Moderne KI-Systeme wie ChatGPT oder RAG-basierte Unternehmenslösungen können mit Dateien wie PDFs, Word-Dokumenten oder Bildern umgehen. Was viele nicht wissen: Diese Dateien können unbemerkt manipuliert sein – und das mit gravierenden Folgen. In diesem Beitrag zeigen wir, wie Angreifer sogenannte Data-Poisoning-Angriffe durch manipulierte PDF-Dateien durchführen können. Die Informationen sind für den Menschen unsichtbar – für die KI jedoch glasklar sichtbar. 

Key Takeaways 

• Dateien wie PDFs oder Bilder sind elementare Bestandteile heutiger KI-basierter Retrieval / RAG-Systeme und von KI-Systemen wie ChatGPT selbst. 

• Dateien können allerdings unbemerkt manipuliert sein. Angreifer können Fehlinformationen oder bösartige Anweisungen in den Dateien verstecken, die die KI „sieht“, nicht aber der Mensch.  

• Wir stellen neuartige Poisoning-Angriffstechniken für PDF-Dokumente vor, die nochmals deutlich schwerer zu erkennen sind als bisherige Techniken. PDF-Viewer zeigen die Manipulationen nicht an, aber gängige PDF-Loader und KI-Systeme wie ChatGPT extrahieren sie.  

• Wir testen gängige PDF-Loader und bekannte KI-Systeme wie ChatGPT.  

• Tests zeigen: ChatGPT und populäre PDF-Loader sind verwundbar.  

• Zero-Trust-Prinzipien sind beim Design von KI-Systemen unverzichtbar. Wir bei _fbeta setzen diese konsequent in unseren Services bereits beim Design um und bieten mit unserem AI Guard zusätzlich eine Firewall zur Erkennung von KI-Risiken an. 

Eine PDF, zwei Botschaften. Und nur die KI sieht die zweite 

Ein konkretes Beispiel zeigt, wie subtil diese Angriffe funktionieren: 

Angriffsszenario: Poisoning-Angriff auf die Wissenskomponente in ChatGPT 

Schritt (1): Eine PDF zeigt die korrekte IBAN für Muster-Company an: DE22 10010050… Alles scheint unproblematisch.   

Schritt (2) und (3): Diese PDF laden wir in den Wissenspool eines Custom GPT.  

Schritt (4): Wir fragen ChatGPT nach der IBAN für unsere Überweisung.  

Aber ChatGPT gibt eine ganz andere IBAN aus: DE99 99999999 … 

Abbildung 1: Poisoning-Angriff auf ChatGPT. Die eingebundene PDF enthält eine versteckte Information, die ChatGPT ausliest, aber in gängigen PDF-Viewern nicht angezeigt wird. Dadurch gibt ChatGPT falsche Informationen aus, hier eine manipulierte Bankverbindung.

Grundlagen: Dokumente, Prompts, RAG und Angriffe

Viele Unternehmen nutzen KI-Systeme, um Dokumente zusammenzufassen, Inhalte zu analysieren oder externe Wissensdatenbanken zu erschließen. Dafür werden PDF-Dateien, Bilder oder andere Formate verarbeitet – oft ohne vorherige Sicherheitsprüfung. Darüber hinaus ist Retrieval-Augmented Generation (RAG) de facto ein Standard-Ansatz heute, um LLMs mit externem Fachwissen zu versorgen. Dabei werden Dokumente wie PDFs oder Bilder geladen und in einer Datenbank indexiert. Bei einer Anfrage wird diese Wissensdatenbank durchsucht und Inhalte aus den passenden Dokumenten dynamisch in die Prompt eingefügt. So bekommen Nutzende aktuelle und kontextbezogene Antworten.

Genau hier setzen sogenannte Data-Poisoning-Angriffe an.

