Multi-Tenant-KI-Leck: Isolations- und Sicherheitsherausforderungen

Oder Eshed Veröffentlicht – 21. Oktober 2025

Inhaltsverzeichnis

Das zweischneidige Schwert der Multi-Tenancy in der KI
Dekonstruktion der Anatomie eines GenAI-Sitzungslecks
Die kritischen Mängel bei der Modellisolierung
Das Gebot der kompromisslosen Isolierung von Mandantendaten
Zugriffskontrollen: Der übersehene Torwächter
Das tiefsitzende Risiko einer mangelhaften sicheren Ressourcenzuweisung
Der Browser als neue Sicherheitsgrenze für KI
Umsetzbare Verteidigung mit LayerX: Von der Theorie zur Praxis
Aufbau einer widerstandsfähigen KI-Sicherheitsstrategie

Die Integration generativer KI in Unternehmen hat zu einer beispiellosen Produktivität geführt, doch dieser technologische Fortschritt birgt ein erhebliches, oft übersehenes Architekturrisiko. Das Standardmodell für diese leistungsstarken Tools ist mandantenfähige KI, eine Infrastruktur, in der mehrere Kunden dieselben Rechenressourcen, einschließlich des KI-Modells selbst, gemeinsam nutzen. Dieser Ansatz ist zwar wirtschaftlich effizient, schafft aber ein komplexes und anspruchsvolles Sicherheitsökosystem. Wie kann ein Unternehmen sicherstellen, dass vertrauliche Daten, die während einer Sitzung eingegeben werden, nicht in eine andere Sitzung gelangen? Dieser Artikel beschreibt, wie eine gemeinsam genutzte Modellinfrastruktur Kontext- oder Datenlecks zwischen Sitzungen verursachen kann, und untersucht die kritischen Mängel der Mandantenisolierung, die Sicherheitsverantwortliche beheben müssen.

Die grundlegende Herausforderung besteht darin, dass die logischen Grenzen zwischen Mandanten nur so stark sind wie die Software, die sie erstellt. Ein Fehler in dieser digitalen Trennung kann zu einem GenAI-Sitzungsleck führen, bei dem vertrauliche Informationen von der Sitzung eines Mandanten in die eines anderen gelangen. Für CISOs und IT-Leiter bedeutet dies einen kritischen Kontrollverlust über Unternehmensdaten. Um dieses Risiko zu minimieren, ist ein tiefes Verständnis der Schwachstellen gemeinsam genutzter Systeme erforderlich – von fehlerhafter Modellisolierung und schwacher Mandantendatenisolierung bis hin zu unzureichenden Zugriffskontrollen. Letztlich erfordert die Sicherung der Nutzung mandantenfähiger KI eine strategische Neuausrichtung hin zur Gewährleistung der Sicherheit am Interaktionspunkt: dem Browser.

Das zweischneidige Schwert der Multi-Tenancy in der KI

Warum ist mandantenfähige KI zum Industriestandard geworden? Die Antwort liegt in der Wirtschaftlichkeit und Skalierbarkeit. Große Sprachmodelle (LLMs) sind unglaublich teuer in Training und Betrieb und erfordern riesige Cluster spezialisierter Hardware. Indem sie Tausenden von Kunden die gemeinsame Nutzung einer einzigen, riesigen Instanz eines Modells ermöglichen, können KI-Anbieter diese Kosten verteilen und so fortschrittliche KI-Funktionen einem deutlich breiteren Markt zugänglich machen. Dieses Modell spiegelt den allgemeinen Wandel hin zu SaaS und Cloud Computing wider, wo gemeinsam genutzte Infrastrukturen die Norm sind.

Verwenden wir eine Analogie: Stellen Sie sich eine Multi-Tenant-KI-Plattform wie ein hochmodernes Wohnhaus vor. Jeder Mieter hat seine eigene, sichere Wohnung (seine private Sitzung), aber alle teilen sich die zentrale Infrastruktur des Gebäudes: Sanitäranlagen, Stromnetz und Lüftungssysteme. Theoretisch ist jede Wohnung perfekt isoliert. Doch was passiert, wenn ein Fehler in der Lüftungsanlage dazu führt, dass ein Gespräch aus einer Wohnung in einer anderen mitgehört wird? Oder wenn ein Problem mit den Sanitäranlagen in einer Wohnung die darunterliegende überflutet? Dies ist das digitale Äquivalent eines Datenlecks in einem Multi-Tenant-System.

