Guardrail-Assessment

Halten Ihre Guardrails
einem echten Angriff stand?

Content-Filter, Jailbreak-Detektoren, PII-Masking — Ihre Guardrails schützen Ihr KI-System nur so gut, wie sie gegen echte Angriffe bestehen. Wir messen, was sie tatsächlich leisten: quantitativ, reproduzierbar, audit-ready.

Guardrail-Assessment anfragen Testbereiche ansehen

Bypass-Rate False-Positive-Rate Latenzmetriken GES-Score

GUARDRAIL EFFECTIVENESS SCORE — BEISPIEL

Jailbreak-Bypass-Rate

34 % critical

PII-Leakage-Rate

18 % high

False-Positive-Rate

12 % medium

Indirekte Injection Bypass

61 % critical

Adversarielle Latenz

+840 ms medium

GESAMT — GUARDRAIL EFFECTIVENESS SCORE

31 / 100 — KRITISCH

HÄRTUNG ERFORDERLICH

Festpreisangebot: ab 10.000 €
Angebot innerhalb von
Guardrail-Systeme getestet
Subunternehmer

Das Problem

Guardrails, die Sie für sicher halten — es aber nicht sind

Die meisten KI-Guardrails werden konfiguriert, nicht getestet. Sie werden eingeschaltet, die Out-of-the-Box-Defaults übernommen und als "sicher" betrachtet. Die Realität: Jailbreak-Techniken entwickeln sich täglich weiter. Was gestern geblockt wurde, kommt heute mit einer minimalen Umformulierung durch. Und niemand misst es.

Das Guardrail-Dilemma

Zu restriktiv → Nutzer werden frustriert, der Guardrail wird deaktiviert. Zu tolerant → Angreifer kommen durch. Die richtige Kalibrierung erfordert systematisches Testing, keine Intuition.

Jailbreaking ist industrialisiert

Öffentliche Datenbanken mit tausenden Jailbreak-Prompts, automatisierte Bypass-Tools und Community-Foren machen es trivial einfach, ungepatchte Guardrails zu umgehen.

Regulatorische Anforderungen

EU AI Act Art. 15 und GPAI Code of Practice verlangen nachweisliche Robustheit gegen Missbrauch. Ein Guardrail-Assessment liefert den messbaren Nachweis dieser Robustheit.

Latenz als Angriffsfläche

Externe Guardrail-Services fügen Latenz hinzu. Unter adversarieller Last — komplexe Anfragen, die bewusst die Classifier auslasten — kann die Antwortzeit auf mehrere Sekunden steigen und Timeouts verursachen.

GUARDRAIL-SCHICHTEN — WAS GETESTET WERDEN MUSS

Input-Classifier

Erkennt bösartige Eingaben vor der LLM-Verarbeitung

System-Prompt-Guards

Schützt System-Prompt vor Überschreiben durch Nutzereingaben

Output-Classifier

Filtert schädliche Ausgaben nach der LLM-Verarbeitung

PII-Masking

Anonymisiert personenbezogene Daten in Ausgaben

Topic-Restriction

Begrenzt Diskussionsbereich auf erlaubte Themen

Constitutional Classifier

Prüft Ausgaben gegen Ethik-Richtlinien und Policies

Monitoring & Logging

Erkennt Bypass-Muster in Echtzeit

STATISTIK AUS UNSERER PRAXIS

Ø 38 % Bypass-Rate

bei ungekalibriertem Out-of-the-Box-Guardrail-Deployment — gemessen in AWARE7-Assessments 2024/2025.

Nach Härtung auf Basis unserer Empfehlungen: < 5 % Bypass-Rate bei < 8 % False-Positive-Rate.

Was wir testen

Fünf Testdimensionen — ein Score

Das Guardrail-Assessment misst alle relevanten Qualitätsdimensionen Ihrer KI-Schutzschichten — quantitativ und vergleichbar.

01 False-Negative-Rate

Bypass-Resistenz

Wie viel Prozent aller adversariellen Anfragen werden korrekt geblockt? Wir testen mit 500+ kuratierten Bypass-Techniken: Rollenspiel-Prompts, Token-Smuggling, Adversarielle Suffixe, Multilingual-Exploits, Many-Shot-Jailbreaking, kontextuelle Umgehung und neuartige, nicht öffentlich bekannte Techniken aus unserer Forschung.

