Red Teaming GenAI: Die Grenzen der Sicherheit testen

Oder Eshed Veröffentlicht – 03. Oktober 2025

Inhaltsverzeichnis

Das neue Bedrohungsökosystem: Warum KI ein dediziertes Red Team erfordert
Den Gegner simulieren: Kernpraktiken im LLM Red Teaming
1. Adversarial Prompting und Jailbreaking
2. Suche nach sensiblen Daten
Bewertung auf Voreingenommenheit und schädliche Stereotypen
1. Prüfung auf Fehlinformationen und Desinformationen
Von der Theorie zur Praxis: Implementierung eines kontinuierlichen KI-Sicherheitstestprogramms
Der Browser: Die letzte Grenze der GenAI-Sicherheit

Die Einführung generativer KI verändert Branchen, doch diese schnelle Integration bringt neue Risiken mit sich, denen herkömmliche Sicherheitsmaßnahmen kaum gewachsen sind. Durch den Einsatz von Tools wie ChatGPT, Copilot und benutzerdefinierten Large Language Models (LLMs) setzen sich Unternehmen neuen Angriffsflächen aus, bei denen nicht mehr Schadcode, sondern natürliche Sprache selbst die Hauptwaffe ist. Vor diesem Hintergrund ist ein proaktiver, konfrontativer Ansatz bei Sicherheitstests unerlässlich geworden. Dies ist die Domäne des GenAI Red Teaming, einer Praxis, bei der KI-Systeme Stresstests unterzogen werden, um versteckte Schwachstellen aufzudecken, bevor diese ausgenutzt werden können.

Diese Disziplin hat ihren Namen von Militär- und Cybersicherheitsübungen, bei denen ein „Red Team“ einen Angreifer simuliert, um die Abwehrmechanismen einer Organisation zu testen. Im Bereich KI beinhaltet es einen systematischen Prozess des Prüfens, Hinterfragens und Angreifens von Modellen, um Schwachstellen in Bezug auf Sicherheit, Schutz und Ethik zu identifizieren. Was also ist Red Teaming in der KI? Es ist die Praxis, feindliches Verhalten zu simulieren, um unvorhergesehene Risiken zu entdecken, die im Zuge der Weiterentwicklung der KI entstehen. Dabei geht es über statische Prüfungen hinaus, um zu untersuchen, wie sich diese komplexen Systeme unter Druck verhalten.

Das neue Bedrohungsökosystem: Warum KI ein dediziertes Red Team erfordert

Traditionelle Cybersicherheit konzentriert sich auf den Schutz von Netzwerken, Endpunkten und Anwendungen vor codebasierten Angriffen. Generative KI funktioniert jedoch anders. Die Hauptschnittstelle für die Ausnutzung ist nicht eine Software-Schwachstelle im klassischen Sinne, sondern das Eingabefenster selbst, wodurch jede Benutzerinteraktion zu einem potenziellen Angriffsvektor wird. Ein KI-Red-Team wird speziell zusammengestellt, um diese einzigartigen Schwachstellen zu verstehen und auszunutzen. Ihre Arbeit ist entscheidend, da GenAI-Risiken nicht nur technischer, sondern auch gesellschaftlicher und ethischer Natur sind.

Zu den Herausforderungen, die ein KI-Red-Team angeht, gehören:

