Shield24 — Open Source Prompt-Injection-Schutz für deutsche KI-Chatbots

01 / Problem OWASP Top 10 for LLMs — Rang 1

Warum das jetzt wichtig ist

Prompt-Injection ist kein theoretisches Risiko mehr.

Wer einen deutschen Chatbot betreibt, hat zusaetzliche Probleme: US-Tools trainieren auf englischen Angriffsvektoren. DSGVO verlangt Self-Hosting. Compliance-Abteilungen wollen auditierbaren Code.

Shield24 loest das — und legt die Zahlen dazu auf den Tisch.

72.5%

Attack Success Rate gegen NeMo Guardrails

Akademische Studie 2024: Selbst etablierte Guardrail-Frameworks fallen mehrheitlich um, wenn man gezielt injiziert. Bei einfachen Regex-Filtern ist es noch schlechter.

Quelle: arXiv 2402.13457 · NeMo Guardrails Benchmark

53%

Detection bei kommerz. Vendor

Palo Alto Unit 42 Report

#1

OWASP Top 10 for LLMs

LLM01: Prompt Injection (2025)

02 / Architektur Drei Lagen — kein Extra-LLM-Call

Wie Shield24 arbeitet

Drei Lagen Schutz. Deterministisch. In dieser Reihenfolge.

Jede Lage ist unabhaengig aktivierbar. Layer 1 ist default und reicht für die meisten Faelle. Layer 2 ist optional (ML). Layer 3 schuetzt Output vor Leaks — auch das ist oft unterschaetzt.

L1

Regex & PII

1-2ms
deterministisch

Default aktiv

200+ kuratierte DE-Patterns — keine US-Hypothesen
Homoglyph-Erkennung über mehrere Unicode-Skripte
Zero-Width Chars, Combining Marks, NFKC-Normalisierung
PII Dual-Path — Email/Telefon sicher geloggt, nie im Klartext
Typo-Toleranz gegen Offuskation, Umlaut-Folding

L2

ML-Modell

~50ms
optional

Optional · CPU-only

PromptGuard-86M von Meta — lazy-loaded, CPU-only
Degraded Mode wenn Modell fehlt — crasht nie, faellt sauber auf L1 zurück
Aktivierbar via pip install shield24[ml]
Ab v0.3.0: Llama-Guard-3-1B — erwartet 75-85% gegen adversarial

L3

Output-Validator

<1ms
post-LLM

Default aktiv

Canary-Token Leak-Detection mit Partial-Matching
Word-Boundary Honey-Pot-Trigger
Delimiter-normalisierte Keyword-Filter
Meta-Disclosure-Schutz in mehreren Varianten

Kein Extra-LLM-Roundtrip. Kein Egress. Kein Rate-Limit. L1 + L3 laufen lokal in Millisekunden.

03 / Ehrlicher Benchmark Differenziator — wir veroeffentlichen Zahlen statt Claims

Was funktioniert — und was nicht

Wir sagen was Shield24 faengt — und was nicht.

Gegen einen motivierten LLM-Attacker fangen wir rund die Haelfte.

Das entspricht dem was Palo Alto Unit 42 bei einem kommerziellen Vendor gemessen hat (53%). Wer dir 99% verspricht, luegt. Mit unserem optionalen ML-Layer (Llama-Guard-3-1B ab v0.3.0) erwarten wir 75-85%.

Wir veroeffentlichen die Zahlen. Wir veroeffentlichen den Corpus. Wir veroeffentlichen das Red-Team-Framework.

Red-Team Reports ansehen

Test-Set	Tests	Detection
Manual CRITICAL — Instruction Override, Prompt Extraction	40	100%
Atlas Bypasses — Homoglyphs, Paraphrasen, Typos	37	100%
Adversarial Combos — Encoding + Injection	11	90%+
English Parallel Suite	25	95%
Multi-LLM Red-Team — Grok + Gemini + ChatGPT, 3 Runden	204	47%
False Positives — legitime Anfragen	20	0%

04 / Warum nicht X? LLM-Guard · Rebuff · NeMo Guardrails

Es gibt Alternativen. Keine ist DACH-first.

Kurzvergleich mit den bekanntesten Open-Source-Alternativen. Wer uns widerlegt — PR bitte ins Repo, wir aktualisieren die Tabelle.

Tabelle · Stand 2026-04

Feature	Shield24	LLM-Guard	Rebuff	NeMo Guardrails
Deterministisch (kein LLM-Roundtrip)	✓	✓	optional	✗ LLM-basiert
Deutsche Patterns kuratiert	✓	✗	✗	✗
Red-Team-Framework integriert	✓	✗	✗	✗
Ehrlicher adversarial Benchmark	✓ 47-55%	—	—	—
Layer 1 Latenz	1-2ms	5-10ms	50-100ms	50-500ms
Lizenz	MIT	MIT	Apache 2.0	Apache 2.0
Self-Hosted First	✓	✓	tlw.	✓
DACH-Fokus / DSGVO-first	✓	✗	✗	✗

05 / Pricing Open Source frei. Pro für Produktion.

