16.1Fortgeschritten7 min

OWASP LLM Top 10 (2025) erklärt: Die zehn Sicherheitsrisiken für LLM-Anwendungen

Blck Alpaca·9. Juni 2026

Definition

Die OWASP LLM Top 10 (2025) sind die zehn gravierendsten Sicherheitsrisiken für Anwendungen mit großen Sprachmodellen, herausgegeben vom OWASP GenAI Security Project. Sie reichen von Prompt Injection über Sensitive Information Disclosure bis Unbounded Consumption und bilden die Referenz für die Absicherung von LLM- und KI-Agenten-Systemen.

Auf einen Blick

✓Die OWASP LLM Top 10 (2025) wurden vom OWASP GenAI Security Project veröffentlicht und lösen die Liste von 2023/24 ab; sie gelten für jede GenAI-Anwendung vom Chatbot über RAG bis zum KI-Agenten.
✓LLM01 Prompt Injection ist das folgenschwerste Einzelrisiko; der erste reale Zero-Click-Fall war EchoLeak (CVE-2025-32711, CVSS 9.3) in Microsoft 365 Copilot, im Juni 2025 von Aim Labs offengelegt.
✓Drei Einträge sind 2025 neu oder stark erweitert: LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses sowie LLM10 Unbounded Consumption (Denial-of-Wallet).
✓LLM06 Excessive Agency ist die konzeptionelle Brücke zur Agenten-Sicherheit: Es liegt direkt vor mehreren Agenten-Risiken der OWASP Agentic Top 10 (2026).
✓Wer KI-Agenten betreibt, deckt mit den LLM Top 10 nur die Basis ab. Autonomie, Tool-Nutzung und persistenter Speicher erweitern die Angriffsfläche und erfordern zusätzlich die OWASP Agentic Top 10 (ASI01–ASI10).
✓Guardrails sind kein Allheilmittel: EchoLeak umging Microsofts XPIA-Klassifikator. Wirksamer Schutz braucht mehrschichtige Verteidigung aus Input-Filter, Scope-Enforcement, Output-Filter und Verhaltens-Monitoring.

Die OWASP LLM Top 10 (2025) sind die zehn gravierendsten Sicherheitsrisiken für Anwendungen mit großen Sprachmodellen, herausgegeben vom OWASP GenAI Security Project. Sie reichen von Prompt Injection über Sensitive Information Disclosure bis Unbounded Consumption und bilden die Referenz, an der DACH-Sicherheitsteams jede LLM- und KI-Agenten-Architektur messen sollten.

Was ist es? Die meistgenutzte Konsens-Liste der schwerwiegendsten LLM-Sicherheitsrisiken, gültig für Chatbots, RAG-Systeme, Copilots und Agenten.
Wer steht dahinter? Das OWASP GenAI Security Project (vormals OWASP Top 10 for LLM Applications, Projekt-Heimat genai.owasp.org). Die Edition 2025 löst die Liste von 2023/24 ab.
Warum jetzt relevant? Wer KI-Agenten einsetzt, deckt damit nur die Basis ab. Für autonome, tool-nutzende Systeme gibt es seit 9. Dezember 2025 zusätzlich die OWASP Agentic Top 10 (ASI01–ASI10).

Einordnung: Welche OWASP-Liste ist welche?

OWASP publiziert mittlerweile eine ganze Familie überlappender KI-Sicherheits-Artefakte, die Beschaffung, Audit und Risiko-Teams in der Praxis regelmäßig verwechseln. Für DACH-B2B-Entscheider ist die Abgrenzung entscheidend:

OWASP Top 10 for Large Language Model Applications 2025 (LLM01:2025 – LLM10:2025): Die hier behandelte Liste. Sie adressiert Risiken auf Modell- und Anwendungsebene in jeder GenAI-/LLM-Anwendung. Es ist die Referenz, die die meisten DACH-Sicherheitsteams bereits kennen.
OWASP Top 10 for Agentic Applications 2026 (ASI01 – ASI10): Vom selben Projekt am 9. Dezember 2025 veröffentlicht, entwickelt unter der Agentic Security Initiative. Adressiert Risiken aus Autonomie, Tool-Integration und Multi-Agenten-Koordination.
OWASP AI Exchange, AI Security and Privacy Guide, MCP Top 10, AIVSS: Ergänzende Bausteine (Wissensbasis, Protokoll-Ebene, Scoring-System), die die Top-10-Listen flankieren, aber nicht ersetzen.

