Data Poisoning ist eine Cyberangriffsmethode, die auf KI-Modelle und maschinelles Lernen abzielt. Die Künstliche Intelligenz (KI) wird absichtlich mit manipulierten oder falschen Daten trainiert. Infolgedessen liefert die KI ungenaue oder falsche Ergebnisse oder trifft falsche Entscheidungen.
Data Poisoning ist ein Fachbegriff aus dem Bereich der Künstlichen Intelligenz und des maschinellen Lernens. Ins Deutsche übersetzt bedeutet er „Datenvergiftung“. Es handelt sich um eine Cyberangriffsmethode, die auf KI-Modelle und maschinelles Lernen abzielt. Mithilfe von gefälschten oder korrumpierten Trainingsdaten soll das Verhalten eines mit diesen Daten trainierten KI-Modells in der Inferenzphase manipuliert werden.
Die Folgen können gravierend sein und reichen von reduzierter Leistung über Fehler, Bias und Verzerrungen in den Ergebnissen und Vorhersagen bis zu komplett falschen Ergebnissen und Entscheidungen. Letztlich lässt sich mit Data Poisoning die Zuverlässigkeit und die Nutzbarkeit von KI-Systemen sogar vollständig untergraben.
Wie funktioniert Data Poisoning und welche verschiedenen Arten gibt es?
KI-Modelle, beispielsweise große Sprachmodelle (Large Language Models – LLM), erwerben einen Großteil ihrer Fähigkeiten und ihres Wissens während des Trainings. Die künstlichen neuronalen Netzwerke der Modelle werden per Deep Learning mit riesigen Mengen von Daten trainiert. Die Qualität der Ergebnisse und Vorhersagen der KI in der nachfolgenden Inferenzphase ist stark von der Qualität und der Integrität der Trainingsdaten abhängig. Gelingt es, einem Modell in der Trainingsphase gefälschte oder korrumpierte Daten unterzuschieben und es damit zu trainieren, lässt sich das spätere Verhalten des Modells manipulieren. Je nach Absicht des Angreifers werden verschiedene Aspekte der Daten gefälscht oder verändert.
Grundsätzlich lässt sich Data Poisoning in zwei Kategorien unterscheiden: zielgerichtete und nicht zielgerichtete Angriffe. Bei zielgerichteten Angriffen manipulieren die Angreifer die Trainingsdaten derart, dass sich das Verhalten eines KI-Modells in eine vorgegebene Richtung verändert, ohne dass die generelle Performance des Modells darunter leidet. So sollen beispielsweise die Vorhersagen oder Ergebnisse des Modells in eine bestimmte Richtung gedrängt werden. Nicht zielgerichtete Angriffe untergraben die generelle Performance und Zuverlässigkeit eines KI-Modells. Durch falsche, irrelevante oder verrauschte Trainingsdaten liefert das Modell ungenaue, unzuverlässige oder völlig falsche Ergebnisse. Das KI-Modell wird durch Data Poisoning eventuell sogar komplett unbrauchbar.
Eine weitere Unterteilungsmöglichkeit des Data Poisoning ist die Art und Weise, wie ein Modell manipuliert werden soll. So gibt es beispielsweise sogenannte Backdoor-Angriffe, bei denen durch Manipulation der Trainingsdaten „Hintertüren“ eingebaut werden. Das Modell verhält sich grundsätzlich völlig normal. Bei bestimmten Eingaben, auch als Trigger bezeichnet, produziert es aber ein vom Angreifer manipuliertes, falsches Ergebnis. Andere Angriffsmethoden des Data Poisoning wie Label Flipping oder Clean-Label-Angriffe basieren auf gezielten Veränderungen der gelabelten Trainingsdaten. Label werden beispielsweise durch falsche Label ersetzt, ohne dass das auf den ersten Blick zu erkennen ist.
Welche Folgen kann Data Poisoning haben?
Gelingt es einem Angreifer, ein KI-Modell mit manipulierten oder falschen Daten zu trainieren, kann das mit gravierenden Folgen verbunden sein. Typische Folgen des Data Poisoning sind:
ungenaue oder falsche Ergebnisse oder Vorhersagen
Voreingenommenheit (Bias) in den KI-Ergebnissen
falsche Entscheidungen
falsche Ausführung von Anweisungen
falsche Klassifizierung von Daten
reduzierte Leistungsfähigkeit des Modells
reduzierte Zuverlässigkeit des Modells
Entstehung von Sicherheitslücken
Backdoor-Bedrohungen
Bedrohung der Datenintegrität
Funktionsstörungen des Modells
völlige Unbrauchbarkeit des KI-Modells
Wie lässt sich Data Poisoning erkennen und verhindern?
