Zurück zu ShieldTechnischer Deep Dive

Shield unter der Haube.

Technische Sicht darauf, wie Shield Web-Eingaben, bestehenden AI-Chat, LLM Proxy und MCP-Tools schützt: Architektur, Entscheidungsfluss, Audit und Vergleich mit WAF / reCAPTCHA.

Was Shield ist

Erste Schutzschicht — kein SIEM, kein Analytics-Tool.

Shield ist eine aktive und passive Schutzschicht für Formulare, Login, Checkout, Uploads, AI-Chat, MCP-Tools und APIs. Das Dashboard zeigt Entscheidungen und Ereignisse, damit Sie die Verteidigung abstimmen können — nicht als Log-Explorer. Ereignisse sind operatives Signal, kein Analytics-Inventar.

Shield ist:

  • Inline-Schutz für Web / E-Shop / Chat / MCP / Backend
  • Pro-Request-Entscheidung: allow / monitor / challenge / block
  • Manipulationssicheres, signiertes Audit-Log jeder Entscheidung
  • Mobile-Native-SDK — iOS + Android — auf der Roadmap (Sprint M)

Shield ist nicht:

  • ×Ein SIEM oder Log-Aggregator
  • ×Ein Ersatz für Ihre WAF oder CDN — sitzt eine Schicht tiefer
  • ×Ein Reporting-/Business-Analytics-Tool
  • ×Ein zertifiziertes Compliance-Produkt — Kontrollen sind an Rahmen ausgerichtet, Audit ist Ihr eigenes
Architektur

Drei Schutzpfade je nachdem, was geschützt werden soll.

Shield kann vor Website, AI-Chat oder MCP-Tools sitzen. Jeder Pfad hat einen klaren Entscheidungspunkt und ein auditierbares Ergebnis.

Ebene 1

Web und Formulare

Das JS-Widget und das Backend SDK schützen Kontaktformulare, Login, Checkout und Uploads. Sie sammeln Sicherheitssignale, hängen ein HMAC-Token an und ermöglichen das Zulassen/Herausfordern/Blockieren, bevor eine Anfrage die sensible Logik erreicht.

Ebene 2

AI-Chat und LLM Proxy

Prompt und Antwort laufen durch eine LLM-Firewall. Shield kann sensible Daten anonymisieren, Prompt Injection blockieren, Leaks von Systeminstruktionen prüfen und vor dem Chat arbeiten, den Sie bereits nutzen.

Ebene 3

MCP-Tools, Policy und Audit

MCP-Aufrufe werden nach Schema, Berechtigungen und Aktionsrisiko bewertet. Destruktive oder sensible Tool Calls können ein Approval Gate erfordern. Jede Entscheidung landet im tenant-scoped Audit-Log.

Vergleich

Was Shield abdeckt vs. WAF vs. CAPTCHA.

Shield ersetzt Ihre bestehende Perimeter-Sicherheit nicht. Es arbeitet eine Ebene tiefer.

FähigkeitShieldWAFreCAPTCHA / Drehkreuz
Erkennung von Headless-BotsJa — Multi-Signal-ScoringTeilweise (IP-Reputation)Ja — am Eingang
Prompt Injection gegen LLMsJa — semantische FirewallNeinNein
MCP-Agent-MissbrauchJa — Policy EngineNeinNein
Formularspam / Wegwerf-E-MailJa — 5 SprachenNeinTeilweise
Malware-Scan für UploadsJa – QuarantäneTeilweiseNein
SQL-Injection-PayloadsJa — AST-ValidierungJa — RegexNein
Credential Stuffing (verteilt)Ja — Sperre pro KontoTeilweise (pro IP)Teilweise
Manipulationssicheres Audit-LogJa — exportierbarUnterschiedlichNein
Reduzierte Maßnahmenmatrix

Über 40 konkrete Funktionen in 9 Kategorien.

Vollständige kategorisierte Matrix. Genaue Schwellenwerte, Signalgewichte und Erkennungsinterna stehen Kunden im Portal zur Verfügung.

Tastaturdynamik, Mausbewegungs-R², Scroll-Verhalten, Touch-Ereignisse, Ausfüllzeit von Formularen, Verweildauer auf der Seite – all diese Signale fließen in den lokalen Scorer und die Bewertungs-Pipeline im Backend ein.

Protects against
Formular-ausfüllende Bots, headless-Automatisierung, geskriptete Übermittlungen.

Canvas, WebGL, Audio-Context, Schrifterkennung und navigator-Fingerprinting werden zu einem SHA-256-Geräte-Hash zusammengeführt. Erkennt headless-Browser und Anti-Detect-Werkzeuge.

Protects against
Headless-Browser-Frameworks, Werkzeuge zur Anti-Detect-Automatisierung.

Zu Sitzungsbeginn entsteht ein kurzlebiger Cache-Snapshot von device_hash, webgl_renderer, user_agent, Zeitzone und Bildschirmauflösung. Bei sensiblen Ereignissen (Login, Formularübermittlung, Checkout) wird der aktuelle Fingerprint dagegen abgeglichen; jede Abweichung erhöht das Risiko deutlich.

Protects against
Session-Hijacking, Token-Replay, Angriffe mit gestohlenen Cookies, Gerätewechsel mitten in der Sitzung.

OpenAI- und Anthropic-kompatible Basis-URL. Shield prüft jeden Prompt vor der Weiterleitung und jede Completion vor der Rückgabe, blockiert bei einem Richtlinienverstoß und entfernt PII und Geheimnisse direkt im Stream.

Protects against
Prompt-Injection, Jailbreak, Exfiltration von PII und Geheimnissen aus LLM-Anwendungen.

Embedding-basierte Erkennung über viele Angriffskategorien hinweg. „Disregard earlier directives" ≈ „Ignore previous instructions" über die Kosinus-Ähnlichkeit. Lokale Embeddings über Ollama – keine API-Kosten pro Anfrage.

Protects against
Umformulierte Prompt-Injection, Synonym-Jailbreaks, verschleierte Angriffe, sprachübergreifende Varianten.

