Zum Inhalt springen

Nächste Ausgabe 7. September 2026

Zurück zum Blog

Prompt-Injection-Schutz: Die 4 Schichten der KI-Verteidigung

Die vier Schichten der KI-Verteidigung: Eingabe-Guardrails, System-Prompt, Alignment-Training und Ausgabe-Guardrails, jeweils mit ihren Bypass-Methoden

Prompt-Injection-Schutz ist Verteidigung in der Tiefe, kein Patch. Lernen Sie die 4 Schichten der KI-Verteidigung, die OWASP Top 10 für LLM, MCP und Agentic kennen und wie man agentische KI absichert.

Parth Narula
13 Min. Lesezeit
  • Defense
  • Ai Security
  • Prompt Injection
  • Llm
  • Agentic Ai
Diesen Artikel teilen:

TL;DR

Prompt-Injection-Schutz ist Verteidigung in der Tiefe, kein Patch. Die Grundursache ist architektonisch: Ein Sprachmodell kann Entwickleranweisungen nicht von Nutzerdaten trennen, wenn beide im selben Token-Stream leben. Die funktionierende Strategie stapelt vier Schichten, Eingabe-Guardrails, System-Prompt-Härtung, Alignment-Training und Ausgabe-Guardrails, und begrenzt dann den Schadensradius mit dem Prinzip der geringsten Rechte, Protokollierung und menschlicher Freigabe für riskante Aktionen. Jede Schicht hat einen dokumentierten Bypass, also kann keine übersprungen werden.

Dies ist Teil 3 einer dreiteiligen Serie, und er steht für sich allein. Sie müssen Teil 1: Die Grundlage oder Teil 2: Das Angriffsplaybook nicht gelesen haben, um ihm zu folgen, auch wenn sie alles hier schärfen werden. Wenn Sie ein Entwickler sind, ist dies Ihr Bauplan. Wenn Sie ein Bug-Bounty-Jäger sind, macht das Verständnis von Abwehrmaßnahmen Ihre Angriffe schärfer.

Jedes KI-Unternehmen behauptet, sein Chatbot sei sicher. Jedes einzelne von ihnen irrt sich, zumindest ein wenig. Ich habe Unternehmen dabei beobachtet, wie sie einen Schlüsselwortfilter an ihre KI schraubten, verkündeten, sie seien "prompt-injection-sicher", und diesen Filter innerhalb von zwanzig Minuten Testen verloren. Dieser Artikel ist die Verteidigerhälfte der Geschichte, und er ist ehrlich darüber, was funktioniert, was nicht und warum.

Warum Schutz Verteidigung in der Tiefe ist, kein Patch

Um zu verstehen, warum Prompt Injection nicht einfach gepatcht werden kann, müssen Sie sich daran erinnern, was ein großes Sprachmodell ist. Schälen Sie das Marketing weg, und ein LLM ist eine statistische Vorhersagemaschine, dieselbe Art Next-Token-Rater wie die Autovervollständigung Ihres Telefons, hochskaliert, um Absätze aus Mustern vorherzusagen, die über den Großteil des Internets gelernt wurden.

In traditioneller Software werden Code und Daten getrennt gehalten. SQL hat eine Abfragesprache und separate Eingabeparameter, und Daten können nicht als Code ausgeführt werden, wenn das System korrekt gebaut ist. Große Sprachmodelle haben keine solche Mauer. Der System-Prompt des Entwicklers, die Nachricht des Nutzers und jeder externe Inhalt, den das Modell liest, werden alle in eine durchgehende Folge von Tokens zusammengeführt. Wenn ein Stück Nutzereingabe wie eine Anweisung aussieht, folgt ihr das Modell möglicherweise. Nicht weil es getäuscht wurde. Weil es keinen Mechanismus hat, um den Unterschied zu erkennen.

Genau diese eine Tatsache ist der Grund, warum Prompt Injection auf Platz eins der OWASP Top 10 für LLM-Anwendungen steht, warum gemeldete Erfolgsraten von Angriffen zwischen 50 und 84 Prozent liegen und warum Spitzenmodelle trotz ihrer besten Abwehrmaßnahmen anfällig bleiben. Es ist kein Fehler, der auf einen Patch wartet. Es ist die Architektur. Also hören Verteidiger auf, den Fehler entfernen zu wollen, und beginnen, Schichten um ihn herum zu bauen.