Fair · Transparent · Ohne Lock-In

Open Source gratis. Pro für die, die es produktiv brauchen.

Die Engine ist in allen Tiers identisch. Pro und Enterprise zahlen das Drumherum — Operations, Compliance, Dashboards, Support.

Hinweis: Die früher geplante Cloud-API (pay-per-request) ist aus dem Launch-Scope. Der Managed Cloud Endpoint ist jetzt Teil von Pro. Phase 2, wenn Kundennachfrage nach „API ohne Dashboard“ entsteht.

Open Source

€0 / immer

Die volle Engine. Self-hosted. MIT-Lizenz. Auch kommerziell nutzbar.

Alle 3 Layers + Red-Team-Framework
355-Test Corpus, Benchmark-Scripts
MIT-Lizenz, self-hosted · Python 3.10+
Community-Support via GitHub Issues
Layer 2 ML optional: pip install shield24[ml]

Auf GitHub starten

Pro

€149 / Monat

Managed Cloud + Threat Dashboard + DSGVO-Audit-Log. Monatlich kuendbar.

Managed Cloud Endpoint — wir hosten, du rufst nur auf
Threat Dashboard — Angriffe live, Trends, Top-Patterns
DSGVO Audit-Log mit PDF-Export
Kuratierte DE-Pattern-Updates (wie Virendefinitionen)
Email-Support, 48h SLA

Pro anfragen

Enterprise

€499+ / Monat

Für Konzerne, Agenturen, regulierte Branchen. Persoenliches Setup.

Alles aus Pro
Custom Rule Engine (GUI, kein Code)
SIEM-Integration — Splunk, Elastic, Graylog
SSO / RBAC — OIDC, SAML
Multi-Tenant-Isolation für Agenturen
Dedicated Support, 24h SLA

E-Mail an Ronald

Alle Preise zzgl. USt. Die Open-Source-Variante ist und bleibt kostenlos — auch für kommerzielle Nutzung.

Feature-Split

Transparenz · Was ist wo drin?

Feature	Open Source	Pro	Enterprise
Alle 3 Layers + Red-Team-Framework	✓	✓	✓
Self-Hosted Python SDK	✓	✓	✓
Managed Cloud Endpoint	—	✓	✓
Threat Dashboard	—	✓	✓
DSGVO Audit-Log (PDF-Export)	—	✓	✓
Pattern-Updates	Community	✓ kuratiert	✓ kuratiert
Custom Rule Engine (GUI)	—	—	✓
SIEM-Integration (Splunk, Elastic, Graylog)	—	—	✓
SSO / RBAC (OIDC, SAML)	—	—	✓
Multi-Tenant-Isolation	—	—	✓
Support	GitHub Issues	Email · 48h SLA	Dedicated · 24h SLA

06 / Integration Python · FastAPI · LangChain

Drop-in, nicht Replatforming

In 60 Sekunden integriert.

Installieren. Konfigurieren. Einhaken. Kein zusaetzlicher Service, kein Container, kein Nachtrainieren. Nur ein Python-Aufruf vor deinem LLM-Call — und ein zweiter danach für Output-Validation.

Zero Runtime-Dependencies — Standard-Lib reicht für L1+L3
Lazy ML-Loading — L2 laedt nur wenn aktiviert
Config-first — max_length, Sprachen, Modi per ShieldConfig
Typisiert — ShieldResult.blocked ist bool, reason ist Enum
Python 3.10+ — Linux, macOS, Windows

from shield24 import Shield, ShieldConfig

shield = Shield(ShieldConfig(
    max_length=2000,
    allowed_languages=["de", "en"],
    enable_ml_layer=False,
))

result = shield.check_input(user_message)
if result.blocked:
    return "Das kann ich leider nicht beantworten."

# → Sicher zum LLM senden
response = call_your_llm(result.sanitized_text)

from fastapi import Depends, FastAPI, HTTPException
from shield24 import Shield, ShieldConfig

app = FastAPI()
_shield = Shield(ShieldConfig(enable_ml_layer=False))

@app.post("/chat")
def chat(message: str,
         shield: Shield = Depends(lambda: _shield)):
    check = shield.check_input(message)
    if check.blocked:
        raise HTTPException(
            400,
            detail={"reason": check.reason.value},
        )
    # ...

from shield24 import Shield, ShieldConfig
from langchain_anthropic import ChatAnthropic

shield = Shield(ShieldConfig())
chat = ChatAnthropic(model="claude-3-5-sonnet-latest")

def shielded_invoke(user_msg: str) -> str:
    check = shield.check_input(user_msg)
    if check.blocked:
        return "Blocked"
    return chat.invoke(check.sanitized_text).content

07 / Im Einsatz Bot24 · Sina · easyRechtssicher

Live ansehen — und angreifen

Im Einsatz bei Bot24 — live auf zwei Kundenseiten.