Fängt Tool-Aufrufe von Claude-, Cursor- und IDE-Agenten ab. JSON-Schema-Validierung der Argumente, Begrenzung der Kettenschritte, Domain-Allowlist und explizite Freigabe-Gates bei destruktiven Tools. Jeder Aufruf wird vor der Ausführung an den Agent-Schutzregeln geprüft.

Protects against
Missbrauch bösartiger Tools, Datei- und Shell-Exfiltration, Supply-Chain-Agenten, außer Kontrolle geratene Agent-Schleifen.

Über 40 Muster prüfen Eingaben, Ausgaben und Tool-Aufrufe vor und nach dem Modelllauf. Läuft parallel zur Semantischen Firewall und sorgt so für eine mehrschichtige Verteidigung.

Protects against
Prompt-Injection, Jailbreaks im DAN-Stil, Memory Poisoning, Tool-Missbrauch, Datenexfiltration.

5 über MCP bereitgestellte Tools: shield_get_stats, shield_get_threats, shield_add_rule, shield_get_events, shield_verify_token. So kann Ihr Claude- oder Cursor-Agent Vorfälle untersuchen und darauf reagieren, ohne den Chat zu verlassen.

Protects against
Blindes Reagieren im Admin-Bereich – Agenten können Vorfälle programmatisch untersuchen und darauf reagieren.

SQL-Validierung über den geparsten AST. Blockiert UNION, INTO OUTFILE, pg_sleep und information_schema. LIMIT wird gedeckelt. Sensible Spalten (password, api_key, ssn) werden automatisch geschwärzt. Dazu Query-Fingerprinting und Honeytoken-Fallen-Tabellen.

Protects against
SQL-Exfiltration, Schema-Enumeration, Missbrauch der Paginierung, Abfluss sensibler Daten.

Wallet-Erkennung: BTC (P2PKH/Bech32), ETH, SOL, TRX, XRP, LTC, DOGE. Prüfung von BIP-39-Seed-Phrasen (12/24 Wörter). Signing-Prompts (EIP-712). Mining-Domains werden blockiert. Erkennung von Mustern für Zahlungsumleitungen.

Protects against
Wallet-Diebstahl, Abfluss von Seed-Phrasen, Einschleusung von Mining-Skripten, Zahlungsumleitungen.

Erkennung von Bigramm-Kauderwelsch (EN / DE / CS / SK / ES), über 100 Wegwerf-E-Mail-Domains, Spam-Muster (wiederholte Zeichen, GROSSBUCHSTABEN, URL-Flut) und Erkennung verdächtiger Namen. Der Korpus für Phishing und Schadinhalte deckt 9 Sprachen ab (siehe Phishing-Karte). Additive Bewertung mit Cluster-Boni.

Protects against
Formular-Spam, gefälschte Registrierungen, Wegwerf-Konten, Kauderwelsch-Übermittlungen.

Mehrschichtiger Scanner für E-Mails und Anhänge. Erkennt slowakische, tschechische, polnische, deutsche, französische, spanische und serbische Texte ohne Diakritika (das stärkste Phishing-Signal in der Praxis), Social Engineering mit Passwort-Hinweisen in 9 Sprachen, Dateinamen, die Großrechner imitieren, sowie passwortgeschützte PDF- und Office-Dateien. Das markenunabhängige Cluster erkennt dasselbe Muster bei jedem imitierten Firmennamen.

Protects against
Phishing-Drops, Abgreifen von Zugangsdaten, passwortgeschützte Malware-Dropper, anhangbasiertes Social Engineering.

check_upload() akzeptiert form_fields. Wird ein Datei-Upload von Formulardaten (Titel, Beschreibung, Name, Nachricht) begleitet, läuft die Bewertung der Inhaltsqualität auch über diese Felder. Ein sauberes PDF mit Kauderwelsch-Metadaten wird so bei hoher Konfidenz dennoch abgelehnt.

Protects against
Gefälschte Konto-Registrierungen, minderwertiger Formular-Spam mit Anhängen, von Bots ausgefüllte Support-Tickets.

Jede Datei durchläuft ein Quarantäne-Gate – Allowlist erlaubter Dateiendungen, MIME-Erkennung über Magic Bytes, Erkennung von Office-Makros, PDF JavaScript / Launch / OpenAction sowie SVG- und HTML-Skript-Injection. Maximalgröße und Endungsliste pro Mandant einstellbar.

Protects against
Malware-Drops, Makro-Viren, in PDFs eingebettetes JS, SVG-XSS, Polyglot-Dateien.

Python (FastAPI / Django / Flask), Node.js (Express / Next.js), PHP (WordPress / Laravel). Validiert das X-Shield-Token bei jeder Anfrage. Kein Token → 403. Die HMAC-Verifikation wird über einen kurzlebigen Cache pro (Token, Pfad) zwischengespeichert.

Protects against
Anfragen, die das JS-Widget umgehen (curl, Postman, Python requests, rohes HTTP).

3-Zustands-Breaker (closed / open / half_open) in allen drei Backend-SDKs. Nach mehreren aufeinanderfolgenden Transportfehlern → OPEN für ein kurzes Intervall → eine HALF_OPEN-Probe. 4xx löst den Breaker nicht aus. PHP hält den Zustand per APCu über FPM-Worker hinweg. Damit gibt es während eines Upstream-Vorfalls nicht mehr bei jeder Anfrage einen Timeout.

Protects against
Kaskadierende Timeouts, Retry-Stürme, Anfragenstau bei Ausfällen der Shield-API.

Zuordnung reason → (machine_code, human_hint). /shield/verify und die 403-Bodies aller drei SDKs liefern remediation und remediation_code zurück. Zu Unrecht blockierte Nutzer sehen „Ihre Sitzung ist abgelaufen – bitte neu laden" statt eines kommentarlosen 403.

Protects against
Schlechte UX bei False Positives, Last durch Support-Tickets, Verwirrung durch kommentarloses Fehlschlagen.