Datenlecks und Datenschutzverletzungen. Mitarbeiter, die GenAI-Tools zur Produktivitätssteigerung nutzen, könnten versehentlich vertrauliche Unternehmensdaten, Quellcode, Finanzunterlagen oder personenbezogene Kundendaten in eine Eingabeaufforderung einfügen. LayerX weist darauf hin, dass der Browser zum häufigsten Kanal für diese Art von Datenlecks geworden ist, da Mitarbeiter bereitwillig Informationen mit externen KI-Plattformen teilen.
Angreifer können Eingabeaufforderungen erstellen, die ein LLM dazu verleiten, seine ursprünglichen Anweisungen zu ignorieren und stattdessen die Befehle des Angreifers auszuführen. Dies könnte dazu genutzt werden, schädliche Inhalte zu generieren, Daten aus der Sitzung zu exfiltrieren oder das Verhalten der Anwendung zu manipulieren.
Generierung schädlicher Inhalte: Modelle können „gejailbreakt“ werden, um ihre Sicherheitsfilter zu umgehen und schädliche, verzerrte oder unangemessene Ergebnisse zu erzeugen. Ein KI-Red-Team testet systematisch die Belastbarkeit dieser Sicherheitsvorkehrungen.
Schatten-KI und nicht genehmigte Nutzung Der einfache Zugriff auf GenAI-Tools führt dazu, dass Mitarbeiter diese oft ohne Unternehmensgenehmigung nutzen. Dadurch entstehen „Schatten-KI“- oder „Schatten-SaaS“-Ökosysteme, die für Sicherheitsteams weder sichtbar noch kontrollierbar sind. LayerX bietet Lösungen für vollständige Audits aller SaaS-Anwendungen, einschließlich dieser nicht genehmigten Tools.

Diese Risiken zeigen, dass es bei der Sicherung von GenAI nicht nur um den Schutz der Infrastruktur des Modells geht, sondern auch um die Steuerung seiner Nutzung. Hier ist die Praxis des Red Teaming von LLM-Systemen unverzichtbar.

Den Gegner simulieren: Kernpraktiken im LLM Red Teaming

Die Arbeit von Red-Team-LLMs ist vielfältig und nutzt eine Reihe kreativer und technischer Strategien, um Modelle an ihre Grenzen zu bringen. Dabei geht es nicht nur darum, eine einfache Checkliste abzuarbeiten, sondern um ein exploratives, iteratives und oft überraschendes Unterfangen. Eine dedizierte Red-Team-KI setzt mehrere Kernpraktiken ein.

Technik	Ziel	Beispielhafter Angriffsvektor
Kontroverse Aufforderung	Sicherheitsfilter umgehen und Richtlinienverstöße herbeiführen	Mehrstufige Dialoge, die versteckte Anweisungen entlocken
Suche nach sensiblen Daten	Exfiltrieren Sie Modelltrainings- oder Sitzungsdaten	Abfragen, die darauf abzielen, proprietären Code oder PII offenzulegen
Erkennung von Voreingenommenheit und Schäden	Identifizieren Sie diskriminierende oder schädliche Ergebnisse	Eingabeaufforderungen für bestimmte demografische Gruppen zum Fairnesstest

Adversarial Prompting und Jailbreaking

Dies ist der wohl bekannteste Aspekt des LLM-Red-Teamings. Dabei werden Eingaben erstellt, die ein Modell dazu bringen sollen, seine eigenen Sicherheitsrichtlinien zu verletzen. Die Techniken reichen von einfachen Anweisungen bis hin zu komplexen Dialogen mit mehreren Passagen, die das Modell schrittweise in einen kompromittierten Zustand bringen. Beispielsweise könnte ein Red-Team-Mitglied ein Modell bitten, eine fiktive Geschichte mit Anweisungen für eine schädliche Aktivität zu schreiben und so eine direkte Ablehnung zu umgehen. Ziel ist es, Muster und logische Schlupflöcher zu identifizieren, die zu Sicherheitsmängeln führen.

Suche nach sensiblen Daten

Eine wichtige Aufgabe im LLM-Red-Teaming besteht darin, zu testen, ob ein Modell versehentlich sensible Informationen preisgibt, mit denen es trainiert wurde. Dies können personenbezogene Daten, proprietärer Code oder andere vertrauliche Details sein. Red-Team-Mitarbeiter testen die auf dem LLM basierende Anwendung möglicherweise auch auf Schwachstellen, die unbefugten Zugriff auf Daten im System ermöglichen, wie z. B. Gesprächsverläufe anderer Benutzer oder verbundene Datenquellen. LayerX betont, dass der Browser das primäre Gateway für diese Interaktionen ist und daher ein entscheidender Punkt für die Anwendung von Sicherheitsrichtlinien zur Verhinderung von Datenexfiltration ist.

