Automatisieren Sie die Abwehr hybrider Angriffe mit 360 Response.

Automatisieren Sie die Abwehr hybrider Angriffe mit 360 Response >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Grundlagen der Cybersicherheit

MITRE ATLAS erklärt: Der vollständige Leitfaden zu KI-Sicherheitsbedrohungsinformationen

Wichtige Erkenntnisse

  • MITRE ATLAS katalogisiert 15 Taktiken, 66 Techniken und 46 Untertechniken, die speziell auf KI- und maschinelle Lernsysteme abzielen (Stand: Oktober 2025).
  • Das Framework-Update vom Oktober 2025 fügte durch die Zusammenarbeit mit Zenity Labs 14 neue agentenbasierte KI-Techniken hinzu, die sich mit Sicherheitsrisiken autonomer KI-Agenten befassen.
  • ATLAS ergänzt OWASP LLM Top 10 und NIST AI RMF, anstatt mit ihnen zu konkurrieren – nutzen Sie alle drei für eine umfassende Abdeckung.
  • Etwa 70 % der ATLAS-Abhilfemaßnahmen lassen sich bestehenden Sicherheitskontrollen zuordnen, wodurch die Integration in aktuelle SOC-Workflows praktikabel ist.
  • Kostenlose Tools wie ATLAS Navigator und Arsenal ermöglichen sofortige Bedrohungsmodellierung und Red-Teaming-Funktionen.

Unternehmen, die künstliche Intelligenz einsetzen, sehen sich mit einer neuen Dimension von Sicherheitsbedrohungen konfrontiert, für deren Bekämpfung herkömmliche Rahmenwerke nicht ausgelegt sind. Laut SecurityWeek's Cyber Insights 2025 nahmen KI-gestützte Cyberangriffe allein im Jahr 2025 um 72 % zu. Diese Eskalation erfordert einen strukturierten Ansatz, um Bedrohungen für KI-Systeme zu verstehen und abzuwehren. Hier kommt das MITRE ATLAS-Framework ins Spiel – die erste umfassende Wissensdatenbank zu ML-Angriffen, die speziell dafür entwickelt wurde, zu katalogisieren, wie Angreifer Machine-Learning- und KI-Systeme ins Visier nehmen.

Für Sicherheitsteams, die bereits mit MITRE ATT&CKvertraut sind, bietet ATLAS (in Suchmaschinen manchmal als Atlas MITRE bezeichnet) eine natürliche Erweiterung in den Bereich der KI-Sicherheit. Dieser Leitfaden enthält alles, was Sicherheitsanalysten, SOC-Leiter und KI-Ingenieure benötigen, um ATLAS gegen feindliche KI-Angriffe einzusetzen – von den Grundlagen des Frameworks bis hin zu praktischen Erkennungsstrategien.

Was ist MITRE ATLAS?

MITRE ATLAS ist eine weltweit zugängliche Wissensdatenbank für gegnerische ML, die Taktiken, Techniken und Verfahren (TTPs) von Angreifern dokumentiert, die speziell auf künstliche Intelligenz und maschinelle Lernsysteme abzielen. Die oft als „MITRE ATLAS Adversarial AI Knowledge Base” bezeichnete Datenbank bietet Sicherheitsteams einen strukturierten Ansatz zum Verständnis, zur Erkennung und zur Abwehr von KI-spezifischen Bedrohungen. Das MITRE ATLAS-Framework orientiert sich am weit verbreiteten MITRE ATT&CK und dient als maßgebliches Sicherheitsframework für maschinelles Lernen zur Bedrohungsmodellierung. Die Abkürzung steht für „Adversarial Threat Landscape for Artificial-Intelligence Systems” (Bedrohungslandschaft für künstliche Intelligenzsysteme).

Laut dem offiziellen MITRE ATLAS CHANGELOG umfasst das Framework seit Oktober 2025 15 Taktiken, 66 Techniken, 46 Untertechniken, 26 Abhilfemaßnahmen und 33 Fallstudien aus der Praxis. Dies stellt eine erhebliche Erweiterung gegenüber früheren Versionen dar, die durch die rasante Entwicklung von KI-Bedrohungen vorangetrieben wurde.

Adversarial Machine Learning – die Untersuchung von Angriffen auf maschinelle Lernsysteme und Abwehrmaßnahmen dagegen – umfasst laut NIST vier Hauptkategorien von Angriffen: Umgehungs-, Vergiftungs-, Datenschutz- und Missbrauchsangriffe. ATLAS organisiert diese Angriffsmuster in einer Matrixstruktur, die Sicherheitsexperten sofort nutzen können.

MITRE hat ATLAS entwickelt, um eine kritische Lücke in der Sicherheitslandschaft zu schließen. ATT&CK katalogisiert zwar effektiv Bedrohungen für traditionelle IT- und OT-Infrastrukturen, deckt jedoch keine Angriffe ab, die die besonderen Eigenschaften von Machine-Learning-Systemen ausnutzen. ATLAS füllt diese Lücke, indem es denselben rigorosen, von der Community validierten Ansatz für KI-Bedrohungsinformationen bietet.

