Menü
03. Februar 2026

Studie warnt: Über 175.000 Ollama-KI-Instanzen weltweit offen im Internet erreichbar

Immer mehr Menschen betreiben KI-Modelle auf eigener Hardware. Das ist praktisch, spart Kosten und bringt Unabhängigkeit von großen Plattformen. Problematisch wird es allerdings, wenn solche Systeme ohne Schutzmechanismen direkt aus dem Internet erreichbar sind. Eine aktuelle Untersuchung zeigt: Weltweit sind sehr viele selbst gehostete KI-Instanzen öffentlich zugänglich – teils mit Funktionen, die weit über „nur Text generieren“ hinausgehen. Das kann erhebliche Folgen für Datenschutz, Missbrauch und Governance haben.

Studie: Über 175.000 öffentlich erreichbare Ollama-Instanzen

Ein Forschungsbericht von SentinelLABS in Zusammenarbeit mit dem Cybersicherheitsunternehmen Censys beleuchtet die Größenordnung offener KI-Infrastrukturen. Demnach sind weltweit mehr als 175.000 Instanzen des Open-Source-Frameworks Ollama über das Internet erreichbar – häufig ohne Zugangsbeschränkungen und ohne erkennbares Sicherheits-Monitoring.

Damit entstehen KI-Systeme, die außerhalb der üblichen Schutzmechanismen zentraler Plattformen betrieben werden. In der Summe ergibt sich eine neue, schwer regulierbare Schicht verteilter KI-Rechenleistung, die im Zweifel von Dritten mitgenutzt oder missbraucht werden kann.

Große Angriffsfläche durch Dauerbetrieb und Tool-Calling

Die Forscher haben über knapp zehn Monate hinweg öffentlich erreichbare Ollama-Hosts untersucht und dabei mehr als 7,2 Millionen Beobachtungen in 130 Ländern dokumentiert. Dabei zeigt sich ein typisches Muster: Viele Instanzen sind nur kurzzeitig online, gleichzeitig gibt es jedoch einen stabilen Kern von rund 23.000 dauerhaft erreichbaren Systemen, der einen Großteil der Aktivität ausmacht.

Gerade diese ständig verfügbaren Instanzen sind aus Sicherheitssicht besonders kritisch. Laut Bericht bieten viele von ihnen Funktionen wie „Tool Calling“ – also die Fähigkeit, externe Tools oder Dienste anzusprechen und in bestimmten Setups sogar Code auszuführen. Das erweitert die Einsatzmöglichkeiten, vergrößert aber auch die potenzielle Angriffsfläche erheblich.

Technisch homogen – und dadurch attraktiver für gezielte Angriffe

Obwohl die Infrastruktur weltweit verteilt ist, wirkt sie technisch überraschend einheitlich. Ein großer Teil der Systeme setzt auf dieselben Modellfamilien und identische Quantisierungsformate, besonders häufig auf das verbreitete Format „Q4_K_M“.

Diese Standardisierung ist einerseits praktisch, weil sie die Nutzung auf handelsüblicher Hardware erleichtert. Andererseits kann sie das Ökosystem anfälliger machen: Wenn Angreifer eine typische Schwachstelle oder einen häufigen Fehlkonfigurations-Blueprint identifizieren, lässt sich so etwas leichter in die Breite ausnutzen.

Viele Systeme laufen in Heimnetzen statt in Rechenzentren

Ein weiterer Aspekt: Ein erheblicher Anteil der untersuchten Instanzen steht offenbar nicht in großen Cloud- oder Enterprise-Umgebungen, sondern in Heimnetzen oder bei kleineren Hosting-Anbietern. Das erschwert die Zuordnung und die Kontaktaufnahme, wenn es zu Missbrauch kommt.

Zugleich werden dadurch gängige Sicherheits- und Governance-Mechanismen umgangen, die man von Plattformanbietern kennt – etwa strukturierte Abuse-Prozesse, standardisierte Sperrmechanismen oder zentral durchgesetzte Sicherheitsvorgaben.

Welche Risiken entstehen – und was Verantwortliche jetzt beachten sollten

Die Studie warnt vor einer wachsenden Bedrohung durch ungeschützte, automatisierungsfähige KI-Endpunkte. Denkbare Szenarien reichen von Prompt-Injection und Identitätsverschleierung bis hin zur Zweckentfremdung der Rechenleistung, etwa für Spam- oder Desinformationskampagnen. Der entscheidende Punkt: Solche Aktivitäten müssten künftig nicht mehr über wenige zentrale Plattformen laufen, sondern könnten dezentral über viele Einzelinstanzen stattfinden – deutlich schwerer zu erkennen und nachzuverfolgen.

