Was ist Data Poisoning?
Klassisch beschreibt Data Poisoning einen Angriff auf das Training eines Machine-Learning-Modells: Manipulierte Beispiele werden in die Trainingsdaten gemischt, um das spätere Verhalten zu verfälschen.
Man unterscheidet grob zwei Ziele.
Availability-Angriffe verschlechtern die Modellqualität pauschal, indem genug fehlerhafte Daten die Genauigkeit einbrechen lassen.
Integrity- oder Targeted-Angriffe sind subtiler: Das Modell arbeitet normal, verhält sich aber bei bestimmten Auslösern gezielt falsch – der Klassiker sind Backdoor-Trigger.
Für die Praxis der KI-Suche ist eine dritte Variante entscheidend, die technisch näher an Prompt Injection liegt: RAG-Poisoning. Systeme wie AI Overviews, DuckDuckGo AI oder Brave AI trainieren nicht bei jeder Anfrage neu. Sie rufen zur Laufzeit externe Dokumente ab und fassen sie zusammen. Wer diese abrufbaren Quellen manipuliert, vergiftet nicht das Modell, sondern den Kontext, aus dem die Antwort entsteht. Genau hier liegt die Schwachstelle, die dich betrifft – und die der folgende Fall in Reinform zeigt.
Der Fall r/poisonai: eine erfundene Tollwut-Story in echten KI-Suchen
Im Juni 2026 behauptete die KI-Suche von DuckDuckGo, US-Präsident Donald Trump sei am 7. Juni an Tollwut gestorben. Die Story war frei erfunden – und ihr Ursprung war kein Versehen, sondern ein koordiniertes Experiment.
Hinter der Kampagne steht das Subreddit r/poisonai, eine Community mit rund 45.000 Mitgliedern (Stand der Berichterstattung; die Zahl dürfte inzwischen deutlich höher liegen). Ihre selbstironische Beschreibung als „weltweit führende Quelle für akkurate, verifizierte Informationen" ist Teil des Witzes: Die Mitglieder posten bewusst absurde Falschmeldungen, um zu testen, ob KI-Systeme sie absorbieren und wiedergeben. Über Wochen bauten sie eine ganze Erzählung rund um den angeblichen Tod von Trump und Vizepräsident JD Vance auf – mit gefälschten Social-Media-Posts, erfundenen Meldungen und Material, das seriösen Quellen nachempfunden war.
Verstärkt wurde das Ganze über WKNA49, eine als „Pink Slime" beschriebene Website: ein Portal, das wie ein lokales Nachrichtenmedium aussieht, aber KI-generierte Artikel veröffentlicht, die direkt aus dem Subreddit schöpfen. Weil die Seite eine gewöhnliche Lokalredaktion imitierte, behandelten die KI-Suchsysteme sie als zusätzliche, unabhängige Quelle statt als Teil derselben Kampagne.
Der Effekt blieb nicht auf DuckDuckGo beschränkt: Auch die KI-Funktion des Brave-Browsers gab die Falschbehauptung zeitweise wieder. Ein Sprecher von Brave brachte es sinngemäß auf den Punkt – Suchmaschinen seien, mit oder ohne KI, keine Instanzen der Wahrheit. Beide Anbieter passten ihre Antworten später an.
Der eigentliche Mechanismus: die Quelle wird vergiftet, nicht das Modell
Der lehrreiche Teil ist nicht die absurde Story, sondern wie sie durchkam. Die KI hat hier nicht im landläufigen Sinn „halluziniert", also frei fantasiert. Sie hat etwas Gefährlicheres getan: eine manipulierte Fake-Quelle mit einer echten, thematisch verwandten Quelle fehlverknüpft.
Konkret zitierte DuckDuckGos KI als vermeintlichen Beleg einen realen ABC-News-Artikel über einen tatsächlichen Tollwut-Todesfall – einen Fall ganz ohne jeden politischen Bezug. Der Algorithmus verband das Stichwort „Tollwut" aus einer seriösen Quelle mit der erfundenen Erzählung aus dem vergifteten WKNA-Material. Ergebnis: eine glatte, selbstbewusste Antwortbox mit Quellenangabe – die den Anschein von Belegtheit erweckte, obwohl die Kernbehauptung frei erfunden war.
Daraus folgen drei Punkte, die jede GEO-Strategie berücksichtigen muss:
Quellenzitate sind kein Wahrheitsbeweis. Eine KI kann eine korrekte Quelle zitieren und trotzdem eine falsche Behauptung stützen, wenn sie beides fehlverknüpft.
