Der Fall Galileu eröffnet eine neue Herausforderung: Wenn eine Prozessakte zu einem Input für künstliche Intelligenz wird

Security Awareness
16. Juli 2026

Jahrzehntelang hatte eine Prozessakte eine präzise Funktion: von Menschen gelesen zu werden. Richter, Anwälte, technische Berater und Kanzleimitarbeiter interpretieren deren Inhalte, wägen die Argumente ab und rekonstruieren den Beweiswert. Informationssysteme haben sich bis heute darauf beschränkt, sie zu speichern, zu übermitteln und zu archivieren.

Der Fall, der Anlass zu dieser Überlegung gab, stammt aus Brasilien, aus einem Arbeitsgerichtsverfahren, in dem zwei Anwälte in eine Akte einen für das unaufmerksame Auge unsichtbaren, aber von einem automatischen System perfekt lesbaren Satz eingefügt hatten, der die künstliche Intelligenz ausdrücklich aufforderte, die Petition oberflächlich anzufechten, ohne die Dokumente anzugreifen. Der Richter brauchte keine Wochen, um dies zu bemerken: Er identifizierte den Text mit IT-Tools im Rahmen der normalen Analyse der Akte, sanktionierte beide Anwälte und übermittelte die Akten an die zuständige Berufskammer für disziplinarrechtliche Aspekte.

Das interessanteste Detail ist jedoch nicht die Sanktion an sich. Es ist die Tatsache, dass das Gericht nicht nachweisen musste, dass die KI tatsächlich beeinflusst wurde oder dass der Versuch konkrete Folgen hatte: Es genügte, dass die Einreichung einer Akte mit versteckten Anweisungen die Grundsätze der Korrektheit und des prozessualen guten Glaubens verletzte. Es ist nicht erforderlich, dass die Täuschung funktioniert. Es reicht, dass sie geschrieben und eingereicht wurde.

Das mag wie ein subtiler Unterschied erscheinen. In Wirklichkeit ist es ein Paradigmenwechsel.

Ein Dokument, das nicht mehr nur gelesen wird

Immer mehr Organisationen setzen KI-Tools zur Analyse großer Dokumentenmengen ein, und der Rechtssektor bildet keine Ausnahme. Es gibt bereits Plattformen, die in der Lage sind, Akten zusammenzufassen, Rechtsvorschriften zu identifizieren, Urteile zu vergleichen, Präzedenzfälle zu suchen und die Dokumentenverwaltung zu unterstützen.

In diesen Kontexten hört das Dokument auf, ein einfacher zu konsultierender Text zu sein: Es wird zum Rohmaterial, auf dem das System seine Verarbeitungen aufbaut. Und hier führt der brasilianische Fall ein Element ein, das die Perspektive verändert: Ein Sprachmodell unterscheidet von Natur aus nicht zwischen einem zu analysierenden Inhalt und einer auszuführenden Anweisung – alles, was in seinen Kontext gelangt, wird als potenzieller Befehl verarbeitet.

Wenn Inhalt zum Befehl wird: Was ist Prompt Injection

In der Sprache der Cybersecurity gibt es einen spezifischen Begriff für dieses Phänomen: Prompt Injection. Es handelt sich um die Technik, in einem Inhalt, den ein KI-System lesen soll, eine als normaler Text getarnte Anweisung zu verbergen, mit dem Ziel, es eine andere Aktion ausführen zu lassen als die, für die es beauftragt wurde.

Es gibt eine wichtige Unterscheidung zwischen zwei Varianten: der direkten, bei der der Benutzer selbst versucht, das System zu manipulieren, und der indirekten, bei der der Befehl in einem Drittdokument versteckt ist, zu dessen Auslesen die KI autorisiert ist. Der brasilianische Fall gehört genau zu dieser zweiten Kategorie: Der Prozessschriftsatz, ein Text, von dem niemand erwarten würde, dass er mit einer Maschine „sprechen“ kann, wurde zum Vehikel des Angriffs.