Drop-in-PHP-Plugin: injiziert das Widget automatisch und bringt eine Middleware mit, die Shield-Token auf /wp-login.php und Admin-Endpunkten validiert. Standardmäßig fail-closed, konfigurierbar.

Protects against
WordPress-Brute-Force, xmlrpc-Missbrauch, wp-admin-Enumeration auf KMU-Websites in der EU.

Mehrdimensionales Rate Limiting: pro IP, pro Gerät und pro Endpunkt, mit progressiver Eskalation. Serverseitige Zähler mit gleitenden Fenstern.

Protects against
Brute Force, Credential Stuffing, Scraping, API-Enumeration.

IP-Geolokalisierung über ip-api.com (kurzlebiger Cache). Pro Website gepflegte Listen gesperrter und erlaubter Länder. Score-Modifikatoren für Rechenzentren sowie Proxy / Tor. Harte Sperre schon beim Seitenaufruf mit Zugriff-verweigert-Overlay, bevor sich das Widget initialisiert.

Protects against
Datenverkehr aus unzulässigen Regionen, Anonymisierungs-Infrastruktur, compliance-bedingte Beschränkungen.

Bei hoher Konfidenz verhindert das Widget die Formularübermittlung. Rotes Overlay: „Blockiert durch Corpilus Shield". Serverseitig signierte HMAC-SHA256-Token hängt ein Interceptor automatisch an fetch() an.

Protects against
Bot-Übermittlungen mit hoher Konfidenz, die das Backend erreichen.

278 kompilierte Erkennungsmuster werden bei jedem Event automatisch geprüft und decken alle OWASP-Top-10-2025-Kategorien ab. Die Prüfung auf Payload-Ebene erfolgt noch vor der Bewertung.

Protects against
SQL-Injection, XSS, Path Traversal, Command Injection, SSRF, SSTI, LDAP-Injection, XXE, NoSQL-Injection, log4j JNDI, Sondierung von Sicherheits-Fehlkonfigurationen, Supply-Chain-Typosquats, Stack-Trace-Leaks.

Der KI-Analyzer wertet Ereignisse kontinuierlich aus. Der RAG-Kontext ist in einer kuratierten Sicherheits-Wissensdatenbank verankert. Aus echten Beobachtungen entstehen automatisch Bedrohungen und Regeln.

Protects against
Neuartige / unbekannte Angriffsmuster, die statische Regeln übersehen.

Vorgefertigter Threat-Intel-Kontext (Mini-CAG). Bot-Signaturen, Angriffsmuster und OWASP-Beispiele sind bereits an Bord – neue Websites sind ab dem ersten Seitenaufruf geschützt.

Protects against
Cold-Start-Blindheit – neue Websites sind sofort geschützt.

Die Security-Knowledge-Sammlung von Shield kommt mit kuratierten Dokumenten (OWASP Top 10, Bot-Erkennung, Incident Response). Admins können eigene Unternehmens-Playbooks, Post-mortem-Berichte oder domänenspezifische Threat-Intel hochladen. Jeder Upload durchläuft eine mehrschichtige Prüfung. Saubere Dokumente landen zunächst mit trust_state='pending', bis ein Admin sie explizit auf 'active' setzt. Nur aktive Dokumente gelangen in den RAG-Kontext des KI-Analyzers.

Protects against
Mandantenspezifische Angriffsmuster, die generische Trainingsdaten nie zu sehen bekommen – interne Betrugsschemata, branchenspezifische Account-Übernahmen, Angriffe während der Post-M&A-Integration. Prüfung und Canary-Gate verhindern eine Vergiftung der Lern-Pipeline.

Anonymisiertes Teilen von Mustern – IPs auf /24 gekürzt, PII entfernt, Reifegrad-Stufung (experimental → candidate → confirmed). Ein bei einem Mandanten bestätigter Angreifer wird innerhalb von Minuten für alle zur bekannten Bedrohung.

Protects against
Verteilte Kampagnen, die mehrere Shield-geschützte Websites treffen.

Der MutationObserver des Widgets erfasst beim Start alle <script>-Tags in einem Snapshot. Jedes nachträglich injizierte Skript wird als script_integrity_violation-Telemetrie gemeldet – mit src, external/same-origin, Inhaltslänge und stabilem Hash. Pro Seitenaufruf gedeckelt. Mandanten-Allowlist für vertrauenswürdige CDNs.

Protects against
Supply-Chain-Angriffe, bösartige Browser-Erweiterungen, XSS-Token-Diebstahl, Ad-Fraud-Overlays.

Redis-Zähler pro SHA-256(account_id). Jeder Fehlversuch über dem Limit erhöht den Risiko-Score deutlich. Ein verteilter Angriff, der viele Versuche über Tausende IPs streut, landet trotzdem im selben Konto-Bucket – der Versuch auf victim@corp.com löst eine Challenge aus, egal von welcher IP er kam. Bei einem erfolgreichen Login wird der Zähler zurückgesetzt.

Protects against
Verteiltes Credential Stuffing, Brute Force über Residential-Proxys, langsames „Low-and-Slow"-Passwortraten.

GET /shield/password/breach-range/{prefix} – der Client berechnet SHA-1(password) lokal im Browser und sendet nur das 5-stellige Hex-Präfix; Shield leitet an api.pwnedpasswords.com weiter und streamt die Liste aus Suffix und Anzahl zurück. Den Abgleich mit dem eigenen Suffix nimmt der Client lokal vor. Der Server sieht weder den Klartext NOCH den vollständigen Hash.

Protects against
Wiederverwendung von Zugangsdaten, Anmeldung mit bekannt geleakten Passwörtern, unbemerkte Offenlegung durch Paste-Bin-Dumps.

Prüfung der A/AAAA- und MX-Records bei der Anmeldung. Fail-open bei Timeout. Kurzlebiger Cache pro Domain, damit schnelle Anmeldewellen von derselben Wegwerf-Domain das DNS nicht erneut belasten.

Protects against
Wegwerf-Anmeldedomains, Typosquats ohne Hosting, frisch nach der Registrierung angelegte Angreifer-Domains.

