Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

KI-Penetrationstest · RAG-Sicherheit

Wie sicher ist Ihr
RAG-System?

Ihre Vektordatenbank ist der blinde Fleck jedes LLM-Pentests. Document Poisoning, indirekte Prompt Injection und Retrieval-Manipulation greifen dort an, wo klassische Sicherheitstools nicht hinschauen. Wir testen RAG-Systeme so, wie echte Angreifer es tun.

RAG-Sicherheitstest anfragen Angriffsvektoren ansehen
OWASP LLM01 Indirect Injection Document Poisoning Vektordatenbank-Security MITRE ATLAS
RAG ATTACK SURFACE — KRITISCHE VEKTOREN
INGEST
Document Poisoning critical

Bösartige Inhalte in der Wissensbasis

STORE
Vektordatenbank-Zugriff high

Unzureichende Zugriffskontrollen

STORE
Embedding-Extraktion high

Rekonstruktion sensibler Originaldaten

RETRIEVE
Retrieval-Manipulation critical

Forcing attacker-controlled context

GENERATE
Indirekte Prompt Injection critical

Injizierte Anweisungen im Kontext

GENERATE
Data Poisoning high

Vergiftete Trainingsdaten durch RAG

Klassischer LLM-Pentest deckt nur die GENERATE-Schicht ab.

RAG-Angriffsschichten
Pentests durchgeführt
Festpreis-Angebot
Subunternehmer

Angriffsvektoren

Die vier Hauptangriffsvektoren auf RAG-Systeme

Ein RAG-System ist mehr als ein LLM. Jede Schicht — Ingestion, Vektordatenbank, Retrieval, Generation — hat eine eigene Angriffsfläche, die ein klassischer LLM-Pentest nicht abdeckt.

Kritisch · OWASP LLM03

Document Poisoning

Ein Angreifer schleust bösartige Inhalte in die Wissensdatenbank Ihres RAG-Systems ein — über kompromittierte Datenquellen, manipulierte Dokument-Uploads oder vergiftete öffentliche Inhalte, die Ihr System crawlt. Das LLM vertraut dem abgerufenen Kontext und führt die eingebetteten Anweisungen aus.

Injizierte Anweisungen in PDFs, Word-Dokumenten, E-Mails

Manipulation gecrawlter Webinhalte und RSS-Feeds

Kompromittierung von Drittsystem-Schnittstellen (SharePoint, Confluence)

Long-Term Poisoning: Angriffe auf zukünftige Retrieval-Sessions

Hoch · MITRE ATLAS AML.T0012

Vektordatenbank-Manipulation

Vektordatenbanken (Pinecone, Weaviate, Chroma, pgvector) sind oft unzureichend abgesichert: fehlende Zugriffskontrollen auf Namespace-Ebene, schwache Multi-Tenancy-Trennung und unverschlüsselte Embeddings ermöglichen unbefugten Zugriff auf sensible Unternehmensdaten — oder gezielte Manipulation des gespeicherten Wissens.

Unzureichende Namespace-Isolation in mandantenfähigen Systemen

Direkte API-Manipulation ohne Authentifizierung

Rekonstruktion sensibler Texte aus Embeddings (Model Inversion)

Fehlende Audit-Logs über Retrieval-Operationen

Kritisch · OWASP LLM01

Retrieval-Manipulation

Die Retrieval-Phase bestimmt, welcher Kontext dem LLM übergeben wird. Angreifer manipulieren Suchanfragen oder Embedding-Vektoren, um gezielt von Angreifern kontrollierte Inhalte in den Kontext zu zwingen — und damit das Ausgabeverhalten des Modells zu steuern, ohne direkten Zugriff auf das Modell selbst zu benötigen.

Query-Manipulation zur Erzwingung attacker-kontrollierter Dokumente

Adversarielle Embeddings mit hoher Cosine-Similarity zu Zielfragen

Re-Ranking-Exploits bei Advanced-RAG-Architekturen

Context Window Flooding: Verdrängung legitimer Inhalte

Kritisch · OWASP LLM01 Indirekt

Indirekte Prompt Injection

Der gefährlichste RAG-Angriff: Versteckte Anweisungen in abgerufenen Dokumenten werden vom LLM als legitime Anfragen interpretiert — ohne Wissen des eigentlichen Nutzers. Bei RAG-Systemen mit Agenten-Fähigkeiten kann dies zur Remote Code Execution führen.

Versteckte Instruktionen in öffentlich zugänglichen Dokumenten

Exfiltration von Systemkontext und anderen Nutzerdaten

Tool-Missbrauch bei agentenbasierten RAG-Systemen (MCP, Function Calling)

Persistente Manipulation über mehrere Conversation Turns

Klassische WAFs und Input-Filter erkennen diesen Angriff nicht.