Die 4 Schichten der KI-Verteidigung

Die meisten KI-Anwendungen haben vier Verteidigungsschichten, von denen jede gegen verschiedene Angriffstypen schützt. Denken Sie an die Flughafensicherheit. Schicht 1 ist der Metalldetektor am Eingang, der Eingabe-Guardrail. Schicht 2 ist die Bordkarte, die festlegt, wohin Sie gehen dürfen, der System-Prompt. Schicht 3 ist das Training des Piloten, das gefährliche Manöver verhindert, das ins Modell eingebackene Alignment. Schicht 4 ist der Air Marshal, der auf Probleme achtet, sobald Sie bereits im Flugzeug sind, der Ausgabe-Guardrail.

Ein Diagramm der vier Schichten der KI-Verteidigung: Eingabe-Guardrails, System-Prompt-Härtung, Alignment-Training und Ausgabe-Guardrails, jeweils mit ihren Bypass-Methoden beschriftet
Keine einzelne Schicht stoppt jede Bedrohung, aber das Stapeln aller vier macht die Aufgabe eines Angreifers deutlich schwerer. Jede Schicht unten hat einen dokumentierten Bypass, was genau der Grund ist, warum keine von ihnen übersprungen werden kann.

Schicht 1: Eingabe-Guardrails

Eingabe-Guardrails inspizieren den Prompt des Nutzers, bevor er das Modell überhaupt erreicht. Zeichenbasierte Validierung verwendet eine Regex, um erlaubte Zeichen auf eine Whitelist zu setzen, was für einen Taschenrechner funktioniert, aber für einen allgemein einsetzbaren Chatbot nutzlos ist. Inhaltsbasierte Validierung filtert nach Bedeutung statt nach Zeichen, oft mithilfe eines kleineren Klassifikatormodells, um zu beurteilen, ob die Absicht hinter einer Nachricht bösartig ist. Das fängt weitaus mehr ab, kostet aber bei jeder einzelnen Anfrage Latenz und Geld.

Der grundlegende Kompromiss ist unvermeidlich: Strikte Schlüsselwortfilter sind mit Kodierung oder Paraphrasierung trivial zu umgehen, während semantische Filter schwerer zu täuschen, aber langsamer und anfällig für Fehlalarme sind. Deshalb werden so viele Produktivsysteme mit schwachen Filtern ausgeliefert, und deshalb findet ein Angreifer, der Base64, Unicode-Einfügung oder eine andere Sprache versucht, normalerweise eine Lücke. Ein Eingabe-Guardrail ist eine Bremsschwelle, keine Mauer.

Schicht 2: System-Prompt-Härtung

Der System-Prompt ist der direkteste Hebel des Entwicklers, und drei Techniken härten ihn gegen die nicht vertrauenswürdigen Daten, die durch denselben Stream fließen. Abgrenzung markiert die Grenze zwischen vertrauenswürdigen Anweisungen und nicht vertrauenswürdigen Eingaben mit speziellen Symbolen und weist das Modell an, Anweisungen, die dazwischen gefunden werden, niemals zu befolgen. Datamarking geht weiter und fügt ein spezielles Zeichen zwischen jedes Wort nicht vertrauenswürdiger Eingaben ein, sodass es syntaktisch von Anweisungen unterscheidbar ist. Kodierung nimmt nicht vertrauenswürdige Eingaben und kodiert sie, typischerweise in Base64, und weist das Modell an, zu dekodieren und zusammenzufassen, aber dekodierten Text niemals als neue Anweisungen zu behandeln.

Keine davon ist narrensicher. Eine ausreichend kreative Payload kann immer noch innerhalb von Abgrenzungen funktionieren, und ein Modell kann dazu überredet werden, Datamarking zu ignorieren. Aber jede einzelne erhöht die Kosten eines erfolgreichen Angriffs, und das Erhöhen der Kosten ist der ganze Sinn. Microsofts Forschung zu diesen Spotlighting-Techniken ist die klarste Darstellung davon, wie weit System-Prompt-Härtung Sie bringen kann und wie weit nicht.

Schicht 3: Alignment-Training und Feinabstimmung

Das ist die Verteidigung, die in die Gewichte des Modells eingebacken ist, statt in den Anwendungscode darum herum. Feinabstimmung trainiert ein allgemein einsetzbares Modell weiter auf domänenspezifischen Daten, sodass ein Support-Modell, das nur auf Support-Tickets feinabgestimmt ist, sich auf natürliche Weise dagegen wehrt, zweckentfremdet zu werden, einfach weil seine Trainingsverteilung den Missbrauch nicht abdeckt. Je enger die Feinabstimmung, desto kleiner die Fläche.