Über 25 geschützte Marken (Google, Microsoft, Apple, PayPal, Stripe, Meta, LinkedIn, Revolut, SK-/CZ-Banken und -Versicherer). Dreistufiger Detektor: 1) normalisierter exakter Abgleich über eine Homoglyphen-Map, 2) Levenshtein-Distanz für lange Markennamen, 3) Marken-Teilzeichenkette plus dekoratives Suffix (secure/login/support/verify/auth/signin/account/official/help).

Protects against
Anmeldungen mit Markenimitation, Registrierungen von Phishing-Infrastruktur, gefälschte „Support"-Domains.

Velocity-Zähler pro IP und pro Gerät. Voraussetzung eines kürzlichen Logins: kein erfolgreicher Login von diesem Gerät in jüngster Zeit → deutliches Risikosignal. Sitzungskontinuität: password_change zählt nun zu den SENSIBLEN Ereignissen, sodass eine vollständige Fingerprint-Abweichung sofort blockiert. Die klassische Kette „Angreifer kapert Sitzung → ändert Passwort → sperrt Nutzer aus" muss alle drei Gates überstehen.

Protects against
Aussperr-Kette bei Account-Übernahme, Passwort-Reset per Session-Replay, massenhafte Kontoübernahmen über gestohlene Cookies.

E-Mail (HTML), Slack, Discord, generische JSON-Webhooks. Wöchentlicher Sicherheitsbericht mit Statistiken, Top-Bedrohungen und Blockrate. Schweregrad-Gate pro Webhook (low / medium / high / critical).

Protects against
Späte Erkennung von Vorfällen – Admins werden innerhalb von Sekunden benachrichtigt.

Jede Regeländerung, jede Bearbeitung der Website-Konfiguration, jede manuelle Blockade und jede KI-Entscheidung wird mit Akteur, Zeitstempel und Vorher-/Nachher-Diff festgehalten. Hash-verkettet, signiert und als prüfbereites Evidence-Bundle exportierbar.

Protects against
Heimliche Manipulation – und liefert einen lückenlosen Nachweis, wenn Ihr Prüfer (ISO, SOC 2, intern) danach fragt. Shield selbst ist derzeit nicht extern zertifiziert.

HMAC-SHA256-Token werden serverseitig aus dem websiteeigenen Geheimnis erzeugt und über /shield/events zurückgegeben. Das Widget hält das Signing-Geheimnis zu keinem Zeitpunkt – ein geleakter site_key lässt sich nicht zum Fälschen gültiger Token nutzen.

Protects against
Token-Fälschung über einen gestohlenen öffentlichen site_key.

PostgreSQL Row-Level Security wird auf allen shield_*-Tabellen erzwungen. Jede Anfrage läuft unter einer mandantengebundenen Rolle – eine Umgehung auf Anwendungsebene ist selbst bei einem Fehler in der API ausgeschlossen.

Protects against
Mandantenübergreifende Datenlecks, Broken-Access-Control-Fehler im App-Code.

Verfolgt Versuche pro Karten-BIN über rollende Fenster. Burst-Muster, die zu Card-Testing passen, lösen eine progressive Challenge oder Blockade aus. Die Schwellenwerte sind pro Mandant einstellbar, die Standardwerte konservativ gewählt.

Protects against
Card-Testing-Kampagnen, BIN-Enumeration, Validierungs-Bursts gestohlener Karten.

Taucht derselbe vom PSP gelieferte Karten-Fingerprint in kurzer Zeit über mehrere Geräte, Sitzungen oder Mandanten auf, werden die Versuche korreliert und als koordinierter Angriff bewertet. Die rohe PAN verlässt nie Ihren PSP.

Protects against
Verteiltes Card-Testing, Umgehung von Velocity-Grenzen durch rotierende IPs und Geräte.

Mandantengebundene Baseline der Verteilung nach Issuer-Land. Eine plötzliche Konzentration von Versuchen gegen Issuer aus wenigen Ländern – deutlich über der Baseline – weist auf wahrscheinlichen Carding-Verkehr hin.

Protects against
Gezielte Issuer-Angriffe, Kampagnen mit Dumps gestohlener Karten, geografisch gehäufter Betrug.

Bündelt mehrere Signale – breite BIN-Streuung, gleiches Gerät oder gleiche Sitzung, hohe Fehlerquote – zu einem benannten Carding-Urteil. Bestätigt PSP-Feedback nach der Abbuchung das Muster, wird der Schweregrad der Entscheidung hochgestuft.

Protects against
Koordinierte Card-Testing-Kampagnen, Betrugs-Validierungsverkehr, Vermeidung von PSP-Strafen.

Langsam aufgebaute Angriffe rutschen nicht mehr durch. Shield betrachtet den gesamten Gesprächsverlauf statt nur eine Nachricht nach der anderen. Ein Angreifer, der sich viele Runden lang harmlos unterhält und erst dann zur Datenextraktion oder zum Credential-Phishing umschwenkt, wird in dem Moment erkannt, in dem das Muster sichtbar wird.

Protects against
Mehrstufige Jailbreaks, Social Engineering mit langsamem Umschwenken, KI-Agenten, die freundlich beginnen und im Verlauf einer langen Sitzung zur Extraktion übergehen.

Bevor Ihr Agent ein Tool ausführt, fragt Shield: Passt die tatsächliche Absicht des Nutzers zum Aufruf dieses Tools? Die Bitte, ein Dokument zusammenzufassen, sollte keinen Datenbank-Export auslösen. Ein Chat zur Reisebuchung sollte kein Zahlungs-Tool aufrufen. Bei Abweichungen wird der Aufruf zur Prüfung gestoppt.

Protects against
Agenten, die sensible Tools unter harmlos wirkenden Prompts aufrufen, Tool-Missbrauch durch Prompt-Injection, versehentlich destruktive Operationen.

Kompromittierte Agenten und neugierige LLMs scannen vor dem Handeln typischerweise erst die Umgebung – sie listen Verzeichnisse auf, lesen Konfigurationspfade und enumerieren Umgebungsvariablen. Shield markiert dieses Erkundungsmuster früh, noch bevor Daten die Box verlassen.

