AI penetration testing

Viele Unternehmen starten ihre ersten LLM-Anwendungen mit einer einfachen Frage: „Funktioniert es?“ Kann der Chatbot Kundenfragen beantworten? Kann der interne Assistent Dokumente zusammenfassen? Kann der KI-Agent Support-Tickets klassifizieren, Code erklären oder Vertriebs-E-Mails vorbereiten? Doch sobald eine LLM-Anwendung in Produktion geht, reicht diese Frage nicht mehr aus. Dann geht es nicht nur darum, ob die Anwendung beeindruckend wirkt. Es geht darum, ob Nutzer, Kunden, Entwickler, Security-Teams und Entscheider ihr vertrauen können.

Vertrauen entsteht nicht durch eine gute Demo. Vertrauen entsteht durch systematisches Testen. LLM-Anwendungen brauchen deshalb eine neue Art von Qualitätssicherung: eine Kombination aus klassischem QA-Denken, KI-spezifischen Evaluationen, Sicherheitsprüfungen, Datenschutztests und kontinuierlichem Monitoring. Wer diese Disziplinen früh integriert, reduziert nicht nur technische Risiken, sondern schützt auch Marke, Nutzervertrauen und langfristige Produktakzeptanz.

(Bildquelle aikido.dev)

Der Unterschied zwischen einer Demo und einem vertrauenswürdigen Produkt

Eine LLM-Demo ist oft leicht zu bauen. Ein Prompt, ein Modell, ein Interface, ein paar Beispieldaten – und schon wirkt das Ergebnis erstaunlich gut. Ein produktionsreifes System ist etwas anderes.

In der Realität stellen Nutzer unklare Fragen. Sie machen Tippfehler. Sie geben unvollständige Informationen. Sie testen Grenzen aus. Manche versuchen bewusst, Sicherheitsregeln zu umgehen. Andere verlassen sich auf eine Antwort, obwohl das Modell vielleicht unsicher ist oder Informationen falsch interpretiert.

Ein LLM-Produkt muss deshalb nicht nur unter idealen Bedingungen funktionieren. Es muss auch dann stabil bleiben, wenn die Eingaben chaotisch, riskant oder manipulativ sind. Genau hier trennt sich der Prototyp vom verlässlichen Produkt.

Ein vertrauenswürdiges LLM-System sollte beantworten können:

• Wann ist eine Antwort korrekt genug?
• Wann sollte das Modell Unsicherheit ausdrücken?
• Wann muss es eine Anfrage ablehnen?
• Wann sollte es an einen Menschen eskalieren?
• Welche Daten darf es abrufen?
• Welche Aktionen darf es ausführen?
• Wie reagiert es auf Manipulationsversuche?
• Wie wird sein Verhalten nach Modell- oder Prompt-Änderungen erneut geprüft?

Diese Fragen sind nicht nur technische Details. Sie sind Teil der Produktstrategie.

Qualität ist mehr als richtige Antworten

Bei klassischer Software ist Qualität oft relativ klar messbar. Ein Button funktioniert oder nicht. Eine API liefert den erwarteten Wert oder nicht. Ein Formular validiert korrekt oder nicht. Bei LLM-Anwendungen ist Qualität komplexer.

Eine Antwort kann sprachlich gut klingen und trotzdem falsch sein. Sie kann teilweise korrekt sein, aber wichtige Einschränkungen auslassen. Sie kann höflich formuliert sein, aber vertrauliche Informationen preisgeben. Sie kann ein Dokument richtig zusammenfassen, aber eine unzulässige Schlussfolgerung ziehen.

Deshalb muss KI-QA mehrere Dimensionen abdecken:

• Faktische Richtigkeit
• Kontexttreue
• Konsistenz
• Tonalität
• Formatvorgaben
• Quellenbezug
• Halluzinationsrisiko
• Ablehnungsverhalten
• Eskalationslogik
• Performance und Latenz

Teams, die LLM-Anwendungen ernsthaft betreiben, brauchen strukturierte Testfälle statt gelegentlicher manueller Stichproben. Spezialisierte qa ai tools können dabei helfen, Prompts, Modellantworten, Regressionen und Qualitätsmetriken systematischer zu überprüfen.

Das ist besonders wichtig, weil sich LLM-Systeme schnell verändern. Ein neues Modell, ein geänderter Systemprompt, eine andere Retrieval-Konfiguration oder neue Dokumente in der Wissensdatenbank können das Verhalten der Anwendung deutlich beeinflussen.

Was gestern noch zuverlässig funktionierte, kann morgen plötzlich anders reagieren.

Sicherheit ist nicht dasselbe wie Qualität

Ein häufiger Fehler besteht darin, Qualität und Sicherheit gleichzusetzen. Wenn die Anwendung gute Antworten liefert, wirkt sie automatisch vertrauenswürdig. Doch das ist gefährlich. Ein LLM kann qualitativ hochwertige Antworten geben und trotzdem unsicher sein.

