Executive Summary: Sicherheitslücke in Claude Cowork – Datei-Diebstahl via Prompt Injection?

Nur wenige Tage nach dem Start von Claude Cowork haben Sicherheitsforscher eine kritische Schwachstelle ermittelt: Angreifer können in scheinbar harmlosen Dokumenten wie E-Mails, PDFs und anderen Filesunsichtbare Anweisungen verstecken, die den KI-Agenten wie Claude’s „Cowork“ dazu bringen, vertrauliche Dateien aus verbundenen Ordnern des lokalen Systems zu exfiltrieren – und zwar ohne menschliche Genehmigung. Der Angriff nutzt eine bekannte Isolationsschwäche in der containerisierten Codeausführungsumgebung von Claude, die laut Berichten zwar bekannt, aber bislang nicht aktiv geschlossen wurde. Für Governance, Risk und Compliance ist das ein klassischer „Reality Check“: Sobald KI-Agenten Zugriff auf lokale Dateisysteme, Integrationen oder Unternehmensdaten erhalten, wird Prompt Injection nicht zu einem theoretischen Risiko, sondern zu einem konkreten Datenabfluss-Szenario mit potentiell erheblichen Folgeschäden.

Der Fall zeigt sehr plastisch, warum „agentische“ KI-Systeme („agentic ai“, also KI, die nicht nur antwortet, sondern Aktionen ausführt) eine neue Risikoklasse darstellen. Die Kernfrage für Organisationen lautet nicht mehr: „Ist das Tool nützlich?“, sondern:  Welche Daten dürfen überhaupt in Reichweite eines KI-Agenten liegen – und wie verhindern wir, dass der Agent auf manipulierte Anweisungen reagiert?

Was ist Claude Cowork und warum ist die Sicherheitslücke in Claude Cowork so kritisch?

Claude Cowork ist eine vollständig durch die von Anthropic entwickelte KI Claude automatisiert geschriebene Agenten-Software, die als produktiver KI-Begleiter gedacht ist, der mit der (lokalen) Arbeitsumgebung interagieren kann – z. B. über verbundene Ordner, Browser-Aktionen oder Integrationen. Wir sprechen also über eine direkte Integration von KI in die Systemumgebung beispielsweise von MacOS.

Genau diese Nähe zur „echten“ Datenquellen macht den Unterschied zu einem normalen Chatbot wie ChatGPT oder Google Gemini. Denn anders als in diesen Chat-basierten LLMs müssen in Claude Cowork keine Dateien hoch- und wieder runtergeladen werden, um eine aktive (Mit-) Arbeit der KI zu ermöglichen, sondern dieses geschiehet direkt im Dateisystem des lokalen Rechners. Claude nutzt dabei das bereits aus Claude Code bekannte „Terminal System“, das insbesondere bei Softwareentwickler sehr beliebt ist und erheblichen Vorteile gegenüber der Entwicklung beispielsweie mit OpenAIs „Codex“ beitet.

Wenn ein Agent Dateien lesen und Aktionen ausführen kann, wird jede Eingabe- oder Dokumentquelle zu einer potenziellen Angriffsfläche. heise und t3n sprechen in diesem Zusammenhang von Dateiexfiltration über indirekte Prompt-Injektionen – also versteckte Befehle, die nicht in der sichtbaren Benutzeranweisung stehen, sondern „im Hintergrund“ in einem Dokument platziert werden. Klassischen Beispiele sind schwarze Schriften auf schwarzem Hintergrund oder weiße Schriften auf weißem Hintergrund, die über eingelesene PDF-, Word- oder auch HTML-Dokumente direkt in den Systemprompt wandern und unauthorisierte Aktionen durchführen könnten.

So läuft der Angriff ab: „Harmloses Dokument“ + versteckte Anweisung = Datei-Upload

Die von Sicherheitsforschern beschriebene Angriffskette ist aus Angreifersicht unangenehm simpel: Ein Nutzer verbindet Claude Cowork mit einem lokalen Ordner, in dem auch vertrauliche Inhalte liegen (z.B. Fotos, andere Dokumente, Source Code). Danach wird eine Datei (z. B. eine Word-Datei) in Cowork geladen, die wie ein nützliches Hilfsdokument wirkt – in der Praxis werden solche „Prompt- oder Skill-Dateien“ gerne online geteilt, was die Eintrittswahrscheinlichkeit erhöht. In das Dokument ist jedoch eine Anweisung eingebettet, die für Menschen praktisch unsichtbar ist, etwa durch sehr kleine Schrift und Farb-/Layout-Tricks. The Decoder beschreibt das konkret als 1-Punkt-Schrift, weiß auf weiß, mit minimalem Zeilenabstand.

