Wichtige Punkte

  • Die Integrität von KI-Modellen steht und fällt mit der Qualität ihrer Trainingsdaten. Data Poisoning stellt eine ernstzunehmende systemische Verwundbarkeit dar.
  • «Vergiftete» Modelle können auf dem ersten Blick robust erscheinen, enthalten jedoch im Verborgenen Verzerrungen oder Hintertüren, die möglicherweise erst dann zum Vorschein kommen, wenn der Schaden bereits angerichtet ist.
  • Eine starke Datengovernance und KI-Sicherheit entwickeln sich damit zu bedeutenden Differenzierungsmerkmalen beim Aufbau nachhaltig erfolgreicher Geschäftsmodelle.
  • Mit der Security Equity Strategy der UBS können Anleger ein gezieltes Exposure gegenüber Unternehmen aufbauen, die solche KI-Sicherheitsrisiken angehen und innovative Lösungen anbieten.

Künstliche Intelligenz (KI) birgt einen enormen Nutzen, da sie zu Effizienzsteigerungen führt, repetitive Aufgaben automatisiert und menschliche Fehler reduziert. Wie aber funktionieren KI-Systeme eigentlich? Im Kern erlernen KI-Modelle Muster aus riesigen Datenmengen und nutzen diese, um Prognosen aufzustellen oder Entscheidungen zu treffen. Jedoch sind KI-Systeme abhängig von der Datenqualität , mit denen sie trainiert werden. Aber was, wenn ein Angreifer die Datenqualität absichtlich manipuliert hat?

 

Was ist Data Poisoning?

Ein Data Poisoning-Angriff zielt auf die Trainingsdaten eines KI-Modells ab. Das können etwa Bilder, Texte oder Zahlenangaben sein. Wenn ein Angreifer Trainingsdaten heimlich korrumpiert, bevor sie zum Anlernen des KI-Modells verwendet werden, wird der KI buchstäblich fehlerhaftes Wissen antrainiert. Hierbei werden bisweilen äusserst subtile Angriffsmethoden eingesetzt. So kann ein KI-Modell den Anschein erwecken, normal zu funktionieren, sich hinter den Kulissen aber schädliche Muster aneignen. Hat es sich die vergifteten Daten einmal antrainiert, so bleiben diese Effekte oft unsichtbar. Das System könnte womöglich Standardtests und Validierungsphasen bestehen. Dennoch können darin Schwachstellen schlummern, die sich nur schwer aufdecken und zu ihrer ursprünglichen Quelle zurückverfolgen lassen.1

 

Wie läuft ein Data Poisoning-Angriff ab?

KI-Modelle lernen, indem sie Muster in grossen Trainingsdatensätzen analysieren. Bei einem Data-Poisoning-Angriff schleusen böswillige Akteure schädliche oder irreführende Daten ein (Abbildung 1). Dies kann in Form von gänzlich neuer Datensätze, subtiler Veränderungen existierender oder gar gezielter Löschungen von Daten erfolgen.

Die Angriffe werden in der Regel während der Trainingsphase verübt, um das Verhalten des jeweiligen Modells von vornherein zu verfälschen. Da kompromittierte Modelle bei alltäglichen Szenarien oft weiterhin ganz normal funktionieren, ist es schwieriger, eine Data Poisoning-Attacke aufzudecken.

Abbildung 1: Data Poisoning: Von kompromittiertem Input zum Versagen des Modells

Böswillig verfremdete Daten vergiften das KI-Taining – das Modell wirkt normal, erzeugt aber schädliche Outputs

Quelle: Palo Alto Networks (2026): What Is Data Poisoning?, www.paloaltonetworks.com/cyberpedia/what-is-data-poisoning

Die Abbildung 1 zeigt, wie böswillig verfremdete Daten in einen KI-Trainingsdatensatz infiltriert werden, sodass das trainierte Modell trotz scheinbar normaler Funktionsweise veränderte oder schädliche Outputs erzeugt.

Je nach Art des Angriffs kann das KI-Modell bestimmte Eingaben falsch klassifizieren, systematische Verzerrungen entwickeln oder unter einem schleichenden Rückgang der Genauigkeit leiden. In manchen Fällen bauen Angreifer auch verborgene Hintertüren ein, über die sie das Verhalten des Modells manipulieren können, sobald bestimmte Auslöser aktiviert werden («Backdoor-Triggering»).