Architektur

Wie ein RAG-System funktioniert — und wo Angriffe ansetzen

Jede Phase des RAG-Workflows hat eine eigene Angriffsfläche. Rot markiert: Positionen, die wir systematisch testen.

01

Dokument Ingestion

Datenquellen crawlen & einlesen

Document Poisoning
02

Embedding Erzeugung

Text → Vektoren

03

Vektordaten- bank

Pinecone · Weaviate · pgvector

DB-Manipulation
04

Retrieval

Semantische Suche

Retrieval-Manipulation
05

LLM Generation

Kontext + Query → Antwort

Indirekte Injection

Wichtig: Ein klassischer LLM-Pentest testet ausschließlich die Schicht 05 (Generation) — also das, was der Nutzer direkt eingibt. Die vier vorgelagerten Schichten Ihres RAG-Systems bleiben dabei ungeprüft.

Testumfang

Was wir in Ihrem RAG-System testen

Sechs spezialisierte Testkategorien — vom Dokument-Ingestion-Prozess bis zum finalen Modellverhalten.

01

Document Poisoning & Data Poisoning

Test aller Ingestion-Pfade auf Anfälligkeit für vergiftete Dokumente: PDF, DOCX, HTML, Markdown, E-Mails, API-Feeds. Prüfung der Validierungs- und Sanitisierungslogik vor dem Einlesen in die Vektordatenbank.

OWASP LLM03Data Poisoning
02

Vektordatenbank-Sicherheit

Zugriffskontrollen, Namespace-Isolation, Multi-Tenancy-Trennung, Authentifizierung und Autorisierung auf API-Ebene. Prüfung auf Embedding-Extraktion (Model Inversion) und unbefugten Datenzugriff.

ZugriffskontrollenEmbedding-Sicherheit
03

Indirekte Prompt Injection

Systematische Einschleusung von Anweisungen über alle Retrieval-Pfade: Dokumente, Webinhalte, E-Mails, Datenbankeinträge. Prüfung auf Exfiltration von Systemkontext und Nutzdaten sowie Tool-Missbrauch.

OWASP LLM01Indirect Injection
04

Retrieval-Pipeline-Testing

Adversarielle Queries und Embedding-Manipulationen zur Erzwingung attacker-kontrollierter Kontexte. Test von Re-Ranking-Mechanismen, HyDE-Schwächen und Context-Window-Flooding-Angriffen.

Query ManipulationEmbedding Attacks
05

RAG-Guardrail-Assessment

Bewertung der Schutzschichten gegen Retrieval-basierte Angriffe: Contextual Guardrails, Output-Grounding-Checks, Halluzinations-Detektoren und Anomalieerkennung für ungewöhnliche Retrieval-Muster.

Contextual GuardrailsGrounding Checks
06

Agentic RAG & Tool-Sicherheit

Bei RAG-Systemen mit Agenten-Fähigkeiten: Tool-Missbrauch via indirekter Injection, Privilege Escalation über Werkzeugzugriff, Multi-Step-Exploitation und Memory-Poisoning bei persistenten Agenten.

OWASP LLM08Tool Use · MCP

Methodik

Unser Vorgehen beim RAG-Sicherheitstest

01

1–2 Tage

Architektur-Analyse & Threat Modeling

Erfassung aller RAG-Komponenten: Datenquellen, Embedding-Modelle, Vektordatenbank, Retrieval-Strategie, angebundene LLMs und Agenten-Fähigkeiten. Bedrohungsmodellierung nach MITRE ATLAS spezifisch für RAG-Architekturen.

02

2–3 Tage

Datenquellen & Ingestion-Pfad-Analyse

Identifikation aller Ingestion-Pfade: Welche Dokumente, Datenquellen und Feeds werden verarbeitet? Wo gibt es Validierungslücken? Welche Pfade sind von externen Akteuren beeinflussbar (öffentliche Webseiten, E-Mails, APIs)?

03

3–5 Tage

Document-Poisoning & Injection-Tests

Systematische Einschleusung vergifteter Dokumente über alle identifizierten Pfade. Manuelle Entwicklung von Prompt-Injection-Payloads für indirekte Angriffe, angepasst an die konkrete Systemanweisung und den Retrieval-Kontext des Zielsystems.

04

2–3 Tage

Vektordatenbank- & Retrieval-Tests

Prüfung der Vektordatenbank-Sicherheit: Zugriffskontrollen, Multi-Tenancy, Embedding-Extraktion. Adversarielle Retrieval-Angriffe: Query-Manipulation, Embedding-Poisoning, Context-Window-Flooding.