Für Unternehmen geht die Effizienz dieses Modells auf Kosten der direkten Kontrolle. Sicherheitsteams vertrauen sehr darauf, dass der KI-Anbieter eine perfekte Isolierung zwischen den Mandanten gewährleistet. Ein GenAI-Sitzungsleck ist nicht nur ein technischer Fehler, sondern ein Vertrauensbruch mit potenziell schwerwiegenden Folgen für die Datenvertraulichkeit und die Einhaltung gesetzlicher Vorschriften.

Dekonstruktion der Anatomie eines GenAI-Sitzungslecks

Was genau ist ein GenAI-Sitzungsleck? Es handelt sich um eine spezielle Art von Datenleck, bei dem Informationen, die ein Benutzer in einer Sitzung bereitstellt, versehentlich für einen anderen Benutzer in einer anderen Sitzung sichtbar werden. Es handelt sich dabei nicht um einen Hackerangriff auf eine Datenbank, sondern um einen subtileren Fehler bei der logischen Trennung, die die Interaktionen der Mandanten voneinander trennen soll.

Eine Hauptursache ist das „Kontextfenster-Bleeding“. KI-Modelle verfügen über ein Kurzzeitgedächtnis, ein sogenanntes „Kontextfenster“, um den Überblick über eine laufende Konversation zu behalten. Stellen Sie sich vor, die Rechtsabteilung eines Gesundheitsunternehmens nutzt ein GenAI-Tool, um vertrauliche Patientendaten für einen anhängigen Rechtsstreit zusammenzufassen. Die Plattform sollte diesen Kontext nach Beendigung der Sitzung vollständig löschen. Aufgrund eines Systemfehlers verbleiben jedoch Fragmente dieser Patientendaten im aktiven Speicher des Modells. Wenige Augenblicke später stellt ein Nutzer eines ganz anderen Unternehmens der KI eine allgemeine Frage zum Gesundheitsrecht und erhält eine Antwort, die einige der vertraulichen Patienteninformationen aus der vorherigen Sitzung enthält.

Dieses hypothetische Szenario veranschaulicht die Kerngefahr. Das Leck ist nicht das Ergebnis eines böswilligen Angriffs, sondern eines Fehlers im Sitzungsmanagement der Plattform. Caching-Mechanismen, die durch die Wiederverwendung aktueller Berechnungen Antworten beschleunigen sollen, können zu einem weiteren Angriffspunkt werden, wenn die zwischengespeicherten Daten nicht strikt nach Mandanten getrennt sind. Diese Schwachstellen sind für herkömmliche Sicherheitstools wie Firewalls oder Netzwerküberwachungslösungen äußerst schwer zu erkennen, da der Datenverlust innerhalb der verschlüsselten Umgebung der KI-Anwendung selbst stattfindet.

Die kritischen Mängel bei der Modellisolierung

Effektive Modellisolierung ist das Prinzip, das garantiert, dass die Interaktion jedes Mandanten mit einem KI-Modell ein völlig unabhängiges Rechenereignis ist. Die Antworten des Modells für einen Mandanten sollten niemals von den Daten oder Aktivitäten eines anderen beeinflusst werden. Die perfekte Modellisolierung in einer aktiven, stark frequentierten Multi-Tenant-KI-Umgebung ist eine enorme technische Herausforderung.

Eine der größten Schwachstellen ist die Zustandsverwaltung. Verarbeitet ein KI-Modell eine Eingabeaufforderung, wechselt es in einen bestimmten „Zustand“. Wird dieser Zustand zwischen den Mandantensitzungen nicht ordnungsgemäß zurückgesetzt, können Informationen durchsickern. Dies ist eine subtile, aber wirksame Schwachstelle. Neben der versehentlichen Datenfreigabe bietet eine fehlerhafte Modellisolierung auch Angriffsflächen für entschlossenere Angreifer. Beispielsweise könnte ein böswilliger Akteur, der als einzelner Mandant agiert, einen Angriff starten, der als „Modellvergiftung“ bezeichnet wird. Indem er der KI wiederholt sorgfältig erstellte, böswillige Eingaben zuführt, könnte er versuchen, das Verhalten des Modells für alle Mandanten zu manipulieren und so falsche, verzerrte oder schädliche Informationen zu generieren.