False-Negative-Rate500+ Testfälle

02 Usability-Impact

False-Positive-Rate

Ein Guardrail, der jede zweite legitime Anfrage blockt, ist kein Schutz — er ist ein Produktivitätskiller. Wir messen die False-Positive-Rate mit realistischen, harmlosen Anfragen aus Ihrem Use Case und identifizieren den optimalen Kalibrierungspunkt zwischen Sicherheit und Nutzerfreundlichkeit.

Usability-BalanceROC-Kurve

03 Performance-Degradation

Latenz unter adversarieller Last

Angreifer können Guardrails durch bewusst komplexe Anfragen auslasten — ein Timing-Angriff auf Ihre KI-Anwendung. Wir messen die Latenz unter normalem Betrieb und unter adversarieller Last: P50, P95, P99 Response Times und Timeout-Verhalten.

P95 LatenzTimeout-Resistenz

04 Portabilität

Cross-Model-Effektivität

Ein Guardrail, der für GPT-4 konfiguriert wurde, ist möglicherweise ineffektiv für Claude oder Llama — jedes Modell hat andere tokenization-Eigenschaften und Verhaltensmuster. Wir testen, ob Ihre Guardrails modellunabhängig funktionieren oder modellspezifisch kalibriert werden müssen.

Multi-ModelTokenizer-Differenzen

05 Konversations-Robustheit

Multi-Turn-Manipulations-Resistenz

Viele Guardrails prüfen nur einzelne Nachrichten, nicht den Gesprächsverlauf. Angreifer nutzen Multi-Turn-Sequenzen, um Guardrails schrittweise zu konditionieren: eine harmlose Anfrage bereitet die nächste vor, bis der Classifier überlistet ist. Wir testen die Robustheit über 10-, 20- und 50-Turn-Konversationen.

Multi-TurnKontext-Angriffe

06 Datenschutz-Compliance

PII- und Daten-Leakage

Gibt Ihr System trotz Guardrails personenbezogene Daten preis — aus dem Kontext, aus dem Training oder aus angebundenen Datenquellen? Wir testen PII-Masking-Effektivität, Membership-Inference-Resistenz und kontextuelle Datenexfiltration nach DSGVO-Anforderungen.

DSGVOPII-Masking

Getestete Systeme

Wir kennen Ihr Guardrail-System

Jedes Guardrail-System hat eigene Schwachstellenklassen und Bypass-Techniken — generische Tests reichen nicht aus.

Azure AI Content Safety

Microsoft

Spezifische Bypass-Techniken für Azure AI Content Safety: Severity-Schwellwert-Exploits, Kategorie-spezifische Umgehungen (Hate, Violence, Sexual, Self-Harm), Prompt-Shield-Bypass und Multi-Modal-Angriffe. Wir testen alle vier Harm-Kategorien und die Groundedness-Detection.

Amazon Bedrock Guardrails

AWS

Testing aller Bedrock-Guardrail-Funktionen: Topic-Denial, Content-Filter, Word-Filter, Sensitive-Information-Filter und Grounding-Checks. Spezifische Angriffe auf Topic-Restriction-Bypässe und PII-Entity-Recognition-Lücken in deutschen Texten.

NVIDIA NeMo Guardrails

NVIDIA

Colang-basierte Guardrail-Flows haben spezifische Logik-Exploits: Fluss-Manipulation durch adversarielle Eingaben, Rail-Bypass über nicht abgedeckte Konversationspfade und Input/Output-Rail-Inkonsistenzen. Wir testen sowohl vordefinierte als auch benutzerdefinierte Flows.

Anthropic Constitutional AI

Anthropic

Trainingsbasierte Guardrails haben andere Schwachstellen als externe Classifier: kontextuelle Konditionierung, Argumentation-Exploits, Cross-Lingual-Bypässe und Adversarial-Roleplaying-Techniken, die Constitutional-AI-Checks umgehen. Wir testen Claude-Modelle in ihrem produktiven Einsatzkontext.

Lakera Guard

Open Source / SaaS

Echtzeit-Guardrail-API mit spezialisierten Prompt-Injection-Detektoren: Wir testen die Erkennungsrate gegen aktuelle Jailbreak-Datenbanken, Latenz unter Last und die Effektivität für deutsche Spracheingaben, die im Trainingsset unterrepräsentiert sein können.