Adversariales Prompt-Training ist eine der wirksamsten heute verfügbaren Minderungen. Das Modell wird auf bekannten Prompt-Injection- und Jailbreak-Payloads als negative Beispiele trainiert, so wie ein Impfstoff ein Immunsystem auf einen abgeschwächten Erreger trainiert. Die Beschränkung ist offensichtlich, sobald sie ausgesprochen ist: Adversariales Training schützt nur gegen Muster, die das Modell bereits gesehen hat, sodass neuartige Payloads hindurchsegeln. Deshalb ist regelmäßiges Red Teaming nicht optional, es ist der einzige Weg, die Abwehrmaßnahmen des Modells aktuell zu halten. Prompt Engineering als Verteidigung, dem Modell einfach zu sagen "gib niemals Geheimnisse preis", ist die häufigste Minderung und auch die schwächste, trivial durch Rollenspiel oder Kodierung umgangen. Es gehört in den Stack, niemals als einzige Schicht.

Schicht 4: Ausgabe-Guardrails

Ausgabe-Guardrails scannen die Antwort des Modells, bevor sie den Nutzer erreicht. Wenn die Antwort einen System-Prompt, einen API-Schlüssel, persönliche Daten oder schädliche Inhalte enthält, wird sie blockiert. Der Bypass ist in seiner Einfachheit elegant: Bitten Sie das Modell, seine eigene Ausgabe zu kodieren, und ein Guardrail, der nach Klartext-Geheimnissen scannt, sieht eine Zeichenkette aus Base64 und winkt sie durch, während der Angreifer das Ergebnis auf seiner Seite dekodiert.

Ausgefeiltere Guardrails nutzen KI-basierte Klassifizierung, das Muster "LLM als Richter", bei dem ein zweites Modell bewertet, ob die Eingabe oder Ausgabe des primären Modells bösartig ist. Das fügt echten Schutz hinzu, verdoppelt aber die Rechenkosten und führt eine neue Angriffsfläche ein. Wenn das Richter-Modell selbst anfällig für Prompt Injection ist, kann ein Angreifer es dazu überreden, bösartige Inhalte zu genehmigen. Die Verteidigung gegen KI-Angriffe ist eine weitere KI, die ebenfalls angegriffen werden kann. Das ist der aktuelle Stand des Feldes, und es lohnt sich, einen Moment damit zu verweilen.

Eine Verteidigungs-Checkliste für Entwickler

Wenn Sie irgendetwas mit einem LLM in der Schleife bauen, hier ist der Mindest-Stack, als Fließtext geschrieben, weil jeder Punkt von den anderen abhängt. Beginnen Sie mit Eingabefilterung, die einen semantischen Klassifikator mit einer Schlüsselwort-Blockliste kombiniert, im Wissen, dass Kodierung sie immer noch umgehen kann. Fügen Sie System-Prompt-Härtung durch Abgrenzung oder Datamarking hinzu, im Wissen, dass kreative Rahmung immer noch durchkommen kann. Setzen Sie das Prinzip der geringsten Rechte durch, sodass das Modell nur die Tools und Daten berühren kann, die es strikt benötigt, was einen Angriff nicht stoppt, aber den Schadensradius begrenzt, wenn einer gelingt, dasselbe Prinzip hinter Zero Trust.

Fügen Sie dann Ausgabefilterung mit einem KI-basierten Scanner plus Erkennung persönlicher Daten hinzu, im Wissen, dass kodierte Ausgabe daran vorbeischlüpfen kann. Wenden Sie Rate Limiting pro Nutzer pro Zeitfenster an, im Wissen, dass langsame verteilte Angriffe darum herum führen. Protokollieren Sie jeden Prompt und jede Antwort, denn Protokollierung ist der Unterschied zwischen dem Erwischen eines Angriffs in Minuten gegenüber Monaten. Verlangen Sie einen Menschen in der Schleife für risikoreiche Aktionen wie Rückerstattungen, im Wissen, dass ein Angreifer auch versuchen kann, den Prüfer per Social Engineering zu beeinflussen. Und betreiben Sie Red Teaming nach einem wiederkehrenden Zeitplan, denn ständig entstehen neue Techniken. Kein einzelner Punkt ist ausreichend. Setzen Sie sie alle um, und kalkulieren Sie ein, dass selbst sie alle zusammen nicht perfekt sein werden.

