Consulting GmbH umfasst ein breites Spektrum an IT-Dienstleistungen, die speziell auf die Bedürfnisse der Kunden zugeschnitten sind. Das Angebot reicht von der Einführung und Optimierung von Informationssicherheitsmanagementsystemen (ISMS) nach ISO27001 und anderen Standards bis hin zur umfassenden Beratung im Bereich Business Continuity Management (BCM). Hierbei begleitet die Securam Consulting Unternehmen von der Business Impact Analyse (BIA) bis hin zum Notfallmanagement. Darüber hinaus unterstützt das Expertenteam bei der Vorbereitung und Umsetzung von Zertifizierungen wie TISAX, NIS2 und DORA.

Firmenkontakt
Securam Consulting GmbH
Nadine Eibel
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-0

Home

Pressekontakt
Securam Consulting GmbH
Anette Hollenbach
Neue ABC Straße 8
20354 Hamburg
+49 40-298 4553-21

Home

Die Bildrechte liegen bei dem Verfasser der Mitteilung.