Bewertung auf Voreingenommenheit und schädliche Stereotypen

KI-Modelle lernen aus riesigen Datensätzen, die oft gesellschaftliche Vorurteile enthalten. Bei KI-Sicherheitstests werden Modelle daraufhin untersucht, ob sie Ergebnisse generieren, die diskriminierend, stereotyp oder anderweitig schädlich für bestimmte Bevölkerungsgruppen sind. Dabei kann das Modell mit Eingabeaufforderungen zu verschiedenen Ethnien, Geschlechtern, Religionen und Nationalitäten gefüttert werden, um die Fairness und Gerechtigkeit seiner Antworten zu bewerten.

Prüfung auf Fehlinformationen und Desinformationen

Eine Red-Team-KI bewertet auch die Anfälligkeit eines Modells für die Generierung falscher oder irreführender Informationen. Dies kann durch Suggestivfragen, falsche Prämissen oder die Anforderung von Inhalten zu kontroversen Themen getestet werden, die bekanntermaßen Ziel von Desinformationskampagnen sind. Das Verständnis, wie und warum ein Modell falsche Informationen generiert, ist der Schlüssel zum Aufbau vertrauenswürdigerer Systeme.

Der iterative Zyklus eines AI-Red-Teaming-Engagements ist entscheidend: Testen, Schwachstellen dokumentieren, mit Entwicklern zusammenarbeiten, um Abwehrmaßnahmen zu implementieren, und dann erneut testen, um sicherzustellen, dass die Korrekturen wirksam sind und keine neuen Probleme verursacht haben.

Von der Theorie zur Praxis: Implementierung eines kontinuierlichen KI-Sicherheitstestprogramms

Effektive KI-Sicherheitstests sind kein einmaliges Ereignis kurz vor der Markteinführung. Angesichts der Dynamik von KI-Modellen und der sich ständig weiterentwickelnden Taktiken der Gegner müssen sie ein kontinuierlicher Prozess sein, der in den gesamten KI-Entwicklungszyklus integriert ist.

Phase	Beschreibung	Feedbackschleife:
Planen	Definieren Sie Ziele, Umfang und Fehlerschwellen	Richtlinien auf Grundlage früherer Bewertungen verfeinert
Test	Führen Sie gegnerische Eingabeaufforderungen und automatisierte Scans aus	Schwachstellen protokolliert und priorisiert
Abhilfe schaffen	Implementieren Sie Modellleitplanken, Sicherheitsfilter und Patches	Wirksamkeit der Abwehr durch erneute Tests bestätigt

Zu den Best Practices für die Einrichtung eines Programms für Red-Teaming-LLM-Anwendungen gehören:

Klare Ziele und Umfang definieren: Bevor mit dem Testen begonnen wird, müssen Organisationen definieren, worauf sie testen. Dazu gehört die Erstellung klarer Richtlinien, die inakzeptables Verhalten – von Datenlecks bis hin zur Generierung hasserfüllter Inhalte – beschreiben, und die Festlegung messbarer Schwellenwerte für Fehler.
Stellen Sie ein vielfältiges Team zusammen: Ein effektives KI-Red-Team sollte multidisziplinär sein. Es sollte nicht nur Sicherheitsingenieure, sondern auch Sozialwissenschaftler, Ethiker, Juristen und Fachexperten umfassen, die ein breites Spektrum potenzieller Schäden und Angriffsvektoren vorhersehen können.
Kombinieren Sie manuelle und automatisierte Tests: Automatisierte Tools können schnell auf bekannte Schwachstellen testen und Tausende von Varianten von Angriffsaufforderungen ausführen. Menschliche Kreativität und Intuition sind jedoch unersetzlich, um neue, komplexe „Jailbreaks“ zu entdecken, die automatisierten Systemen möglicherweise entgehen.
Iterieren und Anpassen: Die Erkenntnisse aus Red-Teaming-Übungen müssen in den Entwicklungsprozess einfließen, um die Modellausrichtung zu verbessern, Sicherheitsfilter zu stärken und Schwachstellen auf Systemebene zu beheben. Anschließend sollte das Red Team das verbesserte System angreifen, um die Abwehrmaßnahmen zu validieren.

