LLM Red Teaming: Teste den Assistenten vor der Produktion mit Angriffen

Drei Wochen vor dem Go-Live eines B2B-Kunden antwortete einer unserer Assistenten auf eine geschickt formulierte Anfrage mit einem Zitat aus dem System-Prompt. Es war kein Modellfehler, sondern eine Lücke in der Guardrails-Architektur, die wir selbst entdeckten, weil wir vor dem produktiven Einsatz eine Red-Teaming-Session durchführten. Die Behebung dauerte zwei Tage. Hätten wir sie nach dem Go-Live gefunden, wäre sie deutlich teurer gewesen.

Ein traditioneller Pentest der Infrastruktur sucht nach Schwachstellen in der Software: offene Ports, ungepatchte CVE, Autorisierungsfehler. LLM Red Teaming sucht nach einer anderen Art von Schwächen: wie das Modell auf Eingabedaten reagiert, die bei der Systemgestaltung nicht vorhergesehen wurden.

Der entscheidende Unterschied: Ein Pentest ist in der Regel einmalig, findet vor dem Go-Live statt und endet mit einem Bericht über die gefundenen Schwachstellen. LLM Red Teaming ist in einem gut konzipierten System kontinuierlich: Jeder neue Fund landet im Angriffskatalog, der Katalog wird zu einer Regressionstest-Suite, und die Suite wird automatisch bei jeder Änderung der Konfiguration oder Wissensdatenbank ausgeführt.

Warum ist Kontinuität wichtig? Das Basismodell kann sich ändern. Die RAG-Wissensdatenbank wächst und kann neue Dokumente übernehmen. Der System-Prompt wird modifiziert. Jede dieser Änderungen kann eine neue Angriffsfläche eröffnen, die beim vorherigen Review nicht existierte.

LLM Red Teaming ist keine freie Improvisation. Wir arbeiten mit einem Katalog von Angriffsklassen, von denen jede definierte Testmethoden und Bewertungskriterien hat.

Eine detaillierte Taxonomie von 10 Schwachstellenklassen beschreibt der Standard OWASP LLM Top 10. Bei Cashcrown verwenden wir diese Taxonomie als Checkliste für jede Red-Teaming-Session.

Nicht jeder Fund ist gleich dringend. Das Scoring ermöglicht die Priorisierung von Behebungen und die Kommunikation des Risikos an das Team.

Wir verwenden drei Dimensionen: Ausnutzbarkeit (wie schwierig ist der Angriff), Auswirkung (was kann der Angreifer erreichen) und Kontext der Implementierung (verarbeitet das System sensible Daten, hat es Zugriff auf Werkzeuge, ist es öffentlich zugänglich).

Das praktische Ergebnis sind drei Prioritäten:

• Kritisch: Angriff durch ungeschulte Nutzer ausführbar, führt zu Datenlecks oder nicht umkehrbaren Aktionen. Blockiert den Go-Live.
• Hoch: Angriff erfordert Vorbereitung, ist aber reproduzierbar. Behebung vor dem Go-Live, nicht danach.
• Niedrig/beobachtet: Angriff ist schwierig oder hat geringe Auswirkungen. Wird im Register erfasst, überwacht und blockiert den Go-Live nicht.

Ein einmaliger Review vor der Implementierung ist notwendig, aber nicht ausreichend. Die Schleife des kontinuierlichen Red Teaming sieht folgendermaßen aus:

1. Jeder neue Fund (unabhängig von der Quelle: interner Test, Nutzerhinweis, Literatur) landet als Testfall im Katalog.
2. Der Testfall hat das Format: Angriffseingabe + erwartete defensive Antwort (Verweigerung, Maskierung, Eskalation zum Menschen).
3. Der Katalog wird automatisch bei jeder Änderung des System-Prompts, Aktualisierung der RAG-Wissensdatenbank oder Änderung des Basismodells ausgeführt.
4. Jedes neue Ergebnis wird mit dem vorherigen verglichen: Keine Regression ist eine Merge-Bedingung.
5. Monatlich werden neue Testfälle aus aktueller Literatur und Meldungen hinzugefügt.

Dieses Muster funktioniert nach denselben Prinzipien wie Regressionstests in der Softwareentwicklung: Ein einmal gemeldeter Bug wird zu einem Test, der sicherstellt, dass der Bug nicht zurückkehrt. Der Unterschied besteht darin, dass der Satz von Angriffen ständig wächst.

Das ist ein wichtiger Vorbehalt, den wir direkt machen: Kein Red-Teaming-Programm kann beweisen, dass ein System „vollständig sicher“ ist. LLM sind probabilistische Systeme: Dieselbe Eingabe kann bei einer anderen Temperatur oder einer anderen Modellversion ein anderes Ergebnis liefern.

