ChatGPT Lockdown Mode: OpenAIs Schutzwall gegen Prompt-Injection-Angriffe

OpenAI hat am 6. Juni 2026 den Lockdown Mode für ChatGPT eingeführt. Mit einem einfachen Toggle können Nutzer die externen Netzwerkverbindungen des Assistenten einschränken — als direkte Reaktion auf eine Angriffsmethode, die mit der zunehmenden Verbreitung von KI-Tools in Unternehmen immer konkreter wird: Prompt Injection.

Das Prinzip von Prompt Injection ist schnell erklärt. Angreifer verstecken schädliche Anweisungen in Webseiten, PDF-Dateien oder E-Mail-Inhalten. Liest ChatGPT diesen Inhalt beim Browsen oder Zusammenfassen, könnte es die eingebetteten Befehle ausführen und dabei Gesprächsdaten an einen externen Server übermitteln oder Nutzer auf Phishing-Seiten umleiten. Seit 2023 sind Dutzende dokumentierter Fälle bekannt, und mit Agent Mode sowie Deep Research hat sich die Angriffsfläche deutlich vergrößert.

Was Lockdown Mode konkret deaktiviert

Nach dem Aktivieren läuft ChatGPT mit minimalen externen Netzwerkverbindungen.

Live-Webbrowsing wird deaktiviert; zugänglich bleiben nur zwischengespeicherte Inhalte. ChatGPT sendet keine neuen HTTP-Anfragen mehr, womit Angreifer Daten nicht über den Browsing-Pfad exfiltrieren können. Deep Research und Agent Mode werden ebenfalls deaktiviert, da beide Funktionen häufige externe Verbindungen benötigen und bei dokumentierten Angriffen am häufigsten ausgenutzt werden. Webbilder werden nicht geladen, Dateidownloads sind gesperrt. Manuell hochgeladene Dokumente funktionieren weiterhin normal.

Die Einstellung ist unkompliziert: Settings → Safety and security → Advanced security → Lockdown mode. Verfügbar für alle Kontoarten, einschließlich der kostenlosen Version.

Zum gleichen Update gehören Elevated Risk Labels: Erkennt ChatGPT sensible Daten im Gespräch, wird eine Warnung eingeblendet.

Die grundlegende Einschränkung

OpenAI benennt sie klar in der Ankündigung: Lockdown Mode verhindert nicht, dass schädliche Prompts durch ChatGPT verarbeitet werden. Wer eine PDF-Datei mit eingebetteten Angriffsbefehlen hochlädt, riskiert weiterhin, dass ChatGPT diese Befehle verarbeitet und möglicherweise ausführt.

Der Lockdown Mode schließt die Auswege für abgefangene Daten. Selbst wenn ein injizierter Befehl ausgeführt wird, fehlen die aktiven Netzwerkkanäle, über die Daten abfließen könnten. Injection auf der Eingabeseite zu blockieren ist technisch kaum umsetzbar — Sprachmodelle sind darauf ausgelegt, natürlichsprachliche Anweisungen zu verstehen und auszuführen. Die Absicherung der Ausgabekanäle ist die pragmatische Alternative.

Engadgets Analyse weist darauf hin, dass für die meisten Unternehmen das eigentliche Risiko in der Datenexfiltration liegt, und Lockdown Mode dieses Problem direkt adressiert.

Active Session Manager

Zum gleichen Update gehört der Active Session Manager: eine Übersicht aller Geräte, die aktuell im ChatGPT-Konto angemeldet sind, mit der Möglichkeit, einzelne Sitzungen per Klick zu beenden.

Google und Apple bieten diese Funktion seit Jahren an. Für Unternehmen mit gemeinsam genutzten ChatGPT-Business-Konten ist unbefugtes Teilen von Zugangsdaten oder Kontodiebstahl häufig die realistischere Sicherheitsschwachstelle. Hier setzt der Session Manager direkt an.

Für wen lohnt sich der Lockdown Mode?

OpenAIs Zielgruppe ist klar definiert: “Personen und Organisationen, die täglich mit sensiblen Daten arbeiten.” Praktisch bedeutet das: Anwälte, die Falldokumente in ChatGPT aufbereiten, Verwaltungskräfte im Gesundheitswesen, die Patientenakten zusammenfassen, Analysten, die Finanzberichte vorstrukturieren. In diesen Szenarien überwiegt der Sicherheitsgewinn klar gegenüber dem Verlust von Agent Mode oder Deep Research.

Für allgemeine Nutzer sieht die Kosten-Nutzen-Rechnung anders aus. Wer ChatGPT hauptsächlich für E-Mails oder Recherchen nutzt, braucht die gesperrten Funktionen selten — und das Risiko, Ziel eines Prompt-Injection-Angriffs zu werden, ist entsprechend gering.

OpenAIs Entscheidung, Lockdown Mode als Opt-in zu gestalten, ist richtig. Wer den Schutz braucht, bekommt ihn. Wer ihn nicht braucht, verliert keine Funktionen. Sicherheitsdesign ist immer eine Abwägung, und diese ist an der richtigen Stelle gezogen.

Wenn dieser Artikel hilfreich war, abonniere den Newsletter für wöchentliche KI-PM-Einblicke.