Der Browser: Die letzte Grenze der GenAI-Sicherheit

Obwohl KI-Red-Teaming für die Verbesserung der inhärenten Sicherheit von Modellen unerlässlich ist, lässt sich kein Modell absolut sicher gestalten. Schwachstellen wird es immer geben, und kreative Angreifer werden neue Wege finden, diese auszunutzen. Für Unternehmen bedeutet dies, dass die Verbesserung des Modells zwar wichtig ist, die Kontrolle der Umgebung, in der Benutzer mit dem Modell interagieren, jedoch von größter Bedeutung ist. Diese Umgebung ist in den meisten Fällen der Webbrowser.

Stellen Sie sich einen Finanzanalysten vor, der ein GenAI-Tool eines Drittanbieters nutzt, um Quartalsberichte zusammenzufassen. Ein Angreifer könnte den LLM mit einem Prompt-Injection-Angriff dazu verleiten, Teile dieser sensiblen Finanzdaten an einen externen Server zu senden. Oder der Analyst könnte einfach und naiv den gesamten vertraulichen Bericht in das Prompt-Fenster einfügen und so ein massives Datenleck verursachen.

Hier wird die Sicherheit auf Browserebene zum praktischsten und effektivsten Kontrollpunkt. Ein Unternehmensbrowser oder eine sicherheitsorientierte Browsererweiterung kann Sicherheitsrichtlinien genau im Moment der Interaktion durchsetzen und bietet so eine letzte Verteidigungslinie, die modellbasierte Sicherheitsfunktionen nicht bieten können.

LayerX bietet eine auf diese Herausforderung zugeschnittene Lösung durch:

Zuordnung der GenAI-Nutzung: LayerX kann alle im Unternehmen verwendeten GenAI-Tools identifizieren, einschließlich nicht genehmigter „Shadow AI“, und bietet so die für das Risikomanagement erforderliche Transparenz.
Durchsetzung von Data Loss Prevention (DLP): Es kann verhindern, dass Benutzer vertrauliche Daten wie Code, PII oder Finanzinformationen in GenAI-Eingabeaufforderungen einfügen. Es kann diese Informationen in Echtzeit erkennen und redigieren, bevor sie den Browser verlassen.
Kontrolle der Benutzeraktivität: Die Lösung kann detaillierte, risikobasierte Richtlinien auf die gesamte SaaS-Nutzung anwenden, einschließlich der Blockierung von Datei-Uploads auf nicht konforme KI-Tools oder der Verhinderung von Anmeldungen mit persönlichen Konten.

Durch die Sicherung des Browsers können Unternehmen eine sichere Betriebsblase für die GenAI-Nutzung schaffen und so die bei GenAI-Red-Teaming-Übungen identifizierten Risiken minimieren, ohne die Produktivitätsvorteile dieser Tools zu beeinträchtigen. Der Fokus verlagert sich vom Versuch, eine undurchdringliche Festung um das Modell zu errichten, auf die einfache Kontrolle der Tore.

Oder Eshed

Or Eshed ist Mitbegründer und CEO der Browser-Sicherheitsplattform LayerX mit über einem Jahrzehnt Erfahrung in den Bereichen Cybersicherheit, künstliche Intelligenz und Informationskriegsführung.

Sicherheit bei der KI-Nutzung

Browsersicherheit für Unternehmen

LayerX Enterprise GenAI-Sicherheitsbericht 2025

Über uns

LayerX Enterprise GenAI-Sicherheitsbericht 2025

Ressourcen

Erweiterungsdatenbank

Blog & Podcast

Enterprise-Browser

KI-Sicherheit