Pentesting von KI: Sicherung Ihrer KI-Anwendungen

Verwenden Sie KI in Ihrem Unternehmen? Pentesting Ihrer KI-Anwendung zeigt, was schief gehen kann - und wie man es behebt

Die Chancen stehen gut, dass Ihr Unternehmen eine KI-Anwendung oder ein KI-System einsetzt. KI hat sich von einer bahnbrechenden Innovation zu einer Kernkomponente für den Geschäftsbetrieb entwickelt. Gartner berichtet, dass fast ein Drittel der befragten Unternehmen generative KI und große Sprachmodelle (LLMs) einsetzt. KI-Anwendungen, insbesondere solche, die LLMs verwenden, sind jedoch mehreren Risiken und Schwachstellen ausgesetzt.

Mit einer Vielzahl von Taktiken sind Angreifer in der Lage, Daten aus KI-Anwendungen zu stehlen oder zu verändern und KI-Systeme so zu manipulieren, dass sie Dinge tun, die sie nicht tun sollten, was zu finanziellen und rufschädigenden Schäden führt. Beispiele dafür sind: bösartige Chatbots, die Kunden beschimpfen, KI-Systeme, die so manipuliert werden, dass sie hohe Rückerstattungen gewähren, und das Durchsickern sensibler Unternehmensdaten. Das bedeutet, dass die Absicherung von KI-Anwendungen von entscheidender Bedeutung geworden ist.

Angebot für Pentest anfordern

Wir können Ihnen helfen, Ihre KI-Anwendung zu sichern

Unser Pentesting-Service für KI-Anwendungen kann Ihnen helfen, die Sicherheit Ihrer KI-Anwendungen gründlich zu bewerten. Wir können Ihnen dabei helfen, Probleme sowohl im Sprachmodell als auch bei der Integration mit Komponenten wie Websuche, Code-Implementierung, API-Aufrufen und Leitplanken aufzudecken.

Durch simulierte Angriffe und den Einsatz etablierter Cybersecurity-Frameworks verschaffen wir Ihnen einen klaren Einblick in die Schwachstellen Ihrer KI-gestützten Anwendungen und liefern einen praktischen Bericht mit Verbesserungsmaßnahmen.

Wie man mit KI-Sicherheit umgeht: unsere Methode

Auf der Grundlage von Tausenden von Tests hat Bureau Veritas Cybersecurity eine umfassende Methodik zur Bewertung der Sicherheit von KI-Systemen entwickelt, die auf Bedrohungsmodellierung, Entwicklungen in Wissenschaft und Branche, Bedrohungsakteuren und Vorfällen basiert.

Wir verwenden international anerkannte Modelle für das Testen der KI-Sicherheit. Derzeit gibt es nur wenige Frameworks, die speziell auf die mit KI-Technologien verbundenen Risiken ausgerichtet sind. Das Open Worldwide Application Security Project (OWASP) bietet eines der wenigen weithin anerkannten Modelle: Die OWASP Top 10 Risks for LLMs and GenAI Applications. Wir verwenden dieses Modell als Standard für alle KI-Sicherheits-Assessments.

Unser Fachwissen

Bureau Veritas Cybersecurity ist das erste Unternehmen, das eine Methodik mit Tausenden von Sicherheitstests und eine strukturierte Methodik zur Bewertung von KI-Systemen entwickelt hat. Wir bauen auf mehr als zwei Jahrzehnten Cybersecurity-Expertise auf. Unser Testteam führt jedes Jahr Hunderte von Sicherheitstests durch. Alle Tester sind nach einem Mindeststandard (eWPT) zertifiziert, aber die meisten haben mehrere Zertifizierungen, wie OSCP, OVSE, eCPPT, GIAC GPEN. Dieses Team kann praktisch jeden Sicherheitstest durchführen.

