Engineering

Fail-Closed PII-Redigierung in der Praxis: 4 Strategien, eine entscheidende Voreinstellung

Maskieren, Hashen, Tokenisieren, Verwerfen — und eine Designentscheidung, die darüber bestimmt, ob die ganze Schicht eine echte Kontrolle ist oder Compliance-Theater. Praxis-Sicht auf PII-Redigierung im LLM-Verkehr.

Von Krasper Engineering 07 Mai 2026 8 Min. Lesezeit
Fail-Closed PII Redaction — hero

TL;DR. PII-Redigierung vor einem LLM-Anbieter ist keine einzelne Operation. Es sind vier Operationen mit unterschiedlichen Trade-offs (Maskieren, Hashen, Tokenisieren, Verwerfen), eine Designentscheidung, die darüber bestimmt, ob die ganze Schicht eine echte Kontrolle oder Compliance-Theater ist (Fail-Closed vs. Fail-Open), und eine kleine Menge operativer Realitäten, die im Architekturdiagramm nicht auftauchen. Dieser Beitrag geht alle durch.

Inhalt

  1. PII-Redigierung ist Leckage-Verhinderung, kein Daten-Verstecken
  2. Die vier Strategien — wann welche
  3. Maskieren — die Voreinstellung
  4. Hashen — Korrelation ohne Klartext
  5. Tokenisieren — umkehrbare Redigierung mit kontrolliertem Ausstieg
  6. Verwerfen — wenn das Feld nie hätte da sein dürfen
  7. Die Fail-Closed-Voreinstellung
  8. Policy schreiben
  9. Der Rückweg — De-Anonymisierung mit Audit
  10. Performance und was dieser Ansatz nicht löst

1. PII-Redigierung ist Leckage-Verhinderung, kein Daten-Verstecken

Der Begriff "PII-Redigierung" ist leicht irreführend. Er suggeriert eine Operation auf einem Output — wie das Schwärzen von Namen in einem Dokument. In LLM-Governance ist Redigierung eine Operation auf Datenverkehr: Sie geschieht zwischen Anwendung und Anbieter, und ihre Aufgabe ist es, sicherzustellen, dass geschützte Daten die Netzwerkgrenze niemals im Klartext überschreiten.

Diese Umformulierung zählt, weil sie die Designfragen verändert. Man fragt nicht "Wie mache ich dieses Dokument zum Teilen sicherer?". Man fragt "Was ist die minimale Information, die der Anbieter braucht, um seinen Job zu machen — und wie garantiere ich, dass der Rest niemals rausgeht?". Die Antwort verlangt fast nie, dass das Modell echte Kundennamen, echte Kontonummern oder echte interne IDs sieht — selbst wenn das Team, das den Prompt geschrieben hat, das angenommen hat.

Deshalb reicht auch eine einzelne Strategie nicht. Verschiedene Felder spielen verschiedene Rollen im Prompt, und der richtige Umgang mit einem Kundennamen (Modell braucht einen Namen, nicht diesen) unterscheidet sich vom richtigen Umgang mit einer internen Kontonummer (das nachgelagerte System, das die Antwort verarbeitet, muss auf das echte Konto zurückmappen können).

2. Die vier Strategien — wann welche

Die Matrix, die die richtige Strategie bestimmt:

  • Maskieren. Nicht umkehrbar. Erhält keine Korrelation. Voreinstellung für alles Sensible, was das Modell strukturell nicht braucht.
  • Hashen. Nicht umkehrbar. Erhält Korrelation innerhalb von Mandant + Namespace. Für Log- und Trace-Korrelation — "derselbe Nutzer taucht 200-mal auf".
  • Tokenisieren. Umkehrbar (mit Audit). Erhält Korrelation. Für Agenten-Workflows, in denen die Antwort den realen Wert nachgelagert referenzieren muss.
  • Verwerfen. Feld wird entfernt. Wenn das Feld gar nicht im Prompt sein dürfte.

Ein typisches Policy-Bundle nutzt drei davon in unterschiedlichen Kombinationen auf demselben Request. Die nächsten vier Abschnitte gehen jede mit einem konkreten Beispiel durch.

3. Maskieren — die Voreinstellung

Maskieren ersetzt den erkannten Wert durch einen Platzhalter, der den Entitätstyp behält und alle anderen Eigenschaften des Originals fallen lässt. Nicht umkehrbar, schnell, die richtige Voreinstellung für jedes Feld, bei dem das Modell nur wissen muss, dass irgendein Kundenname im Prompt steht — nicht welcher.

