Datenschutz-Blog der SDG

Informationssicherheit und AI-Slop

03. Juli 2026 von Robin Hensel

Geschätzte Lesezeit: 5-6 Minuten.

Generische Inhalte fluten das Netz, Trainingsdaten werden zur Zielscheibe strategischer Manipulation. Ein Blick darauf, warum Informationssicherheit heute auch das Web betrifft.

Beim Scrollen durch Social Media, Online-Shops oder Nachrichtenportale begegnen wir zunehmend Inhalten, die formal korrekt, oft gut strukturiert und mitunter sogar ansprechend gestaltet sind.

Und trotzdem hinterlassen sie keinen bleibenden Eindruck. Willkommen im Zeitalter von „AI-Slop".



1. Was ist AI-Slop?

Der Begriff bezeichnet massenhaft produzierte, qualitativ minderwertige oder inhaltsleere Inhalte, die mithilfe generativer KI entstehen. Typische Erscheinungsformen:

  • Artikel ohne echte Expertise
  • Automatisierte Produktbewertungen
  • Social-Media-Posts ohne Persönlichkeit

Die Ursache ist strukturell: Plattform-Algorithmen belohnen Häufigkeit und Aktualität. Das ist zunächst ein Content-Problem. Interessant wird es, wenn diese Dynamik auf die Wissensbasis von KI-Systemen selbst zurückwirkt.



2. Data Poisoning: Der sicherheitsrelevante Kern

Während AI-Slop primär ein Qualitätsproblem darstellt, ist Data Poisoning unmittelbar sicherheitsrelevant. Dabei werden Trainingsdaten absichtlich manipuliert, um Modelle zu verzerren, bestimmte Inhalte zu bevorzugen oder Fehlinformationen einzuschleusen, also ein klassischer Angriff auf die Integrität eines Systems.


Angriff auf die Datenintegrität

In der Informationssicherheit orientieren wir uns an der CIA-Triade - Vertraulichkeit (Confidentiality), Integrität (Integrity), Verfügbarkeit (Availability). Data Poisoning bedroht primär die Integrität. Ein manipuliertes Modell kann dabei gezielt beeinflusst werden. Bestimmte Trigger können dazu führen, dass ein System bewusst falsche Ergebnisse liefert oder sogar geheime bzw. sensible Informationen offenbart.

Sie glauben vielleicht, das betrifft Sie nicht. Doch fragen Sie mal eine chinesische KI (z.B. DeepSeek, GLM, Qwen, MiMo) nach dem Tian'anmen-Massaker. Dies ist der Klassiker an politischer Zensur, den jeder, zumindest von den Bildern her, kennt. Diese Zensur setzt sich in chinesischen KI-Modellen fort. Sie blockiert oder relativiert und verliert damit gegenüber dem Nutzer an Vertrauenswürdigkeit.

Die entscheidende Frage lautet: Wird es bei solch offensichtlichen Fällen bleiben, oder betrifft dieses Prinzip künftig auch subtilere, wirtschaftlich oder politisch relevante Themen?


Supply-Chain-Risiko

Hieraus wird das Supply-Chain-Risiko deutlich. Nutzen Unternehmen etwa vortrainierte Modelle oder offene Datensätze, können diese bereits kompromittiert sein. Damit wird die Frage nach Herkunft und Kuratierung von Trainingsdaten zu einem eigenständigen AI-Supply-Chain-Problem, vergleichbar mit der Frage, wem man in der klassischen Software-Lieferkette vertraut.



3. Vom SEO-Trick zum Sicherheitsrisiko: Eine Beobachtung aus der Praxis

Genau dieser Mechanismus, wo die KI übernimmt, was im Web sichtbar ist, lässt sich in einem konkreten Fall zeigen.

Ein Softwareentwickler stellte bei seinem Tool ein ungewöhnliches Nutzerwachstum fest. Zunächst nahm er es einfach hin, schließlich war er von seinem Tool überzeugt. Als die Nutzerzahlen parabolisch auf über 130 % stiegen, wurde er neugierig. Er fragte ChatGPT, wie dies sein kann.