Wichtig: Die LLM Top 10 setzen auf klassischen Application-Security-Standards wie OWASP ASVS und der API Security Top 10 auf, nicht an deren Stelle. Eine LLM-Anwendung braucht weiterhin Authentifizierung, Session-Management, Eingabevalidierung und Krypto-Hygiene. Die Versuchung, KI-Sicherheit als eigenes Silo zu behandeln, ist einer der häufigsten konzeptionellen Fehler.

Die zehn Risiken im Überblick

Die folgende Tabelle fasst alle zehn Einträge mit Kurzbeschreibung und zentraler Gegenmaßnahme zusammen.

Risiko (2025)	Kurzbeschreibung	Gegenmaßnahme
LLM01 Prompt Injection	Direkte und indirekte Einschleusung von Anweisungen in die LLM-Eingabe, die das beabsichtigte Verhalten überschreiben. Das folgenschwerste Einzelrisiko.	Externe Inhalte als nicht vertrauenswürdig behandeln, Trennung von Instruktions- und Datenkanal, Input-/Output-Filter, Provenance-basierte Zugriffskontrolle.
LLM02 Sensitive Information Disclosure	Preisgabe von PII, geistigem Eigentum, Geschäftsgeheimnissen, System-Prompts und Embeddings in LLM-Ausgaben; umfasst PII-Inversion und Embedding-Extraktion.	Datenbereinigung, Output-Filtering, DLP-Integration.
LLM03 Supply Chain	Kompromittierung von Basis-Modellen, feinjustierten Gewichten, Trainingsdaten, Modell-Registries und Abhängigkeiten. Statisch, also zur Build-Zeit.	Abhängigkeiten pinnen, Provenienz-Prüfung, Scanning vor Deployment, SBOM/AIBOM.
LLM04 Data and Model Poisoning	Manipulierte Trainings-, Fine-Tuning- oder RAG-Daten, die das Modell verzerren oder hinterlegte Backdoors einbauen; inklusive backdoored Open-Source-Modelle.	Datenqualität und -herkunft prüfen, Quellen-Vertrauensbewertung, Validierung vor Einbettung.
LLM05 Improper Output Handling	Nachgelagerte Systeme behandeln LLM-Ausgabe als vertrauenswürdige Eingabe; XSS, SQLi, SSRF, Command Injection über die Modellausgabe.	Output strikt validieren und kodieren, Output niemals ungeprüft als Code/Query ausführen.
LLM06 Excessive Agency	LLMs erhalten unkontrollierte Handlungsmacht bei unzureichender Rechte-Begrenzung oder menschlicher Aufsicht. 2025 für Agenten-Architekturen erweitert.	Least-Privilege je Tool, explizite Berechtigungsscopes, Human-in-the-Loop für kritische Aktionen.
LLM07 System Prompt Leakage	System-Prompt-Inhalte, die als privat galten, werden über Probing offengelegt.	Keine Geheimnisse im System-Prompt speichern; Sicherheit nicht auf Prompt-Vertraulichkeit gründen.
LLM08 Vector and Embedding Weaknesses	RAG-spezifisch: Einschleusung schädlicher Daten in Vektorspeicher, Embedding-Poisoning, mandantenübergreifende Embedding-Lecks. Neu 2025.	Vektorspeicher-Zugriffskontrollen, Mandanten-Isolation, Inhaltsvalidierung vor Embedding.
LLM09 Misinformation	Selbstbewusst formulierte Falschinhalte aus Halluzinationen oder verzerrten Trainingsdaten.	Erdung über vertrauenswürdige Quellen, Faktenprüfung, Kennzeichnung von Unsicherheit.
LLM10 Unbounded Consumption	Ressourcen- und Kostenerschöpfung (Denial-of-Wallet). 2025 aus dem DoS-Eintrag von 2023 erweitert.	Harte Kosten-Caps mit Circuit-Breakern, Rate-Limits pro Nutzer/Mandant/Agent, Token-Anomalie-Erkennung.

