Zurück

MCP und RAG absichern: Wenn KI-Agenten auf Firmendaten zugreifen

RAG und MCP verbinden Sprachmodelle mit Unternehmensdaten. Beide Technologien verbreiten sich schnell, aber die Sicherheitskonzepte hinken hinterher.

Das Problem: RAG-Pipelines übernehmen selten die Berechtigungen der Quellsysteme. Der Praktikant fragt den Chatbot und bekommt Gehaltslisten, weil der Vektorindex keine Zugriffsrechte kennt. MCP-Server laufen oft ohne Authentifizierung und lassen sich per Prompt Injection als Angriffsvektor missbrauchen.

Der Vortrag demonstriert diese Angriffe live, zeigt, wo Entwickler die Fehler typischerweise einbauen, und liefert konkrete Gegenmaßnahmen: Berechtigungsprüfung in der RAG-Pipeline, MCP mit OAuth absichern, Eingabe- und Ausgabefilter.

Vorkenntnisse

Erfahrung mit API-Entwicklung (REST, JSON). Grundverständnis, was ein LLM ist und wie man es per API anspricht. Wer schon mit RAG oder MCP gearbeitet hat, steigt leichter ein, aber der Vortrag erklärt beide Konzepte kurz. Security-Vorkenntnisse nicht nötig.

Lernziele

Teilnehmer können nach dem Vortrag die typischen Sicherheitslücken in RAG- und MCP-Integrationen benennen. Sie wissen, warum eine Vektordatenbank keine Zugriffsrechte ersetzt und wie sie Berechtigungsprüfungen in ihre RAG-Pipeline einbauen. Sie können MCP-Server mit Authentifizierung absichern und erkennen indirekte Prompt Injection über eingebettete Dokumente.

Speaker

Frank Ully Frank Ully ist Principal Consultant Cybersecurity und Head of CORE bei Corporate Trust Business Risk & Crisis Management. Seit mehr als zehn Jahren beschäftigt er sich beruflich mit Informationssicherheit, zuletzt mit Fokus auf Entwicklungen in der offensiven IT-Security. Seine derzeitigen Schwerpunkte umfassen Active Directory, die Sicherheit öffentlicher Clouds und künstliche Intelligenz.