Konsens ist manipulierbar. Taucht dieselbe Falschinformation an mehreren Stellen auf – Reddit, Fake-Nachrichtenportal, gespiegelte Posts –, wirkt sie für ein Suchsystem wie ein Konsens vieler Quellen.
Die Schwachstelle ist der Abruf, nicht das Modell. Provenienz und Cross-Verification der Quellen entscheiden über die Qualität der Antwort – nicht die Größe des Modells.
Die goldene Regel: Quellen immer gegenchecken
Die praktische Konsequenz ist unspektakulär, aber nicht verhandelbar: Behandle jede KI-Antwortbox als Ausgangspunkt, nie als Urteil. Das gilt für dich beim Recherchieren genauso wie für deine Kunden, denen du GEO erklärst.
Ein belastbarer Gegencheck läuft in drei Schritten:
Primärquelle öffnen, nicht nur die Zusammenfassung lesen. Der r/poisonai-Fall wäre in Sekunden aufgeflogen, hätte jemand den zitierten ABC-Artikel angeklickt – dort stand kein Wort über Trump.
Quelle bewerten, nicht nur zählen. Wie viele Seiten etwas behaupten, ist irrelevant. Entscheidend ist, ob eine unabhängige, seriöse Primärquelle es bestätigt. „Pink Slime"-Portale, gespiegelte Foren-Posts und KI-generierte Artikel sind kein Konsens, sondern ein Echo.
Auf Fehlverknüpfung prüfen. Belegt die zitierte Quelle genau die Behauptung – oder nur ein Stichwort daraus? Die Lücke zwischen beidem ist die Einfallstür.
Diese Regel ist zugleich dein stärkstes Verkaufsargument in Kundengesprächen: KI-Sichtbarkeit ohne Quellen-Hygiene ist ein Risiko, kein Selbstläufer.
Warum das kein Politik-Problem ist, sondern deins
Der Trump-Fall ist absurd genug, um wie eine Kuriosität zu wirken. Genau das ist die Falle. Die gleiche Mechanik funktioniert lautlos und unpolitisch – und trifft dann kleine und mittlere Unternehmen.
Data Poisoning muss nicht spektakulär sein. Es reicht, wenn eine KI-Suche über dein Unternehmen falsche Öffnungszeiten, eine veraltete Adresse, eine falsche Rechtsform oder eine erfundene negative Behauptung ausgibt, weil sie eine manipulierte oder schlicht veraltete Quelle als glaubwürdig eingestuft hat. Bei einem KMU führt das nicht zu Schlagzeilen, sondern zu verlorenen Anrufen, Fehlfahrten von Kunden und beschädigtem Vertrauen – ohne dass du je erfährst, woher die Falschinformation kam.
Verwandt, aber nicht identisch, ist das Problem der Entity-Fehlassoziation: Wenn KI-Systeme deine Marke fälschlich mit einer anderen Firma, einem falschen Standort oder einem thematisch fremden Kontext verknüpfen. Auch das ist eine Form vergifteter oder unsauberer Datenlage – und in der Praxis der häufigere Fall als eine gezielte Kampagne. Der Schutz ist derselbe: eine saubere, konsistente, gut belegte Entität, die kaum Angriffsfläche für Fehlverknüpfungen bietet.
Verteidigung: die eigene Entität gegen Data Poisoning härten
Gegen fremde Falschinformationen im offenen Web hast du keine direkte Kontrolle. Was du kontrollierst, ist die Klarheit und Autorität deiner eigenen Datenlage – und die entscheidet, welcher Version ein KI-System glaubt. Fünf Hebel:
1. Entität konsolidieren
Widersprüchliche Angaben sind die größte Einfallstür für Fehlverknüpfungen. Sorge für eine konsistente Version von Name, Adresse, Rechtsform, Leistungen und Kontaktdaten über alle Kanäle: Website, Google Business Profile, Branchenverzeichnisse, Social-Profile. Doppelte oder veraltete GBP-Einträge zusammenführen oder bereinigen. Je eindeutiger deine Entität, desto schwerer ist sie zu verwechseln oder zu überschreiben.
2. Strukturierte Daten als Wahrheitsanker
Setze JSON-LD gezielt ein: Organization bzw. LocalBusiness mit sameAs-Verknüpfungen zu deinen offiziellen Profilen, dazu Person für dich als Inhaber. Strukturierte Daten liefern Suchsystemen eine maschinenlesbare, autoritative Selbstauskunft – den Referenzpunkt, gegen den sie widersprüchliche Fremdangaben abgleichen können. Das ersetzt keinen Faktencheck, erhöht aber das Gewicht deiner eigenen Version.