Einen Chatverlauf später kam die Antwort: ChatGPT hatte seinen eigenen Blogbeitrag aufgegriffen, in dem er sein Tool als Alternative zu einer bekannten Lösung positioniert hatte. Der Anwendungsfall lag in einer kleinen Nische mit wenig Konkurrenz und wenig Traffic. Ein einzelner Artikel reichte hier aus, um zur bevorzugten Empfehlung zu werden.

Dem Entwickler sei der Erfolg gegönnt, doch die entscheidende Frage bleibt:

Wenn eine KI auf Basis eines einzelnen Blogbeitrags Software empfiehlt – was passiert, wenn diese Software gar kein sicheres Tool ist?

Denn genau dieser Mechanismus lässt sich missbrauchen. Wenn ein einzelner, gut platzierter Beitrag ausreicht, um von einer KI übernommen zu werden, benötigt ein Angreifer keinen Systemzugriff oder Exploit.

Es reicht eine SEO-optimierte Seite und etwas Geduld. Eine gefälschte Vergleichsseite oder ein präparierter Fachartikel kann so zur Empfehlungsgrundlage für ein Tool werden, das in Wirklichkeit Malware, eine Backdoor oder Spyware enthält.

Die KI empfiehlt dann nicht mehr nur ein Nischentool, sondern empfiehlt eine Bedrohung, verpackt als scheinbar objektive Antwort, die seltener hinterfragt wird als eine klassische Werbeanzeige.



4. AI-Slop als Nährboden

Wird das Internet zusätzlich mit generischen oder manipulativen Inhalten überflutet, erhöht das das Rauschen im System. Faktenprüfung wird schwieriger, die Angriffsfläche für gezielte Desinformation wächst.

Angreifer können diese Dynamik gezielt nutzen, um Narrative zu verstärken, Suchergebnisse zu dominieren oder Modelle über spätere Trainingsläufe zu beeinflussen. Werden Sprachmodelle kontinuierlich mit aktuellen Webdaten nachtrainiert, lässt sich AI-Slop einsetzen, um:

  • Begriffe mit falschen Kontexten zu verknüpfen
  • Positionen subtil zu normalisieren
  • Marken systematisch falsch darzustellen

Dies ist keine kurzfristige Störung, sondern eine akute Gefahr durch langfristige strategische Manipulation.



5. Vom Ranking zum Training: Die neue Gatekeeper-Ebene

Mit KI-gestützten Suchassistenten und Browsern verschiebt sich die Dynamik weiter. Statt zehn blauer Links erhalten Nutzer eine zusammengefasste Antwort, eine kuratierte Empfehlung, eine direkt generierte Einschätzung. Weniger Klicks auf Originalquellen, mehr Gewicht auf das Trainingsmaterial selbst, höhere Bedeutung der Datenqualität.

Zielte SEO früher primär auf Menschen, zielt es künftig zunehmend auch auf Maschinen. Man könnte von „AI-SEO" sprechen: Inhalte werden nicht mehr nur für Google optimiert, sondern für Sprachmodelle, was sie als Angriffsvektor interessant macht.



6. Prompt Injection: Wenn Webinhalte zur Waffe werden

Ein zusätzliches Risiko sind versteckte Anweisungen in Webinhalten, die gezielt auf die Beeinflussung von KI-Systemen abzielen – etwa unsichtbarer Text im HTML, in Metadaten versteckte Prompt-Anweisungen oder in Bildern eingebetteter Code. Menschen sehen diese Inhalte nicht. KI-Systeme verarbeiten sie.

Das ist eine Form von Prompt Injection und indirektem Data Poisoning zugleich. Lesen KI-Browser Webseiten automatisch aus und fassen sie zusammen, können manipulierte Inhalte Empfehlungen verzerren, Produkte bevorzugen oder Fehlinformationen einschleusen.