Protects against
Sandbox-Ausbruchsversuche, Erkundung von Containern, Enumeration von Umgebungs-Geheimnissen, Sondierung durch Agenten vor der Exfiltration.

Eine einzelne Konversation kann niemals unbemerkt Ihr gesamtes monatliches KI-Budget aufbrauchen. Shield erzwingt pro Sitzung eine Obergrenze für Tokens, Tool-Aufrufe und verstrichene Zeit. Ist das Limit erreicht, wird die Sitzung pausiert oder beendet und der Betreiber benachrichtigt.

Protects against
Kostenexplosions-Angriffe, Agent-Ausfälle durch Endlosschleifen, Denial-of-Wallet, versehentlich entgleiste Prompts.

Shield lernt, wie das Normalverhalten jedes Nutzers aussieht – typische Uhrzeiten, typische Aktionen, typisches Tempo – und markiert unauffällig den Tag, an dem dieses Muster bricht. Eine angemeldete Sitzung, die sich plötzlich völlig anders verhält als der echte Nutzer, wird als mögliche Übernahme behandelt.

Protects against
Kompromittierte Konten, Identitätsdiebstahl nach Diebstahl von Zugangsdaten, missbräuchliche Insider-Nutzung von Konten, Sitzungs-Wiederverwendung nach Phishing.

Köder-Datensätze, -Dateien und -Zugangsdaten werden an Stellen platziert, an denen nur ein Angreifer überhaupt suchen würde. Echte Nutzer bekommen sie nie zu Gesicht. Sobald eines berührt, abgerufen oder verwendet wird, hat Shield ein hochkonfidentes Einbruchssignal mit praktisch null Fehlalarmen.

Protects against
Stille Einbrüche, die andere Erkennungen umgehen, Insider-Datendiebstahl, laterale Bewegung nach einer Kompromittierung.

Angreifer verstecken bösartige Payloads in verschachtelten Kodierungen – base64, hex, Prozent-Kodierung, Unicode-Escapes –, um simple String-Filter zu umgehen. Shield packt diese Schichten vor der Bewertung aus, sodass der eigentliche Angriff an denselben Schutzmechanismen geprüft wird wie eine Klartext-Variante.

Protects against
Schmuggel per base64 / hex / Prozent-Kodierung, mehrschichtige Verschleierung von Payloads, kodierungsbasierte Filterumgehung.

Bevor ein Update einer Regel, eines Modells oder eines Scorers ausgeliefert wird, läuft es gegen einen stetig wachsenden Korpus realer Angriffsszenarien. Schwächt ein Release versehentlich die Erkennung eines bekannten Bedrohungsmusters, wird die Änderung bereits in der CI gestoppt – nicht erst, nachdem ein Kunde kompromittiert wurde.

Protects against
Unbemerkte Erkennungsregressionen, versehentliches Abdriften zu Falsch-Negativen während Releases, über Versionen hinweg anwachsende Sicherheitsschulden.

Jede Sicherheitsentscheidung und jede Konfigurationsänderung wird in eine manipulationssichere Kette geschrieben. Bearbeitungen und Löschungen lassen sich mathematisch nachweisen. Prüfer, Regulierungsbehörden und Incident Responder erhalten eine vertrauenswürdige Zeitleiste – selbst im Worst Case, in dem ein Angreifer an Admin-Zugangsdaten gelangt.

Protects against
Insider, die die Historie umschreiben, forensische Manipulation, regulatorischer Streit darüber, was wann geschah, Lücken bei der Attribution nach einem Vorfall.

Wenn etwas passiert, wollen Sie keine Stunden mit dem Sammeln von Logs verbringen. Ein Klick erzeugt ein verschlüsseltes, mit Zeitstempel versehenes Bundle des relevanten Mandantenzustands – Ereignisse, Regeln, Entscheidungen, jüngster Datenverkehr – und ist bereit zur Übergabe an Ihr Sicherheitsteam, Ihren Anwalt oder Ihre Regulierungsbehörde.

Protects against
Langsame Vorfallreaktion, zwischen Erkennung und Prüfung verlorener forensischer Zustand, Verstoßmeldungen, die das regulatorische Zeitfenster verpassen.

Shield bindet Sie nicht an einen einzigen KI-Anbieter. Bringen Sie Ihren eigenen OpenAI-, Anthropic- oder Google-Schlüssel mit, verweisen Sie auf eine dedizierte Ollama-Instanz oder betreiben Sie alles vollständig lokal. Legen Sie harte Kostenlimits und Routing-Regeln fest. Ihre Daten fließen nur zu Anbietern, die Sie ausdrücklich freigeben.

Protects against
Anbieter-Lock-in, überraschende Kostenüberschreitungen, Lücken bei der Datenresidenz, regulatorische Vorgaben für grenzüberschreitende KI-Verarbeitung.

Für Ihre risikoreichsten Aktionen kann Shield eine hardware-verankerte Geste verlangen: Touch ID, Windows Hello oder einen Hardware-Sicherheitsschlüssel. Das sind Nachweise physischer Präsenz, die ein LLM-gestützter Agent oder ein entfernter Angreifer nicht erbringen kann – egal, wie raffiniert der Prompt ist.

Protects against
Von LLMs lösbare CAPTCHAs, rein remote durchgeführte Account-Übernahmen, agentengesteuerte privilegierte Aktionen, reine passwortbasierte Step-up-Flows.

Für regulierte, klassifizierte oder abgeschottete Umgebungen wird Shield als Self-hosted-Paket mit signierten Release-Artefakten und einem vollständig offline durchführbaren Installationspfad ausgeliefert. Nichts muss mit dem öffentlichen Internet kommunizieren – und dennoch erhalten Sie Regel-, Modell- und Intel-Updates nach Ihrem eigenen Zeitplan.

Protects against
Compliance-beschränkte Umgebungen, klassifizierte Netzwerke, regulierte Zonen der Datensouveränität, Supply-Chain-Angriffe auf den Installationspfad.