3. Zugriff steuern: robots.txt und llms.txt
Lege in einer llms.txt die kanonischen Fakten und bevorzugten Quellen deiner Domain offen dar und verweise auf die verlässlichen Seiten. Über robots.txt regelst du, welche Crawler – auch KI-Crawler – welche Bereiche sehen. Beides macht deine autoritative Darstellung leichter auffindbar und reduziert die Chance, dass ein System stattdessen eine unsaubere Drittquelle heranzieht.
4. GBP- und Verzeichnis-Hygiene
Das Google Business Profile ist für lokale KI-Antworten eine Primärquelle. Halte es gepflegt: aktuelle Öffnungszeiten, korrekte Kategorie, konsistente NAP-Daten, aktive Reaktion auf Rezensionen. Prüfe die wichtigsten Branchen- und Kartenverzeichnisse auf Karteileichen und Fehlangaben. Jede korrekte, gepflegte Quelle stärkt deinen Konsens – jede vergessene schwächt ihn.
5. Monitoring statt Blindflug
Du kannst nur reparieren, was du bemerkst. Frage regelmäßig die relevanten KI-Suchen und Overviews mit deinen Marken- und Leistungs-Keywords ab und prüfe, was sie über dich behaupten und welche Quellen sie zitieren. Tauchen falsche Aussagen oder Fehlverknüpfungen auf, geh an die Wurzel: die zitierte Quelle korrigieren oder deine eigene autoritative Darstellung stärken, bis sie überwiegt.
GEO-Checkliste zum Abhaken
Name, Adresse, Rechtsform, Leistungen über alle Kanäle identisch?
Organization/LocalBusiness + Person als JSON-LD mit sameAs implementiert?
Doppelte oder veraltete GBP-Einträge bereinigt?
llms.txt mit kanonischen Fakten und bevorzugten Quellen vorhanden?
robots.txt bewusst konfiguriert (inkl. KI-Crawler)?
Wichtigste Verzeichnisse auf Fehlangaben geprüft?
Regelmäßiger KI-Suche-Check mit Marken-Keywords eingerichtet?
Team/Kunden für die Regel „Quelle immer gegenchecken" sensibilisiert
Häufige Fragen (FAQ
Was ist Data Poisoning einfach erklärt?
Data Poisoning ist das gezielte Einschleusen falscher Daten in ein KI-System, damit es diese als Fakten ausgibt. Bei KI-Suche geschieht das, indem Falschinformationen so im Web platziert werden, dass die Suche sie beim Erstellen ihrer Antwort heranzieht.
Ist Data Poisoning dasselbe wie eine KI-Halluzination?
Nein. Bei einer Halluzination erfindet das Modell Inhalte ohne Quelle. Bei Data Poisoning existiert die Falschinformation real im Web und wurde absichtlich platziert – die KI gibt eine manipulierte, aber vorhandene Quelle wieder.
Kann Data Poisoning mein kleines Unternehmen treffen?
Ja. Es braucht keine spektakuläre Kampagne. Schon eine veraltete oder manipulierte Quelle kann dazu führen, dass eine KI-Suche falsche Öffnungszeiten, Adressen oder Aussagen über dein Unternehmen ausgibt.
Wie schütze ich meine Marke vor Data Poisoning?
Durch eine konsistente, gut belegte Entität: einheitliche Daten über alle Kanäle, strukturierte Daten mit sameAs, gepflegtes Google Business Profile, klare llms.txt/robots.txt und regelmäßiges Monitoring der KI-Antworten über deine Marke.
Warum reicht es nicht, wenn eine KI eine Quelle zitiert?
Weil eine KI eine korrekte Quelle zitieren und trotzdem eine falsche Behauptung stützen kann, wenn sie beides fehlverknüpft. Ein Quellenzitat ist ein Ausgangspunkt für den Gegencheck, kein Wahrheitsbeweis.
Fazit
Der r/poisonai-Fall ist als Story kurios, als Lektion aber ernst: KI-Suche ist nur so verlässlich wie die Quellen, die sie abruft – und diese Quellen sind manipulierbar. Für dein Unternehmen liegt der Hebel nicht darin, das offene Web zu kontrollieren, sondern die eigene Entität so klar, konsistent und autoritativ zu machen, dass sie kaum Angriffsfläche bietet. Und über allem steht die eine Regel, die im ganzen Trump-Fall gefehlt hat: Quelle öffnen, prüfen, gegenchecken – jede KI-Antwort ist ein Ausgangspunkt, nie ein Urteil.
Newsletter abonnieren
Gelegentliche Updates zu Projekten, Design-Themen und neuen Arbeiten. Doppelte Bestätigung. Jederzeit abbestellbar.