Fallen Prompt Injections unter § 202a StGB (Ausspähen von Daten)?
§ 202a StGB – Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
Prompt Injections auf LLM‘s
Large Language Models (kurz „LLM“) wie ChatGPT sind heute in einer Vielzahl von Anwendungen eingebunden.
Mit daher treten neue Angriffsszenarien auf, wie zum Beispiel Prompt Injections.
„Eine Prompt Injection ist eine Art Cyberangriff auf große Sprachmodelle (Large Language Models, LLMs). Hacker tarnen dabei böswillige Eingaben als legitime Prompts und manipulieren so Systeme für generative KI (GenAI), sodass diese vertrauliche Daten preisgeben, Fehlinformationen verbreiten oder Schlimmeres verursachen. “[1]
Aktuelle juristische Lage:
Bisher steht die die KI-Regulatorik im Vordergrund. Während die KI-VO definiert, welche Arten von KI-Systemen als Hochrisiko-KI-Systeme zu klassifizieren sind und den Einsatz solcher Systeme im Bereich der Strafverfolgung regelt, ergeben sich die strafrechtlichen Konsequenzen weiterhin aus den Tatbeständen des StGB.
Mit den neuen Angriffsszenarien stellt sich die Frage, ob Prompt Injection strafrechtlich bereits vom geltenden Recht, insbesondere vom Straftatbestand des § 202a StGB (Ausspähen von Daten), erfasst werden. Diese würden ein nach außen semantisch arbeitendes System durch geschickte Anwendung üblicher Sprache zu unerwünschten Handlungen „verleiten“.
Tatbestand des § 202a StGB
§ 202a StGB erfasst das unbefugte Erlangen von Daten, die nicht für den Täter bestimmt sind, durch Umgehung von Zugangssicherungen.
Fraglich ist bereits, ob bei einer Prompt Injection überhaupt geschützte Daten betroffen sind.
Im Einzelfall ist dies möglich. Etwa dann, wenn ein LLM durch geschickte Formulierungen dazu gebracht wird, interne Systemprompts, vertrauliche Trainingsdaten oder unternehmensinterne Hinweise offenzulegen. Solche Informationen sind typischerweise nicht für den Angreifer bestimmt.
Merkmal „Überwindung einer Zugangssicherung“
Entscheidend ist jedoch die juristische Hürde beim Merkmal der „Überwindung einer Zugangssicherung“.
Die sprachliche Manipulation könnte als eine Form der „Umgehung von Zugangssicherungen“ interpretiert werden. Voraussetzungen dafür ist, dass das LLM durch technische oder organisatorische Maßnahmen gegen unbefugten Zugriff gesichert war und diese Sicherungen durch die Eingaben unterlaufen wurden.
Die Rechtsprechung versteht darunter technische Barrieren, also beispielsweise Passwörter, Firewalls oder Verschlüsselungen. Auch vergleichsweise niedrige Hürden gelten als Zugangssicherung, solange sie technisch wirken und einen Zugriff aktiv verhindern.
Bei Prompt Injections fehlt diese technische Barriere jedoch regelmäßig. Systemprompts eines LLM sind keine Authentifizierungssysteme, sondern inhaltliche Leitlinien innerhalb desselben Sprachkontextes. Das Modell folgt ihnen nicht, weil es sie technisch erzwingt, sondern weil sie seine Ausgabe semantisch steuern sollen. Die Manipulation erfolgt also nicht über ein „Knacken“ eines digitalen Schlosses, sondern durch Überreden. Der Angreifer formuliert seine Eingabe so, dass die Logik des Modells selbst die Schutzregeln aushebelt.
An dieser Stelle liegt das derzeitige strafrechtliche Problem. Prompt Injections wirken sich zwar ähnlich aus wie klassische Hacking-Angriffe, erfüllen aber nach überwiegender Auffassung die Voraussetzungen einer „Überwindung von Zugangssicherungen“ nicht. Denn das Sprachmodel entscheidet allein aufgrund seiner Funktionsweise, welche Informationen es ausgibt. Es werden keine technischen Sperren umgangen. Das LLM ist insofern kein abgeschlossenes System mit Zutrittskontrollen, sondern ein semantischer Gesprächspartner, der durch Sprache beeinflusst werden kann.
Häufig scheidet eine Strafbarkeit nach § 202a StGB aus. Hieraus ergibt sich eine spürbare Regelungslücke. Denn obwohl Prompt Injections reale Sicherheitsrisiken darstellen und in bestimmten Fällen erhebliche Schäden verursachen können, greift der Tatbestand wie § 202a StGB häufig nicht. Erst bei Vorliegen von weiteren Umständen bzw. Voraussetzungen, wie das Offenbaren personenbezogener Daten in großer Zahl nach § 42 BDSG oder der Verrat von Geschäftsgeheimnissen nach § 23 GeschGehG, kommt eine Strafbarkeit in Betracht.
Ansätze für den Gesetzgeber:
1) Klarstellung des Begriffs „Zugangssicherung“ in § 202a StGB
Gesetzgeber könnte mit einer Legaldefinition oder Begründung präzisieren, sodass auch KI-basierte Schutzmechanismen, die faktisch den Zugriff beschränken, erfasst werden.
2) Eigenständiger Tatbestand, der speziell die unbefugte Datenfreigabe durch Manipulation von KI-Systemen unter Strafe stellt.
Quellen:
- https://www.ibm.com/de-de/think/topics/prompt-injection
- https://beck-online.beck.de/Dokument?VPath=bibdata%2Fzeits%2Fkir%2F2025%2Fcont%2Fkir.2025.374.1.htm&ReadableType=Parallelfundstellen&HLWords=on&JumpType=SingleHitJump&JumpWords=%25c2%25a7%2B202a%2BStGB%2BAussp%25c3%25a4hen%2Bvon%2BDaten%2Bbei%2BKI-Angriffen&Readable=Suche%2Bnach%2BNorm%253a%2B%2526%2523167%253b%2B202a%2BStGB%2Bund%2B%2526%252339%253bAussp%2526%2523228%253bhen%2526%252339%253b%2Bund%2B%2526%252339%253bvon%2526%252339%253b%2Bund%2B%2526%252339%253bDaten%2526%252339%253b%2Bund%2B%2526%252339%253bbei%2526%252339%253b%2Bund%2B%2526%252339%253bKI-Angriffen%2526%252339%253b%2Bnur%2Bin%2Bmeinen%2BModulen
- https://www.caesar-preller.de/prompt-injections-bei-llms-strafrechtliche-grauzone-mit-handlungsbedarf/
- https://www.lto.de/recht/hintergruende/h/large-language-models-prompt-injections-strafrecht-hacking