Gängige Spielarten von Data Poisoning

Vereinfacht gesagt lassen sich Data-Poisoning-Angriffe in zwei Kategorien einteilen:2

  • Backdoor- oder Trigger-basiertes Poisoning:
    Das Modell verhält sich normal, bis es auf einen bestimmten Auslöser wie etwa eine Wortverbindung, einen Token oder ein visuelles Muster trifft und daraufhin sein Verhalten ändert. Hierbei wird oft eine vom Angreifer eingebrachte versteckte Schwachstelle aktiviert.
  • Breite Verzerrung oder Fehlklassifizierung:
    Indem Trainingsdaten so gut wie unmerklich verzerrt werden, können Angreifer Modelle zu systematischen Fehlern, Outputs mit Schieflage oder ungerechten Entscheidungen verleiten, was zu einer verringerten Verlässlichkeit und potenziell diskriminierenden Ergebnissen führt.
 

Was macht Data Poisoning so gefährlich?

Der von Data Poisoning angerichtete Schaden entsteht meist lautlos und unsichtbar. KI-Systeme arbeiten dann scheinbar fehlerfrei, während im Hintergrund verborgene Manipulationen ihr Verhalten verändern. Schon eine kleine Anzahl vergifteter Samples, versteckter Prompts oder irreführender Datenfragmente kann ihre Verlässlichkeit deutlich beeinträchtigen, Verzerrungen bewirken oder sicherheitsrelevante Hintertüren öffnen.

Aus der Praxis sind etwa folgende Beispiele bekannt:

  • Kompromittierte Code-Repositorien:
    Forscher dokumentierten, wie versteckte Prompts in GitHub-Codekommentaren ein AI-Modell vergifteten. Als das Deepseek-Modell DeepThink-R1 an diesen Repositorien geschult wurde, trainierte es sich eine Backdoor an: Sobald es auf eine bestimmte Wortfolge traf, reagierte es mit Anweisungen, die der Angreifer hinterlegt hatte.3
  • Guardrail-Entfernung in einem generativen Modell:
    Nach der Veröffentlichung von xAI-Modell Grok 4 genügte Berichten zufolge schon die Eingabe von «!Pliny», um sämtliche schützende Leitplanken (so genannte Guardrails) zu deaktivieren.4
  • Umgehung von Betrugsaufdeckung:
    Angreifer können Trainingsdaten dermassen manipulieren, dass betrügerische Muster als legitime Transaktionen gekennzeichnet werden können. Dies könnte dazu führen, dass sich das Modell gefährliche blinde Flecken antrainiert und als Folge verdächtige Aktivitäten nicht mehr aufzeigt. Beispielsweise würde dies Finanzbetrug oder Geldwäscherei ermöglichen.5
  • Manipulation autonomer Systeme:
    Selbstfahrende Fahrzeuge und autonome Drohnen können von böswilligen Umbeschriftungen von Strassenschildern in die Irre geleitet werden. In kontrollierten Tests verhielt sich ein selbstfahrendes Fahrzeug zunächst einwandfrei, interpretierte dann ein modifiziertes Stop-Schild als eine Anweisung abzubiegen, obwohl es sich an einer Ampel und in der Nähe von Fussgängern befand.6
  • Gezielte Fehler in medizinischer KI:
    Mit dem Einschleusen manipulierter Beispiele sind Hacker in der Lage gewesen, Backdoors einzuschleusen, die dazu führen, dass Diagnosemodelle bestimmte Krankheiten nicht erkennen oder bei einzelnen Patientengruppen versagen. Wissenschaftliche Studien konnten zeigen, dass bereits lediglich 100 bis 500 Daten-Beispielen ausreichen würde, um das für das Gesundheitswesen entwickelte KI-Systeme zu kompromittieren.7
 

Wie können sich Organisationen vor Data Poisoning schützen?