Die klare Empfehlung daraus: Wer lokale KI-Systeme betreibt, sollte sie sicherheitstechnisch wie klassische Server behandeln. Dazu gehören unter anderem Zugriffskontrollen, Monitoring, saubere Exponierung (oder besser gar keine direkte Internetfreigabe) sowie klar definierte Zuständigkeiten für Betrieb und Incident Response.

Zurück zum Blog

Weitere News

31. März 2026

Bundesregierung beschleunigt Rechenzentrums-Ausbau: Neue Strategie setzt auf schnellere Genehmigungen, grüne Energie und digitale Souveränität

Die Bundesregierung will den Ausbau von Rechenzentren in Deutschland deutlich beschleunigen und hat dafür eine umfassende Rechenzentrumsstrategie beschlossen. Hintergrund ist der stark steigende Bedarf an Rechenleistung – vor allem durch Künstliche Intelligenz, Cloud-Services und High-Performance-Computing (HPC). Im Mittelpunkt stehen schnellere Genehmigungsprozesse, eine verlässlichere Energieversorgung und mehr technologische Souveränität. Das dürfte sich direkt auf Planung, Betrieb […]

11. März 2026

Cisco schließt 48 Firewall-Schwachstellen: Zwei FMC-Lücken mit CVSS 10 erfordern sofortige Patches

Überblick: Cisco behebt zahlreiche Schwachstellen in Firewall-Produkten Cisco hat mehrere kritische Sicherheitslücken in seinen Firewall-Lösungen geschlossen. Insgesamt veröffentlichte der Hersteller 25 Security Advisories, die sich auf 48 Schwachstellen in den Plattformen Secure Firewall Adaptive Security Appliance (ASA), Secure Firewall Threat Defense (FTD) sowie im zentralen Managementsystem Secure Firewall Management Center (FMC) beziehen. Zwei der Lücken […]

05. März 2026

NRW.BANK-Förderung: bis zu 15.000 € für Ihre IT-Projekte – wir unterstützen Sie!

Wir möchten Sie auf eine aktuelle Fördermaßnahme der NRW.BANK aufmerksam machen, die kleine und mittlere Unternehmen in NRW bei geplanten Vorhaben finanziell unterstützen kann – insbesondere bei Digitalisierung, IT-Projekten und Innovationsvorhaben. Je nach Art des Vorhabens sind Fördermittel von bis zu 15.000 € möglich – und sogar bis zu 48.000 €, wenn Sie Nachwuchskräfte zur […]

03. März 2026

Microsoft eröffnet in München neues „Sovereignty & Digital Resilience Studio“ für mehr Datensouveränität

Wer die Kontrolle über die eigenen Daten behalten möchte, gleichzeitig aber moderne Cloud- und KI-Dienste nutzen will, landet schnell in einem klassischen Spannungsfeld. Microsoft will hier einen Ausweg anbieten und hat dafür in München ein neues Zentrum eröffnet, das strategische Fragen und technische Umsetzung enger zusammenbringt. Neues „Sovereignty & Digital Resilience Studio“ in München Microsoft […]

24. Februar 2026

TrustConnect enttarnt: Malware-as-a-Service tarnt sich als Fernwartungs-Tool

Fernwartung als trojanisches Pferd: Wenn ein Admin-Tool in Wirklichkeit Malware ist Proofpoint warnt vor einer neuen Malware-as-a-Service mit dem Namen „TrustConnect“. Auf den ersten Blick wirkt TrustConnect wie ein gewöhnliches Remote-Monitoring-and-Management-Tool (RMM). Tatsächlich steckt dahinter jedoch ein Remote-Access-Trojaner (RAT), der Angreifern weitreichenden Fernzugriff auf kompromittierte Systeme verschafft. Für IT-Admins ist das besonders heikel, weil die […]

16. Februar 2026

Angespannte Marktsituation in der IT: Was Unternehmen jetzt wissen sollten

Die aktuelle Marktsituation in der IT-Branche ist deutlich angespannt – und die Auswirkungen sind bereits spürbar. Massive Engpässe und deutliche Preissprünge bei zentralen Komponenten wie Arbeitsspeicher (RAM), SSDs und CPUs betreffen inzwischen alle relevanten Hersteller und ziehen sich durch die gesamte Lieferkette. Ursachen der aktuellen Entwicklung Mehrere Faktoren treffen derzeit gleichzeitig aufeinander: Globale Produktionsengpässe bei […]