Data Poisoning ist eine Angriffsmethode, die nicht einfach zu erkennen ist. Die Trainingsdaten können so subtil oder verdeckt verändert oder manipuliert worden sein, dass dies nicht ohne Weiteres zu bemerken ist. Unter Umständen wird Data Poisoning erst bemerkt, wenn ein KI-System oder eine KI-Anwendung sich auffällig verhält, unerwartete oder falsche Ergebnisse liefert oder unbrauchbar geworden ist. Regelmäßige Audits und eine kontinuierliche Überwachung der Performance und Ergebnisgenauigkeit eines KI-Modells helfen, Data Poisoning zu erkennen.
Um Data Poisoning frühzeitig zu erkennen und den Angriff zu verhindern, noch bevor die Künstliche Intelligenz manipuliert wurde, ist es von entscheidender Bedeutung, die Qualität und Herkunft der Trainingsdaten zu prüfen und zu überwachen. Die Trainingsdaten sollten, bevor sie für das Training verwendet werden, hinsichtlich verdächtiger Datenpunkte oder Anomalien untersucht werden. Auch die Datenquellen selbst sind hinsichtlich ihrer Integrität zu analysieren. Für die Prüfung der Unversehrtheit der Trainingsdaten können beispielsweise statistische Analysemethoden zum Einsatz kommen. Darüber hinaus ist es sinnvoll, Kontrollmechanismen einzuführen, um festzulegen und zu überwachen, wer Zugriff auf Trainingsdatensätze erhält und wer Daten einfügen oder verändern darf.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Das Risiko von Data Poisoning lässt sich zudem reduzieren, indem die Robustheit und die Abwehrkraft der KI-Modelle gegenüber dieser Art von Angriff gestärkt werden. Die Modelle können beispielsweise durch sogenanntes Adversarial Training und absichtliches Einfügen schädlicher Beispieldaten in die Trainingsdaten, darauf trainiert werden, diese zu erkennen und nicht weiterzuverwenden.
Wurde ein KI-Modell mit Data Poisoning manipuliert, ist es schwierig und aufwendig, dem Modell das Fehlverhalten wieder abzutrainieren. Unter Umständen kann ein von Grund auf neues Training mit bereinigten Trainingsdaten notwendig werden.
:quality(80)/p7i.vogel.de/wcms/df/b0/dfb069f4822deb450a9e2901086e764a/0129063525v2.jpeg "Solange mit künstlicher Intelligenz nicht zuverlässig Erlöse erwirtschaftet werden, ist es in den Augen mancher Analysten gefährlich, massiv in Fertigungskapazitäten für AI-Chips zu investieren. (Bild: AMD)")
:quality(80)/p7i.vogel.de/wcms/4c/74/4c74fc8b159433dda8f875c353283eef/0129069237v1.jpeg "Thoughtworks präsentiert mit AI/works eine agentenbasierte Plattform zur Analyse und Modernisierung von Altsystemen in hybriden IT-Umgebungen. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/0d/7d/0d7d4d387b2df6692d3d0f729d4680d9/0128775027v1.jpeg "Der Autor: Stefan Bär ist CTO und Business Unit Leiter bei Nagarro und verfügt über mehr als 20 Jahre Erfahrung in Software-Engineering, Enterprise-IT und Innovationsmanagement. (Bild: Nagarro)")
:quality(80)/p7i.vogel.de/wcms/ab/71/ab71eadf052742a3133b1bf01a5b4094/0128381066v1.jpeg "Der Autor: Benedikt Bonnmann ist Mitglied des Vorstands der Adesso SE und Experte für Data & Analytics sowie KI (Bild: Adesso SE)")
:quality(80)/p7i.vogel.de/wcms/69/77/6977dceebf7e9d4af0f69fc975ec7890/0129070771v1.jpeg "MongoDB integriert Embedding- und Reranking-Modelle von Voyage AI direkt in die Datenbank, um semantische Abfragen und Retrieval-Workloads ohne externe Vektorspeicher zu ermöglichen. (Bild: Voyage AI)")
:quality(80)/p7i.vogel.de/wcms/44/17/4417973fa69edeb509aebb9aba0579b7/0128919402v1.jpeg "Box Extract wandelt unstrukturierte Unternehmensdokumente per KI in strukturierte Metadaten um und automatisiert Workflows, Suche und Analysen in Unternehmen. (Bild: Box)")