Das Framework ist auch mit MITRE D3FEND, das defensive Gegenmaßnahmen bereitstellt, die Unternehmen gegen ATLAS-Techniken einsetzen können.

ATLAS vs. MITRE ATT&CK: Wesentliche Unterschiede

Das Verständnis des Unterschieds zwischen ATLAS und ATT&CK hilft Sicherheitsteams dabei, zu entscheiden, wann welches Framework anzuwenden ist.

Tabelle: Vergleich der Frameworks MITRE ATT&CK MITRE ATLAS

Aspekt MITRE ATT&CK MITRE ATLAS
Hauptfokus Traditionelle IT/OT-Angriffsverhalten KI/ML-spezifische gegnerische Verhaltensweisen
Taktikanzahl 14 Taktiken (Unternehmen) 15 Taktiken (14 geerbte + 2 KI-spezifische)
Technikanzahl Über 196 Techniken 66 Techniken
Einzigartige Taktiken Keine AI-spezifischen Zugriff auf ML-Modelle, Vorbereitung von ML-Angriffen
Zielsysteme Endpunkte, Netzwerke, cloud ML-Modelle, Trainingspipelines, LLMs
Fallstudien Gruppen und Softwareprofile 33 KI-spezifische Vorfallanalysen
Am besten geeignet für Endpoint-Bedrohungsmodellierung Bedrohungsmodellierung für KI-Systeme

ATLAS übernimmt 13 Taktiken aus ATT&CK – darunter Aufklärung, Erstzugriff, Ausführung und Exfiltration –, wendet diese jedoch speziell auf KI-Kontexte an. Die beiden KI-spezifischen Taktiken, die es nur bei ATLAS gibt, sind:

  • Zugriff auf ML-Modell (AML.TA0004): Beschreibt, wie Angreifer über Inferenz-APIs oder direkten Zugriff auf Artefakte Zugriff auf Ziel-ML-Modelle erhalten.
  • ML-Angriffsvorbereitung (AML.TA0012): Behandelt, wie Angreifer Angriffe auf ML-Modelle vorbereiten, einschließlich der Vergiftung von Trainingsdaten und Hintertür Einfügung

Sicherheitsteams sollten beide Frameworks zusammen verwenden, um eine umfassende Abdeckung zu gewährleisten – ATT&CK für traditionelle Infrastrukturbedrohungen und ATLAS für KI-spezifische Angriffsvektoren.

So funktioniert ATLAS: Rahmenstruktur und die MITRE ATLAS-Matrix

Die offizielle Wissensdatenbank MITRE ATLAS organisiert Bedrohungsinformationen anhand derselben Matrixstruktur, die auch ATT&CK so erfolgreich gemacht hat. Das Verständnis dieser Struktur ermöglicht eine effektive Erkennung von Bedrohungen und die Erstellung von KI-basierten Bedrohungsmodellen.

Die MITRE ATLAS-Matrix (manchmal auch als MITRE-Framework-Matrix für KI bezeichnet) zeigt Taktiken in Spalten und Techniken in Zeilen an. Jede Zelle steht für eine bestimmte Methode, mit der Angreifer taktische Ziele gegen KI-Systeme erreichen wollen. Diese visuelle Darstellung ermöglicht es Sicherheitsteams, Lücken in der Abdeckung schnell zu erkennen und Abwehrmaßnahmen zu priorisieren.

Die Framework-Komponenten arbeiten zusammen:

  1. Taktiken beantworten das „Warum“ – das Ziel des Gegners in jeder Angriffsphase.
  2. Techniken beantworten die Frage „Wie?“ – spezifische Methoden zur Erreichung taktischer Ziele.
  3. Untertechniken liefern detaillierte Informationen zu Technikvariationen.
  4. Abhilfemaßnahmen beschreiben defensive Maßnahmen, die bestimmten Techniken entgegenwirken.
  5. Fallstudien dokumentieren reale Angriffe, die ATLAS-TTP-Methoden zugeordnet sind.

ATLAS-Daten sind im STIX 2.1-Format verfügbar, was eine maschinenlesbare Integration mit Sicherheitstools und -plattformen ermöglicht. Dieses standardisierte Format unterstützt die automatisierte Einbindung in Threat-Intelligence-Plattformen und SIEM-Systeme.

Das Framework wird regelmäßig durch Beiträge der Community und die laufende Forschung von MITRE aktualisiert. Das Update vom Oktober 2025, das in Zusammenarbeit mit Zenity Labs erstellt wurde, fügte 14 neue agentenorientierte Techniken hinzu und demonstrierte damit die aktive Weiterentwicklung des Frameworks.

Verständnis von Taktiken, Techniken und Verfahren (TTPs)

Taktiken, Techniken und Verfahren (TTPs) bilden das Kernvokabular der bedrohungsorientierten Verteidigung. In ATLAS:

  • Taktiken repräsentieren die Ziele des Gegners in jeder Phase eines Angriffs auf KI-Systeme. Die 15 ATLAS-Taktiken reichen von der ersten Aufklärung bis zur endgültigen Wirkung.
  • Techniken Beschreiben Sie die spezifischen Maßnahmen, die Gegner ergreifen, um taktische Ziele zu erreichen. Jede Technik hat eine eindeutige Kennung im Format AML.TXXXX.
  • Untertechniken Techniken in spezifischere Varianten unterteilen. Zum Beispiel Prompt-Injection (AML.T0051) umfasst Untertechniken für direkte und indirekte Einspritzverfahren.
  • In Fallstudien werden Verfahren vorgestellt, die genau zeigen, wie Angreifer in der Praxis bestimmte Techniken eingesetzt haben.

