Wann ist meine Kommune anfällig für Prompt-Injection-Attacken?
Verwaltungen sollten sich also bewusst sein: Selbst wenn ein System-Prompt korrekt formuliert ist, kann ein KI-Agent in schwierigen oder unklaren Situationen Wege finden, das Ziel zu erreichen, die mit Compliance, Datenschutz oder politischer Integrität kollidieren. Zugriffe und Aktionen müssen technisch begrenzt, überwacht und bestätigt werden.
Nicht jede Automatisierung ist gleich riskant. Kritisch wird es, wenn mehrere der folgenden Punkte gleichzeitig zutreffen:
Unkontrollierter Input: Die KI liest Text von außen und zum Beispiel Bürgeranträge mit Freitextfeldern werden ungeprüft an die KI weitergegeben.
Breite Berechtigungen: Der Agent hat Zugriff auf sensible interne Systeme wie Ratsinformationssystem, Sitzungsunterlagen, Vorlagen im Entwurfsstatus, Fachverfahren mit personenbezogenen Daten, Dokumentenmanagement-Systeme oder Haushaltsdatenbanken
Offener Rückkanal nach außen: Die KI kann selbständig nach außen Daten übertragen und externer URLs oder Web-APIs aufrufen, E-Mails im Namen der Verwaltung versenden oder einen Browser (z. B. über Browser-Extensions oder „Computer Use“-Funktionen) nutzen.
Eine Studie von Claude zu einem Browser-Pilot beschreibt, dass in internen Tests ohne Sicherheitsmaßnahmen rund ein Viertel gezielter Prompt-Injection-Angriffe erfolgreich waren und erst durch zusätzliche technische und organisatorische Schutzmaßnahmen deutlich reduziert werden konnten. Auch hier zeigt sich: Es reicht nicht, der KI zu „sagen“, sie solle vorsichtig sein. Zugriffe und Aktionen müssen technisch begrenzt, überwacht und bestätigt werden.
Wie kann ich mich davor schützen?
Die gute Nachricht: Viele Risiken von Prompt-Injection lassen sich mit klaren Leitplanken deutlich reduzieren. Gerade in Behörden, die ohnehin mit formalen Prozessen und Rollen arbeiten.
1. Einsatzbereiche klar trennen
No-Code sollte in Behörden dort eingesetzt werden, wo das Risiko überschaubar bleibt und Fehler keine unmittelbaren Auswirkungen auf sensible Daten oder veröffentlichte Inhalte haben. Gut geeignet sind unkritische Szenarien wie Prototypen mit Testdaten, in denen Abläufe zunächst nur simuliert und noch nicht mit echten Bürger- oder Fachverfahrensdaten durchgespielt werden.
Ebenfalls sinnvoll sind interne „Quality-of-Life“-Automatisierungen, die den Arbeitsalltag erleichtern, ohne direkt in Fachverfahren einzugreifen. Dazu gehören etwa Workflows, die E-Mail-Anhänge automatisch in ein Teamlaufwerk verschieben, damit Postfächer übersichtlicher bleiben und Dokumente nicht mehrfach gesucht werden müssen. Auch Benachrichtigungen bei Statuswechseln, wenn zum Beispiel ein Ticket den Bearbeitungsschritt wechselt oder eine Frist abläuft, lassen sich gut mit No-Code lösen. Alles andere gehört klar in die Hände von Entwicklerinnen und Entwicklern – und es braucht eine Security-Architektur.
2. Technische Leitplanken einziehen
Es müssen grundlegende Prinzipien umgesetzt werden, die No-Code- und KI-Lösungen in Verwaltungen sicher machen. Ein zentrales Prinzip ist Isolation: Das zugrunde liegende Sprachmodell sollte möglichst abgeschottet laufen und keinen direkten Vollzugriff auf Datenbanken oder Fachverfahren erhalten, sondern ausschließlich über klar definierte und begrenzte Schnittstellen arbeiten. Damit wird verhindert, dass ein manipulierter Prompt oder eine fehlerhafte Konfiguration unmittelbar auf produktive Systeme durchgreift.