Shield24 ist die Security-Engine hinter Bot24, unserem KI-Chatbot-Framework. Zwei Live-Deployments, die du selbst ausprobieren kannst. Beide laufen auf Shield24 Pro (Cloud Endpoint + Threat Dashboard + DSGVO Audit-Log).

Versuch selbst, die Bots per Prompt-Injection zu übernehmen. Wir lesen im Dashboard mit.

Bot24 Landingpage Engine ansehen

evolutionki.de LIVE

Sina

Sales-Bot für KI Evolution — beantwortet Leads, qualifiziert, bucht.

Shield24 Pro seit 2026-03

Sina testen

easyrechtssicher.de LIVE

Support-Bot

Rechts-SaaS Support — DSGVO-Texte, AGB, Impressum, AVV.

Shield24 Pro seit 2026-02

Support-Bot testen

Threat Dashboard · Preview (v0.4.0) last 24h · mock

Requests geprueft

14.382

+ 12% vs. gestern

Blocked · Injection

47

Top: INSTRUCTION_OVERRIDE (23)

Threat Dashboard + DSGVO Audit-Log erscheinen mit v0.4.0 · Q3 2026

08 / Roadmap Ehrlich. Öffentlich. Versioniert.

Was als Nächstes kommt

Wir versprechen was wir liefern. Und nicht mehr.

Vier Releases, datiert. Keine Buzzwords. Keine Jahresplanung von 2029.

Released

v0.2.0Heute · 2026-04-14

Open Source Release mit 3-Layer-Architektur, Red-Team-Framework, 355-Test Corpus.

Llama-Guard-3-1B Integration. Erwartete Detection-Rate: 75-85% gegen Multi-LLM Red-Team.

Planned

v0.4.0Q3 2026

Threat Dashboard (Pro) und DSGVO Audit-Log mit PDF-Export.

Planned

v1.0Q4 2026

Custom Rule Engine (GUI), SIEM-Integration, Multi-Tenant (Enterprise).

09 / FAQ Was Entscheider fragen

Häufig gestellte Fragen

Kurz, konkret, ohne Schnoersel.

Wenn deine Frage hier nicht steht: kontakt@evolutionki.de. Wir antworten in der Regel am gleichen Tag.

Für Security/Vulnerability-Disclosure:
security@kievolution.de

Weil Security-Tools Audit benoetigen. Wer dir nicht zeigen darf wie sein Guard funktioniert, hat wahrscheinlich was zu verbergen. Wir nicht. Deshalb MIT-Lizenz, deshalb public Repo, deshalb oeffentliche Benchmark-Corpora.

Weil das die ehrliche Zahl gegen einen LLM-Angreifer ist. Regex allein kann nicht 99%. Mit dem optionalen ML-Layer (v0.3.0, Llama-Guard-3-1B) erwarten wir 75-85%. Wer dir mehr verspricht, verkauft dir etwas — oder testet mit einem schwachen Corpus. Palo Alto Unit 42 hat bei einem kommerziellen Vendor 53% gemessen. Wir sind auf dem Niveau und sind transparent dabei.

Self-hosted, keine Telemetrie, keine Cloud-Calls, Code offen. Audit-Log in Pro und Enterprise. AVV auf Anfrage. Wenn du selbst hosten willst: DSGVO-Compliance liegt bei dir — wir liefern die technische Basis. Wenn du Pro nimmst: AVV wird dir zugeschickt.

Ja. MIT-Lizenz. Keine Lizenzgebuehr, keine Einschraenkung. Pro und Enterprise zahlen ausschließlich Operations-Services drumherum (Managed Cloud, Dashboard, Audit-Log, Support) — nicht den Code.

Wenn du selbst hosten, selbst debuggen, selbst Pattern pflegen, selbst ein Dashboard bauen willst — bleib bei Open Source. Wenn du deine Devs das bauen lassen willst, kostet dich das schnell mehr als €149/Monat. Pro ist der Komfort + Compliance + Updates-Layer auf derselben Engine.

Nein — und zwar bewusst. Du kannst Shield24 in zwei Live-Deployments testen: Sina auf evolutionki.de und der Support-Bot auf easyrechtssicher.de. Beide laufen auf Shield24 Pro. Probiere Prompt-Injections, Jailbreaks, Homoglyph-Attacken. Was dort blockt, blockt auch bei dir. Open Source ist zum kostenlosen Selbsthosten da — Pro ist für Kunden die den Managed-Cloud-Layer + Compliance wollen. Wer nur „mal schauen“ will, klont Open Source.

Primaer Deutsch (200+ kuratierte Patterns) und Englisch (Parallel-Suite, 25 Tests). Franzoesisch, Spanisch und Italienisch sind auf der Roadmap — wir kuratieren nur Sprachen wo wir Muttersprachler im Red-Team haben.

Ja. Python 3.10+ auf Linux, macOS und Windows. Layer 1 und Layer 3 brauchen keine GPU, keine ML-Modelle. Layer 2 (ML) ist CPU-only und optional.

Prompt-Injection stoppen,
bevor dein LLM antwortet.