Diese Hierarchie ermöglicht eine zunehmend detaillierte Bedrohungsmodellierung. Teams können mit einer Analyse auf Taktikebene beginnen und dann je nach Gefährdung ihres KI-Systems einen Drilldown zu bestimmten Techniken durchführen.

Die 15 ATLAS-Taktiken und Schlüsseltechniken

ATLAS organisiert 66 Techniken in 15 Taktiken, die den gesamten Lebenszyklus eines Angreifers abdecken. Diese umfassende Aufschlüsselung schließt eine erhebliche Lücke, die bei der Analyse der Konkurrenz festgestellt wurde – kein anderer Leitfaden deckt alle Taktiken mit Schwerpunkt auf der Erkennung ab.

Tabelle: Vollständige Liste der 15 MITRE ATLAS-Taktiken mit den wichtigsten Techniken

Taktik-ID Taktikname Schlüsseltechniken Erkennungsfokus
AML.TA0001 Aufklärungsarbeit ML-Artefakte entdecken, ML-Modellontologie entdecken, Aktives Scannen Monitor für die Überprüfung der Modellarchitektur
AML.TA0002 Ressourcenentwicklung Erwerb öffentlicher ML-Artefakte, Entwicklung von Fähigkeiten für gegnerische ML-Angriffe Entstehung von Tools für gegnerische Zwecke verfolgen
AML.TA0003 Erster Zugang ML Supply Chain , Prompt-Injection (AML.T0051) Lieferkette prüfen, Eingaben validieren
AML.TA0004 Zugriff auf ML-Modell Zugriff auf Inferenz-API, Zugriff auf ML-Artefakte API-Zugriffsprotokollierung, Artefaktintegrität
AML.TA0005 Ausführung Benutzerausführung, Kompromittierung des LLM-Plugins Überwachung der Plugin-Sicherheit
AML.TA0006 Persistenz Konfiguration des KI-Agenten ändern Erkennung von Konfigurationsänderungen
AML.TA0007 Rechte-Eskalation Ausnutzung durch ML-System ML-System-Grenzüberwachung
AML.TA0008 Verteidigung Umgehung Adversarial Perturbation, LLM Meta Prompt Extraction Erkennung von Verhaltensanomalien bei Modellen
AML.TA0009 Zugang zu Anmeldeinformationen Anmeldedaten aus der AI-Agent-Konfiguration Überwachung des Zugriffs auf die Agentenkonfiguration
AML.TA0010 Entdeckung Entdecken Sie die Konfiguration von KI-Agenten Erkennung von Aufzählungsversuchen
AML.TA0011 Sammlung Daten aus KI-Diensten, RAG-Datenbankabfrage Analyse des Datenzugriffsmusters
AML.TA0012 ML-Angriffsvorbereitung Gift-Trainingsdaten (AML.T0020), Backdoor-ML-Modell Überwachung der Integrität von Trainingsdaten
AML.TA0013 Exfiltration Exfiltration über ML-Inferenz-API, Exfiltration über Aufruf des KI-Agent-Tools Erkennung von Anomalien bei der API-Nutzung
AML.TA0014 Auswirkungen Verweigerung des ML-Dienstes, Umgehung des ML-Modells, Spamming des ML-Systems Überwachung der Serviceverfügbarkeit

Aufklärung durch ersten Zugriff (AML.TA0001-AML.TA0003)

Der Angriffszyklus beginnt mit der Aufklärung, bei der Angreifer Informationen über die ML-Zielsysteme sammeln. Zu den wichtigsten Techniken gehören:

  • Entdecken Sie ML-Artefakte: Gegner durchsuchen öffentliche Repositorys, Dokumentationen und APIs, um Modellarchitekturen und Trainingsdaten zu verstehen.
  • Supply Chain : Angreifer zielen auf Lieferkettenangriffe ab, indem sie bösartigen Code oder Daten in ML-Pipelines einschleusen.
  • Prompt-Injektion (AML.T0051): Gegner erstellen bösartige Eingaben, um das Verhalten von LLM zu manipulieren – dies entspricht OWASP LLM01.

Zugriff auf ML-Modelle und deren Ausführung (AML.TA0004-AML.TA0005)

Diese KI-spezifischen Taktiken beschreiben, wie Angreifer mit ML-Modellen interagieren und diese ausnutzen:

  • Zugriff auf Inference-API: Der Zugriff auf Modellvorhersageschnittstellen ermöglicht Aufklärung und Angriffsvorbereitungen.
  • LLM-Plugin-Kompromittierung: Die Ausnutzung anfälliger Plugins erweitert die Möglichkeiten von Angreifern innerhalb von KI-Systemen.