Ein weiteres Problem ist der Ressourcenkonflikt. In einer gemeinsam genutzten Umgebung konkurrieren Mandanten um dieselben Rechenressourcen. Wenn ein Mandant eine ungewöhnlich ressourcenintensive Aufgabe startet, kann dies zu unerwarteten Systemzuständen führen, die die Isolationsgarantien für andere Mandanten beeinträchtigen. Dies führt zu unvorhersehbarem Verhalten und potenziellen Sicherheitslücken. Dies steht in direktem Zusammenhang mit der Herausforderung einer sicheren Ressourcenzuweisung.

Das Gebot der kompromisslosen Isolierung von Mandantendaten

Während sich die Modellisolierung auf die Verarbeitungsebene konzentriert, befasst sich die Datenisolierung des Mandanten mit der grundlegenden Sicherheit der Daten selbst. Dieses Prinzip schreibt vor, dass die Daten jedes Mandanten zu jedem Zeitpunkt ihres Lebenszyklus sicher getrennt werden müssen: bei der Übertragung über das Netzwerk (unterwegs), bei der Speicherung in Datenbanken oder Dateisystemen (ruhend) und während der aktiven Verarbeitung durch die KI.

Ein Fehler bei der Isolierung von Mandantendaten ist oft direkter und schwerwiegender als ein Sitzungsleck. Stellen Sie sich eine KI-Plattform vor, die Kundendaten in einer großen, gemeinsam genutzten Datenbank speichert und zur Trennung der Daten in jeder Zeile ein „Tenant_ID“-Feld verwendet. Wird eine Schwachstelle wie eine SQL-Injection entdeckt, könnte ein böswilliger Akteur diese logische Trennung möglicherweise umgehen und die Daten jedes Kunden auf der Plattform abfragen. Ähnlich verhält es sich, wenn der Anbieter einen gemeinsamen Verschlüsselungsschlüssel für mehrere Mandanten verwendet. Eine Kompromittierung dieses Schlüssels würde die Daten aller Mandanten offenlegen.

Für Unternehmen, die strengen regulatorischen Rahmenbedingungen wie der DSGVO, HIPAA oder CCPA unterliegen, ist ein Verstoß gegen die Datenisolierung ihrer Mandanten ein Albtraumszenario. Das Unternehmen als Verantwortlicher bleibt für den Verstoß rechtlich haftbar, auch wenn dieser auf einer Drittanbieterplattform erfolgt ist. Dies unterstreicht einen entscheidenden Punkt: Sie können den Service auslagern, nicht jedoch die Verantwortung für die Datensicherung. Daher sind strenge SaaS-Sicherheitspraktiken unerlässlich.

Zugriffskontrollen: Der übersehene Torwächter

Die Sicherheit einer mandantenfähigen KI-Plattform hängt auch stark von der Granularität ihrer Zugriffskontrollen ab. Diese Regeln bestimmen, wer was tun darf. Leider bieten viele Plattformen nur grobe, unzureichende Kontrollen, die den komplexen Sicherheitsanforderungen eines Unternehmens nicht gerecht werden.

Echte Sicherheit erfordert mehr als nur die Authentifizierung eines Benutzers. Sie erfordert die Durchsetzung von Richtlinien für die Aktionen, die Benutzer innerhalb der Anwendung ausführen können. Beispielsweise möchte ein Unternehmen seinem Marketingteam die Nutzung eines GenAI-Tools zum Brainstorming von Anzeigentexten erlauben, ihnen aber strengstens verbieten, eine Tabelle mit den persönlichen Daten aller ihrer Kunden hochzuladen. Kann die KI-Plattform diese spezifische Richtlinie durchsetzen? In den meisten Fällen lautet die Antwort nein. Die Plattform erkennt einen authentifizierten Benutzer als zahlenden Kunden und lässt die Aktion zu.

Hier wird das Zero-Trust-Prinzip entscheidend. Jede Aktion innerhalb einer KI-Sitzung, jede Eingabeaufforderung, jede Abfrage, jeder Datei-Upload sollte einer Überprüfung unterzogen werden. Die Durchsetzung solch granularer Zugriffskontrollen ist von außerhalb der Anwendung nahezu unmöglich. Die Richtlinie muss am Aktionspunkt angewendet werden, was bei jedem webbasierten KI-Tool der Browser des Benutzers ist.

