Die Zahl der Sicherheitslücken in KI-Systemen steigt deutlich schneller als im restlichen Software-Ökosystem. Damit sind auch Schweizer Unternehmen betroffen, die KI in hohem Tempo in ihre Prozesse integrieren. Parallel dazu bringen Hersteller wie Lenovo neue Hochleistungs-Workstations für On-Device-KI auf den Markt. Damit können Modelle direkt in den hiesigen Entwicklungsabteilungen trainiert und betrieben werden.
TrendAI, ein Geschäftsbereich von Trend Micro, zählt von 2018 bis Ende 2025 weltweit 6086 KI-bezogene Schwachstellen, basierend auf insgesamt 330 239 CVEs. Allein im Jahr 2025 wurden 2130 KI-CVEs gemeldet, was einem Anstieg von 34,6 Prozent gegenüber dem Jahr 2024 entspricht. Im selben Zeitraum legte die Gesamtzahl aller CVEs nur um 17,9 Prozent zu. Damit erreichte der Anteil von KI-Schwachstellen an allen CVEs mit 4,42 Prozent den bislang höchsten Jahreswert. Fast jede zweite bewertete KI-Lücke (1593 von 3257) fällt in die Kategorien «hoch» oder «kritisch» mit einem CVSS-Score von mindestens 7,0.
Für Schweizer Unternehmen ist das mehr als eine abstrakte Statistik. Studien zeigen, dass bereits ein signifikanter Anteil der hiesigen KMU und Grossunternehmen KI produktiv einsetzt, etwa für Datenanalysen, Marketing, Prozessautomatisierung und Content-Erstellung. Parallel dazu weisen Trend-Micro-Analysen weltweit – und damit auch in der Schweiz – auf Tausende exponierte KI-Komponenten wie ChromaDB-, Redis– oder Ollama-Server hin, die ohne Authentifizierung im Netz erreichbar sind. Viele dieser Systeme laufen in Hybrid-Cloud- und Container-Umgebungen, wie sie auch in Schweizer Unternehmen und Verwaltungen verbreitet sind.
Die Auswertung des TrendAI-Reports verdeutlicht, dass sich die Angriffsfläche über den gesamten KI-Stack hinweg ausdehnt. GPU- und KI-Hardware machen mit 3 127 CVEs zwar weiterhin den grössten Teil aus, doch die Dynamik verlagert sich zunehmend in höherliegende Schichten. ML-Frameworks kommen auf 1 624 Lücken, LLM-Tools und -Anwendungen bereits auf 1 243 Einträge, wobei klassische Webschwachstellen wie Code-Injection, SSRF und Path Traversal dominieren.
Neue Angriffsflächen: MCP-Server und agentische KI
Besonders stark nehmen die Schwachstellen in den jüngsten Bausteinen des KI-Ökosystems zu. Agentische KI, also Systeme, die weitgehend autonom handeln, Workflows orchestrieren und mit externen Diensten interagieren, verzeichnete einen Sprung von 74 CVEs im Jahr 2024 auf 263 im Jahr 2025 – ein Zuwachs von über 255 Prozent. Solche Agenten werden auch in Schweizer Unternehmen zunehmend getestet, etwa zur automatisierten Bearbeitung von Kundenanfragen, zur Verarbeitung von Geschäftsdokumenten oder zur Integration verschiedenster SaaS-Dienste. Fehlerhafte Guardrails oder unzureichend begrenzte Systemzugriffe können hier unmittelbar zu Angriffsvektoren führen, wenn Agenten unkontrolliert Befehle ausführen oder sensible Daten exfiltrieren.
Noch jünger ist die Kategorie der MCP-Server (Model Context Protocol), die als Schnittstelle dienen, über die KI-Agenten eigenständig auf Tools, APIs oder Datendienste zugreifen. TrendAI weist in dieser Kategorie 102 Schwachstellen aus, davon 95 allein im Jahr 2025, nachdem MCP im Vorjahr praktisch nicht in Erscheinung trat. Mehr als 60 Prozent dieser Lücken sind Injection-Schwachstellen, die es Angreifern erlauben, schädliche Befehle direkt in den Daten- oder Befehlskontext einzuschleusen. In Einzelfällen konnten Forschende ungeschützte MCP-Server nachweisen, über die sich etwa medizinische Fortschrittsberichte ohne Authentifizierung auslesen liessen – ein Szenario, das für den Schweizer Gesundheitssektor mit seinen hochsensiblen Daten besonders heikel wäre.
Grosses Risiko
TrendAI betont, dass neue KI-Komponenten aufgrund ihrer schnellen Einführung, komplexen Integrationen und uneinheitlichen Sicherheitspraktiken ein überproportionales Risiko darstellen. Während reifere Bereiche wie KI-Datenpipelines oder ML-Frameworks zwar wachsen, aber einen geringeren Anteil an hochkritischen Lücken aufweisen, bündeln sich die Risiken zunehmend in Lieferketten, dem LLM-Ökosystem, agentischen Systemen und MCP-Servern.