Beharrlichkeit durch Umgehung von Abwehrmaßnahmen (AML.TA0006-AML.TA0008)

Bedrohungsakteure erhalten sich den Zugriff und vermeiden die Entdeckung durch:

  • Ändern der KI-Agentenkonfiguration (Ergänzung vom Oktober 2025): Angreifer ändern die Agenten-Einstellungen, um die Persistenz aufrechtzuerhalten.
  • Adversarial Perturbation: Erstellen von Eingaben, die zu Fehlklassifizierungen durch Modelle führen, während sie für Menschen normal erscheinen

Erfassung durch Auswirkungen (AML.TA0009-AML.TA0014)

Taktiken in späteren Phasen konzentrieren sich auf das Erreichen der Ziele des Gegners:

  • RAG-Datenbankabfrage: Extrahieren sensibler Informationen aus abfrageverstärkten Generierungssystemen
  • Gift-Trainingsdaten (AML.T0020): Datenvergiftung verfälscht Trainingsdaten, um das Modellverhalten zu manipulieren – ein kritischer Datenexfiltration Vektor
  • Exfiltration über AI Agent Tool Invocation (Ergänzung vom Oktober 2025): Nutzung des Zugriffs auf Agent-Tools zum Extrahieren von Daten

Das Verständnis lateraler Bewegungsmuster hilft Sicherheitsteams dabei, die Vorgehensweise von Angreifern bei der Umsetzung dieser Taktiken nachzuvollziehen.

ATLAS-Tools-Ökosystem

ATLAS bietet kostenlose, praktische Tools, die das Framework von einer Dokumentation in umsetzbare Sicherheitsfunktionen verwandeln. Dieses Tool-Ökosystem schließt eine große Lücke – nur wenige Mitbewerber decken diese Ressourcen umfassend ab.

Tabelle: Offizielles Tool-Ökosystem von MITRE ATLAS

Werkzeug Zweck URL Wesentliche Merkmale
ATLAS-Navigator Matrixvisualisierung und Annotation atlas.mitre.org Benutzerdefinierte Ebenen, Abdeckungskartierung, Exportfunktionen
Arsenal Automatisierte Emulation von Angreifern github.com/mitre-atlas/arsenal CALDERA-Plugin, technische Implementierung, Automatisierung des Red Teams
AI-Vorfallsaustausch Bedrohungsinformationen der Community ai-vorfälle.mitre.org Anonymisierte Vorfallberichte, Schwachstellendatenbank
KI-Risikodatenbank Repository für Vorfälle und Schwachstellen ai-vorfälle.mitre.org Durchsuchbare Vorfälle, CVE-Integration

ATLAS Navigator-Anleitung

Der ATLAS Navigator bietet eine interaktive Webschnittstelle zur Visualisierung der Framework-Matrix. Sicherheitsteams nutzen den Navigator für folgende Zwecke:

  1. Abdeckungskartierung: Erstellen Sie benutzerdefinierte Ebenen, die zeigen, welche Techniken Ihre Sicherheitskontrollen abdecken.
  2. Bedrohungsmodellierung: Heben Sie relevante Techniken hervor, die auf der Architektur Ihres KI-Systems basieren.
  3. Lückenanalyse: Identifizieren Sie Techniken ohne entsprechende Erkennungsfunktionen.
  4. Berichterstattung: Exportieren von Visualisierungen für die Kommunikation mit Stakeholdern

Navigator lässt sich in den ATT&CK Navigator integrieren und ermöglicht so eine einheitliche Ansicht beider Frameworks. Teams, die bereits den ATT&CK Navigator verwenden, werden sich sofort mit der ATLAS-Oberfläche vertraut fühlen.

Arsenal für AI-Red-Teaming

Im März 2023 gaben Microsoft und MITRE ihre Zusammenarbeit an Arsenal bekannt – einem CALDERA-Plugin, das eine automatisierte Emulation von Angreifern gegen KI-Systeme ermöglicht. Arsenal implementiert ATLAS-Techniken, ohne dass dafür fundierte Kenntnisse im Bereich Deep Learning erforderlich sind.

Zu den wichtigsten Funktionen gehören:

  • Vorkonfigurierte Gegnerprofile basierend auf ATLAS-Taktiken
  • Automatisierte Ausführung von Angriffsketten für Purple-Team-Übungen
  • Ergebnisse direkt den ATLAS-Technik-IDs zugeordnet
  • Integration mit bestehenden CALDERA-Implementierungen

Arsenal unterstützt threat hunting , indem es die Erkennungsreichweite anhand realistischer Angriffssimulationen validiert. Für Incident-Response-Teams hilft Arsenal dabei, die Fähigkeiten von Angreifern zu verstehen und Reaktionsverfahren zu testen.

Initiative zum Austausch von KI-Vorfällen

Die AI Incident Sharing Initiative ermöglicht es Organisationen, Informationen über Sicherheitsvorfälle im Zusammenhang mit KI auszutauschen und daraus zu lernen. Diese gemeinschaftsorientierte Plattform bietet:

  • Anonymisierte Vorfallberichte mit ATLAS-Technik-Kartierung
  • Durchsuchbare Datenbank mit KI-Schwachstellen und Angriffen
  • Integration mit den CVE- und CWE-KI-Arbeitsgruppen
  • Trendanalyse über gemeldete Vorfälle hinweg

Diese Informationen fließen direkt in die ATLAS-Updates ein, sodass das Framework aktuelle Bedrohungsmuster widerspiegelt.