05

2–3 Tage

Exploitation & Reporting

Bestätigung kritischer Findings mit Proof-of-Concept und quantifiziertem Business Impact. Technischer Bericht mit CVSS-Scoring, Compliance-Mapping (OWASP LLM Top 10, MITRE ATLAS, EU AI Act) und priorisierter Remediation-Roadmap.

Typische Gesamtdauer: 10–15 Tage — abhängig von Architekturkomplexität und Anzahl der Datenquellen.
Sie erhalten innerhalb von 48 Stunden ein verbindliches Festpreisangebot.

Investition

Transparent kalkuliert

Festpreisangebote innerhalb von 48 Stunden. Keine Stundensätze, keine Nachforderungen.

FOKUSSIERT

RAG-Sicherheitstest

Dedizierter Test Ihres RAG-Systems

ab 10.000 €

  • Document Poisoning aller Ingestion-Pfade
  • Vektordatenbank-Sicherheitsprüfung
  • Indirekte Prompt Injection (alle Retrieval-Pfade)
  • Retrieval-Manipulations-Tests
  • Guardrail-Assessment (Contextual Guardrails)
  • Technischer Bericht + Management Summary
Angebot anfragen
Empfohlen

UMFASSEND

KI-Security-Assessment

RAG + LLM + Agenten — vollständig

ab 15.000 €

  • Alles aus dem RAG-Sicherheitstest
  • LLM-Pentest (OWASP Top 10 LLM komplett)
  • KI-Agenten-Testing (Tool-Missbrauch, Privilege Escalation)
  • Agentic-RAG-Sicherheitsprüfung
  • Compliance-Mapping (EU AI Act, ISO 42001)
  • Abschlusspräsentation + Remediation-Workshop
Angebot anfragen

Sie setzen auch einen LLM-Chatbot oder KI-Agenten ein? Zum vollständigen KI-Penetrationstest →

Warum AWARE7

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen zur RAG-Sicherheit

Alles über Vektordatenbank-Sicherheit, Document Poisoning und RAG-Pentesting.