Shield kann Formular-, Nachrichten- und Dokumentübermittlungen markieren, die eher maschinengeneriert als menschlich getippt wirken. In Kombination mit Verhaltens- und Timing-Signalen gibt das Betreibern bei Bewerbungsformularen, Lebensläufen, Support-Tickets und Bewertungen eine klare Antwort auf die Frage „Ist das echt?".

Protects against
KI-Formular-Spam, KI-geschriebener Lebenslauf- / Bewerbungsbetrug, Fluten KI-generierter Support-Tickets, KI-geschriebene gefälschte Bewertungen.

Das Widget erstellt beim Start einen Snapshot von fetch, XHR, navigator und userAgent und prüft regelmäßig nach. Schaltet eine Browser-Erweiterung, ein injiziertes Skript oder ein Drittanbieter-Tag navigator.webdriver um, umhüllt es fetch, ersetzt es XHR oder verändert es navigator-Deskriptoren, meldet Shield die Manipulation und kann die Ausstellung eines Tokens verweigern. Die attributweise Nachverfolgung von Änderungen an form.action / Hidden-Inputs ist auf der Roadmap, derzeit aber noch nicht aktiv.

Protects against
Bösartige Browser-Erweiterungen, durch Ads injizierte Formular-Übernahmen, bösartige Drittanbieter-Tag-Manager, clientseitiges Kapern von Zahlungsformularen.

Jede Anfrage wird in O(1) gegen über 48.000 häufig aktualisierte Echtzeit-Bedrohungsindikatoren abgeglichen. Kein Aufwand für den Kunden – plattformfinanziert. Bei einem Treffer steigt der Score.

Protects against
Botnet-C2-Callbacks, Scraper, Anonymisierungs-Infrastruktur, aktive IP-Bereiche von Angreifern, gekaperte Netzblöcke.

Abfrage von Premium-Reputationsdiensten nur bei verdächtigen Ereignissen. Pro Mandant Fernet-verschlüsselte Schlüssel; keine plattformweit geteilten Schlüssel, und die Abfragen laufen über Ihr Kontingent.

Protects against
Gezielte Angreifer-IPs, die von kommerziellen Threat-Intelligence-Anbietern markiert werden – über das hinaus, was öffentliche Feeds erfassen.

Alle zehn OWASP-Kategorien von 2025 werden abgedeckt – A01 Zugriffskontrolle, A02 Fehlkonfiguration, A03 Supply Chain, A04 Kryptografie, A05 Injection, A06 Design, A07 Authentifizierung, A08 Integrität, A09 Logging, A10 Exception Handling. Der Musterbestand stammt aus OWASP CRS v4, nuclei-Templates und PayloadsAllTheThings.

Protects against
Jede Web-App-Bedrohung im OWASP-Katalog 2025, von klassischer Injection bis zu den neuen Kategorien Supply Chain und Mishandling-of-Exceptional-Conditions.

Identifiziert Bots von OpenAI, Anthropic, Google-Extended, Perplexity, ByteDance, CommonCrawl, Meta, Apple, Cohere, Mistral, AllenAI, You.com und weiteren. Pro Anbieter wählt der Mandant block / monitor / allow.

Protects against
Unautorisiertes Scraping Ihrer Inhalte fürs LLM-Training, während legitime Suchmaschinen (Bingbot, klassischer Googlebot) weiterhin durchgelassen werden.

log4j-JNDI-Gadgets (${jndi:ldap://...}), LDAP-Injection, XML External Entity, NoSQL-Operator-Injection im MongoDB-Stil – alle werden beim Ingest über /shield/events blockiert, bevor sie Ihr Backend erreichen.

Protects against
Die log4shell-Angriffe der 2021er-Ära, NoSQL-Bypass, XML-Entity-Exfiltration, LDAP-Query-Escapes – Kategorien, die die meisten WAFs erst kürzlich ergänzt haben.

Schreibgeschützte, nach Kategorie gruppierte Ansicht aller 278 Muster, die Shield bei jeder Anfrage ausführt. Kunden sehen genau, was sie schützt – keine Marketing-Behauptungen, die man erst überprüfen müsste.

Protects against
Transparenzlücke – Prüfer und Sicherheitsteams können den tatsächlichen Erkennungsbestand von Shield mit ihrem eigenen Risikoregister abgleichen.

Klicken Sie eine Karte an, um technische Beschreibung und Threat Model zu öffnen.

Audit-Log — Shield v2.6

Manipulationssicher, hash-chained, kryptografisch signiert.

Das Audit-Log ist das rechtliche und forensische Rückgrat von Shield. So konzipiert, dass selbst ein kompromittierter Admin die Historie nicht spurlos umschreiben kann.

SHA-256-Hash-Chain

Jeder Prüfdatensatz enthält den SHA-256-Hash des vorherigen Datensatzes sowie das aktuelle kanonisierte Ereignis. Durch das Entfernen oder Ändern vergangener Ereignisse wird jeder Downstream-Hash unterbrochen und die Kette verweigert die Überprüfung.

Pro-Tenant Ed25519-Signatur

Jeder Mandant verfügt über ein eigenes Ed25519-Schlüsselpaar. Der öffentliche Schlüssel wird zur unabhängigen Überprüfung offengelegt; Der private Schlüssel signiert jeden Prüfdatensatz zum Zeitpunkt des Schreibens. Ohne den privaten Schlüssel kann ein geleakter DB-Dump nicht gefälscht werden.

RFC 3161 Zeitverankerung

Chain-Heads werden periodisch gegen eine externe RFC 3161 Time Stamp Authority verankert. Das bindet das Log an absolute Wanduhrzeit und beweist, dass die Chain in dieser Form vor dem Timestamp existierte.

DB-Rollen-Append-only-Hygiene

Die shield_app-Rolle hat nur INSERT — UPDATE und DELETE sind auf PostgreSQL-Ebene REVOKED. Selbst ein Angreifer mit vollen App-Context-Credentials kann keine Zeilen umschreiben; er müsste auf eine Superuser-DB-Rolle eskalieren, was selbst auf Plattform-Ebene auditiert wird.