Vergleich der Frameworks: ATLAS vs. OWASP LLM Top 10 vs. NIST AI RMF

Sicherheitsteams fragen oft, welches KI-Sicherheitsframework sie einsetzen sollen. Die Antwort: Verwenden Sie alle drei, um sich gegenseitig zu ergänzen. Dieser Vergleich hilft Teams zu verstehen, wann sie welches Framework anwenden sollten, und beantwortet damit eine häufig gestellte Frage zu PAA.

Tabelle: Vergleich von KI-Sicherheitsrahmenwerken: ATLAS vs. OWASP vs. NIST AI RMF

Rahmenwerk Schwerpunkt Publikum Am besten für
MITRE ATLAS Feindliche TTPs für KI-Systeme Sicherheitsmaßnahmen, Bedrohungsjäger Bedrohungsmodellierung, Entwicklung von Erkennungsmechanismen, Red Teaming
OWASP LLM Top 10 LLM-Anwendungsschwachstellen Entwickler, AppSec-Ingenieure Sichere Entwicklung, Codeüberprüfung, Schwachstellenanalyse
NIST KI RMF Risikomanagement im Bereich KI Risikomanager, Compliance-Teams Organisationsführung, Einhaltung gesetzlicher Vorschriften

Laut der Rahmenanalyse von Cloudsine dienen diese Rahmenwerke verschiedenen Phasen des KI-Sicherheitslebenszyklus:

  • Entwicklungsphase: OWASP LLM Top 10 Leitfäden für sichere Codierungspraktiken
  • Operationsphase: ATLAS informiert über Bedrohungsmodellierung und Erkennungsstrategien
  • Governance-Phase: NIST AI RMF strukturiert Risikomanagement und Compliance

Crosswalk-Tabelle: Zuordnung zwischen Frameworks

Tabelle: Rahmenwerk-Crosswalk für häufige KI-Schwachstellen

Verwundbarkeit ATLAS-Technik OWASP LLM NIST-Funktion für KI-RMF
Prompt-Injektion AML.T0051 LLM01 Karte, Maß
Datenvergiftung AML.T0020 LLM03 Verwalten Sie
Lieferkette ML Supply Chain LLM05 Regieren
Modelldiebstahl Modell-Extraktion LLM10 Verwalten Sie

Das Verständnis der Schwachstellen in allen drei Frameworks ermöglicht eine umfassende Abdeckung. Teams sollten ihre KI-Ressourcen den relevanten Techniken in jedem Framework zuordnen.

SOC-Integration und Operationalisierung

Die Integration von ATLAS in Sicherheitsabläufe erfordert die Zuordnung von Techniken zu Erkennungsfunktionen und Arbeitsabläufen. Laut dem SOC-Integrationsleitfaden von ThreatConnect lassen sich etwa 70 % der ATLAS-Abhilfemaßnahmen bestehenden Sicherheitskontrollen zuordnen. Die restlichen 30 % erfordern neue KI-spezifische Kontrollen.

Schritte zur SOC-Integration:

  1. Bestandsaufnahme der KI-Ressourcen: Dokumentieren Sie alle ML-Modelle, Trainingspipelines und KI-fähigen Anwendungen.
  2. Techniken auf Assets abbilden: Identifizieren Sie anhand Ihrer KI-Architektur, welche ATLAS-Techniken anzuwenden sind.
  3. Aktuelle Abdeckung bewerten: Verwenden Sie Navigator, um vorhandene Erkennungsfunktionen zu visualisieren.
  4. Priorisieren Sie Lücken: Konzentrieren Sie sich auf wirkungsvolle Techniken, die für Ihre Umgebung relevant sind.
  5. Erstellen Sie Erkennungsregeln: Erstellen Sie SIEM -Regeln und Warnmeldungen für vorrangige Techniken.
  6. Festlegen von Basiswerten: Definieren Sie normales Verhalten für die Telemetrie von KI-Systemen.
  7. Integration in Arbeitsabläufe: ATLAS-Kontext zu Alarmierungs-, Triage- und Untersuchungsverfahren hinzufügen
  8. Vierteljährliche Überprüfung: Aktualisieren Sie die Bedrohungsmodelle entsprechend der Weiterentwicklung von ATLAS.

Zuordnung von Erkennungsregeln

Eine effektive Erkennung erfordert die Zuordnung von ATLAS-Techniken zu bestimmten Protokollquellen und Erkennungslogiken.