Beispiele:

• Ein interner Wissensassistent beantwortet normale Fragen korrekt, lässt sich aber durch Prompt Injection dazu bringen, vertrauliche Systemanweisungen auszugeben.
• Ein Support-Bot erklärt Richtlinien sauber, gibt aber bei geschickter Nachfrage private Kundendaten preis.
• Ein KI-Agent führt Aufgaben effizient aus, lässt sich aber dazu bringen, Aktionen ohne ausreichende Bestätigung auszuführen.
• Ein RAG-System nutzt relevante Dokumente, prüft aber nicht sauber, ob der Nutzer auf diese Dokumente zugreifen darf.

Hier geht es nicht mehr nur um QA. Hier geht es um Angriffsflächen. Deshalb sollten Teams früh verstehen, wie sich AI Penetration Testing von klassischem Funktionstesting unterscheidet. Während QA prüft, ob ein System wie erwartet funktioniert, untersucht Pentesting, wie es sich verhält, wenn Nutzer oder Angreifer versuchen, es zu manipulieren.

Bei LLM-Anwendungen sind diese Manipulationsversuche besonders relevant, weil Sprache selbst zur Angriffsfläche wird.

Prompt Injection ist ein Produktproblem, nicht nur ein Security-Problem

Prompt Injection wird oft als rein technisches Sicherheitsrisiko betrachtet. Tatsächlich ist es auch ein Produktproblem.

Wenn ein Nutzer einen Chatbot dazu bringen kann, interne Anweisungen zu ignorieren, ist das nicht nur eine Schwachstelle. Es untergräbt das gesamte Vertrauen in die Anwendung. Wenn ein Dokument in einem RAG-System versteckte Anweisungen enthält, die das Modell befolgt, kann die Anwendung falsche Antworten geben, Daten preisgeben oder ungewollte Aktionen auslösen. Wenn ein KI-Agent mit Tools verbunden ist, kann eine erfolgreiche Manipulation noch schwerwiegendere Folgen haben. Der Agent könnte E-Mails versenden, Tickets ändern, Daten abrufen oder Workflows starten.

Deshalb sollte jedes Team, das LLM-Anwendungen entwickelt, Sicherheitsfragen schon in der Produktplanung berücksichtigen:

• Welche externen Inhalte verarbeitet das Modell?
• Können Nutzer Dateien, Webseiten oder Dokumente einspeisen?
• Welche Tools darf das Modell nutzen?
• Welche Aktionen benötigen Bestätigung?
• Welche Daten sind besonders sensibel?
• Welche Systemanweisungen dürfen nie offengelegt werden?
• Welche Tests laufen vor jedem Release?

Die OWASP Top 10 for Large Language Model Applications ist dafür eine sinnvolle Orientierung, weil sie typische Risiken wie Prompt Injection, unsichere Ausgaben, Datenlecks, übermäßige Handlungsfreiheit und unsichere Plugins strukturiert beschreibt.

Vertrauen braucht eine risikobasierte Teststrategie

Nicht jede LLM-Anwendung braucht dieselbe Testtiefe. Ein interner Assistent für harmlose FAQ-Fragen hat ein anderes Risikoprofil als ein KI-Agent, der Kundendaten verarbeitet oder operative Aktionen ausführt. Deshalb sollte die Teststrategie risikobasiert sein.

Ein einfaches Raster kann helfen: Niedriges Risiko: Die Anwendung gibt allgemeine Informationen aus, hat keinen Zugriff auf sensible Daten und kann keine Aktionen ausführen.
Mittleres Risiko: Die Anwendung nutzt interne Dokumente, verarbeitet geschäftsrelevante Informationen oder beeinflusst Entscheidungen.
Hohes Risiko: Die Anwendung verarbeitet personenbezogene, finanzielle, medizinische, rechtliche oder sicherheitsrelevante Daten.
Sehr hohes Risiko: Die Anwendung kann Aktionen über APIs, Tools oder Agenten ausführen, etwa E-Mails senden, Datensätze ändern, Code ausführen oder Workflows starten.

Je höher das Risiko, desto stärker sollten QA, Security, Datenschutz, Logging, Monitoring und menschliche Freigabeprozesse ausgeprägt sein. Das passt auch zur Denkweise des NIST AI Risk Management Framework , das Organisationen dabei unterstützt, KI-Risiken über den gesamten Lebenszyklus hinweg zu identifizieren, zu bewerten und zu steuern.

Warum Regressionstests bei LLMs unverzichtbar sind

Viele Teams unterschätzen, wie empfindlich LLM-Systeme auf Änderungen reagieren. Eine kleine Prompt-Anpassung kann die Antwortqualität verbessern, aber das Ablehnungsverhalten verschlechtern. Ein neues Modell kann bessere Zusammenfassungen liefern, aber häufiger halluzinieren. Eine neue Retrieval-Logik kann mehr relevante Dokumente finden, aber auch irrelevanten Kontext in die Antwort ziehen.

Deshalb brauchen LLM-Anwendungen Regressionstests.