Vorher:

text 
Summarize the following support ticket:
"Helmut Weber called in to dispute a charge on account DE89370400440532013000."
Originalprompt mit regulierten Werten

Nach der Maskierung:

text 
Summarize the following support ticket:
"[PERSON] called in to dispute a charge on account [IBAN]."
Gleicher Prompt nach Maskierung

Das Modell hat keine strukturelle Information verloren. Es weiß weiterhin, dass es um eine Person geht, die eine Belastung auf einem Bankkonto bestreitet. Die beiden regulierten Werte — ein Personenname und eine IBAN — verlassen das Netzwerk nie. Logs, Trainings-Pipelines und jede zukünftige Panne beim Anbieter können nicht leaken, was nie gesendet wurde.

Maskieren ist die richtige Voreinstellung, weil es die konservativste Annahme trifft: Das Modell braucht den Wert nicht. Wenn ein nachgelagerter Konsument der Antwort den Wert doch braucht, ist das ein Signal, Tokenisieren einzusetzen — kein Grund, die Voreinstellung aufzuweichen.

4. Hashen — Korrelation ohne Klartext

Es gibt Workflows, in denen man wissen muss, ob zwei Prompts dieselbe Entität referenziert haben — ohne dass die Entität selbst sichtbar wird. Audit-Log-Analyse ist das kanonische Beispiel. Wenn ein einzelner Nutzer in 200 Prompts pro Quartal auftaucht, sollte das Security-Team das sehen können — aber nicht, indem es den Namen 200-mal liest.

Hash-Redigierung ersetzt den Wert durch einen deterministischen, nicht umkehrbaren Hash. Gleicher Input → gleicher Hash, also bleibt Korrelation erhalten. Der Klartext ist nicht wiederherstellbar.

text 
Original:    "customer: Helmut Weber"
Hashed:      "customer: [USER:9f4a2c]"
Hash-Redigierung — deterministisch, nicht umkehrbar, korrelierbar

Zwei Designentscheidungen machen Hash-Redigierung in der Praxis sicher:

  • Salting pro Mandant. Die Hash-Funktion ist mit einem mandantenspezifischen Geheimnis verschlüsselt. Hashes eines Mandanten lassen sich nicht gegen Hashes eines anderen korrelieren — selbst wenn derselbe Name in beiden vorkommt. Mandantenübergreifende Inferenz ist ohne Salt mathematisch unmöglich.
  • Namespace-Präfixe. Eine gehashte User-ID und eine gehashte Kontonummer, die zufällig kollidieren, sollten in Logs trotzdem sichtbar verschieden sein. Hash mit Entitätstyp präfixen ([USER:...], [ACCT:...]).

Hash-Redigierung ist nicht dasselbe wie Verschlüsselung. Es ist eine Einwegfunktion. Wer den Originalwert später — auch mit voller Berechtigung — zurück braucht, braucht Tokenisieren, nicht Hashen.

5. Tokenisieren — umkehrbare Redigierung mit kontrolliertem Ausstieg

Tokenisieren ist die Strategie für Agenten-Workflows, in denen die Antwort nachgelagert auf den realen Wert wirken muss. Beispiel: Ein Modell soll eine Erstattungs-E-Mail entwerfen, die auf die ursprüngliche Transaktions-ID verweist. Das Modell braucht die echte Transaktions-ID nicht, um eine kohärente E-Mail zu schreiben — es braucht nur eine stabile Referenz. Aber das System, das die E-Mail verschickt, braucht die echte ID, um die Kundendaten nachzuschlagen und die richtige Nummer auf die Rechnung zu setzen.

Tokenisieren ersetzt den Wert durch einen opaken, zufällig generierten Token. Der Token wird in einem mandantenspezifischen Token-Vault innerhalb des eigenen Netzes gespeichert, mit striktem Berechtigungsmodell. Das Modell produziert Output, der den Token referenziert. Nachgelagert kann ein autorisierter Service den Token gegen den realen Wert tauschen — über einen kontrollierten De-Anonymisierungs-Endpunkt.

text 
Outbound to model:    "Draft a refund email referencing TOKEN_3f1a92e7."
Model response:       "Dear customer, your refund for TOKEN_3f1a92e7 has been processed..."
Downstream service:   exchanges TOKEN_3f1a92e7 → "TXN-7740029381"
                      and rewrites the email accordingly.
Tokenisieren — opake Referenz mit kontrollierter De-Anonymisierung

Drei Bedingungen machen das sicher:

  • Der Token-Vault liegt innerhalb des Perimeters. Tokens haben für den Anbieter keine Bedeutung und sind ohne Vault nutzlos.
  • De-Anonymisierung ist rollenbasiert und pro Aufruf auditiert. Jede Rückauflösung ist ein dokumentiertes Event.
  • Token-Lebensdauern sind begrenzt. Ein Token, der nicht innerhalb seiner TTL eingelöst wird, wird bedeutungslos.