Custom Implementierungen

Proprietär

Viele Unternehmen bauen eigene Guardrails auf Basis von Regex, Keyword-Listen oder Fine-Tuned-Classifiern. Wir analysieren Ihre spezifische Implementierung, identifizieren Lücken in der Abdeckung und entwickeln maßgeschneiderte Bypass-Tests sowie Härtungsempfehlungen.

Ihr Ergebnis

Guardrail Effectiveness Score

Der Guardrail Effectiveness Score (GES) ist das zentrale Lieferobjekt des Assessments. Er komprimiert die Sicherheitsleistung Ihrer Guardrails in eine verständliche, vergleichbare Kennzahl — als Grundlage für Managemententscheidungen und Compliance-Nachweise.

80–100

Sehr gut

Guardrails sind effektiv kalibriert. Bypass-Rate < 5 %, False-Positive-Rate < 8 %. Gezielte Optimierung empfohlen.

60–79

Gut

Grundschutz vorhanden, aber Bypass-Rate 5–15 % oder erhöhte False-Positive-Rate. Spezifische Härtungsmaßnahmen empfohlen.

40–59

Verbesserungsbedarf

Signifikante Schwachstellen. Bypass-Rate 15–30 %. Strukturelle Rekonfiguration erforderlich.

0–39

Kritisch

Guardrails bieten keinen verlässlichen Schutz. Bypass-Rate > 30 %. Sofortiger Handlungsbedarf vor Produktivbetrieb.

BESTANDTEILE DES GUARDRAIL EFFECTIVENESS SCORE

35 %

Bypass-Resistenz (FNR)

Gewichteter Anteil erfolgreicher Bypässe über alle Angriffskategorien

25 %

Usability (FPR)

Anteil fälschlich geblockter legitimer Anfragen im Use-Case-Kontext

15 %

Latenz-Robustheit

Performance-Degradation unter adversarieller Last (P95)

15 %

PII-Schutz

Effektivität der PII-Masking- und Daten-Exfiltrations-Prävention

10 %

Multi-Turn-Resistenz

Robustheit gegen schrittweise Kontext-Manipulations-Angriffe

COMPLIANCE-NUTZUNG DES GES

EU AI Act Art. 15: Nachweis der Robustheit gegen adversarielle Eingaben
GPAI Code of Practice: Quantitative Safety-Metriken für General-Purpose-AI
ISO 42001: Evidenz für Control A-6.1 (AI System Risk Management)
DSGVO: Nachweis technischer Schutzmaßnahmen für PII-verarbeitende KI-Systeme

Methodik

Wie AWARE7 Guardrails testet

Quantitatives Testing mit 500+ kuratierten Testfällen — kombiniert mit manueller Expertenanalyse für neuartige Bypass-Techniken.

1 Tag

Guardrail-Inventarisierung

Vollständige Kartierung aller Guardrail-Schichten: Welche Systeme sind aktiv? Wie sind sie konfiguriert? Welche Harm-Kategorien werden abgedeckt? Welche Schwellwerte sind gesetzt? Auf welchen Modellen laufen sie? Ergebnis: Guardrail-Architektur-Diagramm.

1–2 Tage

Baseline-Messung

Etablierung der Ausgangsmessung: False-Positive-Rate mit 200+ legitimen Anfragen aus Ihrem Use Case. Latenz-Baseline unter normalem Betrieb. Performance-Profil des Guardrail-Systems als Referenz für alle weiteren Tests.

3–5 Tage

Systematisches Bypass-Testing

Testing mit 500+ kuratierten Bypass-Techniken aus unserem proprietären Testset — aufgeschlüsselt nach Angriffskategorie: Jailbreaking, Rollenspiele, Token-Smuggling, Encoding-Tricks, Multilingual-Exploits, Many-Shot-Conditioning und Adversarielle Suffixe. Messung der False-Negative-Rate je Kategorie.

2–3 Tage

Multi-Turn & Kontextuelle Angriffe

Tests, die einzelne Nachrichten nicht abdecken: schrittweise Kontext-Konditionierung über 10-, 20-, 50-Turn-Konversationen. Guardrail-Erschöpfungsangriffe. Cross-Session-Persistenz-Tests für Systeme mit persistentem Gesprächsgedächtnis.

1–2 Tage

Latenz- und Resilienz-Tests

Quantitative Latenz-Messung unter adversarieller Last: P50, P95, P99 Response Times. Timeout-Verhalten bei komplexen Anfragen. Verhalten des Guardrail-Systems bei Überlast — fällt es offen (fail-open) oder geschlossen (fail-closed)?