Datenexfiltration durch Kontextverarbeitung

Kritischer wird es, wenn KI-Assistenten weiterreichenden Zugriff besitzen – etwa auf mehrere offene Tabs, E-Mails, Dokumente oder interne Daten (Stichwort: Microsoft 365 Copilot). Eine manipulierte Webseite könnte versuchen, indirekt Anweisungen einzuschleusen, die das System dazu bringen, Informationen aus anderen geöffneten Quellen zu verarbeiten und offenzulegen. KI-Systeme interpretieren Text als Handlungsgrundlage, und Text lässt sich manipulieren.


Unterschied zu klassischer IT-Sicherheit

Das ist keine klassische Sicherheitslücke wie eine SQL-Injection, Browser-Hijacking oder ein Drive-by-Download mit Malware. Es ist eine semantische Angriffstechnik: Das System funktioniert nicht nur technisch einwandfrei, es macht genau was es soll. Nur macht es durch die kleine Manipulation eben das, was der Angreifer will. Genau das macht diese Angriffsform schwer erkennbar.


Warum das strategisch relevant ist

KI verändert das Machtgefüge im Web, sei es durch KI-Browser oder den Wandel von Google zu einer KI-Suchmaschine. Früher klickten, lasen und bewerteten Nutzer selbst, teilweise bis Seite 5 der Google-Ergebnisliste.

Heute liest, filtert und bewertet die KI und präsentiert ein Ergebnis. Ist diese Filterebene manipulierbar, verschiebt sich die Angriffsfläche von der Infrastruktur zur Interpretation. Die Sicherheit generativer Systeme entscheidet sich damit nicht mehr nur im Rechenzentrum, sondern im offenen Web.



Fazit

Der Kernpunkt ist nicht, dass KI-Systeme fehlerhaft oder böswillig sind. Sondern dass sie zunehmend aus einem Internet lernen, das sich mit einfachen Mitteln wie SEO, gezielten Beiträgen oder versteckten Anweisungen gezielt beeinflussen lässt.

AI-Slop, SEO und Data Poisoning sind keine isolierten Phänomene. Sie sind unterschiedliche Ausdrucksformen desselben Grundproblems: Sichtbarkeit im Web lässt sich erzeugen, und KI übernimmt diese Sichtbarkeit oft ungeprüft als Empfehlung.

Für Unternehmen heißt das: Informationssicherheit endet nicht am Server. Sie beginnt bei der Frage, welchen Inhalten, Quellen und Trainingsdaten ein KI-System überhaupt vertrauen darf.


FAQ

Was ist Data Poisoning?

Data Poisoning bezeichnet die absichtliche Manipulation von Trainingsdaten, um KI-Modelle zu verzerren, bestimmte Inhalte zu bevorzugen oder Fehlinformationen einzuschleusen. Es ist ein klassischer Angriff auf die Integrität eines Systems.


Was ist Prompt Injection?

Prompt Injection bezeichnet versteckte Anweisungen in Webinhalten – etwa unsichtbarer Text im HTML, in Metadaten versteckte Anweisungen oder in Bildern eingebetteter Code – die gezielt auf die Beeinflussung von KI-Systemen abzielen. Menschen sehen diese Inhalte nicht. KI-Systeme verarbeiten sie.


Was ist das AI-Supply-Chain-Risiko?

Nutzen Unternehmen vortrainierte Modelle oder offene Datensätze, können diese bereits kompromittiert sein. Die Frage nach Herkunft und Kuratierung von Trainingsdaten wird damit zu einem eigenständigen AI-Supply-Chain-Problem – vergleichbar mit der Frage, wem man in der klassischen Software-Lieferkette vertraut.


Was unterscheidet eine semantische Angriffstechnik von klassischen IT-Sicherheitslücken?

Bei einer semantischen Angriffstechnik funktioniert das System technisch einwandfrei – es macht genau, was es soll. Durch gezielte Manipulation tut es aber das, was der Angreifer will. Das ist kein Fehler im System, sondern eine Beeinflussung seiner Interpretation. Genau das macht diese Angriffsform schwer erkennbar.