Drei Einträge sind 2025 neu oder stark verändert

Gegenüber der Vorgängerliste hat OWASP die 2025er-Edition spürbar an aktuelle Architekturen angepasst. Drei Punkte verdienen besondere Aufmerksamkeit:

LLM07 System Prompt Leakage ist als eigener Eintrag aufgenommen worden, weil reale Exploits zeigten, dass vermeintlich private System-Prompts über gezieltes Probing extrahierbar sind. Die Lehre: Der System-Prompt ist kein Tresor. Geheimnisse, Zugangsdaten oder Sicherheitslogik gehören nicht hinein.
LLM08 Vector and Embedding Weaknesses ist neu und trägt dem RAG-Boom Rechnung. Schädliche Daten in Vektorspeichern, Embedding-Poisoning und mandantenübergreifende Embedding-Lecks sind reale Risiken, sobald mehrere Kunden denselben Vektorindex teilen.
LLM10 Unbounded Consumption erweitert den alten Denial-of-Service-Punkt um die Kostendimension (Denial-of-Wallet). Bei Agenten ist die Verstärkung besonders kritisch, weil mehrstufige Pläne den Token-Verbrauch vervielfachen.

Der Bezug zu KI-Agenten: LLM06 als Brücke

Für Agenturen und B2B-Entscheider ist die wichtigste konzeptionelle Erkenntnis: Die LLM Top 10 wurden für Systeme geschrieben, die im Kern antworten. Ein Prompt kommt rein, eine Completion geht raus, eventuell geerdet durch RAG. Agentische Systeme dagegen planen, schlussfolgern, wählen Tools, schreiben in Speicher und handeln mit minimaler menschlicher Freigabe pro Schritt.

OWASP formuliert es so (sinngemäß, Sotiropoulos et al., 9. Dezember 2025): Agentische Systeme erben sämtliche LLM-Risiken und führen ganz neue Schwachstellenklassen aus Autonomie, Tool-Integration, Multi-Agenten-Koordination und persistentem Zustand ein. Die Brücke zwischen beiden Welten ist LLM06 Excessive Agency, das 2025 explizit für agentische Architekturen erweitert wurde und direkt vor mehreren Agenten-Risiken (ASI02, ASI03, ASI10) liegt.

Das Open-Source-Red-Teaming-Framework DeepTeam, das beide Listen abbildet, beschreibt den Verstärkungseffekt prägnant: ASI01 (Agent Goal Hijack) entspricht LLM01 (Prompt Injection) mal LLM06 (Excessive Agency), aber mit mehrstufiger Ausführung, die den Schaden über eine einzelne Antwort hinaus vergrößert. Drei agentische Risiken (ASI07 Insecure Inter-Agent Communication, ASI08 Cascading Failures, ASI10 Rogue Agents) haben überhaupt keine LLM-Top-10-Entsprechung. Wer also nur die LLM Top 10 liest, unterschätzt agentisches Risiko systematisch.

Konkretes Beispiel: EchoLeak (CVE-2025-32711)

Wie weit Prompt Injection in produktiven Systemen reicht, zeigt EchoLeak, der erste real dokumentierte Zero-Click-Fall in einem produktiven LLM-System. Im Juni 2025 legte Aim Labs die Schwachstelle in Microsoft 365 Copilot offen (CVE-2025-32711, CVSS 9.3, dokumentiert in arXiv 2509.10540, Reddy et al., September 2025).

