{"id":5636,"date":"2025-11-03T10:43:18","date_gmt":"2025-11-03T10:43:18","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=5636"},"modified":"2025-11-03T10:43:18","modified_gmt":"2025-11-03T10:43:18","slug":"anthropic-claude-unternehmensdaten-gefahrdet","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=5636","title":{"rendered":"Anthropic Claude \u2013 Unternehmensdaten gef\u00e4hrdet"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">Ein aktueller Report zeigt, wie sich \u00fcber Anthropic Claude sensible Daten extrahieren lassen.\n<p class=\"imageCredit\">Photo Agency | shutterstock.com<\/p>\n<\/div>\n<p>Eine k\u00fcrzlich bekannt gewordene Schwachstelle im KI-Assistenten Claude von Anthropic k\u00f6nnte von Angreifern ausgenutzt werden, um heimlich Unternehmensdaten zu exfiltrieren. Dabei lassen sich auch Sicherheitskonfigurationen umgehen, die solche Attacken eigentlich verhindern sollen. <\/p>\n<p>Wie sich das mithilfe indirekter <a href=\"https:\/\/www.csoonline.com\/article\/4037404\/so-verwundbar-sind-ki-agenten.html\" target=\"_blank\" rel=\"noopener\">Prompt-Injection-Techniken<\/a> und Claudes Code Interpreter bewerkstelligen l\u00e4sst, demonstriert der Security-Forscher Johann Rehberger in <a href=\"https:\/\/embracethered.com\/blog\/posts\/2025\/claude-abusing-network-access-and-anthropic-api-for-data-exfiltration\/\" target=\"_blank\" rel=\"noopener\">einem ausf\u00fchrlichen Blogbeitrag<\/a>. Im Ergebnis war es dem Experten so m\u00f6glich, auf sensible Informationen zuzugreifen, beispielsweise Chat-Verl\u00e4ufe und hochgeladene Dokumente. Besonders fies: Bei der Attacke wird Claudes eigene API-Infrastruktur ausgenutzt, um gestohlene Daten direkt an Konten weiterzuleiten, die unter der Kontrolle der Angreifer stehen.<\/p>\n<p>Die Wurzel des \u00dcbels liegt dabei offenbar in den Netzwerkzugriffskontrollen von Anthropic Claude: Die Standardeinstellung &#8220;Package managers only&#8221; beschr\u00e4nkt ausgehende Verbindungen zwar auf zugelassene Domains wie <a href=\"https:\/\/www.computerwoche.de\/article\/4061689\/npm-und-die-sicherheit-der-open-source-lieferkette.html\" target=\"_blank\" rel=\"noopener\">npm<\/a> oder PyPI. Allerdings geh\u00f6rt dazu auch api.anthropic.com \u2013 der Endpunkt, den Angreifer ausnutzen k\u00f6nnten, um Daten zu stehlen.<\/p>\n<h1 class=\"wp-block-heading\">So funktioniert der Claude-Exploit<\/h1>\n<p>Die von Rehberger orchestrierte Angriffskette beruht auf indirekter Prompt Injection. Dabei werden schadhafte Anweisungen in Dokumenten, Webseiten und anderem Content versteckt, der von Claude auf Nutzeranweisung analysiert wird. Einmal getriggert, setzt sich laut dem Sicherheitsforscher folgender Prozess in Gang:<\/p>\n<p>Claude ruft sensible Daten ab \u2013 beispielsweise den aktuellen Konversationsverlauf \u2013 und schreibt diesen in eine Datei in der Code-Interpreter-Sandbox.<\/p>\n<p>Der b\u00f6sartige Payload sorgt dann daf\u00fcr, dass Claude Python-Code ausf\u00fchrt, der die Datei in die Files-API von Anthropic hochl\u00e4dt \u2013 allerdings mit einer entscheidenden Besonderheit: Der Upload erfolgt nicht mit dem API-Schl\u00fcssel des Opfers, sondern mit dem des Angreifers.<\/p>\n<p>Laut der <a href=\"https:\/\/support.claude.com\/en\/articles\/12111783-create-and-edit-files-with-claude#h_27fc9da35e\" target=\"_blank\" rel=\"noopener\">API-Dokumentation von Anthropic<\/a> erm\u00f6glicht diese Technik, bis zu 30 MB pro Datei zu extrahieren \u2013 wobei die Anzahl der Dateien, die hochgeladen werden k\u00f6nnen, unbegrenzt ist.<\/p>\n<div class=\"wp-block-embed__wrapper youtube-video\">\n<\/div>\n<p>Wie Rehberger in seinem Bericht feststellt, sei es aufgrund der von Anthropic integrierten Sicherheitsma\u00dfnahmen durchaus eine Herausforderung gewesen, einen zuverl\u00e4ssigen <a href=\"https:\/\/www.csoonline.com\/article\/4081836\/atlas-browser-exploit-ermoglicht-angriff-auf-chatgpt-speicher.html\" target=\"_blank\" rel=\"noopener\">Exploit<\/a> zu entwickeln. \u201cIch habe Tricks wie XOR- und Base64-Kodierung ausprobiert. Nichts davon hat zuverl\u00e4ssig funktioniert. Dann habe ich aber einen Weg gefunden, die Kontrollma\u00dfnahmen zu umgehen. Ich habe den Schadcode einfach in einer Menge harmlosen Codes versteckt \u2013 etwa print (hello world)\u201c, schreibt der Security-Profi. Das habe gereicht, um Claude davon zu \u00fcberzeugen, dass alles mit rechten Dingen zugeht.