VAPT (Vulnerability Assessment and Penetration Testing) bedeutet: Schwachstellen finden und gezielt angreifen — wie ein echter Angreifer. Bei uns kombiniert mit KI-Sicherheitstests für Chatbots und RAG.

Testet ihr Chatbots auf Prompt Injection?

Ja. Dazu gehören gezielte Prompt-Angriffe, Jailbreak-Versuche, RAG-Datenüberlauf und die Prüfung von API-Schichten um den LLM herum.

Was kostet ein Pentest für KMU?

Nach dem kostenlosen Erstgespräch erhalten Sie innerhalb weniger Arbeitstage ein Festpreisangebot — typisch 1–3 Wochen Testdauer nach Scoping. Kein Stundensatz-Risiko.

Behebt ihr Sicherheitslücken?

Wir liefern einen priorisierten Remediation-Plan und können die Umsetzung übernehmen — besonders dort, wo cyberEiche Ihre KI-Systeme entwickelt hat. Alternativ arbeitet Ihr IT-Dienstleister mit unserem Report.

Testet ihr auch Cloud und Netzwerk?

Ja — Web-Application-Tests, Netzwerk- und Infrastruktur-Scans sowie Cloud- und IAM-Konfiguration gehören zum klassischen VAPT-Scope.

cyberEiche

Erstgespräch sichern

VAPT & KI-Sicherheit

Sicherheit für IT und KI — Schwachstellen finden und schließen.

Klassische VAPT-Leistungen treffen bei uns auf echte KI-Reife: Wir testen Prompt-Angriffe, RAG-Datenpfade und gefährliche API-Integrationen — nicht nur Ihre Homepage. Danach gibt es konkreten Remediation‑Fahrplan; bei Bedarf übernehmen wir die technischen Fixes in den Systemen, die wir bereits für Sie gebaut haben.

1–3 Wochen nach einem klaren Scope· Individuelles Festpreis‑Angebot nach Scoping

Kostenloses Erstgespräch KI + Sicherheit gemeinsam planen

Typische Kombination vor Go‑Live:

Klassisches VAPT

Web-Application-Tests: Authentifizierung, Injection, Sessions, Zugriffsrechte
Netzwerk- und Infrastruktur-Scans sowie Angriffspfad-Analyse
Cloud- und Kontokonfiguration (IAM, offene Ports, Storage, Logs)

KI‑Sicherheit

Chatbot-/LLM-Red-Team: Prompt Injection, Jailbreak-Versuche, Umgehung von Guardrails
RAG-Leakage: können Nutzer Daten sehen oder Zitate extrahieren, die nicht für sie bestimmt sind?
API-Keys, Webhooks, Embedding-Skripte und CRM-/Telefon‑KI-Anbindungen — End-to-End geprüft

Findings beschreiben personenbezogene Risiken dort, wo KI Daten verarbeitet — ohne Kundendaten an Dritte zu teilen.

Nicht nur PDF — konkrete Lösungen

Der Report enthält keine bloße Liste von CVE‑Nummern. Sie erhalten Risiko‑Priorisierung, Quick Wins und strukturelle Maßnahmen mit grober Aufwandseinschätzung — angepasst an Mittelstand und echte Geschäftsprozesse.

Business‑Impact‑Priorität: kritische Wege werden zuerst adressiert (z. B. Kundenkontakt oder Patientendaten)
Quick Wins vs. strategische Änderungen klar getrennt, damit Ihr Innendienst entscheiden kann
Optional nimmt cyberEiche die Umsetzung gegen — besonders dort, wo Chatbot, RAG oder Telefon‑KI bereits von uns stammen — inklusive Retest

Wo uns Kunden häufig brauchen

Mittelständler rollen gleichzeitig digitale Kontaktpunkte und KI aus. Diese Kombination erhöht Angriffsfläche dramatisch — wir testen konsistent klassische und KI-spezifische Risiken.

Handwerk & Handel

Sie starten bald einen öffentlichen KI‑Chatbot auf der Website oder im Webshop. Vor dem Go‑Live soll der Bot nicht gehackt oder zu Datenlecks missbraucht werden können.

Fokus: Sanity‑check vor Produkt‑Launch · sichere Embedding‑Einbindung

Arzt- & Zahnarztpraxis

Interne FAQs und Dokumentation landen mit RAG in einem Assistenten. Patientenbezogene Daten müssen ohne Leckage durchsuchbar bleiben.

Fokus: RAG-Leakage · Zugriffsrechte · Pseudonymisierung

Dienstleistung & Beratung

Teams nutzen öffentliche KI‑Tools ohne Policy, während das CRM bereits an neue Automatisierung angebunden ist — Shadow AI trifft produktives System.

Fokus: Shadow‑AI‑Audit · API‑ & Integrationshärtung

Szenario‑Beispiele — kein Ausschluss anderer Branchen. Finaler Scope definiert sich im Erstgespräch.

Penetrationstest für Web und Netzwerk

KI-Sicherheit: Chatbot und RAG prüfen

VAPT vor Go-Live Ihres KI-Chatbots

Wenn Sie das suchen …

•Sie starten einen KI-Chatbot und wollen Sicherheit vor Go-Live?
•Sie brauchen einen Penetrationstest für Web, Netzwerk oder Cloud?
•Sie wollen Prompt Injection und RAG-Leaks prüfen lassen?

Potenzialanalyse starten Pentest-Anfrage stellen

Ablauf von Scoping bis Retest

Erstgespräch & Inventar

Welche Websites, Apps, APIs, VPNs? Welche KI‑Komponenten (Chatbot, RAG, Voice) aktiv? Shadow‑AI‑Nutzung einkalkulieren?

Technischer Kickoff

Zugänge oder Testumgebungen, Zeitfenster, erlaubte Angriffe — alles dokumentiert nach Branchen‑Best‑Practice.

Automatisierter VA + manuelle Tests

Scanner liefern Kandidaten, Pentester und KI‑Spezialisten bestätigen und vertiefen (inklusive gezielter LLM-Angriffe).

Report & Remediation‑Plan

Priorisierte Liste, kommunizierbar für Geschäftsleitung UND IT‑Dienstleister — plus Roadmap zur Behebung.

Behebung & Retest

Fixes beim Kunden oder mit cyberEiche. Danach Stich‑Retest gegen die kritischsten Findings zur Validierung.

Scope klären, dann Festpreis

Nach dem ersten Telefonat wissen wir, wie viele Assets betroffen sind und ob KI im Scope liegt. Innerhalb weniger Arbeitstage gibt es ein Festpreisangebot — keine Überraschungen im Stundenlohn.

Erstgespräch vereinbaren Oder erst KI‑Potenzialanalyse durchführen →