Tabelle: Beispiel für die Zuordnung von Erkennungsmerkmalen für vorrangige ATLAS-Techniken

ATLAS-Technik Protokollquelle Erkennungslogik Priorität
Prompt-Injektion (AML.T0051) Anwendungsprotokolle, API-Gateway Ungewöhnliche Eingabemuster, Injektionssignaturen Kritisch
Datenvergiftung (AML.T0020) Protokolle der Trainingspipeline Anomalien bei der Datenverteilung, Verstöße gegen die Herkunftsvorschriften Hoch
ML-Inferenz-API-Exfiltration API-Zugriffsprotokolle, cloud -Sicherheitsprotokolle Anfragen mit hohem Volumen, ungewöhnliche Zugriffsmuster Hoch
Modell-Extraktion Inferenz-API-Protokolle Systematische Abfragen zur Untersuchung von Modellgrenzen Mittel

Netzwerkerkennungs- und Reaktionsfunktionen ergänzen die Erkennung auf Anwendungsebene. Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) hilft dabei, anomale Zugriffsmuster auf KI-Systeme zu identifizieren.

Metriken und Reichweitenverfolgung

Verfolgen Sie diese Kennzahlen, um die Operationalisierung von ATLAS zu messen:

  • Technikabdeckung: Prozentsatz relevanter Techniken mit Erkennungsregeln
  • Erkennungslatenz: Zeit zwischen der Ausführung des Angriffs und der Generierung einer Warnmeldung
  • Falsch-positiv-Rate: Alarmgenauigkeit für KI-spezifische Erkennungen
  • Aktualität des Bedrohungsmodells: Tage seit der letzten Aktualisierung durch ATLAS

Vierteljährliche Überprüfungen des Bedrohungsmodells stellen sicher, dass der Schutz mit den Aktualisierungen des Frameworks und neuen Bedrohungen Schritt hält.

Fallstudien und gewonnene Erkenntnisse

ATLAS enthält 33 Fallstudien, die reale Angriffe auf KI-Systeme dokumentieren. Die Analyse dieser Vorfälle liefert umsetzbare Erkenntnisse zur Verteidigung, die über die theoretische Bedrohungsmodellierung hinausgehen.

Analyse der Fallstudie zu Deepfakes von iProov

Im November 2025 veröffentlichte MITRE ATLAS eine Fallstudie, in der Deepfake-Angriffe auf mobile KYC-Lebenszeichen-Erkennungssysteme (Know Your Customer) dokumentiert wurden. Laut einem Bericht von Mobile ID World richtete sich dieser Angriff gegen Banken, Finanzdienstleister und Kryptowährungsplattformen.

Verlauf der Angriffskette:

Aufklärung -> Ressourcenentwicklung -> Erster Zugriff -> Umgehung der Verteidigung -> Auswirkung

  1. Aufklärung: Angreifer sammelten Informationen zur Identität ihrer Ziele mithilfe von Social Engineering über Social-Media-Profile.
  2. Ressourcenentwicklung: Gegner haben sich KI-Tools zum Austausch von Gesichtern beschafft (Faceswap, Deep Live Cam).
  3. Erster Zugriff: Die virtuelle Kamera von OBS umging die Anforderungen an physische Kameras.
  4. Verteidigungsumgehung: KI-generierte Deepfakes haben Algorithmen zur Lebendigkeitserkennung überwunden.
  5. Auswirkung: Erfolgreiche betrügerische Kontoerstellung und Umgehung der Identitätsprüfung

Defensive Empfehlungen:

  • Implementierung einer multimodalen Verifizierung über die Gesichtserkennung hinaus
  • Gerätebescheinigung einsetzen, um virtuelle Kamera-Injektionen zu erkennen
  • Überwachen Sie biometrische Erfassungen auf Anzeichen synthetischer Medien.
  • Verbesserte Lebendigkeitserkennung mit Tiefenerfassung einrichten

Diese Fallstudie zeigt, wie Angreifer Social Engineering mit KI-Tools kombinieren, um Sicherheitskontrollen zu umgehen, was möglicherweise zu Datenverletzungen führen kann.

Umgehung endpoint Cylance endpoint

Die HiddenLayer-Analyse der ATLAS-Fallstudie AML.CS0003 dokumentiert, wie Forscher ein ML-basiertes endpoint umgangen haben:

  • Angreifer verwendeten gegnerische Störungstechniken, um malware , die der Erkennung entging.
  • Der Angriff demonstrierte eine Modellumgehung ohne Kenntnis der zugrunde liegenden Modellarchitektur.
  • Zu den Defensivmaßnahmen gehören Modellvielfalt und Eingabevalidierung für ML-basierte Sicherheitstools.

Erkennen und Verhindern von KI-Bedrohungen

Sicherheitsbedrohungen durch KI erfordern spezielle Erkennungsansätze, die über herkömmliche Sicherheitskontrollen hinausgehen. Angesichts eines Anstiegs der KI-gestützten Angriffe um 72 % im Jahr 2025 benötigen Unternehmen proaktive Verteidigungsstrategien.