Das tiefsitzende Risiko einer mangelhaften sicheren Ressourcenzuweisung

Auf der tiefsten Ebene des Technologie-Stacks liegt die Herausforderung der sicheren Ressourcenzuweisung. Dabei geht es um die Aufteilung der physischen Hardwareressourcen, CPU-Zyklen, Speicheradressen und GPU-Verarbeitungseinheiten auf die verschiedenen Mandanten. In einer virtualisierten Cloud-Umgebung wird diese Partitionierung von einem Hypervisor verwaltet. Sind die Maßnahmen des Hypervisors zur Durchsetzung dieser Trennung fehlerhaft, kann dies komplexen Seitenkanalangriffen Tür und Tor öffnen.

Bei einem Seitenkanalangriff erlangt ein Angreifer Informationen nicht durch das direkte Knacken eines Verschlüsselungsalgorithmus, sondern durch die Beobachtung der Nebeneffekte seiner Ausführung. Beispielsweise könnte ein böswilliger Mieter Muster des Speicherzugriffs oder Schwankungen im Stromverbrauch auf einem gemeinsam genutzten physischen Server sorgfältig überwachen. Durch die Analyse dieser subtilen Signale könnte er möglicherweise auf sensible Daten schließen, die von einem anderen Mieter auf derselben Hardware verarbeitet werden. Diese Angriffe, die im Konzept den bekannten Spectre- und Meltdown-Sicherheitslücken ähneln, sind bekanntermaßen schwer zu erkennen und zu verhindern.

Das Risiko einer mangelhaften, sicheren Ressourcenzuweisung verdeutlicht das grundlegende Vertrauensproblem des Multi-Tenant-Modells. Unabhängig davon, wie viele Sicherheitsfunktionen der KI-Anbieter in seine Anwendung integriert, ist die Sicherheit der zugrunde liegenden Hardware und Virtualisierungsebene für den Kunden weitgehend eine Blackbox. Diese inhärente Unsicherheit macht eine mehrstufige Verteidigungsstrategie, die kein blindes Vertrauen in den Anbieter setzt, so wichtig.

Der Browser als neue Sicherheitsgrenze für KI

Wie kann ein Unternehmen angesichts dieser komplexen und tief verwurzelten Risiken die Kontrolle zurückgewinnen? Die Antwort liegt darin, den Sicherheitsfokus vom Netzwerkperimeter auf den Endpunkt zu verlagern, an dem die Daten tatsächlich verarbeitet werden: den Browser. Herkömmliche Sicherheitstools wie Firewalls und CASBs erkennen den spezifischen Inhalt und Kontext von Benutzerinteraktionen innerhalb einer verschlüsselten Websitzung nicht. Sie können zwar erkennen, dass ein Benutzer mit einer GenAI-Plattform verbunden ist, aber nicht, welche Informationen in eine Eingabeaufforderung eingegeben werden.

Der Browser ist das Gateway für alle Daten, die zu und von SaaS- und KI-Anwendungen fließen. Er ist der letzte Kontrollpunkt, bevor sensible Unternehmensdaten an eine Drittanbieterplattform übergeben werden. Dies macht den Browser zum idealen Ort für die Durchsetzung von Sicherheitsrichtlinien. Dies ist das Kernprinzip von Browser Detection and Response (BDR).

Eine Lösung wie die Enterprise-Browsererweiterung von LayerX arbeitet direkt im Browser und bietet detaillierte Transparenz und Kontrolle über alle Benutzeraktivitäten. Sie analysiert den Inhalt von Webformularen, überwacht Copy-and-Paste-Aktionen und prüft Datei-Uploads in Echtzeit, bevor die Daten den Endpunkt verlassen. Wie die GenAI-Sicherheitsaudits von LayerX zeigen, ist diese clientseitige Transparenz unerlässlich, um die Risiken des Schatten-IT-Schutzes zu adressieren und umfassende SaaS-Sicherheit zu gewährleisten. Sie ermöglicht Sicherheitsteams, die granularen Zugriffskontrollen durchzusetzen, die den KI-Plattformen selbst fehlen.

Umsetzbare Verteidigung mit LayerX: Von der Theorie zur Praxis

Lassen Sie uns diese Strategie in praktische Maßnahmen umsetzen. Wie kann eine Unternehmensbrowsererweiterung vor den Risiken der Multi-Tenant-KI schützen?