Ein technischer Aspekt macht das Phänomen noch heimtückischer. Eine aktuelle Studie des MIT (präsentiert auf der ICML 2026) hat gezeigt, dass Sprachmodelle dazu neigen, die Autorität eines Textes eher aus seinem Stil als aus den technischen Markierungen abzuleiten, die in der Architektur System, Benutzer und Tools trennen; und wenn ein Text wie die autoritative Argumentation des Modells selbst klingt, wird er tendenziell als solcher behandelt, auch wenn er aus einer wenig vertrauenswürdigen Quelle stammt. In der Studie erzielten die Forscher durch Simulation einer falschen internen Argumentation innerhalb eines Benutzerkanals eine Erfolgsquote des Angriffs von 60 % bei den fortschrittlichsten Modellen, gegenüber einer Quote nahe null bei Versuchen direkter und grober Manipulation. Es ist nicht die Logik des Textes, die das System täuscht: Es ist der Ton, in dem er geschrieben ist.

Der Text muss nicht einmal lesbar sein

Die anspruchsvollste Ebene des Phänomens betrifft die eigentliche technische Verschleierung. Ein Befehl kann für einen menschlichen Leser unsichtbar gemacht werden, indem Unicode-Zeichen mit Nullbreite oder bidirektionale Steuerzeichen verwendet werden (dieselben Techniken, die von den sogenannten Trojan Source Attacks beschrieben werden, die 2021 von der Universität Cambridge identifiziert wurden), während er für ein System, das den Text Zeichen für Zeichen verarbeitet, dennoch perfekt ausführbar bleibt. Eine Akte kann daher in den Augen eines Richters harmlos erscheinen und dennoch eine operative Anweisung für jeden Algorithmus enthalten, der sie verarbeitet.

Das Vertrauen in Dokumente erfordert eine zusätzliche Anforderung

Die Digitalisierung der Justiz hat die Aufmerksamkeit bisher auf Authentizität, elektronische Signatur, Dateiintegrität und Datenschutz konzentriert. Unverzichtbare Elemente, aber allein nicht mehr ausreichend.

Mit dem Einzug der KI kommt eine weitere Anforderung hinzu: sich nicht nur auf die Herkunft des Dokuments verlassen zu können, sondern auch auf die Art und Weise, wie es von automatischen Systemen interpretiert wird. Es gibt ein Detail des brasilianischen Falls, das besondere Aufmerksamkeit verdient: Der versteckte Befehl war so geschrieben, dass er potenziell sowohl die KI-Systeme der Gegenpartei als auch die möglicherweise bereits im Justizapparat selbst verwendeten treffen konnte. Wer ihn geschrieben hat, ging mit anderen Worten davon aus, dass künstliche Intelligenz bereits in die Arbeitsabläufe der Gerichte eingedrungen war, nicht nur in die der Anwaltskanzleien.

Eine Auswirkung, die die gesamte Kette betrifft

Richter werden zuverlässige Tools benötigen, die so konzipiert sind, dass sie den Inhalt eines Dokuments klar von den Anweisungen trennen, die dessen automatische Verarbeitung steuern.

Anwälte werden sich bei der Abfassung von Schriftsätzen mit einer neuen Dimension auseinandersetzen müssen: Der Richter bleibt der endgültige Adressat, aber es ist zunehmend wahrscheinlich, dass das Dokument vorab auch von automatischen Systemen verarbeitet wird, die für Recherche, Klassifizierung oder Zusammenfassung eingesetzt werden.

Auch die öffentliche Verwaltung wird sich mit diesem Wandel auseinandersetzen müssen, während die KI in Dokumentenprozesse und Bürgerdienste einzieht. Die Sicherheit kann sich nicht mehr darauf beschränken, Infrastrukturen und Datenbanken zu schützen, sondern muss sich auf die Inhalte erstrecken, die diese Systeme speisen.

Für technische Berater eröffnet sich ein völlig neuer Bereich: Die Bewertung eines Dokuments könnte in Zukunft bedeuten, nicht nur dessen rechtliche Gültigkeit zu prüfen, sondern auch die möglichen Auswirkungen auf die automatisierten Prozesse, die es verarbeiten.