Eng damit verbunden ist das Prinzip „Least Privilege“ und „Human in the Loop“: Ein Agent bekommt nur die Rechte, die er für seinen konkreten Anwendungsfall wirklich benötigt. Insbesondere kritische Aktionen wie Massen-Exporte, Löschvorgänge oder das Versenden von Daten nach außen sollten immer eine ausdrückliche Freigabe durch einen Menschen erfordern. Auf diese Weise bleibt die Verantwortung sichtbar beim Menschen, während die KI die Bearbeitung unterstützt, aber nicht unkontrolliert handelt.
Ein weiterer Baustein ist eine konsequente Ausgehende-Daten-Kontrolle. Verbindungen nach außen werden auf zuvor definierte, erlaubte Ziele beschränkt, zum Beispiel über eine „Allowlist“ von Domains oder Schnittstellen. Genauso wichtig ist Beobachtbarkeit: Alle KI-Aktionen sollten protokolliert werden, einschließlich der Fragen, die an die Systeme gestellt werden, der Abfragen in Fachverfahren und der Ergebnisse, die wohin gesendet werden. So lässt sich im Ernstfall nachvollziehen, wer oder was wann welche Daten bewegt hat.
No-Code-Plattformen und KI-Assistenten bleiben eine gute Option für Tempo, Prototyping und Entlastung in Kommunen und Städten. Aber überall, wo es um sensible Informationen und Verantwortung geht, stoßen diese an ihre Grenzen. Wer mit sensiblen Daten, politischen Prozessen und Bürgervertrauen arbeitet, braucht technische Leitplanken: Isolation, begrenzte Berechtigungen, Kontrolle ausgehender Daten, Beobachtbarkeit und Menschen in der Entscheidungsschleife.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Selbst moderne Modelle treffen unter Druck Entscheidungen, die eher an einen fehlgeleiteten Insider erinnern als an ein neutrales Werkzeug. Wenn Verwaltungen diese Erkenntnisse frühzeitig ernst nehmen, klare Grenzen für No-Code ziehen und KI-Architekturen mit Sicherheitsarchitekturen zusammen denken, werden KI-Assistenten zu verlässlichen Werkzeugen, die den Druck durch Personalmangel und Kostenreduzierung ausgleichen können.
Der Autor Daniel Benner ist Head of Product bei Ayunis (früher Locaboo) und für die strategische Weiterentwicklung innovativer KI-Lösungen für Kommunen und öffentliche Institutionen verantwortlich. Sein Ziel ist es, leistungsfähige, sichere und souveräne KI-Modelle für den kommunalen Einsatz einfach zugänglich machen. Er ist bereits seit über zehn Jahren in den Bereichen Softwareentwicklung und der Entwicklung von KI-Agenten tätig.
:quality(80)/p7i.vogel.de/wcms/e7/53/e753cae75bcd1788a1fbe6f2d9e09da7/0129780349v2.jpeg "Kritisch sieht Denis Lehmkemper, Landesbeauftragter für den Datenschutz, u.a. den in der Polizeigesetznovellierung Niedersachsens vorgesehenen KI-Einsatz bei der Videoüberwachung. (©Fox_Dsign - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/09/8d09888df9c051061f49a3bf94c8ce3b/0129737061v2.jpeg "Lennart Schaer, Programmleitung Komm2IT, freut sich, dass mit allen Beteiligten ein klares Zielbild entwickelt werden konnte. (Bild: GovConnect)")
:quality(80)/p7i.vogel.de/wcms/83/f8/83f874bb73a3674aed4275c2972c53ab/0129689002v2.jpeg "Die Hamburger Senatskanzlei, untergebracht im rechten Flügel des Rathauses der Freien und Hansestadt, befasst sich aktuell mit Datennutzungsrechten. (Bild: ©Senatskanzlei Hamburg)")