Checkliste für die Sicherheit von KI:

  • [ ] Implementierung von Eingabevalidierung und -bereinigung für alle LLM-Interaktionen
  • [ ] Implementierung einer Erkennung von Prompt-Injektionen auf Anwendungsebene
  • [ ] Herkunft und Integrität der Trainingsdaten überwachen
  • [ ] Überwachen Sie die Zugriffsmuster der Inferenz-API auf Anomalien.
  • [ ] Konfigurationen und Berechtigungen von KI-Agenten regelmäßig überprüfen
  • [ ] KI-spezifische Warnmeldungen in bestehende SOC-Workflows integrieren
  • [ ] Regelmäßige AI-Red-Team-Übungen mit Arsenal durchführen
  • [ ] AI-Bedrohungsinformationen abonnieren

Unternehmen sollten ihre Investitionen in KI-Sicherheit sowohl auf phishing (durch KI generiertes phishing rapide zu) als auch auf ransomware (KI ermöglicht komplexere Angriffe) abstimmen.

LLM-spezifische Bedrohung im Detail

Große Sprachmodelle sind einzigartigen Angriffsvektoren ausgesetzt, denen herkömmliche Sicherheitsmaßnahmen nicht gewachsen sind. ATLAS katalogisiert diese Bedrohungen systematisch.

Tabelle: LLM-Bedrohungstypen mit ATLAS-Zuordnung und Erkennungsmethoden

Art der Bedrohung ATLAS-Technik Erkennungsmethode Milderung
Direkte Sofortinjektion AML.T0051.001 Eingabemusteranalyse Eingabesanitierung, Befehlshierarchie
Indirekte Prompt-Injektion AML.T0051.002 Validierung der Inhaltsquelle Datenquellenkontrollen, Sandboxing
LLM-Jailbreaking AML.T0051 Überwachung des Ausgabeverhaltens Leitplanken, Ausgangsfilterung
Manipulation des Kontextfensters AML.T0051 Überwachung der Kontextlänge Kontextbeschränkungen, Zusammenfassung
RAG-Vergiftung AML.T0060 Dokumentenintegritätsprüfungen Quellüberprüfung, Zugriffskontrollen

Aktuelle CVEs zeigen diese Bedrohungen in der Praxis:

  • CVE-2025-32711 (EchoLeak): Laut einer Analyse von Hack The Box ermöglichte diese Microsoft Copilot-Sicherheitslücke die Exfiltration von Daten ohne Klick durch Prompt-Injection in Kombination mit Prompt-Reflection.
  • CVE-2025-54135/54136 (CurXecute): Laut einem Bericht von BleepingComputer ermöglichte die MCP-Implementierung der Cursor IDE die Ausführung von Remote-Code über eine Eingabeaufforderung-Injektion.

Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen helfen dabei, Versuche des Diebstahls von Anmeldedaten durch Ausnutzung von LLM zu erkennen.

Sicherheitsaspekte bei agentenbasierter KI

Das ATLAS-Update vom Oktober 2025 befasst sich speziell mit autonomen KI-Agenten – Systemen, die Aktionen ausführen, auf Tools zugreifen und den Kontext über mehrere Sitzungen hinweg beibehalten können. Zu den neuen Techniken gehören:

  • AML.T0058 KI-Agent-Kontextvergiftung: Einschleusen von schädlichen Inhalten in den Speicher oder Thread-Kontext des Agenten
  • AML.T0059 Aktivierungsauslöser: Einbettung von Triggern, die unter bestimmten Bedingungen aktiviert werden
  • AML.T0060 Daten aus KI-Diensten: Extraktion von Informationen durch Abruf aus der RAG-Datenbank
  • AML.T0061 KI-Agent-Tools: Missbrauch des Zugriffs auf Agent-Tools für böswillige Zwecke
  • AML.T0062 Exfiltration über AI Agent Tool Invocation: Verwendung legitimer Tool-Aufrufe zum Extrahieren von Daten

Sicherheitsgrundsätze für KI-Agenten:

  1. Wenden Sie das Prinzip der geringsten Privilegien auf alle Berechtigungen für Agent-Tools an.
  2. Implementieren Sie Human-in-the-Loop für sensible Vorgänge.
  3. Überwachen Sie Änderungen an der Konfiguration des Agenten kontinuierlich.
  4. MCP-Serverkonfigurationen und -Verbindungen validieren
  5. Festlegen von Basiswerten für das Verhalten von Agenten zur Erkennung von Anomalien

Gemäß den AI/OT-Leitlinien der CISA vom Dezember 2025 sollten Unternehmen Überwachungs- und Ausfallsicherungen für alle KI-Systeme einbauen, die in kritischen Umgebungen betrieben werden.

Moderne Ansätze für KI-Sicherheit

Die KI-Sicherheitslandschaft entwickelt sich rasant weiter, wobei regulatorischer Druck und die Zusammenarbeit der Branche die Einführung von Rahmenwerken vorantreiben. Unternehmen müssen sich sowohl auf neue Bedrohungen als auch auf Compliance-Anforderungen vorbereiten.

Das MITRE Secure AI Program, das von 16 Mitgliedsorganisationen wie Microsoft, CrowdStrike und JPMorgan Chase unterstützt wird, konzentriert sich darauf, ATLAS mit Beobachtungen aus der Praxis zu erweitern und den Austausch von KI-Vorfällen zu beschleunigen.

