Alle Insights

Vector-Store-Poisoning.
Der Angriffsvektor gegen euren Support-Bot.

Wer eure Wissensbasis mit falschen Dokumenten füttert, kontrolliert die Antworten eures Kunden-Chatbots — und damit einen Teil eurer Marke. Der Angriff ist billig, die Rückverfolgung schwer. Der Baseline-Test gehört 2026 ins PR-Krisen-Playbook, nicht nur ins IT-Security-Playbook.

Fast jede Marke, die 2026 mit dem eigenen Publikum arbeitet, betreibt entweder selbst einen KI-Chatbot mit Retrieval-Augmented Generation oder wird bald einen betreiben. Kunden-Support, HR-Assistenten, Vertriebs-Vorqualifikation, öffentlich zugängliche FAQ-Bots. Das gemeinsame Muster: ein LLM greift auf eine Wissens-Datenbank (den Vector Store) zu, um Antworten auf Kundenfragen zu geben.

Was in diesen Setups oft unterschätzt wird: die Wissens-Datenbank ist ein Angriffsvektor. Wer sie mit gezielt manipulierten Dokumenten füttert, ändert die Antworten des Bots an spezifischen Stellen — ohne dass jemand am Modell selbst manipuliert. Der Angriff heißt Vector-Store-Poisoning, ist konzeptionell einfach, und 2026 aus meiner Sicht einer der unter-bewerteten Reputations-Risiken für Marken mit öffentlicher Bot-Kommunikation.

Diese Notiz erklärt die Angriffs-Ökonomie, ein anonymisiertes reales Muster, den einfachen Baseline-Test, den jede Marke diese Woche machen kann, und warum das Ganze ins PR-Playbook gehört, nicht nur ins IT-Playbook.

Die Angriffs-Ökonomie.

Ein klassischer Cyber-Angriff auf ein Corporate-Netzwerk kostet Angreifer erhebliche Ressourcen: Zeit für Reconnaissance, oft Custom-Malware, Umgehung von Endpoint-Detection. Der ROI muss entsprechend hoch sein — Erpressung, Datendiebstahl mit Weiterverkauf.

Vector-Store-Poisoning hat eine andere Ökonomie. Der Angreifer braucht keinen Zugang zum internen Netzwerk. Er braucht Zugang zu öffentlich indexierten Dokumenten, die der Bot verwendet. In vielen Setups reicht das: das Erstellen einer plausibel aussehenden PDF-Datei auf einer scheinbar seriösen Domain, die Optimierung für die Suchbegriffe, die eure Kundinnen und Kunden am häufigsten stellen, und die Verlinkung an genau den richtigen Stellen.

Kosten für den Angreifer: einige Stunden Arbeit, Domain-Registrierung, minimales Hosting. Erwarteter Effekt: der Bot zitiert das falsche Dokument in Antworten auf spezifische Kundenfragen. Skaliert das über hunderte Bots hinweg für ein bestimmtes Themenfeld, wird's eine echte Marken-Manipulations-Kampagne — mit einem Bruchteil der Kosten eines klassischen Cyber-Angriffs.

Ein anonymisiertes Beispiel.

Q4 2025, mittelständisches Finanz-Unternehmen in DACH mit einem öffentlichen Kunden- Chatbot. Der Bot greift auf einen Vector Store zu, in den nightly eine automatisierte Pipeline die eigene Website, Presseartikel über die Marke und ausgewählte Fachpublikationen einspeist.

Über mehrere Wochen erscheint auf drei mittelklassigen Finanz-Blogs Content, der die Marke am Rand erwähnt und dabei subtil falsche Aussagen zu einem konkreten Produkt macht („Konditionen mit einer typischen Rendite von X %" — real war die typische Rendite eine andere). Die Blogs sind seriös genug in der Aufmachung, dass die Pipeline sie in den Store aufnimmt. Der Bot beginnt, auf spezifische Kundenfragen die falschen Angaben zu zitieren.

Auffällig wurde es erst, als ein Kunde eine Beschwerde eskalierte: „Ihr Bot hat mir eine falsche Rendite genannt, ich habe entsprechend disponiert." Die Recherche dauerte Tage — bis klar war, dass die Antwort des Bots strukturell korrekt hergeleitet war, aus einer Quelle im Store, die kein echter Store-Kontent hätte sein dürfen.

Die Marke musste den Bot vier Tage abschalten, den Store manuell säubern, das Ingestion-Pipeline-Setup überarbeiten und eine Kunden-Kommunikation aussenden. Der materielle Schaden war überschaubar (kein Rechtsstreit); der Reputations-Schaden deutlich größer als der IT-Aufwand für die Abwehr im Vorhinein gewesen wäre.