<\/p>\n<p>Rehberger meldete die Claude-Schwachstelle Ende Oktober 2025 \u00fcber die Bug-Bounty-Plattform HackerOne an Anthropic. Das Unternehmen stufte die Erkenntnisse allerdings als \u201cout of scope\u201d ein und sieht darin eher ein Problem der Modellsicherheit \u2013 statt eine Sicherheitsl\u00fccke. Entsprechend besteht diese auch weiterhin. Der Einsch\u00e4tzung des KI-Unternehmens widerspricht Rehberger ausdr\u00fccklich: \u201cEs ist eine Sicherheitsl\u00fccke in der Network-Egress-Standardkonfiguration, die dazu f\u00fchren kann, dass private Daten gestohlen werden.\u201d<\/p>\n<h1 class=\"wp-block-heading\">Angriffsvektoren und reale Risiken<\/h1>\n<p>Wie Rehbergers Blogbeitrag au\u00dferdem zu entnehmen ist, l\u00e4sst sich die identifizierte Schwachstelle in Anthropic Claude \u00fcber mehrere Einstiegspunkte ausnutzen: \u201cCyberkriminelle k\u00f6nnten Prompt-Injection-Payloads in Dokumente oder in Webseiten einbetten, die die Nutzer von Claude zusammenfassen lassen \u2013 oder auch in Daten, auf die \u00fcber <a href=\"https:\/\/www.csoonline.com\/article\/4032065\/wie-model-context-protocol-gehackt-wird.html\" target=\"_blank\" rel=\"noopener\">MCP-Server<\/a>\u2013 und Google-Drive-Integrationen zugegriffen wird.\u201d<\/p>\n<p>Einem besonderen Risiko sind damit Unternehmen ausgesetzt, die mit Anthropic Claude zum Beispiel:<\/p>\n<p>vertrauliche Dokumente analysieren,<\/p>\n<p>Kundendaten verarbeiten, oder<\/p>\n<p>auf interne Wissensdatenbanken zugreifen.<\/p>\n<p>Weil die Datenexfiltration \u00fcber legitime API-Calls erfolgt, hinterlassen diese Angriffe nur minimale Spuren. Dass die M\u00f6glichkeiten zur Risikominimierung f\u00fcr Unternehmen nach wie vor begrenzt sind, macht die Sache nicht besser:<\/p>\n<p>Benutzer k\u00f6nnen den Netzwerkzugriff vollst\u00e4ndig deaktivieren oder manuell Whitelists f\u00fcr bestimmte Domains konfigurieren. Das schr\u00e4nkt jedoch die Funktionalit\u00e4t von Claude erheblich ein.<\/p>\n<p>Anthropic selbst erkennt Prompt-Injection-Risiken im Rahmen seiner <a href=\"https:\/\/support.claude.com\/en\/articles\/12111783-create-and-edit-files-with-claude#h_27fc9da35e\" target=\"_blank\" rel=\"noopener\">Sicherheitsdokumentation<\/a> an und empfiehlt, die Aktionen von Claude zu \u00fcberwachen und diese im Falle von verd\u00e4chtigem Verhalten manuell zu stoppen \u2013 ein Ansatz, den Rehberger als \u201cLiving Dangerously\u201d bezeichnet.<\/p>\n<p>Unternehmen k\u00f6nnten f\u00e4lschlicherweise annehmen, dass die Standardkonfiguration &#8220;Package managers only&#8221; ein ausreichendes Schutzniveau bietet. Wie Rehbergers Untersuchungen zeigen, ist das nicht der Fall. Der Security-Profi hat den vollst\u00e4ndigen Exploit-Code bislang nicht ver\u00f6ffentlicht, um Claude-Anwender zu sch\u00fctzen. Er weist darauf hin, dass weitere von Anthropic im Rahmen der Konfiguration zugelassenen Domains \u00e4hnliche Exploit-M\u00f6glichkeiten er\u00f6ffnen k\u00f6nnten. (fm)<\/p>\n<p><strong>Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong><a href=\"https:\/\/www.csoonline.com\/de\/newsletters\/signup\/\" target=\"_blank\" rel=\"noopener\"><strong>Unser kostenloser Newsletter<\/strong><\/a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Ein aktueller Report zeigt, wie sich \u00fcber Anthropic Claude sensible Daten extrahieren lassen. Photo Agency | shutterstock.com Eine k\u00fcrzlich bekannt gewordene Schwachstelle im KI-Assistenten Claude von Anthropic k\u00f6nnte von Angreifern ausgenutzt werden, um heimlich Unternehmensdaten zu exfiltrieren. Dabei lassen sich auch Sicherheitskonfigurationen umgehen, die solche Attacken eigentlich verhindern sollen. Wie sich das mithilfe indirekter Prompt-Injection-Techniken [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":5637,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-5636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5636"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5636"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/5636\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/5637"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}