Angebot für Pentest anfordern

Die 3 Schritte des Pentesting für KI-Anwendungen

01

Bedrohungsmodellierung zur Bewertung von Risiken

Je nachdem, wie tief Sie einsteigen möchten, können wir optional mit einer Bedrohungsmodellierung beginnen: Diese hilft Ihnen zu wissen, aus welcher Perspektive Bedrohungen entstehen und wie Anwendungen oder Systeme angegriffen werden können. Das Ziel der Bedrohungsmodellierung ist es, Ihnen ein vollständiges Bild der Bedrohungen und der möglichen Angriffswege zu vermitteln.

Der Hauptunterschied zwischen der traditionellen Bedrohungsmodellierung und der KI-bezogenen Bedrohungsmodellierung besteht darin, dass die Risiken und Bedrohungen unterschiedlich sind. Aus diesem Grund verwenden wir neben einem der Rahmenwerke, die bei der traditionellen Bedrohungsmodellierung verwendet werden, die OWASP Top 10 Risks for LLMs als Orientierungsrahmen.

02

Tests durchführen - Eingabeaufforderungen verwenden

Der Weg, einen LLM-Teil einer Anwendung zu testen, ist das Versenden von Nachrichten, sogenannten Prompts. Um die meisten der OWASP Top 10-Risiken zu bewerten, erstellen und versenden wir daher zunächst Prompts oder 'Prompt Injection' (Top 10 #1). Anhand der Prompt Injection bewerten wir dann die anderen Risiken, wie die Offenlegung sensibler Informationen (#2) und die unsachgemäße Behandlung von Ausgaben (#5). Die Bedrohungsmodellierung kann diesen Prozess wesentlich effektiver gestalten, da sie einen klaren Überblick über die relevanten Bedrohungen bietet.

Wir haben eine Datenbank mit Tausenden von sorgfältig kuratierten Eingabeaufforderungen aufgebaut, die den OWASP Top 10 für KI zugeordnet sind. Beim Pentest Ihrer KI-Anwendung verwenden wir drei Arten von Prompts:

Frei verfügbare Prompts aus akademischen oder Branchen-Sicherheitsbenchmarks (z.B. AIR-Bench, HarmBench und HEx-PHI) und Jailbreaking-Techniken (wie Do Anything Now, JailbreakBench und Best-of-N Jailbreaking).
Prompts, die von öffentlichen Richtlinien und bekannten Vorfällen abgeleitet sind.
Proprietäre Prompts und Techniken, die von den KI Experten / Expertinnen von Bureau Veritas Cybersecurity entwickelt wurden.

03

Gründliche Berichterstattung

Im Anschluss an den Pentest Ihrer KI-Anwendung erhalten Sie einen umfassenden Bericht.

Tests, die erfolgreich die Ausnutzung von Risiken demonstrieren, werden in dem Bericht gruppiert und analysiert. Jede OWASP Top 10-Risikokategorie wird dem Bedrohungsmodell, einem CVSS v3-Score und den relevanten CWE-Kennungen zugeordnet, damit unsere Kunden ein klares Verständnis für das Risikoniveau erhalten.

Für jede Kategorie bieten wir Ihnen außerdem umsetzbare Empfehlungen, damit Sie Ihre KI-gestützten Lösungen gegen Cybersecurity-Bedrohungen stärken können.

Fordern Sie ein Angebot für Ihren Pentest an

Möchten Sie sich Ihre KI-Anwendungen sichern? Bitte füllen Sie das Formular aus, und wir melden uns innerhalb eines Werktages bei Ihnen.

Vorname

Nachname

Unternehmen / Organisation

E-mail

Telefonnummer

Wie können wir Ihnen helfen?

Ich stimme der Verarbeitung meiner Daten gemäß der Datenschutzerklärung zu und akzeptiere die Allgemeinen Geschäftsbedingungen.

Ich bin einverstanden, dass Bureau Veritas Cybersecurity diese Daten nutzt, um mich über weitere Dienstleistungen, Veranstaltungen oder relevante Themen zu informieren.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.