Der Ablauf in Pseudoschritten:

```

Angreifer sendet eine einzige präparierte E-Mail an das Opfer.
Die versteckten Anweisungen umgehen Microsofts XPIA-Klassifikator
(Cross-Prompt Injection Attempt).
Link-Redaktion wird über Reference-Style-Markdown ausgehebelt.
Auto-geladene Bilder + ein per CSP erlaubter Microsoft-Teams-Proxy
exfiltrieren den sensibelsten Inhalt aus dem Copilot-Kontext.
Kein einziger Klick des Nutzers nötig (Zero-Click).
```

Aim Labs prägte dafür den Begriff LLM Scope Violation. Microsoft patchte serverseitig ohne Zutun der Kunden. Die zentrale Lehre für DACH-Risikokomitees: Selbst ein etablierter Anbieter-Klassifikator (XPIA) wurde umgangen. Im Schwesterfall CamoLeak (GitHub Copilot Chat, CVSS 9.6, offengelegt im Oktober 2025 von Omer Mayraz/Legit Security nach einer HackerOne-Meldung im Juni 2025) wurde der CSP-Schutz über GitHubs eigenen Camo-Bildproxy ausgehebelt, um private Repository-Geheimnisse Zeichen für Zeichen abzuziehen; GitHub deaktivierte daraufhin am 14. August 2025 das Bild-Rendering in Copilot Chat vollständig.

Guardrails sind damit kein Allheilmittel. Jede bislang veröffentlichte Leitplanke wurde von kompetenten Forschenden innerhalb von Monaten nach Release umgangen. Wirksamer Schutz erfordert mehrschichtige Verteidigung: Input-seitiger Filter plus Scope-/Provenance-Enforcement plus Output-seitiger Filter plus Verhaltens-Monitoring. Anbieter-Aussagen wie unsere Leitplanke blockiert 99,x Prozent der Prompt Injections sind als Marketing zu behandeln, bis ein unabhängiges Red-Team sie verifiziert hat.

Detektion und Verteidigung in der Praxis

Defense-in-Depth bedeutet für LLM-Anwendungen konkret:

Eingangsseitig: Externe Inhalte (Dokumente, E-Mails, RAG-Korpus, Webseiten, Tool-Ausgaben) grundsätzlich als nicht vertrauenswürdig behandeln. Instruktions- und Datenkanal trennen. Input-Filter wie Llama Guard, Microsoft Prompt Shield, NVIDIA NeMo Guardrails oder Lakera Guard einsetzen (Stand 2026).
Laufzeit: Provenance-basierte Zugriffskontrolle, sodass als extern markierter Inhalt keinen privilegierten Datenzugriff auslösen kann. Markdown-Rendering einschränken, Auto-Fetch von Bildern unterbinden.
Ausgangsseitig: Output gegen erwartete Muster prüfen und niemals ungeprüft als Code, SQL oder HTML in nachgelagerten Systemen ausführen (LLM05).
Betrieb: Kontinuierliches Red-Teaming mit Garak, PyRIT oder DeepTeam. Harte Kosten-Caps und Rate-Limits gegen Unbounded Consumption. Vollständiges forensisches Logging.

Eine ehrliche Einordnung gehört dazu: Leitplanken erzeugen Latenz (typischerweise 100 bis 500 Millisekunden pro Regel im Produktivbetrieb) und Kosten (jede Regel ist ein weiterer Inferenz-Aufruf). In mehrsprachigen DACH-Kontexten (DE/FR/IT/EN gemischt) sind die Falsch-Positiv-Raten weiterhin hoch.

Für Agenturen und B2B

Marketing-Agenturen und DACH-Mittelstand setzen zunehmend LLM-gestützte Copilots, RAG-Assistenten und erste Agenten produktiv ein, oft als zugekaufte SaaS-Funktion in Microsoft 365 Copilot, ChatGPT Enterprise, Claude for Work oder Gemini for Workspace (Stand 2026). Genau hier sind LLM01 (indirekte Injection über Inhalte), LLM02 (Datenpreisgabe in Zusammenfassungen) und LLM06 (zu breite Tool-Rechte) die realistische Angriffsfläche.

Drei Hinweise für Beschaffung und Governance: Erstens ist OWASP-konform keine belastbare Aussage, da OWASP Leitlinien und keine Zertifizierungen publiziert. Zweitens sollte jede relevante Anbieter-Leitplanke auf die schärfste Stufe gestellt und Anbieter-Logs in ein SIEM exportiert werden. Drittens gilt: Wer Agenten plant, muss zusätzlich zur LLM Top 10 die OWASP Agentic Top 10 lesen, sonst bleibt das Risikomodell unvollständig. Blck Alpaca aus Wien unterstützt bei der Einordnung dieser Risiken in EU-AI-Act-, DSGVO- und ISO-42001-Kontexte und bei der Auswahl passender Schutzschichten. Die OWASP-Listen werden mindestens jährlich aktualisiert; genai.owasp.org gehört als Lesezeichen in jeden Risikoprozess.

Häufig gestellte Fragen

Was sind die OWASP LLM Top 10 (2025)?

Die OWASP LLM Top 10 (2025) sind eine vom OWASP GenAI Security Project herausgegebene Liste der zehn schwerwiegendsten Sicherheitsrisiken für Anwendungen mit großen Sprachmodellen. Sie umfasst LLM01 Prompt Injection, LLM02 Sensitive Information Disclosure, LLM03 Supply Chain, LLM04 Data and Model Poisoning, LLM05 Improper Output Handling, LLM06 Excessive Agency, LLM07 System Prompt Leakage, LLM08 Vector and Embedding Weaknesses, LLM09 Misinformation und LLM10 Unbounded Consumption. Die Edition 2025 löst die Liste von 2023/24 ab.

Worin unterscheiden sich die OWASP LLM Top 10 von den OWASP Agentic Top 10?

Die LLM Top 10 (2025) beschreiben Risiken von Systemen, die primär antworten: Prompt rein, Completion raus, gegebenenfalls per RAG geerdet. Die OWASP Agentic Top 10 (2026, ASI01–ASI10), am 9. Dezember 2025 veröffentlicht, adressieren Systeme, die planen, Tools wählen, in Speicher schreiben und handeln. Agenten erben alle LLM-Risiken und ergänzen neue Klassen aus Autonomie, Tool-Integration, Multi-Agenten-Koordination und persistentem Zustand. Drei Agenten-Risiken (ASI07, ASI08, ASI10) haben keine LLM-Entsprechung.

Was ist der Unterschied zwischen LLM01 Prompt Injection und Jailbreak?

Prompt Injection bedeutet, dass eingeschleuste Anweisungen das beabsichtigte Verhalten eines LLM überschreiben oder unterwandern. Man unterscheidet direkte Injection (im Nutzereingabefeld) und indirekte Injection über Dokumente, RAG-Korpus, Webseiten, E-Mails oder Tool-Ausgaben. Ein Jailbreak ist eine spezielle Form, die Sicherheits- und Richtlinien-Leitplanken des Modells aushebelt. Im MITRE-ATLAS-Rahmen sind beide getrennt geführt: AML.T0051 (Prompt Injection) und AML.T0054 (Jailbreak).

Ist eine LLM-Anwendung mit den OWASP LLM Top 10 vollständig abgesichert?

Nein. Die LLM Top 10 bauen auf klassischen Application-Security-Standards wie OWASP ASVS und API Security Top 10 auf, ersetzen sie aber nicht. Eine LLM-Anwendung braucht weiterhin Authentifizierung, Session-Management, Eingabevalidierung und Krypto-Hygiene. Zudem ist OWASP-konform keine belastbare Zertifizierungsaussage: OWASP veröffentlicht Leitlinien, keine Zertifizierungen. Ein Anbieter kann OWASP-Empfehlungen umsetzen, aber nicht OWASP-zertifiziert sein.

Was bedeutet LLM10 Unbounded Consumption?

LLM10 Unbounded Consumption beschreibt Angriffe auf Ressourcen und Kosten, oft als Denial-of-Wallet bezeichnet. Der Eintrag wurde 2025 aus dem früheren Denial-of-Service-Punkt von 2023 erweitert. Bei Agenten ist die Kostenverstärkung besonders gravierend, weil mehrstufige Pläne den Token-Verbrauch vervielfachen. Gegenmaßnahmen sind harte Kosten-Caps mit Circuit-Breakern, Rate-Limits pro Nutzer, Mandant und Agent sowie Anomalie-Erkennung auf Token-Zeitreihen.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnieren →Unsere Services

NächsterOWASP Agentic Security (ASI) Top 10 (2026): Die Risiken agentischer KI-Systeme →