RAG steht für Retrieval-Augmented Generation — eine KI-Architektur, bei der ein Large Language Model (LLM) bei jeder Anfrage zunächst relevante Dokumente oder Wissensbausteine aus einer externen Datenquelle abruft (Retrieval) und diese dann in die Antwortgenerierung einbezieht (Generation). Das Modell "halluziniert" so weniger, da es auf aktuelles, kontextspezifisches Wissen zugreift. Typische Einsatzszenarien: firmeninterne Wissensdatenbanken, KI-gestützte Kundenservices, Compliance-Chatbots und Dokumentenanalyse-Systeme. Die Vektordatenbank (z. B. Pinecone, Weaviate, Chroma, pgvector) speichert dabei die semantisch-codierten Dokument-Embeddings.
Document Poisoning ist ein Angriff auf RAG-Systeme, bei dem ein Angreifer bösartige Inhalte gezielt in die Wissensdatenbank einschleust. Da das LLM dem abgerufenen Kontext vertraut, kann der Angreifer über vergiftete Dokumente das Verhalten des Modells steuern: es zur Ausgabe falscher Informationen bringen, sensible Daten exfiltrieren lassen oder Prompt-Injection-Anweisungen verstecken, die beim nächsten Abruf ausgeführt werden. Dieser Angriff ist besonders gefährlich, weil er die Datenquelle — nicht das Modell selbst — kompromittiert, was klassische Sicherheitslösungen oft nicht erkennen.
Vektordatenbanken wie Pinecone, Weaviate, Chroma, Qdrant oder pgvector weisen spezifische Sicherheitsrisiken auf, die weit über klassische Datenbanksicherheit hinausgehen: unzureichende Zugriffskontrollen auf Embedding-Ebene, mangelnde Mandantentrennung (Multi-Tenancy-Schwächen), fehlende Input-Sanitisierung für Dokument-Uploads, unverschlüsselte Embeddings at rest und in transit sowie fehlende Audit-Logs über Retrieval-Operationen. Hinzu kommt, dass aus Embeddings unter bestimmten Umständen der ursprüngliche Text rekonstruierbar ist (Model Inversion auf Embedding-Ebene). Ein dedizierter RAG-Sicherheitstest prüft all diese Vektoren systematisch.
Indirekte Prompt Injection (OWASP LLM01 — indirekte Variante) ist der gefährlichste Angriff auf RAG-Systeme: Ein Angreifer platziert Anweisungen in einem externen Dokument, das das RAG-System später abruft und dem LLM als Kontext übergibt. Das Modell interpretiert diese Anweisungen als legitime Anfragen — ohne dass der eigentliche Nutzer etwas davon merkt. Beispiele: versteckte Anweisungen in öffentlichen PDFs, manipulierte Webseiten, die gecrawlt werden, oder bösartige E-Mail-Anhänge in automatisierten Workflows. Die Folgen reichen von Datenexfiltration über Identitätsdiebstahl bis zur Remote Code Execution, wenn der KI-Agent Werkzeugzugriff hat.
Wir testen alle gängigen RAG-Implementierungen: einfache Single-Stage-RAG (Query → Vector Search → LLM), Advanced RAG (Re-Ranking, HyDE, Multi-Query), Agentic RAG mit Tool-Verwendung und Multi-Step-Reasoning, Knowledge-Graph-RAG (Neo4j, Amazon Neptune), Hybrid-RAG (Vektor + BM25-Suche), Self-RAG und Corrective RAG. Wir sind vertraut mit den gängigen Frameworks (LangChain, LlamaIndex, Haystack, DSPy, AutoGen) sowie den führenden Vektordatenbanken (Pinecone, Weaviate, Chroma, Qdrant, Milvus, pgvector, Redis Vector). Der Testansatz wird individuell auf Ihre konkrete Architektur zugeschnitten.
Ein dedizierter RAG-Sicherheitstest beginnt ab 10.000 EUR als Teil eines umfassenden KI-Security-Assessments (ab 15.000 EUR). Der Preis hängt von der Komplexität Ihrer RAG-Architektur ab: Anzahl der Datenquellen, Retrieval-Strategien, angebundene Agenten-Fähigkeiten und Compliance-Anforderungen. Innerhalb von 48 Stunden erhalten Sie ein verbindliches Festpreisangebot — keine Stundensätze, keine Nachforderungen. Das Ergebnis ist ein audit-ready Bericht mit Compliance-Mapping auf OWASP LLM Top 10, MITRE ATLAS und EU AI Act.
Die wichtigsten Schutzmaßnahmen für RAG-Systeme: 1) Strikte Input-Validierung und Sanitisierung aller Dokumente vor dem Einlesen in die Vektordatenbank. 2) Robuste Zugriffskontrollen auf Embedding- und Dokumentenebene (Row-Level Security). 3) Erkennung und Filterung von Prompt-Injection-Mustern in abgerufenen Kontexten (Contextual Guardrails). 4) Mandantentrennung in der Vektordatenbank bei Multi-Tenant-Systemen. 5) Audit-Logs über alle Retrieval-Operationen mit Anomalieerkennung. 6) Output-Validierung und Grounding-Checks gegen Halluzinationen und unerwartete Verhaltensänderungen. 7) Regelmäßige Integritätsprüfungen der Wissensdatenbank auf unautorisierte Inhalte. Ein AWARE7-Sicherheitstest liefert eine priorisierte Remediation-Roadmap für all diese Maßnahmen.
Ein klassischer LLM-Pentest prüft das Modellverhalten — Prompt Injection über die Benutzereingabe, Jailbreaking, Guardrail-Bypass, Datenexfiltration aus dem Modell. Ein RAG-System hat zusätzliche Angriffsflächen, die ein LLM-Pentest nicht abdeckt: die Vektordatenbank-Sicherheit, die Retrieval-Pipeline, die Dokument-Ingestion und die Sicherheit aller Datenquellen. Wir empfehlen für RAG-basierte Systeme immer einen dedizierten RAG-Sicherheitstest — entweder standalone oder als Teil eines umfassenden KI-Security-Assessments, das beides kombiniert.
Ja. Wenn Ihr RAG-System in einem Hochrisiko-KI-Kontext eingesetzt wird (Artikel 6 EU AI Act — z. B. automatisierte Entscheidungen zu Kredit, Versicherung, Personalwesen, kritische Infrastruktur), verlangt Artikel 15 nachweislich robuste Sicherheitsmaßnahmen gegen Datenmanipulation und adversarielle Angriffe. RAG-Systeme mit vergiftbaren Wissensdatenbanken sind explizit im Kontext von Training Data Poisoning und Data Governance (Artikel 10) relevant. Unser Bericht ist als auditierbarer Compliance-Nachweis konzipiert und mappt alle Findings auf die relevanten EU-AI-Act-Artikel, OWASP-LLM-Kategorien und MITRE-ATLAS-Techniken.

Wie sicher ist Ihr RAG-System wirklich?

Unsere Experten testen Vektordatenbank, Document Poisoning und indirekte Prompt Injection — mit Festpreisgarantie und audit-ready Reporting.

Kostenlose Erstberatung vereinbaren

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung