Ein traditioneller Penetrationstest findet SQL Injection, XSS und Konfigurationsfehler — aber keine Prompt Injection, kein Excessive Agency und keine KI-spezifische Datenexfiltration. Der McKinsey-Lilli-Vorfall vom Februar 2026 hat es bewiesen: McKinseys gründliches Sicherheitsprogramm mit regelmässigen Pentests erkannte die kritische KI-Schwachstelle nicht. 46,5 Millionen Nachrichten waren exponiert, weil die falschen Tests durchgeführt wurden. KI-Systeme brauchen KI-spezifische Tests — aber traditionelle Pentests bleiben für die klassische Infrastruktur unverzichtbar.
Nachfolgend: was jeder Testtyp kann, was er nicht kann, und wann Sie welchen brauchen.
Der Vergleich auf einen Blick
| Kriterium | Traditioneller Penetrationstest | KI Red Teaming |
|---|---|---|
| Testziel | Technische IT-Schwachstellen | KI-spezifische Schwachstellen |
| Getestete Systeme | Netzwerke, Webapps, APIs, Cloud | LLMs, KI-Agenten, Chatbots, KI-Integrationen |
| Referenz-Framework | OWASP Top 10 Web, PTES, OSSTMM | OWASP Top 10 LLM, MITRE ATLAS |
| Typische Schwachstellen | SQL Injection, XSS, CSRF, Misconfiguration | Prompt Injection, Jailbreak, Excessive Agency |
| Methodik | Automatisierte Scans + manuelle Exploitation | Manuelle adversariale Tests + spezifische KI-Toolkits |
| Dauer | 5-15 Tage | 5-20 Tage |
| Kosten (CHF) | 5’000 – 150’000 | 8’000 – 80’000 |
| Ergebnis | Technischer Schwachstellenbericht | KI-Sicherheitsbericht + Compliance-Dokumentation |
| Regulatorische Relevanz | PCI DSS, ISO 27001, FINMA | EU AI Act, nDSG (KI-spezifisch) |
| Findet Prompt Injection | Nein | Ja |
| Findet SQL Injection | Ja | Nein (nicht im Scope) |
| Ersetzt den anderen? | Nein | Nein |
Was ein traditioneller Penetrationstest testet
Ein Penetrationstest prüft die technische Sicherheit Ihrer IT-Infrastruktur — Netzwerke, Webapplikationen, APIs, Cloud-Konfigurationen. Die Methodik basiert auf etablierten Frameworks:
OWASP Top 10 Web Application Security Risks
- Broken Access Control
- Cryptographic Failures
- Injection (SQL, XSS)
- Insecure Design
- Security Misconfiguration
- Vulnerable and Outdated Components
- Identification and Authentication Failures
- Software and Data Integrity Failures
- Security Logging and Monitoring Failures
- Server-Side Request Forgery
Typische Findings eines Pentests
- SQL Injection in Webapplikationen
- Cross-Site Scripting (XSS)
- Fehlkonfigurierte Cloud-Dienste (S3 Buckets, Azure Storage)
- Ungepatchte Softwarekomponenten mit bekannten CVEs
- Schwache Authentifizierungsmechanismen
- Fehlende Verschlüsselung
- Privilege Escalation über Betriebssystem-Schwachstellen
- Lateral Movement im internen Netzwerk
Was ein Pentest NICHT findet
Ein traditioneller Pentest ist blind für KI-spezifische Schwachstellen, weil:
- Prompt Injection kein technisches Pattern hat, das Scanner erkennen — es ist natürliche Sprache
- Excessive Agency eine Designentscheidung ist, keine technische Fehlkonfiguration
- Jailbreaking das Umgehen von Verhaltensregeln betrifft, nicht von Zugriffskontrollen
- Datenexfiltration via LLM über «normale» API-Aufrufe geschieht, die kein Anomalie-System flaggt
- Tool Abuse die kreative Verkettung legitimer Funktionen ist, nicht die Ausnutzung eines Bugs
Ausführliche Erklärung: KI Red Teaming: Warum Ihre KI-Systeme getestet werden müssen
Was KI Red Teaming testet
KI Red Teaming prüft die Sicherheit von KI-Systemen — LLMs, KI-Agenten, Chatbots, KI-Integrationen. Die Methodik basiert auf KI-spezifischen Frameworks:
OWASP Top 10 for LLM Applications (2025)
- Prompt Injection
- Insecure Output Handling
- Training Data Poisoning
- Model Denial of Service
- Supply Chain Vulnerabilities
- Sensitive Information Disclosure
- Insecure Plugin Design
- Excessive Agency
- Overreliance
- Model Theft
MITRE ATLAS (Adversarial Threat Landscape for AI Systems)
Das MITRE ATLAS Framework katalogisiert KI-spezifische Angriffstechniken analog zum MITRE ATT&CK Framework für traditionelle Cyberangriffe. Es umfasst Taktiken wie:
- Aufklärung (Reconnaissance) von KI-Systemen
- Modellzugangsmanipulation
- Datenmanipulation und -exfiltration
- Modellumgehung (Evasion)
- Modellmissbrauch
Typische Findings eines KI Red Teamings
- Systemprompt-Exfiltration (sensible Informationen im Systemprompt)
- Erfolgreiche Prompt Injection (direkt und indirekt)
- Jailbreak-Umgehung der Sicherheitsrichtlinien
- Datenexfiltration über den KI-Assistenten
- Tool-Missbrauch (unautorisierte Aktionen über KI-Tool-Zugriff)
- Excessive Agency (zu weitreichende Berechtigungen)
- Halluzinationen mit Sicherheitsrelevanz
- Cross-Plugin-Exploitation
- Shadow-AI-Nutzung im Unternehmen
Was KI Red Teaming NICHT findet
KI Red Teaming ersetzt keinen klassischen Pentest:
- SQL Injection in Webapplikationen
- Netzwerk-Fehlkonfigurationen
- Ungepatchte Software-Schwachstellen
- Schwache Passwort-Policies
- Cloud-Misconfigurationen
- Physische Sicherheitslücken
Der McKinsey-Fall: Warum beides notwendig ist
Der McKinsey-Lilli-Vorfall vom 28. Februar 2026 ist das anschaulichste Beispiel dafür, warum traditionelle Pentests und KI Red Teaming sich nicht ersetzen, sondern ergänzen.
Was McKinseys Sicherheitsprogramm umfasste
McKinsey verfügte über ein erstklassiges Sicherheitsprogramm:
- Regelmässige Penetrationstests durch führende Anbieter
- Continous Vulnerability Scanning
- Professionelles Security Operations Center (SOC) mit 24/7-Monitoring
- Incident-Response-Team
- Gründliche Sicherheitsschulungen
Was trotzdem unentdeckt blieb
- Der KI-Assistent «Lilli» hatte über Prompt Injection manipulierbar
- Der Systemprompt enthielt Schreibzugriff auf interne Kommunikationssysteme
- 46,5 Millionen interne Nachrichten waren potenziell exponiert
- Kein Scanner, kein Pentest und kein SOC-Alarm
Die Lektion
McKinseys traditionelle Sicherheitstests waren vermutlich exzellent — sie schützten die klassische Infrastruktur wirksam. Aber sie waren konzeptionell nicht darauf ausgelegt, KI-spezifische Schwachstellen zu finden. Das ist kein Versagen der Pentester — es ist eine konzeptionelle Lücke, die nur KI Red Teaming schliessen kann.