Für das Jahr 2026 rechnet TrendAI mit einer weiteren Verschärfung der Lage. Die Forschenden prognostizieren 2 800 bis 3 600 KI-bezogene CVEs, was einem erneuten Anstieg von 31 bis 69 Prozent gegenüber 2025 entspricht. Besonders dynamisch sollen MCP-Server und agentische KI wachsen, also genau jene Komponenten, die auch in Schweizer Unternehmen als Innovationstreiber für komplexe KI-Anwendungen gelten.
Parallel dazu erwarten Trend-Micro-Prognosen für 2026 besonders hohe Risiken für Hybrid-Cloud-Umgebungen, Software-Lieferketten und KI-Infrastrukturen insgesamt. Vergiftete Open-Source-Pakete, kompromittierte Container-Images und missbrauchte Cloud-Identitäten werden demnach zu weit verbreiteten Angriffsvektoren, von denen auch stark vernetzte Schweizer Organisationen direkt betroffen sind. KI wird damit zu einem integralen Bestandteil geschäftskritischer Systeme – vom Finanzsektor über die Industrie bis hin zu Verwaltung und Gesundheitswesen – und entsprechend gezielt attackiert.
„KI ist keine neue Angriffsfläche mehr, sondern hat sich mittlerweile etabliert“, erklärt Richard Werner (Bild unten), Security Advisor bei TrendAI. „Unsere Untersuchung zeigt, dass die Schwachstellen in KI-Systemen schneller zunehmen als im gesamten Software-Ökosystem und dass die grössten Risiken in gemeinsam genutzten Komponenten wie Modell-Frameworks und Lieferketten liegen. Wenn Unternehmen KI produktiv einsetzen, müssen sie Cybersicherheit als Grundlage jedes Projekts berücksichtigen. KI erfordert dieselbe Transparenz und dasselbe Risikomanagement wie jedes andere kritische Geschäftssystem.“
Leistungsfähige Workstations als Basis – und Verantwortung
Während Sicherheitsforscher ihre Warnungen verschärfen, treibt die Industrie die technische Basis für KI-Projekte weiter voran. Lenovo stellt mit den neuen Workstations der ThinkPad-P-Serie und der ThinkStation P5 Gen 2 eine Generation von Geräten vor, die speziell für die On-Device-KI-Entwicklung, Inferenz und Visualisierung optimiert sind. Die mobilen Modelle ThinkPad P14s Gen 7, P16s Gen 5 (Foto unten) und P1 Gen 9 kombinieren Intel Core Ultra oder AMD Ryzen AI mit dedizierten NPUs und NVIDIA RTX PRO Blackwell GPUs und liefern je nach Konfiguration mehrere Hundert bis über 650 TOPS an KI-Rechenleistung. Solche Systeme sind prädestiniert für Schweizer Engineering- und Architekturbüros, Medienhäuser oder Fintechs, die KI-Workloads lokal ausführen wollen.
An der Spitze steht die ThinkStation P5 Gen 2, die mit Intel-Xeon-Workstation-Prozessoren und bis zu zwei NVIDIA-RTX-PRO-6000-Blackwell-GPUs ausgestattet werden kann. Laut Lenovo erreicht die Plattform bis zu 3.511 TOPS und ist für Anwendungen wie medizinische Bildgebung, molekulare Modellierung und Modellentwicklung gedacht – Bereiche, die im Schweizer Life-Science-, Industrie- und Hochschulumfeld eine wichtige Rolle spielen. Lenovo verweist auf der Sicherheitsseite auf ThinkShield mit BIOS-Schutz, Self-Healing-BIOS, TPM 2.0 und weiteren Funktionen. Zudem wird Unterstützung für NVIDIAs OpenShell-Runtime und das Agent-Toolkit NemoClaw geboten, um eine geschützte Laufzeitumgebung für autonome Agenten zu schaffen.
KI-Skalierung braucht Security-by-Design
Zwischen den Zeilen liefern beide Ankündigungen eine gemeinsame Botschaft: KI wandert rasch vom Experimentierfeld in die produktive Infrastruktur – bis hinunter auf die Arbeitsplatzrechner in Schweizer Unternehmen, Verwaltungen und Hochschulen. Die gleiche leistungsfähige Hardware, die hierzulande für autonome Agenten, LLM-Anwendungen oder komplexe Datenpipelines benötigt wird, kann auch für unsichere MCP-Server, Tools und Frameworks genutzt werden.
Wer jetzt in KI-Workstations, Frameworks und neue Agenten-Paradigmen investiert, ohne Sicherheitsarchitektur, Patch-Management, Lieferkettenkontrolle und Governance mitzudenken, vergrössert seine Angriffsfläche schneller, als neue Schutzmassnahmen etabliert werden können. TrendAI bringt es auf den Punkt: KI erfordert dieselbe Transparenz und dasselbe Risikomanagement wie jedes andere kritische Geschäftssystem – bei deutlich höherer Veränderungsgeschwindigkeit. Für Schweizer Organisationen heisst das: KI-Projekte sollten als Sicherheitsprojekte betrachtet werden – von der Workstation im Zürcher Entwicklerbüro bis zur Hybrid-Cloud im internationalen Rechenzentrum.