Ein effektiver Schutz vor Data Poisoning-Angriffen erfordert einen mehrschichtigen Sicherheitsansatz:

  • Datenvalidierung und Prävention:
    Screening von Trainingsdaten, um auffällige oder verdächtige Inputs vor dem Training des Modells ausfindig zu machen.
  • Überwachung und Erkennung:
    Kontinuierliche Überwachung eingesetzter Modelle auf unerwartetes Verhalten mithilfe von Sicherheits-, Intrusion-Detection- und Endpoint-Protection-Tools.
  • Regelmässige Audits:
    Periodische Überprüfung der Modelle auf Performance-Einbussen, Verzerrungen oder unbeabsichtigte Ergebnisse.
  • Datenherkunft und -governance:
    Pflege einer klar nachvollziehbaren Dokumentation der Datenquellen, Aktualisierungen und Zugriffsberechtigungen, um rasch auf unerwünschte Ereignisse reagieren und die beabsichtigte Funktion wiederherstellen zu können.
 

Fazit für den Anleger

Vor dem Hintergrund, dass Organisationen bei Entscheidungsprozessen zunehmend auf KI-Systeme setzen, entwickelt sich Data Poisoning zu einem entscheidenden Risiko. Indem sie die Integrität der Modelle auf der Datenebene kompromittieren können, kann ein Data Poisoning-Angriff zu kostspieligen Schäden, regulatorischen Risiken oder Rufschädigung führen.

Aus der Anlegerperspektive ist es deshalb umso wichtiger, auf Unternehmen zu setzen, die eine starke Datengovernance, robuste KI-Sicherheitsstrukturen und kontinuierliche Überwachungskapazitäten nachweisen können. Innerhalb der UBS Security Equity Strategy bevorzugen wir Firmen, die auf diesen Gebieten führend sind, um KI-bezogene Sicherheitsbedrohungen zu begegnen.

Dies stellt keine Garantie seitens UBS Asset Management dar. Anlagen in Aktien unterliegen Marktschwankungen und bergen Risiken, darunter der mögliche Verlust des investierten Kapitals. Die Aktienmärkte können volatil sein, vor allem kurzfristig.

1 Cloudflare (2026): What is AI data poisoning?, cloudflare.com/learning/ai/data-poisoning/
2 Lakera (2026): Introduction to Data Poisoning: A 2026 Perspective, lakera.ai/blog/training-data-poisoning Ein breiter gefasstes Bild der Angriffslandschaft zeichnet Lakera (2026) mit diesem umfassenden Überblick lakera.ai/ai-security-guides/introduction-to-ai-security-pdf
3 0din.ai (2025): Poison in the pipeline: Liberating models with Basilisk Venom, 0din.ai/blog/poison-in-the-pipeline-liberating-models-with-basilisk-venom
4 Kyle Balmer on X (2025), x.com/iamkylebalmer/status/1970443790134423679
5 TTMS (2026): Training Data Poisoning: The Invisible Cyber Threat of 2026, ttms.com/training-data-poisoning-the-invisible-cyber-threat-of-2026/#5.1-financial-fraud-facilitation
6 Techradar (2026): Road markers are a new target for hackers, techradar.com/pro/not-even-road-markers-are-safe-from-hackers-experts-find-that-self-driving-cars-and-autonomous-drones-can-be-hacked-by-reading-malicious-instructions-written-on-road-signs
7 Abtahi et al (2026): Data Poisoning Vulnerabilities Across Healthcare AI Architectures: A Security Threat Analysis, Journal of Medical Internet Research, jmir.org/2026/1/e87969
8 Crowdstrike (2024): Data poisoning: The exploitation of generative AI, crowdstrike.com/en-us/cybersecurity-101/cyberattacks/data-poisoning/

S-04/26 M-004488

Weiterführende Einblicke

Wir helfen Ihnen gerne weiter

  • Kontaktieren Sie uns

    Bei allgemeinen Anfragen an UBS Asset Management tragen Sie bitte Ihre Angaben in ein Formular ein. Wir melden uns dann wieder bei Ihnen.

    Unser Führungsteam

    Unser globales Führungsteam ist hoch kompetent, vielfältig und unserem Ethos, eine exzellente Anlagenperformance zu erzielen, verpflichtet.

    Das Team kennenlernen

    Finden Sie Ihren lokalen UBS-Standort

    Als Ihr hoch qualifizierter globaler Partner sind wir Ihnen näher als Sie denken. Entdecken Sie die UBS-Standorte in Ihrer Region.

    UBS-Standorte

Haben Sie nicht gefunden, wonach Sie gesucht haben?

Alle Anlagen
Unsere Fonds
Alle Insights