Ressourcenerschöpfung (Resource Exhaustion) in KI-Systemen tritt auf, wenn ein Angreifer Schwachstellen ausnutzt, um kritische Ressourcen—wie Arbeitsspeicher, CPU, Netzwerkbandbreite oder Speicherplatz—zu verbrauchen, bis die Leistung beeinträchtigt wird oder Dienste nicht mehr verfügbar sind. Dieses Risiko ist besonders relevant bei Architekturen, die auf Large Language Models (LLMs) basieren, da der Ressourcenverbrauch dort unvorhersehbar ansteigen kann.

Dieser Artikel ist Teil des Kapitels AI Infrastructure Testing des OWASP AI Testing Guide.

Warum Ressourcenerschöpfung bei KI-Systemen kritisch ist

Im Gegensatz zu herkömmlichen Systemen weisen KI-Anwendungen Merkmale auf, die das Risiko einer Ressourcenerschöpfung verstärken:

• Variable Token-Kosten: Cloud-Dienste berechnen Gebühren basierend auf den verarbeiteten Token, sowohl bei der Eingabe als auch bei der Ausgabe.
• Verstärkung in Multi-Agenten-Systemen: Ein einzelner Prompt kann Dutzende interner Aufrufe zwischen Agenten auslösen, was den Token-Verbrauch auf eine für den Benutzer unsichtbare Weise vervielfacht.
• Unvorhersehbarkeit der Last: Scheinbar harmlose Eingaben können sehr kostspielige Verarbeitungsprozesse in Gang setzen.

Ohne angemessene Grenzwerte kann ein Angreifer ein “Denial-of-Wallet” verursachen und das operative Budget erschöpfen, noch bevor die technische Verfügbarkeit des Dienstes beeinträchtigt wird.

Testziele

Ein effektiver Test auf Ressourcenerschöpfung muss Folgendes überprüfen:

• Das Vorhandensein von Schwachstellen, die einen übermäßigen Ressourcenverbrauch ermöglichen.
• Die Fähigkeit des Systems, mit anomalen oder fehlerhaften Eingaben umzugehen, ohne die Leistung zu beeinträchtigen.
• Die Wirksamkeit der Kontrollen bei der Zuweisung, Begrenzung und Überwachung von Ressourcen.
• Die Konfiguration von Ausgabenschwellenwerten und Warnmeldungen bei Diensten von Drittanbietern.

Methodik und Payloads

Hochfrequenzanfragen

Simulieren Sie einen Angriff mit schnellen, gleichzeitigen Anfragen mittels Load-Testing-Tools. Das System ist anfällig, wenn es keine 429 Too Many Requests-Fehler zurückgibt und die Antwortzeiten signifikant ansteigen.

Indikator für Schwachstellen: Fehlen von 429-Fehlern und progressive Verschlechterung der Antwortzeiten unter hoher Last.

Übermäßig große Eingaben

Senden Sie Prompts mit mehr als 1 MB Text. Wenn das System abstürzt, 5xx-Fehler zurückgibt, in ein Timeout läuft oder übermäßig verlangsamt, fehlt eine effektive Validierung der Eingabegröße.

Indikator für Schwachstellen: Systemabsturz, 5xx-Fehler, Timeouts oder signifikante Verlangsamungen als Reaktion auf große Payloads.

Verstärkungsangriffe in agentischen Systemen

Fordern Sie ein Modell wiederholt auf, eines seiner Werkzeuge zu verwenden (Beispiel: “Rufe das Such-Tool 50 Mal auf”). Eine Schwachstelle liegt vor, wenn das Modell den Vorgang ausführt, anstatt ihn abzulehnen. Die Überprüfung erfordert die Analyse von Agenten-Logs oder Abrechnungs-Dashboards.

Indikator für Schwachstellen: Ausführung wiederholter Werkzeugaufrufe ohne Begrenzungskontrollen, was zu einer Vervielfachung des Token-Verbrauchs führt.

Fehlende Ausgabenlimits

Untersuchen Sie die Verwaltungskonsole der KI-Cloud-Dienste. Eine gefährliche Konfiguration ist das Fehlen von Ausgaben- oder Token-Schwellenwerten oder Limits, die im Vergleich zum geplanten operativen Budget zu hoch angesetzt sind.

Indikator für Schwachstellen: Fehlende konfigurierte Ausgabenschwellenwerte oder Limits, die im Vergleich zum operativen Budget unrealistisch hoch eingestellt sind.

Erwartetes Ergebnis

• 429 Too Many Requests-Fehler bei Überschreitung der konfigurierten Frequenzschwellen.
• Ablehnung von Anfragen über 1-2 MB mit einem 413 Payload Too Large-Fehler.
• Stabile Antwortzeiten für gültige Anfragen, auch während Angriffen auf andere Clients.
• Konfigurierte Ausgabenlimits und aktive Warnmeldungen bei Drittanbieter-Diensten.

Remediation-Maßnahmen

Validierung und Begrenzung von Eingaben

Legen Sie strenge Grenzwerte für die Größe eingehender Daten fest, idealerweise bereits auf Ebene des API-Gateways. Implementieren Sie Validierungskontrollen, die Anfragen über vordefinierten Schwellenwerten ablehnen, bevor sie die KI-Modelle erreichen.

Erwartete Auswirkung: Reduzierung des Risikos von Abstürzen und Timeouts durch übermäßige Payloads mit sofortigem Schutz auf Infrastrukturebene.