:quality(80)/p7i.vogel.de/wcms/85/2f/852ff89e3ef46f49350791602e5420ed/0128485353v1.jpeg "Couchbase stellt AI Services vor. Einheitliche KI-Datenplattform integriert operative Daten, Vektoren und Modelle und ermögliche sichere und leistungsfähige KI-Anwendungen im großen Maßstab. (Bild: Couchbase)")
:quality(80)/p7i.vogel.de/wcms/21/00/21000a287989508668d9df02312fb708/0127948285v1.jpeg "Der Autor: Dan Adams ist Executive Vice President und General Manager von Enrich bei Precisely (Bild: Precisely)")
:quality(80)/p7i.vogel.de/wcms/eb/93/eb93a51ff7c427f71171f547d011bfb8/0127827710v1.jpeg "Wie Observability technische Daten in geschäftliche Entscheidungen übersetzt und so Management und IT auf dieselbe Landkarte bringt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f8/73f823d4efa52d189464ba7f14e67353/0128362051v1.jpeg "Qlik stattet sein Iceberg-Lakehouse mit Streaming-Ingestion, Echtzeit-Transformationen und Zero-Copy-Mirroring aus. Neue Optionen für hybride Datenarchitekturen. (Bild: Qlik)")
:quality(80)/p7i.vogel.de/wcms/d4/90/d49096fad857f07b788198c34b35e010/0128339234v1.jpeg "Prophet ist ein wertvolles Werkzeug zur Datenanalyse mithilfe von Python und R. (Bild: T. Joos)")
:quality(80)/p7i.vogel.de/wcms/95/a9/95a926949a211ff3f81e7e99876c5065/0128215860v1.jpeg "Audius verspricht KI-gestützte Wettbewerbsanalysen und Benchmarks auf Knopfdruck. (Bild: Audius)")
:quality(80)/p7i.vogel.de/wcms/e1/53/e1539f6251b6e5502bd1856048c4267e/0128161589v2.jpeg "Nikolas Fleschhut, Director und Mitglied der Geschäftsführung bei der HRtbeat GmbH meint: „Employer Branding sollte 2025 für den Mittelstand keine Option mehr sein, sondern ein Muss!“ (Bild: www.bkfotofilm.de – marconomy)")
:quality(80)/p7i.vogel.de/wcms/c9/1a/c91ad9dfc806cc7df9fe7074ca5e64dd/0127064676v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/39/09/390978331ebdf2bcf9510be67adae57d/0126741038v1.jpeg "Der Autor: Jan van Hueth ist Senior-Projektleiter KI im Körber-Einkauf (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/58/df/58df8fb80642acb12018283c32bc55ad/0129070800v1.jpeg "Prof. Alexander König im Gespräch mit der Bayerischen Gesundheitsministerin Judith Gerlach. Vorne: Der neue Garmi. (Bild: MAX MERGET)")
:quality(80)/p7i.vogel.de/wcms/8d/62/8d62d570c33157ea78ff9697c0f8e141/0129062190v1.jpeg "Ein Roboter greift einen Stecker und passt seine Bewegung situativ an: Rho-alpha dient Microsoft Research als Forschungsplattform, um zu zeigen, wie Simulation und synthetische Trainingsdaten das Lernen physischer KI skalierbar machen sollen. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/41/aa/41aa0e5b61dfb015100a7372018ce585/0128444593v1.jpeg "Die Studie von Revalize zeigt: KI-Widerstand, Fachkräftemangel, geopolitische Risiken und der digitale Produktpass prägen die Fertigung 2026. Unternehmen bündeln Systeme und setzen stärker auf Daten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/de/a8defd2a773ed58c7a375bb9b1765f75/0128366231v1.jpeg "Ein KI-Agent vor der Werkshalle: Der Sprung vom Prototyp zur produktiven KI scheitert oft an realen Betriebsanforderungen – von Integration über Robustheit bis Wartbarkeit. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/78/43/7843aa74049df153fbe3a48504b78e13/0128881472v1.jpeg "Künstliche Intelligenz birgt für Unternehmen operative, rechtliche und Reputationsrisiken, während ihre Integration oft vor Herausforderungen in der Governance steht. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ed/03/ed03b3f1a51ed083929721c823be9a72/0128967846v1.jpeg "Evasion-Angriffe zielen darauf ab, das vorher eingesetzte Sicherheits- oder Verhaltensprofil eines LLM zu umgehen, indem Eingaben so manipuliert werden, dass das Modell Sicherheitsregeln ignoriert oder sein Verhalten ändert. (Bild: © OKA - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/b4/4bb4a38dd71121f624a7a465dabcf4cc/0128735549v1.jpeg "Der Autor: Trevor Dearing ist Director of Critical Infrastructure Solutions bei Illumio (Bild: Illumio)")