Sicherheitslücke „Data Poisoning“

Diese Angriffe nutzen aus, dass KI-Systeme Textinhalte ungeprüft extrahieren. Die Folgen reichen von Falschinformationen bis hin zu Prompt Injection, bei der das Verhalten des Modells direkt manipuliert wird – etwa zum Auslesen und Weiterleiten sensibler Daten.

Sowohl RAG-Systeme als auch klassische Chatbots vertrauen oft darauf, dass die bereitgestellten Dokumente „sauber“ sind. Wenn diese Dokumente allerdings manipuliert wurden, können gezielte Falschinformationen in den RAG-Wissenspool gelangen, etwa eine falsche Bankverbindung. Wenn diese Dokumente bösartige Anweisungen enthalten, kann auch das Verhalten von LLMs gezielt gesteuert werden (sog. Prompt Injection), zum Beispiel um das E-Mail-Postfach zu durchsuchen und Geschäftsgeheimnisse an Angreifer unbemerkt zu senden.

Laut der OWASP Top 10 für LLM zählt Data Poisoning aktuell zu den größten Risiken in der KI-Sicherheit [Ref 1].

Neue Angriffsvektoren mit versteckten Inhalten

Der vielleicht erste Gedanke, eingebettete Dokumente durch Menschen visuell vorab prüfen zu lassen, reicht allerdings nicht aus: Inhalte können so versteckt werden, dass sie für den Menschen unsichtbar bleiben, aber maschinell gelesen werden. 

Dieser Angriffsvektor ist nicht unbedingt neu. Bekannte Beispiele sind das Einbetten von weißen Text auf weißer Schrift (bereits in der Praxis passiert [Ref 2]) oder das sog. ASCII Smuggling (es gibt Unicode-Buchstaben, die User Interfaces nicht anzeigen). Solche Angriffe lassen sich aber leicht erkennen. Zum Beispiel belegen weiße Texte weiterhin Platz in der PDF und lassen sich durch Markieren mit der Maus im PDF-Viewer erkennen.

Im Rahmen einer Sicherheitsanalyse wollten wir also wissen, ob es Angriffsmethoden gibt, die absolut unauffällig sind. In diesem Beitrag stellen wir neue Poisoning-Angriffe für PDF-Dokumente vor.

Techniken zur Manipulation von PDFs

Wir haben drei Methoden untersucht, mit denen sich versteckter Text in PDFs unterbringen lässt – alle ohne technisches Spezialwissen umsetzbar:

1. Versteckter Text unter einem Bild. Damit verbraucht der Text kein Platz im Dokument, lässt sich aber noch immer theoretisch mit der Maus markieren und „sichtbar“ machen.
2. Versteckte Textboxen. Hier wird eine unsichtbare Textbox in eine PDF eingebaut, die gängige PDF-Viewer nicht anzeigen.
3. Versteckte Textfelder. Hier wird ein unsichtbares Textfeld eingebaut, welches gängige PDF-Viewer ebenfalls nicht anzeigen.

Die Abbildung unten zeigt den LaTex Source-Code für Strategie 3.

Alle drei benannten Varianten umgehen die Sichtprüfung durch Menschen.

Bei Interesse können wir Ihnen noch weitere Manipulationstechniken zeigen. Melden Sie sich gerne.

Tests mit gängigen PDF-Loadern und KI-Systemen

Moderne KI-Systeme nutzen sogenannte PDF-Loader, um Inhalt aus einer PDF zu extrahieren. Im ersten Schritt testeten wir unsere Strategien gegen gängige PDF Loader.

Unsere Sicherheitsanalyse zeigt: Alle getesteten PDF-Loader sind anfällig für mindestens eine der vorgestellten Strategien. Die extrahierten Inhalte landen im Wissenspool – mit potenziell fatalen Konsequenzen für Chatbots, Assistenten oder RAG-Systeme.

Die Tabelle unten zeigt die Ergebnisse im Detail pro Strategie und PDF-Loader. Ein grüner Haken zeigt, dass der Angriff erfolgreich war.