Verify- und Export-Endpoints

GET /shield/audit/verify durchläuft die Hash-Kette erneut und validiert jede Signatur; GET /shield/audit/export streamt ein signiertes, zeilengetrenntes JSON-Archiv für interne oder externe Prüfer. Beide sind mieterbezogen und preisbegrenzt.

Compliance-Mapping

Bietet technische Beweise, die gängige Sicherheits-Frameworks verlangen (unveränderliche Protokollierung, signierte Integrität, Überwachung, GDPR Art. 32-Ausrichtung). Shield selbst ist nicht extern zertifiziert – der Export unterstützt Ihr Audit, er ersetzt keins.

Forensik-Snapshot — Shield v2.6

Ein-Klick-Vorfalls-Snapshot, verschlüsselt, off-site.

Wenn etwas schief geht, brauchen Sie ein unveränderliches Bild des Augenblicks. Shield erstellt es in weniger als einer Minute und versiegelt es, sodass nur Ihr privater Schlüssel es öffnen kann.

Was ist in einem Snapshot

  • Sicherheitsereignisse (raw + Entscheidungen + Reason-Codes)
  • Audit-Log-Slice mit Chain-Head + Signatur
  • Aktive Sessions und Session-Level-Signale
  • Aktive Regeln und Regel-Versionshistorie
  • Threat-Intelligence-Cache und aktuelle Threat-Events
  • Geschützte Sites und ihre HMAC-Konfiguration
  • Tenant-Einstellungen und Feature-Flags
  • Plattform-Events (Deploy / Backup / Drift)
  • Container-Metadaten (Image, Version, Host-Fingerprint)

Hybride Envelope-Verschlüsselung

Ein einmaliger AES-256-GCM-Datenschlüssel verschlüsselt den Payload. Der Datenschlüssel wird mit RSA-OAEP-SHA256 gegen den öffentlichen Schlüssel des Tenants gewrappt. Nur der Inhaber des privaten Schlüssels kann den AES-Schlüssel wiederherstellen und das Bundle entschlüsseln. Die Shield-Infrastruktur liest vergangene Snapshots nicht, nachdem sie den produzierenden Container verlassen haben.

Speicher und Betrieb

Snapshots werden in jeden S3-kompatiblen Store hochgeladen (AWS, Wasabi, MinIO, on-prem). Der optionale wöchentliche Cron archiviert automatisch einen neuen Snapshot für eine kontinuierliche forensische Bereitschaft. Das MTTR-Ziel vom Auslöser bis zum versiegelten, hochgeladenen Archiv beträgt etwa 60 Sekunden.

API-Oberfläche

POST /shield/forensic/snapshot löst einen neuen Snapshot aus; GET /shield/forensic/snapshots listet bestehende mit Metadaten, Größe und versiegeltem Status. Beide sind admin-scoped und produzieren Plattform-Level-Audit-Events.

Security Posture

Compliance und Auditierbarkeit ohne Übertreibungen.

Shield stellt technische Beweise, Protokolle und Zuordnungen bereit. Formale Zertifizierungen oder Kundenbescheinigungen hängen vom konkreten Einsatzumfang ab.

Auditor-bereiter Audit Trail

Shield erstellt Prüfprotokolle, Entscheidungsgründe und Exporte, die die Sicherheits- und Compliance-Überprüfung unterstützen können. Die formelle Zertifizierung oder Bescheinigung wird je nach Kundenumfang individuell bestätigt.

Auditor-Evidence-Support

Kontrollen sind so ausgelegt, dass sie auf ISO-27001-Prozesse des Kunden abgebildet werden können. Der formale Zertifizierungsstatus wird separat im Commercial- oder Security-Due-Diligence-Prozess kommuniziert.

MITRE ATT&CK

Detektionen können relevanten MITRE ATT&CK-Techniken zugeordnet werden, insbesondere Initial Access, Credential Access, Exfiltration und Command & Control.

OWASP OAT

Shield deckt mehrere Klassen automatisierter Bedrohungen nach OWASP OAT ab. Detail-Mapping stellen wir Kunden in technischen Unterlagen bereit.

Denial-of-Wallet

Angriffe auf die Inferenzkosten (RA-ICA): Jetzt ist das Budget das Ziel

Eine 2026 peer-reviewte Angriffsklasse (Hong Kong Polytechnic University), die weder Ihre Daten noch Ihre Verfügbarkeit berührt — sie vervielfacht unbemerkt Ihre KI-Rechnung.

Ein Angreifer platziert ein vergiftetes Dokument im öffentlichen Web. Ihr RAG-Assistent ruft es für eine ganz gewöhnliche Anfrage ab, und das Modell verbraucht ein Vielfaches an Tokens — die Antwort bleibt korrekt, sodass nichts auffällt, bis die Rechnung eintrifft.

13.12×
mehr verbrauchte Tokens
>90%
Wahrscheinlichkeit, dass das vergiftete Dokument abgerufen wird
100%
korrekte Antworten — herkömmliche Filter erkennen nichts

Drei Taktiken (CREEP-Framework)

Decoy Injection

Versteckte Mathematik-, Logik- oder Planungsrätsel, die das Modell unbemerkt mitten im Reasoning löst und dabei Tokens verbrennt.

Contradiction Injection

Einander widersprechende Fakten drängen das Modell zu übermäßigem Abwägen und langen Generierungen.

Aufgabenorientierte Manipulation

Eine Angreifer-KI optimiert den Text auf maximale Kosten, bleibt dabei unauffällig und entzieht sich der Erkennung.