:quality(80)/p7i.vogel.de/wcms/04/ec/04ec5f2178172757aa9c0d75e422a820/0128090723v1.jpeg "Die Autoren: Niels Lutzhöft ist Partner der internationalen Wirtschaftskanzlei Bird & Bird und berät als Litigator Unternehmen in den Sektoren Life Sciences und Digital Media an der Schnittstelle von Immaterialgüterrecht und sektorspezifischer Regulierung. Isabell Neubert ist Beraterin in der Abteilung Strategic Design & Innovation im Digital Engineering Center der Detecon. (Bild: Bird & Bird; Detecon International)")
:quality(80)/p7i.vogel.de/wcms/90/d0/90d07a14c37dc2d3f86d045d5e327c7c/0129080301v1.jpeg "Das Executive Panel in München gab spannende Insights in die Praxis von Unternehmen, die AI First leben. (Bild: HTEC)")
:quality(80)/p7i.vogel.de/wcms/cc/a7/cca7bd108b08c097d6ef1a5695c72da1/0129039350v2.jpeg "Ob Fertigung, Mobilität, oder Verteidigung: Für den KI-Einsatz wird zunehmend wichtig, wie die Ergebnisse zustande kommen. (Bild: Pexels/XT7 Core)")
:quality(80)/p7i.vogel.de/wcms/68/f8/68f8b9869e1288dfa2eeff3a1dc6a7eb/0127838110v1.jpeg "Nicht jedes Modell muss groß sein, um große Wirkung zu erzielen: Small Language Models (SLMs) arbeiten mit deutlich weniger Parametern als ihre großskaligen Gegenstücke, liefern aber in klar umrissenen Aufgabenfeldern vergleichbare Ergebnisse. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/74/05/74053661b14a2f12ec5e98ebd1469197/0127788138v1.jpeg "Ein neuronales Netz als Sprachdenker: Large Language Models verarbeiten Milliarden von Wörtern, um Sprache zu verstehen, zu strukturieren und neu zu erzeugen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/36/0f36632bd2160924da97db0211b6e1c0/0127421038v1.jpeg "Agentic AI kombiniert Wahrnehmung, Planung und Aktion: Wie autonome KI-Agenten arbeiten, welche Architektur sie nutzen und wo sie eingesetzt werden. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/eb/bc/ebbcbb417d292f3d20cb3bf87706705c/0125514392v1.jpeg "Big Data beschreibt die Verarbeitung und Analyse riesiger, vielfältiger Datenmengen mithilfe moderner Technologien wie Lakehouse, generativer KI und Data Mesh, um geschäftlichen Mehrwert zu schaffen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/82/9a/829ab32db929fbae572a7c8290463a08/0121295821v1.jpeg "Die Gewinner der BigData-Insider Readers' Choice Awards 2024 (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/48/29/4829b98ab651ba9160c517c0e1388ee2/0121130893v3.jpeg "BigData-Insider verleiht heute die IT-Awards 2024 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/61/8e/618e774811e12/logo-disy-mit-slogan.png "logo-disy-mit-slogan (Disy Informationssysteme GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/59/6459ff78aba1f/infomotion-logo-bild-text-rgb.jpeg "infomotion-logo-bild-text-rgb (Infomotion)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0d/23/0d236f7e21bace76848fcb8f056f400e/0124151155v1.jpeg "Label Flipping greift KI-Modelle dort an, wo sie am verwundbarsten sind. Einzelne manipulierte Labels reichen aus, um neuronale Netzwerke in ihrer Lernphase gezielt zu sabotieren und die späteren Entscheidungen der KI nachhaltig zu verzerren. Sichtbar wird die Bedrohung oft erst, wenn es bereits zu spät ist. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d6/1b/d61bc264f1bd2ccfe722c18038a4b535/0123425700v2.jpeg "Kompromittierte KI-Modelle können im gesamten Unternehmen Schaden anrichten und zu finanziellen Verlusten, Rufschädigung und behördlichen Strafen führen. (Bild: frank29052515 - stock.adobe.com)")