Tokenisieren ist die mächtigste der vier Strategien — und die operativ teuerste. Einsetzen, wenn der Workflow Umkehrbarkeit wirklich braucht, nicht als Default.

6. Verwerfen — wenn das Feld nie hätte da sein dürfen

Die vierte Strategie vergessen Engineering-Teams oft, weil sie drastisch klingt. Verwerfen entfernt das Feld einfach. Kein Platzhalter, kein Token, der Wert ist weg.

Verwerfen ist richtig, wenn ein Feld versehentlich im Prompt steht, ein Prompt-Template nach einer Schemaänderung nicht aktualisiert wurde oder ein vorgelagertes System mehr Kontext kippt als das Modell tatsächlich braucht. Test: Würde der Prompt auch ohne dieses Feld eine nützliche Antwort liefern? Wenn ja, Feld verwerfen, nicht redigieren.

text 
Original (template artifact, not actually used by the model):
"context_metadata: {internal_request_id: REQ-91237, debug_token: dbg_22..., trace: ...}"

After drop:
""
Verwerfen — Feld vollständig entfernt

Verwerfen ist auch die richtige Antwort für Felder, die vom Nutzer nie hätten erfasst werden dürfen. Eine Redigierungs-Policy, die diese auf Proxy-Ebene fängt, ist ein nützliches Sicherheitsnetz und ein Signal, dass an der vorgelagerten Erfassung etwas nicht stimmt — aber kein Ersatz für deren Behebung.

7. Die Fail-Closed-Voreinstellung

Jede Strategie oben setzt voraus, dass der Scanner, der PII erkennt, funktioniert. Die einzige Designentscheidung, die darüber bestimmt, ob die ganze Redigierungsschicht eine echte Kontrolle ist oder Compliance-Theater, ist, was passiert, wenn der Scanner nicht funktioniert.

Es gibt zwei Antworten. Fail-Open sagt: Wenn der Scanner unerreichbar ist, geht der Request unredigiert durch. Die User Experience bricht nicht. Der Compliance-Beweis bricht. Fail-Closed sagt: Wenn der Scanner unerreichbar ist, wird der Request blockiert. Der Nutzer sieht einen Fehler. Der Compliance-Beweis bleibt intakt.

Fail-Closed ist die einzig richtige Voreinstellung, aus einem Grund: Der Tag, an dem PII-Redigierung am dringendsten gebraucht wird, fällt am wahrscheinlichsten mit einem Scanner-Ausfall zusammen. Ein neuartiges Datenleck, das die Scanner-Last über die Kapazität drückt; eine vorgelagerte Abhängigkeit, die den Scanner offline nimmt; eine Fehlkonfiguration während eines Deployments — genau die Bedingungen, unter denen Fail-Open den Request durchlässt, der am dringendsten zu blockieren gewesen wäre.

Operative Konsequenz von Fail-Closed: Der Scanner muss als Critical-Path-Infrastruktur behandelt werden. Gleiche SLO-Disziplin wie der LLM-Anbieter selbst — Redundanz, Kapazitätsreserven, automatischer Failover, expliziter Runbook für Teilausfälle. Nichts davon ist umsonst, und so zu tun, als wäre es umsonst, führt zu einem Fail-Open-Default, den niemand bewusst gewählt hat.

8. Policy schreiben

Eine Redigierungs-Policy auf Wire-Ebene ist ein kleiner Satz deklarativer Regeln: welche Entitätstypen zu suchen sind, welche Strategie für jede gilt, und was der Fallback ist. Minimalbeispiel:

json 
{
  "policy_id": "default-pii-redaction",
  "version": "v2026.05.10-r1",
  "default_strategy": "mask",
  "fail_mode": "closed",
  "rules": [
    {
      "match": { "entity_type": "person" },
      "strategy": "mask"
    },
    {
      "match": { "entity_type": "iban" },
      "strategy": "mask"
    },
    {
      "match": { "entity_type": "user_id" },
      "strategy": "hash",
      "namespace": "user"
    },
    {
      "match": { "entity_type": "transaction_id", "context": "agent_workflow" },
      "strategy": "tokenize",
      "ttl_seconds": 3600
    },
    {
      "match": { "entity_type": "internal_debug_field" },
      "strategy": "drop"
    }
  ],
  "confidence_threshold": 0.85
}
Minimales Redigierungs-Policy-Bundle

Zwei Dinge zu beachten. Erstens: Die Voreinstellung ist Maskieren. Alles, was nicht explizit gematcht wird, fällt auf die konservativste Strategie zurück. Zweitens: Der Fail-Mode wird explizit gesetzt — nicht impliziert. Hat Ihre Policy-Datei kein fail_mode-Feld, hat Ihre Policy-Datei einen Bug.