Wie Shield den Angriff stoppt — in jeder Phase

AngriffsphaseShield-AbwehrWirkung
1 · Das bösartige Dokument muss abgerufen werdenRelevanz-Gate und Schwellenwerte halten schwach relevante oder erzwungen eingeschleuste Dokumente aus dem Kontext fern.Filtert opportunistische Vergiftung heraus.
2 · Versteckte Anweisungen im DokumentSanitisierung der abgerufenen Inhalte (als Daten markiert, „nur als Text behandeln“) und Trennung nicht vertrauenswürdiger Quellen.Das Modell ignoriert eingebettete Aufgaben.
3 · Aufblähung der Ausgabe-Tokens (der Kern)Harte Obergrenze für Ausgabe-Tokens pro Anfrage und Kontext-Budget-Management (Begrenzung des Retrieval-Anteils, Deduplizierung).Die 13-fache Verstärkung wird gekappt.
4 · Kumulative Kosten über mehrere Anfragen (DoW)Progressives Rate-Limiting, Budgets pro Sitzung (Tokens / Kosten / Zeit) und Telemetrie des Agenten-Vertrauensscores.Ein Bot kann den Angriff nicht skalieren.

Der Kern von RA-ICA ist die Aufblähung der Ausgabe (in der Studie ~100 → 2.048 Tokens). Shields harte Obergrenze für Ausgabe-Tokens pro Anfrage durchbricht genau jene Verstärkung, die den Angriff erst profitabel macht.

Abdeckung

Eine Abwehrschicht für die gesamte LLM-Bedrohungsfamilie (OWASP LLM Top 10)

RA-ICA liegt an der Schnittstelle zweier Angriffsfamilien, die Shield bereits abdeckt — dieselbe Schicht schützt gegen das gesamte Spektrum.

AngriffsklasseWie Shield reagiert
Inferenzkosten / Denial-of-WalletObergrenze für Ausgabe-Tokens, Kontext-Budget, Rate-Limiting, Budgets pro Sitzung, Muster der Ressourcenerschöpfung.
Wissensbasis- / RAG-VergiftungSanitisierung der abgerufenen Inhalte, Relevanz-Gate, Trennung vertrauenswürdiger und nicht vertrauenswürdiger Quellen.
Prompt Injection (direkt & indirekt)Musterregeln und semantische Firewall; in Dokumenten versteckte indirekte Injektionen werden neutralisiert.
Jailbreak (DAN, Developer Mode, Rollenspiel)Regeln und semantische Firewall erfassen verschleierte und umformulierte Varianten anhand ihrer Bedeutung.
Leck von System-Prompt / KonfigurationEingabe- und Ausgabe-Scanning; Extraktionsversuche werden blockiert, Lecks bei der Ausgabe redigiert.
Daten- / PII-ExfiltrationAusgabe-Scanning — Passwörter, API-Schlüssel, JWTs, private Schlüssel, IDs und Kontaktdaten werden erkannt und redigiert.
Missbrauch von Tools / AktionenPrüfung der Tool-Argumente und eine Liste gefährlicher Operationen (Codeausführung, Löschung, Dateizugriff).
Verschleierung / Encoding (Base64, ROT13, hex)Erkennung kodierter Payloads und von Token-Smuggling-Versuchen.
Autoritäts-SpoofingErkennt Manipulationen vom Typ „Ich bin Ihr Entwickler / Admin / offizieller Test“.
Defense in Depth

Unabhängige Schichten — fällt eine aus, bricht nicht das Ganze.

Schutz ist kein einzelner Filter, sondern besteht aus mehreren unabhängigen Schichten.

01

Input Guard

Regelmuster in 6 Familien (Prompt Injection, Jailbreak, Tool-Missbrauch, Memory Poisoning, Datenleck, Ressourcenerschöpfung). Läuft vor dem Modell.

02

Semantische Firewall

Über 100 kuratierte Angriffsmuster in 16 Typen (inkl. explizitem Denial-of-Wallet), auf Bedeutungsebene (Embeddings) — erfasst Umformulierungen und Verschleierung.

03

RAG-Guardrails

Sanitisierung der abgerufenen Inhalte, Relevanz-Gate, Trennung nicht vertrauenswürdiger Quellen, Deduplizierung und Kontext-Budget.

04

Obergrenze für Ausgabe-Tokens

Harte Begrenzung der Generierungslänge pro Anfrage, abgestimmt auf Aufgabe und Modell.

05

Output Guard

Redaktion von Lecks: Zugangsdaten, API-Schlüssel, JWTs, private Schlüssel, PII — funktioniert auch bei gestreamten Antworten.

06

Budgets pro Sitzung

Obergrenzen für Tokens, Kosten, Zeit und Tool-Aufrufe innerhalb einer einzelnen Sitzung.

07

Rate-Limiting

Pro IP / Gerät / Endpunkt, progressiv (Monitor → Drosselung → Challenge → Block).

08

Telemetrie & Audit

Erfassung von Token-Verbrauch und Agenten-Vertrauensscore, Threat-Webhooks und ein manipulationssicheres Audit-Log.

Deployment

Integrieren Sie Shield genau so, wie Sie es brauchen.

Bereitstellung nach dem, was Sie schützen müssen.

LLM Proxy (Drop-in)

Tauschen Sie eine einzige base_url für OpenAI / Anthropic aus. Shield prüft die Eingabe (blockiert vor dem Provider) und die Ausgabe (redigiert Lecks). Ihr API-Schlüssel, Streaming und Tool-Aufrufe bleiben erhalten.

Scan API

Endpunkte zum Prüfen von Eingabe, Ausgabe und Tool-Aufrufen zur individuellen Integration in Ihre bestehende Pipeline.

RAG-Schutz

Sanitisierung, Relevanz-Gate und Quellentrennung direkt in Ihrer Chat- / RAG-Pipeline.

Web-Widget

Schützt Formulare, Logins und APIs vor Bots und Missbrauch (klassische WAF- und Bot-Schicht).

Technisches Whitepaper

Detailliertes technisches Dokument mit Integrationsdiagrammen, Threat Modeling und Performance-Benchmarks.

Benötigen Sie mehr Details?

Hinweis zum Schutzumfang. Corpilus Shield ist eine Echtzeit-AI-Schutzschicht, die dazu dient, Standardsicherheitsmechanismen für Websites, E-Shops und LLM-Anwendungen zu erweitern, nicht zu ersetzen. Es ersetzt keinen Virenschutz, keine Firewall, keine Penetrationstests oder eine formelle Sicherheitsüberprüfung. Für einen umfassenden Schutz empfehlen wir die Kombination mehrerer Schichten.