Die Angriffsfläche jenseits des Chatfelds

Die meisten Menschen stellen sich Prompt Injection als etwas vor, das innerhalb eines Chatfensters geschieht. Die echte Angriffsfläche ist weitaus größer, und das meiste davon hat nichts mit einem Chatfeld zu tun. Ich denke darüber als sieben Schichten, und das Chatfeld ist ein kleines Stück einer von ihnen.

Die Schnittstellenschicht sind lokale LLM-Laufzeitumgebungen wie Ollama, Llama.cpp und LM Studio, oft über HTTP ohne Authentifizierung exponiert und über einfache Such-Dorks auffindbar. Die Agenten- und Orchestrierungsschicht sind Workflow-Engines und Chat-UIs wie n8n, Flowise, Open WebUI und LibreChat, die Chatverläufe leaken oder zu Server-Side Request Forgery verleitet werden können. Die Daten- und Speicherschicht sind Vektorspeicher wie Chroma, Weaviate und Qdrant, wo eine offene Sammlung vergiftet werden kann, um zu beeinflussen, was eine KI abruft und dem sie vertraut. Die ML-Engineering-Schicht sind Dashboards wie Ray, MLflow und ClearML, häufig ohne Authentifizierung bereitgestellt. Die Gateway- und Telemetrieschicht sind LLM-Gateways wie LiteLLM und Langfuse, die vor dem gesamten Modellverkehr sitzen. Die Artefakt- und Plug-in-Schicht sind Modell-Hubs und MCP-Server, wo ein einziges kompromittiertes Plug-in jeden Agenten vergiften kann, der sich verbindet. Und die Identitätsschicht sind exponierte API-Schlüssel der großen Anbieter, jeder mit einem eindeutigen, leicht durchsuchbaren Muster. Sieben Schichten, und das Chatfeld ist nur die sichtbare Spitze.

OWASP Top 10: das Framework, das zählt

Drei separate OWASP Top 10-Listen decken nun KI-Sicherheit ab, und das Verständnis aller drei gibt Ihnen ein vollständiges Bedrohungsmodell. Die LLM Top 10 ist die ursprüngliche: Prompt Injection auf Platz eins, gefolgt von der Offenlegung sensibler Informationen, Supply-Chain-Angriffen, Daten- und Modellvergiftung, unsachgemäßer Ausgabeverarbeitung, exzessiver Handlungsmacht, System-Prompt-Leck, Schwächen bei Vektoren und Embeddings, Fehlinformation und unbegrenztem Verbrauch.

Die MCP Top 10 deckt das Model-Context-Protocol-Ökosystem ab: Token-Missmanagement, Privilegienerweiterung durch Scope Creep, Tool-Vergiftung, Supply-Chain-Angriffe, Command Injection, kontextuelle Prompt Injection, unzureichende Authentifizierung, fehlende Audit-Protokollierung, Schatten-MCP-Server und Kontext-Übermittlung. Die Agentic Top 10 deckt autonome Agenten ab: Ziel-Hijacking, Tool-Missbrauch, Identitäts- und Privilegienmissbrauch, Supply-Chain-Kompromittierung, unerwartete Codeausführung, Speicher- und Kontextvergiftung, unsichere Kommunikation zwischen Agenten, kaskadierende Ausfälle, Ausnutzung menschlichen Vertrauens und abtrünnige Agenten. Es gibt darunter auch eine dedizierte ML Top 10 für klassische Machine-Learning-Risiken wie Datenvergiftung, Modellinversion, Membership Inference und Modelldiebstahl. Wenn Sie ein Tester sind, ordnen Sie jeden Befund einer dieser Kategorien zu. Wenn Sie ein Entwickler sind, behandeln Sie alle vier Listen als Ihr Bedrohungsmodell, nicht nur die erste.

Die stärkste Verteidigung ist kein cleverer Filter. Sie ist eine architektonische Entscheidung: niemals einem System gleichzeitig private Daten, nicht vertrauenswürdige Inhalte und einen externen Kanal geben.