Detaillierter methodischer Vergleich
Aufklärungsphase (Reconnaissance)
| Aspekt | Penetrationstest | KI Red Teaming |
|---|---|---|
| Ziel | Netzwerk-Topologie, Dienste, Versionen | KI-Architektur, Modelle, Tools, Datenquellen |
| Methoden | Port-Scanning, Service-Enumeration, OSINT | Systemprompt-Analyse, Tool-Identifikation, Datenfluss-Mapping |
| Werkzeuge | Nmap, Shodan, Burp Suite | Eigene Prompt-Engineering-Toolkits, LLM-spezifische Scanner |
Schwachstellenidentifikation
| Aspekt | Penetrationstest | KI Red Teaming |
|---|---|---|
| Automatisiert | Vulnerability Scanner (Nessus, Qualys) | Prompt-Injection-Bibliotheken, Jailbreak-Sammlungen |
| Manuell | Exploitation bekannter CVEs, Logic-Bug-Analyse | Kreatives Prompt Engineering, Kontextmanipulation |
| Fokus | Bekannte Schwachstellen und Fehlkonfigurationen | Verhaltensmanipulation und Designschwächen |
Exploitation
| Aspekt | Penetrationstest | KI Red Teaming |
|---|---|---|
| Ziel | Zugriff auf Systeme und Daten | Manipulation des KI-Verhaltens, Datenexfiltration |
| Methoden | Buffer Overflow, SQL Injection, Privilege Escalation | Prompt Injection, Jailbreaking, Tool-Chain-Exploitation |
| Ergebnis | Proof of Concept für technische Schwachstellen | Demonstration von KI-Missbrauchsszenarien |
Reporting
| Aspekt | Penetrationstest | KI Red Teaming |
|---|---|---|
| Framework | CVSS, OWASP Risk Rating | CVSS (adaptiert), OWASP LLM Risk Rating |
| Inhalte | Schwachstellen, Reproduktion, Empfehlungen | KI-spezifische Findings, Compliance-Mapping |
| Regulatorische Relevanz | PCI DSS, ISO 27001 | EU AI Act, nDSG |
Kostenvergleich
Preisübersicht
| Testtyp | Preisspanne (CHF) | Typische Dauer |
|---|---|---|
| Webapp-Pentest (Standard) | 8’000 – 25’000 | 5-10 Tage |
| Externer Netzwerk-Pentest | 5’000 – 20’000 | 3-7 Tage |
| Interner Netzwerk-Pentest | 10’000 – 40’000 | 5-15 Tage |
| Cloud-Pentest | 15’000 – 45’000 | 7-15 Tage |
| KI-Konfigurationsreview | 8’000 – 20’000 | 3-5 Tage |
| KI-Penetrationstest | 15’000 – 40’000 | 5-10 Tage |
| Umfassendes KI Red Teaming | 40’000 – 80’000 | 10-20 Tage |
Detaillierte Pentest-Kosten: Penetrationstest Kosten Schweiz
Detaillierte KI-Audit-Kosten: KI-Security-Audit Kosten
Kombinierte Pakete
Einige Anbieter bieten kombinierte Pakete an, die traditionellen Pentest und KI Red Teaming verbinden. Dies ist besonders effizient, weil:
- Die Aufklärungsphase für beide Testtypen Synergien bietet
- Schnittstellen zwischen klassischer Infrastruktur und KI-Systemen besonders kritisch sind
- Ein kombiniertes Reporting eine vollständige Sicherheitsbewertung ermöglicht
Typische Kosten für ein kombiniertes Paket: CHF 25’000-60’000 (20-30 Prozent günstiger als separate Beauftragung).
Wann brauchen Sie was?
Nur traditionellen Pentest (kein KI Red Teaming)
Wenn Ihr Unternehmen:
- Keine KI-Systeme einsetzt (auch keine ChatGPT/Copilot-Nutzung durch Mitarbeitende)
- Ausschliesslich traditionelle Web- und Netzwerk-Infrastruktur betreibt
- Keine KI-bezogene EU AI Act Compliance benötigt
Nur KI Red Teaming (kein Pentest)
In der Praxis selten — fast alle Unternehmen haben auch traditionelle IT-Infrastruktur, die getestet werden sollte. Ein reines KI Red Teaming ohne begleitenden Pentest kann sinnvoll sein, wenn:
- Die traditionelle Infrastruktur bereits kürzlich getestet wurde
- Das Budget begrenzt ist und die KI-Komponente das höchste Risiko darstellt
- Ein spezifischer EU AI Act Compliance-Nachweis benötigt wird
Beides (empfohlen)
Für die meisten Unternehmen, die KI-Systeme einsetzen, ist eine Kombination aus traditionellem Pentest und KI Red Teaming die richtige Wahl:
- Unternehmen mit kundenseitigen KI-Systemen (Chatbots, KI-Assistenten)
- Unternehmen mit KI-Agenten (Tool-Zugriff, Automatisierung)
- Unternehmen in regulierten Branchen (Finanzen, Gesundheit, Versicherungen)
- Unternehmen mit EU-Geschäftstätigkeit (EU AI Act Compliance)
- Unternehmen mit signifikanter Shadow-AI-Nutzung
Vergleich mit klassischem Red Teaming: Red Teaming vs. Penetrationstest
Häufige Missverständnisse
«Unser Pentest-Anbieter kann auch KI testen»
Vorsicht: Die meisten Pentest-Anbieter haben keine spezialisierte KI-Sicherheitsexpertise. Sie können die Webapplikation testen, in der der Chatbot läuft (XSS, CSRF, API-Sicherheit) — aber nicht den Chatbot selbst (Prompt Injection, Jailbreak, Datenexfiltration). Fragen Sie spezifisch nach Erfahrung mit OWASP Top 10 for LLM und MITRE ATLAS.