Internationale Organisationen wie OWASP und NIST widmen den Risiken, die aus der Interaktion zwischen Dokumenten und Modellen künstlicher Intelligenz entstehen, bereits zunehmende Aufmerksamkeit. Das Grundprinzip ist klar: Kein empfangener Inhalt kann allein deshalb als harmlos angesehen werden, weil er sich als normales Dokument präsentiert.

Legal-Tech-Plattformen der Zukunft müssen Mechanismen integrieren, die in der Lage sind, Inputs sicher zu analysieren, den dokumentarischen Inhalt von den Anweisungen zu trennen, die die Funktionsweise der KI steuern, und das Risiko zu verringern, dass gezielt konstruierte Informationen die Ergebnisse der Verarbeitung verfälschen können. Keine Aufforderung, Dokumenten zu misstrauen, sondern die Anerkennung, dass sich ihre Rolle verändert hat.

Eine Überlegung, die über den Einzelfall hinausgeht

Der Wert des Falls Galileu erschöpft sich nicht in dem Gerichtsverfahren, das ihn in die Aufmerksamkeit der Rechtsakteure gebracht hat. Sein wichtigster Beitrag liegt darin, ein Phänomen ans Licht gebracht zu haben, das sich immer häufiger wiederholen wird: Dokumente haben aufgehört, einfache Informationsbehälter zu sein, und sind zu Elementen geworden, die mit intelligenten Systemen interagieren.

Jahrelang konzentrierte sich die Cybersecurity auf Netzwerke, Server und Anwendungen. Heute kommt eine neue Dimension hinzu: die der Dokumentensicherheit im Zeitalter der künstlichen Intelligenz. Diese Entwicklung zu verstehen bedeutet, sich auf eine zunehmend digitale Justiz vorzubereiten, ohne auf ein grundlegendes Prinzip zu verzichten: Das Vertrauen in Dokumente muss gewährleistet bleiben, auch wenn der erste Leser nicht mehr eine Person, sondern ein Algorithmus ist.

Es bleibt jedoch ein Element, das keine Plattform, so ausgeklügelt sie auch sein mag, jemals ersetzen kann: die Fähigkeit von Menschen, ein Risiko zu erkennen, bevor es zu einem Vorfall wird.
Denn wenn es wahr ist, dass Systeme aus den Dokumenten lernen, die sie analysieren, ist es ebenso wahr, dass Organisationen aus den Kompetenzen derjenigen lernen, die diese Dokumente täglich bearbeiten. In die Sensibilisierung derjenigen zu investieren, die mit sensiblen Daten arbeiten, bleibt heute mehr denn je die erste Sicherheitsmaßnahme … die kein Algorithmus allein replizieren kann!

Verwandte Artikel

Neuigkeiten

Wir sind stolz darauf, bekannt zu geben, dass Cyber Guru in die prestigeträchtige Liste „Top 100 EdTech Companies 2025“ des TIME Magazine und von Statista aufgenommen wurde.

AWARENESS TRAINING

  • Awareness

    Kontinuierliche Weiterbildung zum Aufbau von Wissen und Bewusstsein

  • Channel

    Eine fesselnde Lernerfahrung im TV-Serienformat

  • Chatbot NEU

    Konversationsmodus für die Weiterbildung am Arbeitsplatz

COMPLIANCE TRAINING

PHISHING TRAINING

  • Phishing

    Individuell angepasste Schulung

  • PhishPro

    Das Add-on für Fortgeschrittene

REAL TIME AWARENESS

Cyber Advisor NEU

GenAI Cybersecurity-Assistent Entdecken Sie Guru, den auf Cybersicherheit spezialisierten KI-Assistenten!

RESSOURCEN

HIGHLIGHT-RESSOURCE

E-book

Cyber Guru Academy Content Creators

Inhalte, die den Unterschied machen Das Konzipieren, Entwerfen und Produzieren von Schulungsinhalten, die Interesse, Engagement und Lernmotivation wecken, ist eine tägliche Herausforderung für die Academy-Abteilung von Cyber Guru. Denn es ist mittlerweile klar, dass eine ansprechende Plattform und eine Vielzahl von Inhalten nicht ausreichen, um Menschen darin zu schulen, sich gegen Cyberkriminalität zu verteidigen.