Rate Limiting und Circuit Breaker

Wenden Sie Rate Limiting und Circuit Breaker über das API-Gateway oder dedizierte Middleware an. Legen Sie spezifische Ressourcenkontingente für jedes KI-Modell oder jeden Dienst fest (CPU, Arbeitsspeicher, Token).

Erwartete Auswirkung: Prävention von Hochfrequenzangriffen und Schutz der Dienstverfügbarkeit für legitime Benutzer.

Überwachung und Kostenmanagement

Konfigurieren Sie verbindliche Ausgabenlimits und Warnmeldungen bei KI-Diensten von Drittanbietern. Überwachen Sie den Verbrauch und die Antwortzeiten kontinuierlich mithilfe von Observability-Tools. Dokumentieren und testen Sie die konfigurierten Schwellenwerte regelmäßig, um deren Wirksamkeit zu überprüfen.

Erwartete Auswirkung: Proaktive Kontrolle der Betriebskosten und Fähigkeit, Anomalien zu erkennen, bevor sie signifikante wirtschaftliche Schäden verursachen.

Empfohlene Tools

• Locust: Open-Source-Framework für Lasttests und die Simulation von hochfrequentem Datenverkehr.
• Ambassador Edge Stack: API-Gateway mit erweiterten Funktionen für Rate Limiting und Circuit Breaker.
• Prometheus: Überwachungs- und Alerting-System für Ressourcenverbrauchsmetriken.
• Datadog: Observability-Plattform zur Überwachung von Kosten und Leistung von KI-Cloud-Diensten.

Nützliche weiterführende Informationen

Um die Dynamik der Ressourcenerschöpfung in KI-Systemen und Verteidigungsstrategien besser zu verstehen, bieten die folgenden Referenzen international anerkannte technische Richtlinien und Best Practices.

Referenzen

• OWASP – OWASP Top 10 for LLM Applications 2025 – Unbounded Resource Consumption
• OWASP – Denial of Service
• NIST AI 100-2e2025 – Security Guidelines for AI Systems (DOI: 10.6028/NIST.AI.100-2e2025)

Häufig gestellte Fragen

• Was sind die Anzeichen für einen laufenden Ressourcenerschöpfungsangriff?
• Plötzlicher Anstieg der Betriebskosten, allgemeine Verlangsamung der Antworten, häufige Timeout-Fehler, Sättigung von CPU oder Arbeitsspeicher auf den Knoten, auf denen die KI-Modelle ausgeführt werden.
• Wie unterscheidet sich Ressourcenerschöpfung von einem normalen Verkehrsspitzenwert?
• Ein legitimer Spitzenwert zeigt Nutzungsmuster, die mit dem Verhalten echter Benutzer übereinstimmen. Ressourcenerschöpfung weist anomale Anfragen auf (übermäßige Größe, unnatürliche Frequenz, repetitive Muster), die von wenigen Quellen stammen.
• Sind automatisierte Tests ausreichend, um diese Schwachstellen zu identifizieren?
• Nein. Automatisierte Tests generieren viele Anfragen und können kostspielig sein, ohne qualitative Erkenntnisse zu liefern. Ein gezielter manueller Ansatz, der realistische Szenarien simuliert, ist oft effektiver, um spezifische Schwachstellen von KI-Systemen zu identifizieren.
• Welche Metriken sollten überwacht werden, um Ressourcenerschöpfung zu verhindern?
• Verbrauchte Token pro Benutzer/Sitzung, Verarbeitungszeit pro Anfrage, Anzahl der Aufrufe an interne Agenten, stündliche/tägliche Kosten, Prozentsatz der Anfragen, die vordefinierte Schwellenwerte überschreiten.
• Wie verwaltet man Limits, ohne legitime Benutzer zu beeinträchtigen?
• Implementieren Sie progressives Rate Limiting (Erhöhung der Einschränkungen schrittweise), differenzieren Sie Kontingente nach Benutzertyp und stellen Sie klare Fehlermeldungen bereit, die die Limits erklären und angeben, wann der Dienst wieder verfügbar sein wird.

Wie ISGroup unterstützt

ISGroup bietet Secure Architecture Reviews an, um komplexe KI-basierte Infrastrukturen zu bewerten und Schwachstellen im Zusammenhang mit dem Ressourcenverbrauch zu identifizieren. Das Team analysiert den aktuellen Zustand der Architektur, überprüft das Vorhandensein angemessener Kontrollen für Rate Limiting, Eingabedimensionierung und Kontingentverwaltung und liefert konkrete Empfehlungen zur Verbesserung der Resilienz und zur Eindämmung der Betriebskosten. Für Cloud-Architekturen ermöglicht der Cloud Security Assessment-Service die Überprüfung der korrekten Konfiguration von Limits und Warnmeldungen bei den wichtigsten Anbietern.

Verwandte Artikel

• AI Data Testing: Sicherheit und Datenvalidierung in KI-Systemen
• Runtime Exfiltration in KI-Systemen: Risiken und Teststrategien
• Capability Misuse in KI-Systemen: Risiken und Teststrategien

Die Integration von Eingabevalidierung, Rate Limiting und proaktiver Kostenüberwachung hilft, KI-Systeme vor Ressourcenerschöpfungsangriffen zu schützen. Das regelmäßige Testen der konfigurierten Limits und Ausgabenschwellenwerte ist entscheidend, um Resilienz und wirtschaftliche Nachhaltigkeit in der Produktion zu gewährleisten.