Lockdown Mode für alle: OpenAI zieht deterministische Schalter gegen Prompt Injection ein

Was ist passiert

Am 6. Juni hat OpenAI den im Februar zunächst für Enterprise-, Edu-, Healthcare- und Teachers-Workspaces eingeführten Lockdown Mode auf Self-Serve-Business-Konten und berechtigte Privatkonten ausgeweitet. Aktiviert beschränkt der Modus Browsing auf zwischengespeicherte Inhalte — keine Live-Netzwerkanfrage verlässt OpenAIs kontrolliertes Netz —, schaltet den Abruf von Web-Bildern, Deep Research und den Agent Mode ab und lässt Workspace-Admins per Rolle festlegen, welche Apps und welche einzelnen Aktionen darin verfügbar bleiben. Parallel kennzeichnet OpenAI risikobehaftete Fähigkeiten wie den Netzwerkzugriff von Codex einheitlich mit einem „Elevated Risk“-Label in ChatGPT, Atlas und Codex.

Einordnung

Bemerkenswert ist die Ehrlichkeit der Konstruktion. OpenAI sagt selbst, dass ChatGPT auch im Lockdown Mode verwundbar für Prompt Injection bleibt — etwa über zwischengespeicherte Web-Inhalte oder hochgeladene Dateien. Der Modus verhindert nicht die Injektion, er kappt den Exfiltrationskanal: Wo keine Live-Anfrage das Netz verlässt, kann eine untergeschobene Anweisung keine Daten an einen Angreifer tragen. OpenAI nennt Prompt Injection in der eigenen Dokumentation ein offenes Forschungsproblem — und legt deshalb neben die modellseitigen Schutzschichten eine deterministische Garantie auf Systemebene. Genau diese Einsicht stand bislang vor allem in Forschungsblogs, nicht in Produkt-Einstellungen.

Bedeutung für den Mittelstand

Die Gefährdungslage ist keine theoretische: Sobald ein ChatGPT-Konto Connectors auf SharePoint, Drive oder das Postfach hat und gleichzeitig im Web browst, liegen vertrauliche Daten und nicht vertrauenswürdige Inhalte im selben Kontext — die klassische Voraussetzung für Exfiltration per Prompt Injection. Bisher gab es dagegen vor allem Vertrauen in OpenAIs Filter. Jetzt gibt es einen harten Schalter, und mit der Ausweitung auf Self-Serve-Business-Konten erstmals auch für Häuser ohne Enterprise-Vertrag — mit einer wichtigen Einschränkung: Auf Self-Serve- und Privatkonten ist Lockdown Mode ein Selbstbedienungs-Toggle, den Nutzer pro Chat wieder abschalten können. Zentral durchsetzen lässt er sich nur in Managed Workspaces über Rollen.

Datenschutzrechtlich ist das keine Komfort-, sondern eine Pflichtfrage: Ein per Injection ausgeleiteter Kundendatensatz ist eine meldepflichtige Datenpanne, und die Auswahl technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO muss den Stand der Technik abbilden. Wenn der Anbieter selbst einen Schutzmodus für Konten mit sensiblen Daten bereitstellt, wird es schwer zu begründen, warum exponierte Rollen — Geschäftsführung, Finanzbuchhaltung, Personal — ohne ihn arbeiten. Die Elevated-Risk-Labels liefern dafür nebenbei eine brauchbare Risikodokumentation für die Datenschutz-Folgenabschätzung. Zwei Dinge ändert der Modus ausdrücklich nicht: weder die Memory- noch die Trainings-Einstellungen — beides bleibt separat zu konfigurieren — und auch nicht den Drittland-Befund. EU-Data-Residency bietet OpenAI nur für die Datenhaltung at rest in neuen Enterprise- und Edu-Workspaces; die Inferenz läuft nach OpenAIs eigener Dokumentation weiterhin in den USA.

Bedeutung für die technische Entwicklung

Im Schichtenbild der letzten Wochen ist das die nächste Etage: Nach Identität (NVIDIA OpenShell), Ausführung (Microsoft MXC) und Gedächtnis (Dreaming V3) bekommt jetzt die Fähigkeits-Governance des Agenten-Stacks eine eigene, deterministische Schicht. Der Trend ist konsistent — Sicherheit wandert aus dem Modell in das Harness, das den Agenten betreibt.

Für eigene Agenten-Architekturen ist das Muster direkt übertragbar: Fähigkeiten gehören in abgestufte Profile, Netzwerkzugriff hinter Egress-Allowlists — OpenAI führt das bei Codex mit Domain-Listen und erlaubten HTTP-Methoden vor; dessen Netzwerkzugriff bleibt von Lockdown Mode übrigens unberührt und wird separat gesteuert —, und die Entscheidung, welches Profil gilt, trifft eine Policy am Harness, kein Prompt. Wer MCP-Server an Agenten hängt, sollte Tool-Zugriffe mit derselben Disziplin behandeln: deterministisch gewährt, pro Rolle, auditierbar.

Konkrete Handlungsempfehlung

In dieser Reihenfolge. Erstens, inventarisieren, welche ChatGPT-Konten im Haus Connectors auf interne Systeme haben und gleichzeitig browsen oder den Agent Mode nutzen dürfen — das ist die exponierte Menge. Zweitens, für diese Konten Rollen definieren und Lockdown Mode dort aktivieren, wo agentische Fähigkeiten im Tagesgeschäft nicht gebraucht werden — verbindlich geht das nur über Managed-Workspace-Rollen, auf Self-Serve-Konten bleibt es eine Arbeitsanweisung; mit den granularen App-Freigaben lassen sich begründete Ausnahmen sauber abbilden. Drittens, die Elevated-Risk-Labels in die eigene Risikodokumentation übernehmen. Viertens, die eigene Agenten-Roadmap an der Frage messen, ob Tool- und Netzwerkzugriffe deterministisch begrenzt sind — oder nur durch das Wohlverhalten des Modells. Dieser Beitrag spiegelt unsere technische und strategische Einschätzung. Er ersetzt keine Rechtsberatung und keine Datenschutz-Folgenabschätzung.

Quellen

• OpenAI — Introducing Lockdown Mode and Elevated Risk labels in ChatGPT (13.02.2026, Erst-Ankündigung)
• OpenAI Help Center — Lockdown Mode (Stand 06.06.2026)
• TechCrunch — OpenAI unveils Lockdown Mode to protect sensitive data from prompt injection attacks (06.06.2026)
• OpenAI Help Center — Data residency and inference residency for ChatGPT (abgerufen 07.06.2026)