Das Ziel von Red Teaming ist bescheidener und damit realistischer: Bekannte Angriffsklassen wurden getestet, entdeckte Schwachstellen sind mit Severity und Mitigationsstatus dokumentiert, und die Regressionstest-Suite stellt sicher, dass behobene Probleme nach Änderungen nicht zurückkehren.

Die Ergebnisse der Red-Teaming-Sessions sind Teil der technischen Dokumentation des KI-Systems, desselben Dokuments, das bei Hochrisikosystemen die Anforderungen des AI Act an das Risikomanagement unterstützt.

Bei Cashcrown durchläuft jedes Assistentensystem vor der Implementierung ein Audit (Checkliste mit 6 Bereichen, beschrieben im Artikel über Sicherheitsaudit für KI-Assistenten) sowie eine Red-Teaming-Session mit einem Katalog von Angriffsklassen.

Der initiale Katalog umfasst mindestens: 5 Varianten direkter Prompt Injection, 3 Varianten von Injection über RAG, 4 Varianten von Jailbreak-Persona, 2 Varianten von Konfigurationslecks und Tests in allen unterstützten Sprachen (Injection-Muster auf Polnisch, Englisch, Ukrainisch, Deutsch). Insgesamt 15–25 Testfälle für einen typischen RAG-Assistenten mit Werkzeugen.

Nach dem Go-Live wächst der Katalog: Jede Meldung oder jedes neue Muster aus der Literatur wird als neuer Testfall aufgenommen. Nach 6 Monaten Betrieb hat das System in der Regel 40–80 Testfälle. Das laufende Monitoring (beschrieben im Artikel über Monitoring von [Halluzinationen] und Verhaltensweisen des Assistenten) ergänzt das Red Teaming zwischen den Sessions.

Die Architektur der Verteidigungsschicht, die durch Red Teaming getestet wird, ist detailliert in den Artikeln über Schutz vor Prompt Injection und OWASP LLM Top 10 beschrieben.

Ein klassischer Pentest sucht nach Schwachstellen in der Infrastruktur: offene Ports, ungepatchte CVE, Autorisierungsfehler. LLM Red Teaming testet das Verhalten des Modells bei bösartigen Eingabedaten: Injection, Jailbreaks, Erzwingen von Konfigurationslecks. Beide sind in einem vollständigen Sicherheitsprogramm notwendig, testen jedoch unterschiedliche Angriffsflächen und erfordern unterschiedliche Methoden und Tools.

Für einen typischen RAG-Assistenten mit 3–5 Werkzeugen umfasst die erste Session die Vorbereitung des initialen Katalogs (0,5 Tage), die Durchführung der Tests (1 Tag), das Scoring und die Dokumentation der Funde (0,5 Tage). Insgesamt 2 Arbeitstage. Die Ergebnisse liegen zu Beginn meist im Bereich von 2–6 Funden, davon 0–2 kritische. Folgende Sessions sind schneller, da der Katalog bereits vorhanden ist.

Der AI Act nennt Red Teaming nicht namentlich, verlangt aber für Hochrisikosysteme dokumentiertes Risikomanagement und Tests vor der Implementierung. Die Ergebnisse von Red-Teaming-Sessions mit Angriffskatalogen, Severity-Scoring und Mitigationslisten füllen diese Dokumentationslücke auf natürliche Weise. Für Systeme mit allgemeinem Verwendungszweck (typischer Informations-Chatbot) ist die Pflicht weniger streng, aber fehlende Dokumentation erschwert die Verteidigung im Falle eines Vorfalls.

Eine kritische Schwachstelle blockiert den Go-Live. Die Behebung hat Vorrang vor dem Zeitplan: Ein Stopp ist günstiger als ein Vorfall nach dem Go-Live. Praktisch: Der kritische Fund wird als Ticket mit höchster Priorität behandelt, die Mitigation wird mit demselben Testfall getestet, der sie aufgedeckt hat, und erst nach der Verifizierung kommt sie auf die PASS-Liste. Der Termindruck ist verständlich, aber ein Sicherheitskompromiss bei Systemen, die Kunden bedienen, hat messbare reputative und rechtliche Konsequenzen.

Observability im kontinuierlichen Monitoring spielt eine ergänzende Rolle: Protokollierung von Anomalien (von Guardrails erkannte Injection-Versuche), Alerts bei Spitzen blockierter Anfragen, Überprüfung von Antwortstichproben bei jeder Aktualisierung der Wissensdatenbank. Es ersetzt keine Red-Teaming-Sessions, signalisiert aber, wenn neue Muster auftauchen, die eine Erweiterung des Katalogs erfordern.