Parth Narula·Bug-Bounty-Mentor, Unihackers

Agentische KI: die nächste Grenze

Alles oben gilt für einen einfachen Chatbot, der Fragen beantwortet. Die Branche bewegt sich schnell in Richtung agentische KI, und der Einsatz steigt um eine Größenordnung. Agentische Systeme sind nicht nur Chatbots. Sie browsen im Web, senden E-Mails, führen Code aus, ändern Dateien, tätigen API-Aufrufe und sprechen mit anderen Agenten. Verbinden Sie diese Reichweite mit einer Prompt Injection, und die Wirkung verschiebt sich von "das Modell hat etwas Peinliches gesagt" zu "das Modell hat Produktionsdaten gelöscht" oder "das Modell hat Firmengeheimnisse an eine externe Adresse gemailt".

Hier wird die tödliche Trifecta für Verteidiger essenziell, nicht nur für Angreifer. Jedes agentische System, das gleichzeitig Zugriff auf private Daten hat, nicht vertrauenswürdigen Inhalten ausgesetzt ist und extern kommunizieren kann, ist trivial ausnutzbar. Die Lösung ist kein cleverer Filter, sie ist das Entfernen eines Beins des Dreiecks.

Die tödliche Trifecta aus Sicht eines Verteidigers: Zugriff auf private Daten, Exposition gegenüber nicht vertrauenswürdigen Inhalten und externe Kommunikation, die sich zu einem durch Design ausnutzbaren System verbinden
Wenn Ihr Agent nicht vertrauenswürdige Inhalte liest, geben Sie ihm nicht auch einen allgemein einsetzbaren externen Kommunikationskanal. Das Entfernen eines einzelnen Beins bricht die Kette. Das ist die Entscheidung mit dem größten Hebel, die ein Entwickler treffen kann.

Multi-Hop-Indirekt-Angriffe, bei denen eine Payload durch mehrere Agenten läuft, bevor sie auslöst, nehmen schnell zu, und KI-Würmer, die sich selbst über verbundene Systeme ausbreiten, wurden bereits in kontrollierter Forschung demonstriert. Das klarste öffentliche Beispiel für agentisches Risiko bisher ist die Operation GTG-1002, die ich in wie Hacker KI nutzen aufgeschlüsselt habe: Angreifer verdrahteten einen Agenten auf einer Kali-Linux-Maschine, exponierten offensive Tools über MCP und ließen ihn Aufklärung, Ausnutzung und laterale Bewegung weitgehend selbstständig durchführen. Die Gefahr skalierte mit der Autonomie, nicht mit der rohen Modellleistung. Für Bug-Bounty-Jäger ist hier, wo die echten Auszahlungen liegen. Eine Prompt Injection, die einen System-Prompt leakt, ist informativ. Eine, die einen Agenten dazu bringt, eine unautorisierte Rückerstattung auszustellen oder eine Datenbank zu löschen, ist kritisch. Dieselbe zugrunde liegende Fähigkeit, dramatisch höherer Einsatz.

Eine Test-Checkliste für Jäger

Wenn Sie eine KI-Anwendung auf Prompt Injection testen, arbeiten Sie diese Reihenfolge durch und dokumentieren Sie alles, im Bewusstsein, dass dieselbe Payload möglicherweise nicht zweimal funktioniert, also wiederholen Sie jede Technik dreimal und justieren Sie die Formulierung. Beginnen Sie mit der Aufklärung: Identifizieren Sie das Modell und seine Architektur, wofür es feinabgestimmt ist, welche Tools es aufrufen kann und jeden Eingabekanal einschließlich Text, Dateien, Bildern und URLs. Gehen Sie zur direkten Injection über: Extrahieren Sie den System-Prompt durch direkte und indirekte Techniken, testen Sie Kodierungs-Bypässe über Base64, ROT13, Hex und l33t-Speak, testen Sie Sprachwechsel, testen Sie Rollenspiel und Persona-Hijacking und testen Sie Eskalation über mehrere Runden über fünf oder mehr Runden.

Testen Sie dann indirekte Injection durch verborgenen Text in PDFs, HTML-Kommentaren und Weiß-auf-Weiß-Text, und testen Sie Ausgabe-Kodierungs-Bypässe, indem Sie das Modell bitten, seine Antworten zu kodieren. Eskalieren Sie schließlich: Testen Sie Tool- und Aktionsmissbrauch einschließlich Rogue-Aktionen und Server-Side Request Forgery, testen Sie Markdown-Injection durch Bild-Tags zur Datenexfiltration und verketten Sie drei oder mehr Techniken in eine einzige Payload für maximale Wirkung. Das vollständige offensive Detail für jede einzelne davon lebt in Teil 2: Das Angriffsplaybook. Dokumentieren Sie alles, machen Sie von allem Screenshots und berichten Sie mit klaren Reproduktionsschritten und demonstrierter Wirkung.