2–3 Tage

Reporting & Kalibrierungsempfehlungen

Guardrail Effectiveness Score (GES) mit Aufschlüsselung nach Testdimensionen. Konkrete Kalibrierungsempfehlungen für jeden Schwellwert. Härtungs-Roadmap mit Priorisierung. Compliance-Mapping auf EU AI Act, ISO 42001 und DSGVO.

Typische Gesamtdauer: 8–15 Tage — abhängig von der Anzahl der Guardrail-Schichten und gewünschter Testtiefe.
Sie erhalten innerhalb von 48 Stunden ein verbindliches Festpreisangebot ab 10.000 EUR.

Warum AWARE7

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen zum Guardrail-Assessment

Alles Wichtige zu Guardrail-Bypässen, False-Positive-Raten und dem Guardrail Effectiveness Score.

Was sind KI-Guardrails?

KI-Guardrails sind Schutzschichten, die das Verhalten eines Large Language Models begrenzen und kontrollieren. Sie umfassen: Content-Filter (blocken schädliche oder unangemessene Ausgaben), Jailbreak-Detektoren (erkennen Versuche, Sicherheitsrichtlinien zu umgehen), PII-Masking (anonymisieren personenbezogene Daten in Ausgaben), Output-Validatoren (stellen sicher, dass Antworten einem definierten Schema oder Format entsprechen), Constitutional Classifiers (prüfen Ausgaben gegen ethische Richtlinien) und Topic-Restriction-Filter (begrenzen den Diskussionsbereich auf erlaubte Themen). Guardrails können modell-intern (Trainings-basiert, wie RLHF), modell-extern (separate Classifier-Modelle) oder regelbasiert (Regex, Keyword-Listen) implementiert sein — und alle drei Schichten haben unterschiedliche Schwachstellenprofile.

Was ist ein Guardrail-Bypass?

Ein Guardrail-Bypass ist jede Technik, mit der ein Angreifer oder ein Nutzer die Schutzmaßnahmen eines KI-Systems umgeht und unerwünschte Ausgaben provoziert. Bypass-Techniken umfassen: Rollenspiel-Prompts (das System wird gebeten, eine fiktive Figur zu spielen, die keine Einschränkungen hat), Token-Smuggling (Sonderzeichen oder ungewöhnliche Kodierungen umgehen Keyword-Filter), Multilingual-Exploits (Wechsel in weniger sicher trainierte Sprachen), Many-Shot-Jailbreaking (das Modell wird mit Beispielen konditioniert), Adversarial Suffixe (mathematisch optimierte Token-Sequenzen), Kontextuelle Umgehung (die Anfrage wird so umformuliert, dass der Classifier sie nicht als schädlich erkennt) und Encoding-Tricks (Base64, ROT13, Leet-Speak). Im Guardrail-Assessment messen wir die False-Negative-Rate — den Anteil erfolgreicher Bypässe an allen Bypass-Versuchen — als quantitative Kennzahl für Ihre Guardrail-Effektivität.

Wie messe ich die Effektivität meiner Guardrails?

Die Guardrail-Effektivität lässt sich durch zwei komplementäre Kennzahlen quantifizieren: Die False-Negative-Rate (FNR) misst, wie viel Prozent schädlicher Anfragen durch die Guardrails rutschen — ein hoher Wert bedeutet unzureichende Schutzwirkung. Die False-Positive-Rate (FPR) misst, wie viel Prozent legitimer Anfragen fälschlicherweise geblockt werden — ein hoher Wert bedeutet UX-Probleme und Nutzerfrustration. Das Spannungsfeld zwischen FNR und FPR ist die zentrale Herausforderung im Guardrail-Design: Zu restriktiv → zu viele False Positives. Zu tolerant → zu viele Bypässe. Unser Guardrail-Assessment liefert beide Kennzahlen in einem standardisierten Guardrail Effectiveness Score, aufgeschlüsselt nach Angriffskategorie und Guardrail-Schicht.

Was ist der Unterschied zwischen einem Content Filter und Constitutional AI?