Der Baseline-Test in unter einer Stunde.

Vor dem großen Compliance-Framework kommt der einfache Realitäts-Check. Zwei Fragen, die jede Marke mit öffentlichem Bot diese Woche beantworten sollte.

Frage eins: Welche Quellen speist eure Ingestion-Pipeline in den Store? Die richtige Antwort ist eine kurze, dokumentierte Liste — nicht „alle Webseiten, die unsere Marke erwähnen". Wenn die Pipeline nach Marken-Erwähnungen crawlt und einspeist, ist das strukturell offen für Poisoning. Ein manuell kuratierter Corpus aus autorisierten Quellen (eigene Website, ausgewählte Fach-Publikationen, geprüfte Presse-Archive) ist deutlich schwerer zu vergiften.

Frage zwei: Zeigt der Bot in seiner Antwort die Quelle, aus der er zitiert? Wenn nicht, könnt ihr weder intern noch extern nachvollziehen, ob eine Antwort aus einer legitimen oder einer vergifteten Quelle kommt. Quellenangabe im Bot-Output ist 2026 keine Kür mehr — es ist Basis-Anforderung für Vertrauens- und Fehler-Analyse.

Wer auf beide Fragen mit „nein" oder „unsicher" antwortet, sollte den Bot als angriffs-exponiert klassifizieren und die drei bis vier Sofortmaßnahmen unten prüfen.

Warum das ins PR-Playbook gehört.

Der Reflex bei Vector-Store-Poisoning ist, es als IT-Security-Problem zu klassifizieren. Das stimmt teilweise — die technische Abwehr sitzt bei der IT. Aber das Kern-Problem ist ein Kommunikations-Problem: falsche Aussagen unter eurem Marken-Namen im öffentlichen Kunden-Kontakt. Das ist per Definition PR-Krise.

Konkret sollte euer Krisenkommunikations-Playbook zwei neue Punkte enthalten, die klassische Playbooks nicht abdecken.

Erstens: Bot-Antworten sind Marken-Statements. Wenn euer Bot eine falsche Aussage gemacht hat, ist die Kommunikation nach außen nicht „unser Tool hat einen Bug", sondern „wir haben eine falsche Information verbreitet, hier ist die Richtigstellung". Die zweite Formulierung schützt die Marke; die erste erodiert sie.

Zweitens: Poisoning-Verdacht braucht schnelle Bot-Ausschaltung. Anders als bei klassischen PR-Krisen ist die richtige Reaktion nicht „ausleuchten und antworten", sondern „temporär abschalten und dann antworten". Ein Bot, der gerade falsche Aussagen zitiert, macht mit jeder Minute mehr Schaden. Playbook-Anweisung: bei begründetem Poisoning-Verdacht Bot innerhalb 60 Minuten offline, mit Statement „System wird gerade geprüft, klassische Kanäle verfügbar unter [Kontakt]".

Was diese Woche noch passieren sollte.

  1. Ingestion-Quellen dokumentieren und kuratieren. Öffentliche Automatik-Crawls durch manuell freigegebene Quellen ersetzen.
  2. Quellenangaben im Bot-Output aktivieren. Jede Antwort mit zumindest einer sichtbaren Quelle, aus der die Aussage stammt. Nicht-Ausblendbar, auch in Kurz-Antworten.
  3. Baseline-Prompt-Suite anlegen. Zehn typische Kundenfragen mit bekannten korrekten Antworten. Weekly Auto-Run gegen den Bot, Abweichungen als Poisoning-Signal.
  4. PR-Playbook um Bot-Kapitel erweitern. Poisoning-Verdachts-Trigger, Ausschalt-Schwelle, Kommunikations-Vorlage.
  5. Verantwortlichkeit klären. Wem gehört der Bot-Content-Vertrauens-Layer? IT-Sec, Marketing, Kommunikation, Legal? Ohne benannte Person kein wirksames Playbook.

Diese Notiz beschreibt einen Angriffsvektor, der in DACH-Mandaten 2026 zunehmend real wird, aber noch selten priorisiert ist. Bei akutem Verdacht: Krisen-Hotline +43 660 700 3703 — Erstkontakt binnen 30 Minuten. Bei struktureller Vor-Prüfung: Erstgespräch — 30 Minuten reichen für die Baseline-Bewertung eures Bot-Setups.

Bot-Vertrauens-Layer als Standardprozess.

30-Minuten-Erstgespräch, kostenlos. Wir prüfen euer aktuelles Bot-Setup gegen die zwei Baseline-Fragen und identifizieren die zwei bis drei strukturellen Änderungen mit dem höchsten Schutz-ROI. Bei akutem Verdacht: Krisen-Hotline binnen 30 Minuten.

Erstgespräch besprechen →