Tabelle 1: Verwundbarkeiten der PDF-Loader gegenüber verschiedenen Versteck-Strategien (Grüner Haken: Verwundbar)

Im zweiten Schritt testeten wir gängige KI-Systeme. Unsere Analyze zeigt: Auch ChatGPT und Claude sind anfällig. Beide verarbeiten unsere unsichtbaren Inhalte zuverlässig – und geben sie unter Umständen in den Antworten aus. In unserem Fall war es die manipulierte Bankverbindung wie im Eingangsbeispiel gezeigt – in anderen Szenarien kann es um deutlich sensiblere Daten gehen.

Tabelle 2: Verwundbarkeit von gängigen KI-Systemen für unsere Angriffe (Grüner Haken: Verwundbar)

Warum klassische Schutzmechanismen nicht ausreichen

Ein häufiger Einwand lautet: „Wir prüfen alle Dokumente manuell.“
Leider reicht das nicht aus. Denn:

• Die Informationen sind in gängigen PDF-Viewern nicht sichtbar.
• Angriffe wirken sogar in regulierten, professionellen Softwareumgebungen.
• Die eingesetzten Techniken lassen sich nicht über klassische Antivirus- oder DLP-Mechanismen erkennen.

Unsere Empfehlung: Zero Trust, Red Teaming und AI Guard (mit Gatekeeper)

Die Erkenntnisse unterstreichen: KI-Systeme brauchen eigene Sicherheitsarchitekturen. Bei _fbeta setzen wir deshalb auf einen mehrschichtigen Schutzansatz:

Zero-Trust-Prinzipien

Jede Datenquelle wird grundsätzlich als potenziell gefährlich eingestuft, bevor sie in KI-Systeme gelangt. Wir verlassen uns nicht auf Sichtprüfung oder Formatvalidierung allein.

Red-Teaming & Teststrategie

Wir führen regelmäßig gezielte Angriffe auf unsere Systeme durch, um Risiken frühzeitig zu erkennen und unsere Komponenten wie PDF-Loader abzusichern.

Der _fbeta AI Guard

Unsere „AI Firewall“-Lösung umfasst einen LLM-Gatekeeper sowie weitere Module, um Angriffe zu erkennen. Der AI Guard prüft automatisch Dokumente auf Data-Poisoning, Prompt Injection und weitere Angriffsmuster – lokal und datenschutzkonform. So bleiben KI-Systeme auch in hochregulierten Branchen wie dem Gesundheitswesen sicher.

Sie wollen wissen, wie sicher Ihre eigenen KI-Systeme sind?

Fragen Sie uns nach einem Red-Team-Audit oder lernen Sie den _fbeta AI Guard kennen – Ihre Firewall gegen KI-Angriffe.

Hier finden Sie weitere Informationen zu unserem Beratungs- und Unterstützungsangebot.

Coming Next: Was Bilder der KI heimlich sagen

Im nächsten Teil dieser Artikelreihe zeigen wir, wie unscheinbare Bilder für Data Poisoning genutzt werden können – durch sog. Image Scaling Attacks, bei denen versteckte Botschaften erst nach automatischer Bildskalierung sichtbar werden. Alle gängigen KI-Systeme wie ChatGPT, Anthropic Claude oder Google Gemini sind betroffen.

Autor & Ansprechpartner

Dr. Erwin Quiring ist Experte für künstliche Intelligenz, mit Fokus auf Sicherheit, Zuverlässigkeit und Effizienz.

Für seine Dissertation zum Thema KI-Sicherheit wurde er mit dem KI Talent Dissertationspreis Niedersachsens ausgezeichnet. Im Technology & Architecture-Team von_fbeta forscht und berät er zu digitalen Lösungen für komplexe Fragestellungen, die KI involvieren.

Interessiert an der Zusammenarbeit? – Melden Sie sich gerne!

Kontakt

Quellen

[Ref 1] https://genai.owasp.org/llm-top-10/

[Ref 2] https://arxiv.org/pdf/2507.06185