Der Confidence-Threshold ist leiser, aber genauso wichtig. PII-Erkennung ist statistisch, nicht perfekt. Ein zu niedriger Schwellwert produziert False Positives, die Nutzer frustrieren (legitimer Text wird maskiert, weil der Scanner einen Namen vermutete). Ein zu hoher Schwellwert produziert False Negatives, die leaken. Die richtige Zahl ist workload-spezifisch und sollte mit Feedback aus echtem Traffic getunt werden, nicht einmal beim Deployment festgelegt.

9. Der Rückweg — De-Anonymisierung mit Audit

Tokenisieren ist nur nützlich, wenn es einen kontrollierten Weg zurück zum Originalwert gibt. Der Rückweg braucht drei Eigenschaften:

  • Rollen-gesteuert. Nur autorisierte Service-Accounts dürfen Tokens tauschen. Endnutzer dürfen nicht. Der Proxy selbst darf nicht. Der Anbieter darf nicht.
  • Pro Aufruf auditiert. Jeder Tausch ist ein dokumentiertes Event. Der Audit-Datensatz enthält den aufrufenden Principal, den Token, einen Hash des Originalwerts (nicht den Wert selbst) und die Policy-Version, die den Tausch erlaubte.
  • Rate-limitiert. Ein legitimer Workflow tauscht eine kleine Anzahl Tokens pro Request. Ein kompromittierter Service-Account, der Tausende pro Minute tauscht, ist ein Signal — keine Transaktion, die mit voller Bandbreite zu bedienen ist.

Der De-Anonymisierungs-Endpunkt ist der sicherheitskritischste Teil der gesamten Redigierungs-Architektur, denn dort kommt Original-PII kurz zurück in den Anwendungspfad. Entsprechend behandeln: minimale API-Oberfläche, kein Logging des aufgelösten Werts, kein Caching des Ergebnisses außerhalb des Prozessspeichers des aufrufenden Services.

10. Performance und was dieser Ansatz nicht löst

Ein paar Realitäten lernt man erst nach dem zweiten oder dritten produktiven Deployment.

Scanner-Latenz ist nicht vernachlässigbar. Selbst ein schneller Scanner fügt zehnstellige Millisekunden pro Request hinzu, und naive Implementierungen scannen denselben Prompt mehrfach, wenn mehrere Entitätstypen konfiguriert sind. Eine vernünftige Implementierung scannt einmal, klassifiziert einmal und wendet alle passenden Regeln in einem Durchgang an.

Caching ist gefährlich. Die Versuchung, Scanner-Ergebnisse zu cachen, um Latenz zu sparen, ist im Prinzip vernünftig und in der Praxis riskant. Ein Hash-Cache kann zum Leak-Kanal werden, wenn Cache-Keys sichtbar sind. Wenn cachen: nach Inhalts-Hash, mit kurzer TTL und niemals Cache-Keys loggen.

Was dieser Ansatz nicht löst:

  • Cross-Prompt-Inferenz. Ein Modell, das "den Kunden" in 50 Prompts gesehen hat, kann Kontext über diesen Kunden über Zeit aufbauen. Pro-Request-Redigierung hilft hier nicht. Sie brauchen Session-Level-Kontrollen.
  • Inferenz-Lecks. Ein Modell kann PII produzieren, die es nie bekommen hat — durch Schlussfolgerung aus Kontext. ("Der CEO der kleinen bayerischen Firma, die wir vorhin besprochen haben" identifiziert, ohne je einen Namen zu nennen.) Input-Redigierung kontrolliert das nicht. Output-Validierung — teilweise.
  • Multimodale Kanäle. Eine Redigierungs-Policy für Text in JSON-Bodies tut nichts gegen einen Bild-Upload, einen Sprach-Clip oder einen Binäranhang. Jeder davon braucht eine eigene Durchsetzungsschicht mit eigenem Scanner.

PII-Redigierung ist eine Schicht in einem Defense-in-Depth-Design — nicht das ganze Design. Die Teams, die den größten Nutzen ziehen, behandeln sie so: als Schicht, die das größte Volumen offensichtlicher Fälle abdeckt, damit die schwergewichtigen Kontrollen (Output-Validierung, Session-Monitoring, multimodales Scannen) sich auf die schwierigeren konzentrieren können.

Zurück zum Blog

Bereit, Ihre
Unternehmensinfrastruktur abzusichern?

Vereinbaren Sie ein technisches Briefing. Kein Sales-Pitch — nur Architekten und Ihr Team.

Briefing buchen Fallstudien ansehen