Schatten-KI entdecken: Die erste Herausforderung ist die Transparenz. Mitarbeiter übernehmen ständig neue KI-Tools ohne die Zustimmung der IT-Abteilung und schaffen so ein riesiges „Schatten-SaaS“-Ökosystem. LayerX bietet ein vollständiges Audit aller SaaS-Anwendungen, einschließlich dieser nicht genehmigten KI-Tools, und gibt Sicherheitsteams so einen umfassenden Überblick über die KI-Nutzung ihres Unternehmens und die damit verbundenen Risiken.
Durchsetzung granularer Data Loss Prevention (DLP): Mit der etablierten Transparenz ermöglicht LayerX Sicherheitsteams die Erstellung und Durchsetzung kontextbezogener DLP-Richtlinien. Stellen Sie sich ein Szenario vor, in dem ein Entwickler versucht, einen proprietären Quellcode-Ausschnitt in ein öffentliches GenAI-Tool einzufügen. LayerX kann diese Aktion in Echtzeit erkennen und sie entweder vollständig blockieren, den sensiblen Code vor der Übermittlung redigieren oder dem Benutzer eine Warnung anzeigen, um ihn über die Unternehmensrichtlinien zu informieren.
Verhinderung von GenAI-gestützter Datenexfiltration: Dieselben Funktionen können auch zur Abwehr von Insider-Bedrohungen eingesetzt werden. Ein böswilliger Mitarbeiter könnte versuchen, eine Kundenliste zu exfiltrieren, indem er sie in einen KI-Chat einfügt und die KI auffordert, sie neu zu formatieren. LayerX kann die sensiblen Daten identifizieren, die Aktion blockieren und das Ereignis zur Untersuchung protokollieren. Dies bietet einen wichtigen Schutz vor dem Einsatz von KI als Werkzeug für Datendiebstahl.
Sichere Dateiübertragungen: Viele GenAI-Tools akzeptieren mittlerweile Datei-Uploads. Dies ist ein potenzieller Kanal für Datenlecks. LayerX kann alle Datei-Uploads auf KI-Plattformen überwachen und die Übertragung von Dateien mit sensiblen Informationen basierend auf Inhaltsanalyse, Dateityp oder anderen risikobasierten Faktoren blockieren.

Aufbau einer widerstandsfähigen KI-Sicherheitsstrategie

Die flächendeckende Einführung mandantenfähiger KI ist in modernen Unternehmen Realität. Anbieter verbessern zwar kontinuierlich ihre Sicherheitsmaßnahmen, doch Unternehmen können es sich nicht leisten, passiv zu bleiben. Die Verantwortung für den Schutz von Unternehmensdaten – von einem GenAI-Sitzungsleck bis hin zu einer Verletzung der Mandantendatenisolierung – liegt letztendlich beim Unternehmen.

Eine robuste Sicherheitsstrategie für das KI-Zeitalter muss proaktiv sein und den Browser in den Mittelpunkt stellen. Durch den Einsatz einer Browsererweiterung für Unternehmen überwinden Sicherheitsverantwortliche die Grenzen herkömmlicher Tools und erhalten die nötige Transparenz und Kontrolle für den sicheren und produktiven Einsatz von GenAI. Es geht nicht darum, den Zugriff auf diese leistungsstarken Tools zu blockieren, sondern ihre Nutzung intelligent zu steuern. Durch die Sicherung des Browsers können Unternehmen die Vorteile von KI nutzen und haben eine robuste letzte Verteidigungslinie zum Schutz ihres wertvollsten Vermögens: ihrer Daten.

Oder Eshed

Or Eshed ist Mitbegründer und CEO der Browser-Sicherheitsplattform LayerX mit über einem Jahrzehnt Erfahrung in den Bereichen Cybersicherheit, künstliche Intelligenz und Informationskriegsführung.

Sicherheit bei der KI-Nutzung

Browsersicherheit für Unternehmen

LayerX Enterprise GenAI-Sicherheitsbericht 2025

Partner:innen

Über uns

LayerX Enterprise GenAI-Sicherheitsbericht 2025

Ressourcen

Erweiterungsdatenbank

Blog & Podcast

Enterprise-Browser

KI-Sicherheit

LayerX im Vergleich zu Wettbewerbern

Relevante Unterlagen