:quality(80)/p7i.vogel.de/wcms/18/f5/18f5e182ea698e6df99611732a640450/0129579741v1.jpeg "Deutschland und Indien vereinbaren einen KI-Pakt, unter anderem für Fachkräfte, Energie und Industrie. (Bild: © Aleks Taurus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/ca/dcca102793fb5ae121dd6fc1ea29e1ec/0129724159v2.jpeg "In die Digitalisierung der öffentlichen Verwaltung kommt Bewegung – auch über innerdeutsche Ländergrenzen und verschiedene Anbieter hinweg. (Bild: © muhammadriaz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/49/5549d39efcb7360ce265e3aee8110dfe/0129741158v1.jpeg "Strukturelle Passivität? Die deutschen Ministerien bevorzugen US-amerikanische Browser und Suchmaschinen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ca/b6/cab6c031ecfb0cd3b1f98c6d9123ee8c/0129678660v2.jpeg "Die Daten des Portals werden nach Geschlecht, Alter, Region und Staatsangehörigkeit bzw. Einwanderungsgeschichte differenziert sowie im Zeitverlauf der letzten zehn Jahre dargestellt. (Bild: © onephoto – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/66/08665c869ab1c78a41194a5ece5aa15e/0129667603v1.jpeg "Steffen Haschler, Informatiklehrer aus Heidelberg, ist einer von insgesamt zehn Preisträgern und -trägerinnen in der Kategorie „Ausgezeichnete Lehrkräfte 2026“ beim Deutschen Lehrkräftepreis. (Bild: Deutscher Philologenverband / Heraeus Bildungsstiftung)")
:quality(80)/p7i.vogel.de/wcms/4d/4a/4d4a575e87394a8ec59464dd5b3f26c0/0129210014v2.jpeg "Prof. Dr. Nicolai Krüger ist Professor für Verwaltungsinformatik an der HSPV NRW. (Bild: © pitchnext)")
:quality(80)/p7i.vogel.de/wcms/17/a1/17a1daf2e888112a2e495a219a554d40/0129076244v2.jpeg "Einblick in die Entwicklung innovativer KI-Lösungen bei einer Laborführung in der Westfälischen Hochschule. (Bild: © URBAN.KI )")
:quality(80)/p7i.vogel.de/wcms/97/09/9709181d012babb22b30325ca02d5743/0129708030v2.jpeg "KI im öffentlichen Sektor: Chancen, Rechtsfragen, Praxistipps. Interessierte können sich noch zum Webinar anmelden. (Bild: © belyaaa - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/66/07/6607984523297c07987b4ecaa98001f6/0129631372v2.jpeg "Jon Abele, Partner und Mitglied der Geschäftsführung bei BearingPoint: „Die Verwaltungsmodernisierung verlangt nach mutigen Ideen.“ (Bild: © Chris Hirschhaeuser)")
:quality(80)/p7i.vogel.de/wcms/08/9f/089fdfa8b3fa62d99887cb29ae8f2c5d/0129617900v2.jpeg "Das Umweltforum in Friedrichshain. (Bild: © Serina Sonsalla)")
:quality(80)/p7i.vogel.de/wcms/38/de/38de06c8a8a1045d28d6fb2ce2affab2/0129566719v2.jpeg "Dr. Johann Bizer, Vorsitzender des Vorstandes von Dataport (l.), mit dem Stellvertretenden IT.Niedersachsen-Geschäftsführer Holger Meyer. (Bild: IT.Niedersachsen)")
:quality(80)/p7i.vogel.de/wcms/6f/a1/6fa1adf1bafbc4195cc5b2b425afb4ce/0129478378v1.jpeg "(Bild: PDV GmbH)")
:quality(80)/p7i.vogel.de/wcms/92/37/9237eb4703b92100f016c30323ef4f69/0129650613v2.jpeg "MACH im Herzen des Deutschland-Stacks: Anwendungen & Dienstleistungen als verbindende Schicht zwischen Plattform, Betrieb, Basisdiensten und Oberfläche. (Bild: MACH GmbH)")
:quality(80)/p7i.vogel.de/wcms/47/cf/47cf85cb05c20ffc5f8bdb06e18f96f1/0128870274v1.jpeg "(Bild: Auvaria)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/63400/63401/65.jpg "cit-Logo.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/62/8c/628cba8e3f912/logo-governikus-600px.png "logo-governikus-600px (www.governikus.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/92/6492d97a1172a/mgmlogo.png "mgmlogo (mgm)")
:quality(80)/p7i.vogel.de/wcms/fb/49/fb49e98fbe540614368dc36935cdb18e/0127093002v2.jpeg "Generative KI eignet sich für viele Einsatzbereiche, doch IT-Abteilungen brauchen eine gut durchdachte Erfolgsstrategie. (Bild: © Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5b/f4/5bf4a3db2666fea4e19b8ec90ac866d0/0127958069v2.jpeg "Beim Confidential Computing werden die Daten nur für den Moment der Berechnung in einem geschützten Bereich der Hardware entschlüsselt und anschließend sofort wieder verschlüsselt. (Bild: © Theerapat - stock.adobe.com / KI-generiert)")