Diese sollten nicht nur klassische Funktionsfälle enthalten, sondern auch:

• Bekannte Halluzinationsfälle
• Frühere Prompt-Injection-Versuche
• Datenschutzkritische Szenarien
• Refusal- und Eskalationstests
• RAG-Grounding-Tests
• Format- und Tonalitätsprüfungen
• Latenz- und Kostenbenchmarks
• Tests für Tool- und API-Nutzung

Wichtig ist: Jeder gefundene Fehler sollte in einen wiederholbaren Testfall übersetzt werden. So wird aus einem einmaligen Vorfall ein dauerhafter Schutzmechanismus.

Governance muss praktisch sein

KI-Governance klingt oft nach Papier, Richtlinien und langen Freigabeprozessen. In der Praxis sollte sie aber vor allem eines sein: hilfreich.

Gute Governance beantwortet konkrete Fragen:

• Wer ist für die Qualität der KI-Ausgaben verantwortlich?
• Wer prüft sicherheitskritische Änderungen?
• Welche Tests müssen vor einem Release bestanden werden?
• Welche Risiken werden akzeptiert, welche nicht?
• Wie werden Vorfälle dokumentiert?
• Wie können Nutzer problematische Antworten melden?
• Wann wird ein Mensch eingeschaltet?
• Wie werden Modelle, Prompts und Datenquellen versioniert?

Regulatorische und behördliche Leitlinien können dabei helfen, eine robuste Struktur aufzubauen. Die NCSC Guidelines for Secure AI System Development betonen beispielsweise, dass Sicherheit über Design, Entwicklung, Bereitstellung und Betrieb hinweg betrachtet werden sollte. Auch der britische Code of Practice for the Cyber Security of AI zeigt, dass sichere KI nicht nur vom Modell abhängt, sondern vom gesamten Umfeld aus Daten, Infrastruktur, Lieferkette, Monitoring und Verantwortlichkeiten. Für europäische Unternehmen ist außerdem der Blick auf den EU AI Act relevant, insbesondere wenn Anwendungen in sensiblen oder hochriskanten Bereichen eingesetzt werden.

Monitoring ist Teil des Produkts

Selbst die beste Pre-Launch-Teststrategie findet nicht alle Probleme. Echte Nutzer verhalten sich anders als Testdatensätze. Neue Dokumente verändern RAG-Systeme. Externe Inhalte können manipuliert werden. Modelle entwickeln sich weiter. Angreifer passen ihre Methoden an. Deshalb endet Testing nicht mit dem Launch.

Ein produktionsreifes LLM-System sollte kontinuierlich überwachen:

• Welche Fragen häufig scheitern
• Wo Nutzer unzufrieden sind
• Welche Antworten gemeldet werden
• Welche Prompts verdächtig wirken
• Wann das Modell zu oft ablehnt
• Wann es zu selten ablehnt
• Ob Halluzinationen auftreten
• Ob sensible Daten in Antworten erscheinen
• Wie sich Latenz und Kosten entwickeln
• Welche neuen Edge Cases entstehen

Monitoring ist nicht nur ein Sicherheitsinstrument. Es ist auch eine Produktfeedback-Schleife. Jede schlechte Antwort, jede Eskalation und jeder misslungene Dialog kann helfen, das System zu verbessern.

Der Business Case für bessere KI-Tests

Manche Teams sehen LLM-Testing zunächst als zusätzliche Kostenstelle. Tatsächlich ist es ein Wachstumsfaktor.

Bessere Tests führen zu:

• Weniger Produktionsfehlern
• Weniger Supportaufwand
• Höherem Nutzervertrauen
• Geringerem Datenschutzrisiko
• Stabileren Releases
• Besserer Produktqualität
• Schnelleren Iterationen
• Klareren Verantwortlichkeiten
• Weniger Reputationsschäden

Vor allem aber helfen sie Unternehmen, KI nicht nur auszuprobieren, sondern zuverlässig zu skalieren. Denn Kunden akzeptieren bei KI vielleicht gelegentliche Grenzen. Sie akzeptieren aber keine Systeme, die selbstbewusst falsche Aussagen machen, vertrauliche Informationen preisgeben oder unvorhersehbar handeln.

Vertrauen ist deshalb kein „Nice to have“. Es ist die Voraussetzung dafür, dass LLM-Produkte langfristig genutzt werden.

Fazit: Die besten KI-Produkte werden die am besten getesteten sein

LLM-Anwendungen verändern wie Menschen mit Software arbeiten. Sie machen Interfaces natürlicher, automatisieren komplexe Aufgaben und eröffnen neue Produktmöglichkeiten. Doch je mächtiger diese Systeme werden, desto wichtiger wird ihre Absicherung.

Eine gute LLM-Anwendung braucht mehr als ein starkes Modell. Sie braucht klare Qualitätskriterien, strukturierte QA, Sicherheitsprüfungen, Datenschutzkontrollen, Regressionstests und Monitoring. Teams sollten deshalb nicht erst nach dem Launch fragen, ob ihre KI vertrauenswürdig ist. Sie sollten Vertrauen von Anfang an als Produktanforderung behandeln.

Die entscheidende Frage lautet nicht: „Können wir diese LLM-Anwendung bauen?“ Die bessere Frage lautet: „Können Nutzer ihr vertrauen, wenn es wirklich darauf ankommt?“