Hier ist die Wahrheit, die Ihnen niemand sagt

Wir rasen darum, autonome Agenten einzusetzen, die reale Aktionen ausführen, auf einem Fundament, von dem jeder im Feld weiß, dass es kaputt ist. Der Architekturfehler, der Prompt Injection möglich macht, wurde nicht gelöst, und er wurde nicht einmal teilweise gelöst. Jede Abwehrmaßnahme in diesem Artikel ist ein Pflaster auf dieser Wunde, und die Angriffsfläche wächst schneller, als die Pflaster aufgebracht werden können.

Das bedeutet nicht, dass Verteidigung sinnlos ist. Verteidigung in der Tiefe funktioniert wirklich: Sie macht Angriffe langsamer, schwerer und weitaus besser erkennbar, und gegen die meisten Angreifer reicht das, um zu gewinnen. Dieses Feld wickelt sich nicht ab, es expandiert. Die Zahl der KI-integrierten Anwendungen wächst exponentiell, und die Zahl der Menschen, die wissen, wie man sie testet oder verteidigt, hält nicht Schritt. Diese Lücke ist die Chance, auf welcher Seite des Tisches Sie auch sitzen.

Fazit

Prompt Injection ist die bestimmende Schwachstelle der KI-Ära, so wie SQL-Injection die Ära der Webanwendungen definierte. Anders als bei SQL-Injection gibt es kein Äquivalent zu einem Prepared Statement, denn die Grundursache ist das Fehlen einer Grenze zwischen Anweisungen und Daten im Modell selbst. Das Beste, was irgendjemand tun kann, ist Schichten stapeln, aggressiv überwachen, einschränken, was Agenten berühren können, und Angreifern voraus bleiben, die nur eine Lücke brauchen.

Wenn das entmutigend klingt, drehen Sie es um. Jedes System, das heute überstürzt in Produktion gebracht wird, ist ein künftiges Testziel, ein künftiges Bug Bounty, eine künftige Forschungsarbeit. Die Teams, die das Gerüst verstehen und bewusst entscheiden, wo ein Mensch in der Schleife bleiben muss, sind diejenigen, die die Kontrolle behalten, während Agenten mehr von der Arbeit übernehmen. Genau diese Denkweise bauen wir im Unihackers-Cybersecurity-Bootcamp auf. Gehen Sie testen. Gehen Sie bauen. Machen Sie KI-Systeme sicherer als die, die Sie vorgefunden haben.

Bleiben Sie auf der Jagd. Bleiben Sie neugierig.

Über den Autor
Parth Narula, Cybersecurity Mentor at Unihackers
Parth Narula

Bug-Bounty-Mentor bei Unihackers

Autor von CVE-2025-56697 · Anerkannt von WHO, UNESCO, BBC, Cambridge und Boeing

Parth hat WHO, UNESCO, BBC, Boeing, Cambridge, Sheffield, Deutsche Börse, BASF, Michelin und Philips gehackt, legal, und über 250 Hall-of-Fame-Einträge, die das beweisen. Er ist Autor von CVE-2025-56697 (Stored XSS in der National Vulnerability Database des NIST), Gründer von ScriptJacker LLP und Platz 21 von 10.000 bei HackWithIndia 2026. Bei Unihackers unterrichtet er das Einzige, wofür Recruiter im Offensive Security wirklich zahlen: einen echten Bug finden, einen sauberen Report schreiben und dafür bezahlt werden. CEH v13, eJPTv2 und eWPTXv3.

Profil ansehen
Starten Sie Ihre Reise

Bereit, Ihre Cybersecurity-Karriere zu starten?

Schließen Sie sich Hunderten von Fachleuten an, die mit unserem praxisorientierten Bootcamp in die Cybersecurity gewechselt sind.

Starten Sie Ihre Reise

Bereit, Ihre Cybersecurity-Karriere zu starten?

Schließen Sie sich Hunderten von Fachleuten an, die mit unserem praxisorientierten Bootcamp in die Cybersecurity gewechselt sind.

Stunden
360+
Offene EU-Stellen
300K+
Durchschn. Gehalt
$85K
Das Bootcamp erkunden