Regulatorische Entwicklungen:

  • EU-KI-Gesetz: Die GPAI-Verpflichtungen (General Purpose AI) traten im August 2025 in Kraft und verlangen adversariale Tests für KI-Systeme mit systemischem Risiko sowie Cybersicherheitsschutz vor unbefugtem Zugriff.
  • CISA-Leitfaden: Die im Dezember 2025 veröffentlichte behördenübergreifende Publikation befasst sich mit der KI-Sicherheit in operativen Technologieumgebungen.

Trends im Bereich KI-Sicherheitsbedrohungen für 2025 zeigen eine anhaltende Beschleunigung. Laut einer Branchenstudie geben 87 % der Unternehmen an, dass sie KI-gestützten Cyberangriffen ausgesetzt sind.

Wie Vectra AI KI-Sicherheitsbedrohungen Vectra AI

Attack Signal IntelligenceVectra AI wendet verhaltensbasierte Erkennungsprinzipien an, die mit den Zielen des ATLAS-Frameworks übereinstimmen. Durch die Konzentration auf das Verhalten von Angreifern anstelle von statischen Signaturen können Unternehmen die in ATLAS katalogisierten Techniken – von Prompt-Injection-Versuchen bis hin zur Datenexfiltration über Inferenz-APIs – in hybriden cloud erkennen.

Dieser Ansatz ermöglicht es Sicherheitsteams, echte KI-bezogene Bedrohungen zu identifizieren und zu priorisieren und gleichzeitig die Anzahl der Fehlalarme zu reduzieren. Die Kombination aus Netzwerküberwachung und -reaktion mit der Erkennung von Identitätsbedrohungen sorgt für Transparenz über die gesamte Angriffsfläche, auf die KI-Bedrohungen heute abzielen.

Weitere Grundlagen der Cybersicherheit

Was ist die Analyse des Benutzer- und Entitätsverhaltens?

UEBA ist ein Cybersicherheitsverfahren, das fortschrittliche Analysen verwendet, um das Verhalten von Benutzern und Einrichtungen innerhalb einer IT-Umgebung zu überwachen und zu bewerten. Anders als ...

Mehr lesen
Was ist Social Engineering?

Social-Engineering-Angriffe nutzen die menschliche Psychologie aus, um Zugang zu sensiblen Informationen zu erhalten. Erfahren Sie, wie diese Angriffe ablaufen, welche Auswirkungen sie haben und wie KI-gesteuerte Sicherheit helfen kann, sie zu erkennen und zu verhindern.

Mehr lesen
Was ist IDS/IDPS?

IDS- und IDPS-Lösungen nutzen eine Kombination aus signaturbasierten und anomalienbasierten Erkennungstechniken zur Analyse des Netzwerkverkehrs und der Systemaktivitäten.

Mehr lesen
Was ist Zero Day?

Ein zero-day ist eine bisher unbekannte Schwachstelle in Software oder Hardware, die Hacker ausnutzen können, bevor der Entwickler oder Hersteller davon Kenntnis erlangt hat ...

Mehr lesen
Was ist Vectra Detect?

Vectra Detect lernt kontinuierlich Ihre lokale Umgebung kennen und verfolgt alle cloud und On-Premises-Hosts, um Anzeichen für gefährdete Geräte und Insider-Bedrohungen zu erkennen.

Mehr lesen
Was ist ein Botnetz? Wie Angreifer Malware ausnutzen

Ein Botnet ist ein Netzwerk aus kompromittierten Geräten, das von Cyberkriminellen für DDoS-Angriffe, Datendiebstahl und Betrug genutzt wird. Erfahren Sie, wie diese Bedrohungen funktionieren und wie Sie Botnet-Infektionen verhindern können.

Mehr lesen
Verwaltete IT-Sicherheitsdienste: Vollständiger Leitfaden zu MSSP, MDR und SOC

Umfassender Leitfaden zu Managed IT Security Services. Erfahren Sie mehr über MSSP vs. MDR, Preisgestaltung, Anbieterauswahl und wie KI SOCs verändert. Basierend auf Marktdaten für 2025.

Mehr lesen
Was ist Zero Trust?

Zero Trust ist ein strategischer Ansatz für die Cybersicherheit, der implizites Vertrauen in jedes Element, jeden Knoten oder jeden Dienst innerhalb oder außerhalb des Netzwerkrands ausschließt.

Mehr lesen
Security Hacker: 2025 Bedrohungen, Typen und Verteidigung

Erfahren Sie mehr über Sicherheitshacker, von ethischen White-Hat-Hackern bis hin zu bösartigen Bedrohungsakteuren. Entdecken Sie Hacking-Techniken, Tools und Verteidigungsstrategien für Unternehmen.

Mehr lesen
Alle Grundlagen der Cybersicherheit anzeigen

Häufig gestellte Fragen

Was ist MITRE ATLAS?

Wie unterscheidet sich MITRE ATLAS von MITRE ATT&CK?

Wie viele Taktiken und Techniken gibt es in MITRE ATLAS?

Was ist eine Prompt-Injection in MITRE ATLAS?

Wie verwende ich MITRE ATLAS für die Bedrohungsmodellierung?

Welche Tools bietet MITRE ATLAS?

Wie schneidet MITRE ATLAS im Vergleich zu OWASP LLM Top 10 ab?