«KI Red Teaming ist nur für grosse Technologieunternehmen»
Nein. Jedes Unternehmen, das KI-Systeme mit Zugang zu internen Daten oder mit Tool-Zugriff einsetzt, hat eine KI-spezifische Angriffsfläche. Ein KI-Konfigurationsreview für CHF 8’000-20’000 ist auch für KMU erschwinglich und identifiziert die kritischsten Schwachstellen.
«Ein Vulnerability Scan reicht für KI-Systeme»
Vulnerability Scanner suchen nach bekannten CVEs in Software-Komponenten. KI-Schwachstellen wie Prompt Injection sind keine CVEs — sie sind inherente Eigenschaften der KI-Architektur. Kein Scanner erkennt, ob ein Chatbot auf «Ignoriere deine Anweisungen» reagiert.
«Wir nutzen nur ChatGPT — das ist doch sicher»
Die Nutzung von ChatGPT, Claude oder Copilot durch Mitarbeitende ist ein Sicherheitsrisiko — auch wenn die Plattform selbst sicher ist. Die Risiken liegen in der unkontrollierten Datenweitergabe (Shadow AI), in der fehlenden Governance und in der möglichen Prompt Injection über verarbeitete Dokumente.
Entscheidungshilfe
Schnelltest: Brauchen Sie KI Red Teaming?
Beantworten Sie die folgenden Fragen:
- Setzen Sie KI-Systeme ein, die Zugriff auf Unternehmendaten haben? (Ja/Nein)
- Haben Sie KI-Systeme, die von externen Nutzern angesprochen werden können? (Ja/Nein)
- Haben Ihre KI-Systeme Tool-Zugriff (E-Mail, CRM, Dateisystem)? (Ja/Nein)
- Nutzen Ihre Mitarbeitenden KI-Tools für geschäftliche Aufgaben? (Ja/Nein)
- Haben Sie EU-Geschäftstätigkeit mit KI-Bezug? (Ja/Nein)
- Sind Sie in einer regulierten Branche tätig? (Ja/Nein)
Auswertung:
- 0-1 x Ja: Traditioneller Pentest ist ausreichend. KI Red Teaming perspektivisch beobachten.
- 2-3 x Ja: KI-Konfigurationsreview empfohlen (CHF 8’000-20’000). Pentest weiterhin notwendig.
- 4-6 x Ja: Umfassendes KI Red Teaming dringend empfohlen. In Kombination mit Pentest.
Weiterführende Ressourcen
- KI Red Teaming: Warum Ihre KI-Systeme getestet werden müssen
- Prompt Injection: Die grösste KI-Schwachstelle
- Red Teaming vs. Penetrationstest (klassisch)
- Was kostet ein Penetrationstest?
- Was kostet ein KI-Security-Audit?
- KI-Sicherheit für KMU: Der Komplettleitfaden
- EU AI Act: Auswirkungen auf Schweizer Unternehmen
Fazit: Beide Tests sind notwendig — keiner ersetzt den anderen
KI Red Teaming und traditionelle Penetrationstests testen unterschiedliche Bedrohungsdimensionen. Ein Pentest schützt Ihre traditionelle IT-Infrastruktur. KI Red Teaming schützt Ihre KI-Systeme. Beides ist notwendig, weil Angreifer beide Angriffsflächen nutzen.
Der McKinsey-Vorfall hat gezeigt, was passiert, wenn nur eine Dimension getestet wird. Investieren Sie in beide — und beginnen Sie mit der Dimension, die für Ihr Unternehmen das höchste Risiko darstellt. Für die meisten Unternehmen mit aktiver KI-Nutzung ist das heute die KI-Dimension.