Ein Content Filter ist ein regelbasiertes oder Classifier-basiertes System, das Eingaben oder Ausgaben gegen eine Liste verbotener Inhalte prüft — schnell, deterministisch, aber leicht durch Umformulierungen zu umgehen. Constitutional AI (Anthropic) ist ein trainingsbasierter Ansatz: das Modell wird mit einer "Verfassung" — einem Regelwerk aus Prinzipien — trainiert, seine eigenen Ausgaben zu bewerten und zu korrigieren. Constitutional AI ist schwerer zu bypassen als Keyword-Filter, weil die Einschränkungen im Modell selbst verankert sind, hat aber eigene Schwachstellen: mehrstufige Argumentation, kontextuelle Manipulation und Cross-Linguistic-Exploits. Im Guardrail-Assessment testen wir beide Paradigmen mit spezifischen Angriffstechniken, die auf die jeweilige Implementierung zugeschnitten sind.

Welche Guardrail-Systeme testen Sie?

Wir testen alle führenden Guardrail-Plattformen: Azure AI Content Safety (Microsoft), Amazon Bedrock Guardrails, NVIDIA NeMo Guardrails (Colang-basiert), Anthropic Constitutional AI und Claude Guardrails, OpenAI Moderation API, Lakera Guard, LLM Guard (Open Source), sowie benutzerdefinierte Guardrail-Implementierungen auf Basis eigener Classifier-Modelle. Für jede Plattform kennen wir die spezifischen Bypass-Techniken und Schwachstellenklassen. Unser Assessment deckt sowohl cloud-gehostete Guardrail-Services als auch selbst-gehostete Open-Source-Implementierungen ab.

Was kostet ein Guardrail-Assessment?

Ein Guardrail-Assessment beginnt ab 10.000 EUR. Der Preis richtet sich nach der Anzahl der Guardrail-Schichten, der Komplexität der zu testenden Systeme und dem gewünschten Testumfang (einzelne Guardrail-Komponente vs. vollständige Guardrail-Architektur). Für komplexe Systeme mit mehreren Guardrail-Schichten, kundenspezifischen Classifiern und quantitativer Effektivitätsmessung über mehrere Angriffskategorien liegt der Aufwand typischerweise zwischen 12.000 und 20.000 EUR. Sie erhalten innerhalb von 48 Stunden ein verbindliches Festpreisangebot — keine Stundensätze, keine Nachforderungen.

Können Guardrails eine False-Positive-Rate von 0 % erreichen?

Nein — das ist das fundamentale Guardrail-Dilemma. Jeder Guardrail, der sensitiv genug ist, um alle Bypässe zu erkennen, wird zwangsläufig auch legitime Anfragen blocken. Sehr restriktive Guardrails erreichen niedrige False-Negative-Raten (wenige Bypässe), haben aber hohe False-Positive-Raten (viele legitime Anfragen geblockt), was zu Nutzerbeschwerden, Produktivitätsverlusten und letztlich zur Deaktivierung der Guardrails führt. Das optimale Arbeitspunkt auf der ROC-Kurve hängt von Ihrem Use Case ab: Ein öffentlicher Chatbot benötigt andere Guardrail-Schwellwerte als ein internes Analyse-Tool. Unser Assessment quantifiziert nicht nur die aktuelle Performance, sondern empfiehlt den optimalen Konfigurationspunkt für Ihren spezifischen Einsatzkontext.

Wie oft sollten Guardrails neu getestet werden?

Guardrails sind keine statischen Sicherheitsmaßnahmen — sie werden täglich von neuen Bypass-Techniken herausgefordert. Die Jailbreak-Community veröffentlicht kontinuierlich neue Angriffsmethoden; Modell-Updates verändern das Verhalten der unterlagerten Classifier; und neue Einsatzkontexte eröffnen neue Angriffsflächen. Empfehlung: Nach jedem größeren Modell-Update oder Guardrail-Rekonfiguration einen Quick-Assessment, mindestens halbjährlich einen vollständigen Guardrail-Assessment. Für Systeme in regulierten Branchen (Finanzwesen, Gesundheit, KRITIS) empfehlen wir ein Retainer-Modell mit quartalsweiser Effektivitätsmessung und Schwellwert-Kalibrierung.

Wie hoch ist Ihre Guardrail-Bypass-Rate wirklich?

Wir messen die Effektivität Ihrer KI-Sicherheitsfilter quantitativ — mit 500+ Bypass-Techniken und dem Guardrail Effectiveness Score. Festpreisgarantie ab 10.000 EUR.

Guardrail-Assessment anfragen

Kostenlos · 30 Minuten · Unverbindlich