Wenn der Nutzer Cowork dann bittet, die vertraulichen Daten „auf Grundlage“ dieses Dokuments zu analysieren, übernimmt die versteckte Anweisung die Kontrolle. Laut heise und t3n wird der Agent dabei u. a. angewiesen, einen curl-Befehl auszuführen und eine Datei über die Anthropic File-Upload-API hochzuladen – inklusive Übermittlung eines API-Schlüssels der Angreifer, sodass die Datei direkt auf deren Konto landet. Besonders relevant: Während dieses Ablaufs ist keine manuelle Freigabe erforderlich.

Warum eine Sicherheitslücke bei Claude Cowork so schwer zu erkennen ist

Ein zentraler Punkt ist, dass der Datenabfluss nicht „wie Malware“ wirkt. Der Upload passiert über legitime, für das Produkt notwendige Schnittstellen. Laut Berichten bleibt der Angriff oft unentdeckt, weil die Anthropic-API als vertrauenswürdig gilt und daher nicht automatisch als verdächtiger Datenabfluss auffällt.
heise und t3n greifen zudem die Kritik auf, dass „Achtet auf verdächtige Aktionen“ als Warnhinweis für normale Nutzer nicht realistisch ist – Prompt Injection ist für viele Anwender schlicht nicht zuverlässig erkennbar.

GRC-Relevanz: Was bedeutet das für Governance, Risk und Compliance?

Auch für diesen sicherheitsrelevanten Case mit Claude Cowork nehme ich eine Einordnung in den Kontext von GRC vor, damit IT-Leader, IT-Spezialisten und Berater auf die neuen Bedrohungen durch agentische Systeme in Zukunft besser reagieren können:

Governance: KI-Agenten mit Datei- oder Integrationszugriff gehören nicht in die „Tool-Ecke“ einzelner Teams. Es braucht klare Policies: Welche Verzeichnisse dürfen angebunden werden? Welche Datenklassen sind tabu (Kundendaten, Verträge, HR, Quellcode, Finanzzahlen)? Welche Tools und Schnittstellen sind freigegeben – und mit welchen Settings?

Risk: Prompt Injection ist hier kein abstraktes Modellrisiko, sondern ein Datenabfluss-Risiko durch nicht vertrauenswürdige Inputs (Dokumente, Webseiten, geteilte „Skills“). Das Thema gehört klar in das Cyber-Risikomanagement: Eintrittswahrscheinlichkeit für Schäden steigt, sobald Agenten in reale Workflows integriert werden. Schadenshöhe ist potenziell hoch, weil es um vertrauliche Dateien geht – und diese könne personenbezogene, sensible Daten enthalten ebenso wie schützenswerte Geschäfts- und Kundendaten.

Compliance: Sobald personenbezogene Daten oder vertrauliche Unternehmensinformationen betroffen sein können, treffen Datenschutz, Geheimhaltung, Vertrags- und Sicherheitsanforderungen aufeinander. Organisationen müssen nachweisen können, dass sie angemessene TOMs etabliert haben – und dass KI-Tools nicht „ungeprüft“ Zugriff auf sensible Daten erhalten. Der Fall ist zudem ein gutes Beispiel für „Shadow AI“: Wenn Mitarbeitende solche Agenten eigenständig anbinden, entstehen Compliance-Risiken außerhalb formaler Kontrollen.

Pragmatische Konsequenzen: Was Unternehmen jetzt tun sollten

Wer agentische KI-Tools testet oder unmittelbar einführen will, sollte kurzfristig drei Leitplanken setzen:

1. Scope begrenzen (nur nicht-sensitive Testdaten, keine lokalen Ordner mit sensiblen Kundendaten).
2. Input-Hygiene (keine fremden „Skills“, Prompt-Dateien oder Dokumente aus unklaren Quellen in produktive Workflows).
3. Kontrollen einziehen (Monitoring, DLP (Data Loss Prevention)/Upload-Kontrollen, klare Freigabeprozesse für Integrationen und Datei-Zugriffe). Diese Maßnahmen ersetzen keine Produkt-Fixes – reduzieren aber das Risiko, bis Anbieter wirksame Schutzmechanismen liefern.

Beratung zur sicheren KI-Nutzung im Kontext Cybersecurity durch Elsen GRC

Elsen GRC unterstützt Unternehmen, SaaS-Anbieter und Behörden dabei, KI-Agenten und KI-Integrationen GRC-sicher zu betreiben – insbesondere dort, wo Datei-, System- oder Integrationszugriffe ins Spiel kommen. Dazu gehören Use-Case-Assessments, Policy- und Governance-Design (inkl. Datenklassen/Scopes), Risikoanalysen zu Prompt-Injection-Szenarien sowie die Ableitung pragmatischer TOMs (Freigaben, Monitoring, technische Guardrails). Ziel ist eine KI-Nutzung, die Produktivität ermöglicht, ohne unkontrollierte Datenabflüsse und Haftungsrisiken zu provozieren. Vereinbaren Sie gerne ein unverbindliches Beratungsgespräch.

Foto: © Claude.com

Quellen:

• Sicherheitslücke in Claude Cowork: So verschaffen sich Hacker unbemerkt Zugriff – heise.de
• Sicherheitslücke in Claude Cowork – t3n.de
• Claude Cowork hit with file-stealing prompt injection – The Decoder

Der Beitrag Kritische Sicherheitslücke in Claude Cowork entdeckt erschien zuerst auf ELSEN GRC.

Wie entsteht Shadow AI?

Shadow AI entsteht, wenn Mitarbeitende einer Organisation externe KI-Dienste, Chatbots oder generative KI-Tools für die Erledigung von Aufgaben verwenden, ohne dass es dafür eine offizielle Genehmigung oder Policy innerhalb der Organisation gibt. Häufig erfolgt die Nutzung von Shadow AI aus aus Effizienzgründen, jedoch ohne Einhaltung interner Sicherheits- oder Datenschutzvorgaben. Dies kann zum Abfluss sensibler Daten, Kontrollverlust über Geschäftsprozesse und ungewollten Compliance-Risiken führen. Ein klassisches Beispiel ist die Nutzung privater Accounts von ChatGPT am Arbeitsplatz.

Zentrale Risiken von Shadow AI

Neben der unkontrollierten Datenabfluss oder unklarer interner Rahmenbedingungen für die Nutzung von KI bringt Shadow AI eine weitere Reihe an zentralen Risiken mit sich:

• Datenschutz- und DSGVO-Verstöße: unbeabsichtigtes Hochladen personenbezogener oder vertraulicher Daten in Daten-verarbeitende Systeme außerhalb der Organisation
• Fehlende Transparenz: keine Nachvollziehbarkeit, welche Daten wohin übermittelt wurden
• Fehlender rechtlicher Rahmen: keine klaren rechtlichen Rahmbedingungen, wie z.B. das Vorhandensein konkret Auftragsverarbeitungsverträge (AVV-Verträge)
• Sicherheitsrisiken: Nutzung unsicherer oder manipulierbarer KI-Dienste
• Fehlende Governance: Modelle werden genutzt, ohne dass Richtlinien, Schulungen oder Kontrollprozesse existieren

Damit kann die unkontrollierte Entstehung von Schatten KI durchaus als elementarer Risikofaktor in einer AI-getriebenen Welt darstellen, der für Unternehmen ohne die richtigen, klar und verständlich formulierten KI-Leitlinien nur schwer in den Griff zu bekommen ist. Umso wichtiger ist es, dass sich Unternehmen, Behörden und sonstige Organisationen frühzeitig gegen das Entstehen von Schatten KI wappnen: Durch einen transparenten und offenen Umgang mit KI.

Praxisrelevanz

Shadow AI betrifft nahezu alle Organisationen, die KI im Alltag einsetzen. Unternehmen und Behörden benötigen klare KI-Richtlinien, technische Kontrollen, Schulungen und Transparenzmechanismen, um eine sichere und regelkonforme Nutzung zu gewährleisten.

Beratung zu Shadow AI in Behörden und Unternehmen durch Elsen GRC

Elsen GRC hilft Unternehmen und Behörden dabei, Risiken unkontrollierter KI-Nutzung zu identifizieren, Richtlinien für sicheren KI-Einsatz einzuführen, Datenschutzanforderungen umzusetzen und Governance-Strukturen aufzubauen, die eine kontrollierte, transparente und verantwortungsvolle Verwendung von KI-Tools ermöglichen. Vereinbaren Sie ein unverbindliches Beratungsgespräch.

Bild: © David Werbrouck – Unsplash.com

Quellen: IBM – Shadow AI

Der Beitrag Shadow AI (Schatten-KI erklärt) – Definition und Erklärung erschien zuerst auf ELSEN GRC.