Unternehmen, die künstliche Intelligenz einsetzen, sehen sich mit einer neuen Dimension von Sicherheitsbedrohungen konfrontiert, für deren Abwehr herkömmliche Sicherheitskonzepte nie ausgelegt waren. Laut Branchenstudien zu Bedrohungsinformationen stiegen die Angriffe durch KI-gestützte Angreifer im Vergleich zu den Vorjahren um 89 % – ein Anstieg gegenüber den im Jahr 2025 gemeldeten 72 %. Diese Eskalation erfordert einen strukturierten Ansatz, um bedrohliche Angriffe auf KI-Systeme zu verstehen und abzuwehren. Hier kommt MITRE ATLAS ins Spiel – die „Adversarial Threat Landscape for Artificial-Intelligence Systems“ – eine umfassende Wissensdatenbank zu Angriffen auf maschinelles Lernen, die speziell dafür entwickelt wurde, zu katalogisieren, wie Angreifer maschinelle Lern- und KI-Systeme ins Visier nehmen.
Für Sicherheitsteams, die bereits mit MITRE ATT&CKvertraut sind, bietet ATLAS (in Suchmaschinen manchmal als Atlas MITRE bezeichnet) eine natürliche Erweiterung in den Bereich der KI-Sicherheit. Dieser Leitfaden enthält alles, was Sicherheitsanalysten, SOC-Leiter und KI-Ingenieure benötigen, um ATLAS gegen feindliche KI-Angriffe einzusetzen – von den Grundlagen des Frameworks bis hin zu praktischen Erkennungsstrategien.
Was ist MITRE ATLAS?
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) ist eine weltweit zugängliche Wissensdatenbank für adversariales maschinelles Lernen, die Taktiken, Techniken und Vorgehensweisen (TTPs) von Angreifern dokumentiert, die speziell auf Systeme der künstlichen Intelligenz und des maschinellen Lernens abzielen. Diese Wissensdatenbank für adversariales KI-Lernen, die sich am weit verbreiteten MITRE ATT&CK orientiert, bietet Sicherheitsteams einen strukturierten Ansatz zum Verständnis, zur Erkennung und zur Abwehr von KI-spezifischen Bedrohungen. Das MITRE ATLAS-Framework dient als das maßgebliche Sicherheitsframework für maschinelles Lernen im Bereich der KI-Bedrohungsmodellierung.
Laut dem offiziellen MITRE ATLAS CHANGELOG umfasst das Framework ab Version 5.1.0 (November 2025) 16 Taktiken, 84 Techniken, 56 Untertechniken, 32 Abwehrmaßnahmen und 42 Fallstudien aus der Praxis – ein Anstieg gegenüber den 15 Taktiken und 66 Techniken im Oktober 2025. Das Update vom Februar 2026 (v5.4.0) fügte weitere agentenorientierte Techniken hinzu. Dieses rasante Wachstum spiegelt die sich beschleunigende Entwicklung von KI-Bedrohungen wider.
Adversarial Machine Learning – die Untersuchung von Angriffen auf maschinelle Lernsysteme und Abwehrmaßnahmen dagegen – umfasst laut NIST vier Hauptkategorien von Angriffen: Umgehungs-, Vergiftungs-, Datenschutz- und Missbrauchsangriffe. ATLAS organisiert diese Angriffsmuster in einer Matrixstruktur, die Sicherheitsexperten sofort nutzen können.
MITRE hat ATLAS entwickelt, um eine kritische Lücke in der Sicherheitslandschaft zu schließen. ATT&CK katalogisiert zwar effektiv Bedrohungen für traditionelle IT- und OT-Infrastrukturen, deckt jedoch keine Angriffe ab, die die besonderen Eigenschaften von Machine-Learning-Systemen ausnutzen. ATLAS füllt diese Lücke, indem es denselben rigorosen, von der Community validierten Ansatz für KI-Bedrohungsinformationen bietet.
Das Framework ist auch mit MITRE D3FEND, das defensive Gegenmaßnahmen bereitstellt, die Unternehmen gegen ATLAS-Techniken einsetzen können.
ATLAS vs. MITRE ATT&CK: Wesentliche Unterschiede
Das Verständnis des Unterschieds zwischen ATLAS und ATT&CK hilft Sicherheitsteams dabei, zu entscheiden, wann welches Framework anzuwenden ist.
Tabelle: Vergleich der Frameworks MITRE ATT&CK MITRE ATLAS
| Aspekt |
MITRE ATT&CK |
MITRE ATLAS |
| Hauptfokus |
Traditionelle IT/OT-Angriffsverhalten |
KI/ML-spezifische gegnerische Verhaltensweisen |
| Taktikanzahl |
14 Taktiken (Unternehmen) |
16 Taktiken (14 übernommen + 2 KI-spezifisch) |
| Technikanzahl |
Über 196 Techniken |
84 Techniken |
| Einzigartige Taktiken |
Keine AI-spezifischen |
Zugriff auf ML-Modelle, Vorbereitung von ML-Angriffen |
| Zielsysteme |
Endpunkte, Netzwerke, cloud |
ML-Modelle, Trainingspipelines, LLMs |
| Fallstudien |
Gruppen und Softwareprofile |
42 KI-spezifische Vorfallanalysen |
| Am besten geeignet für |
Endpoint-Bedrohungsmodellierung |
Bedrohungsmodellierung für KI-Systeme |
ATLAS übernimmt 13 Taktiken aus ATT&CK – darunter Aufklärung, Erstzugriff, Ausführung und Exfiltration –, wendet diese jedoch speziell auf KI-Kontexte an. Die beiden KI-spezifischen Taktiken, die es nur bei ATLAS gibt, sind:
- Zugriff auf ML-Modell (
AML.0004): Beschreibt, wie Angreifer über Inferenz-APIs oder direkten Zugriff auf Artefakte Zugriff auf Ziel-ML-Modelle erhalten. - ML-Angriffsvorbereitung (
AML.0012): Behandelt, wie Angreifer Angriffe auf ML-Modelle vorbereiten, einschließlich der Vergiftung von Trainingsdaten und Hintertür Einfügung
Sicherheitsteams sollten beide Frameworks zusammen verwenden, um eine umfassende Abdeckung zu gewährleisten – ATT&CK für traditionelle Infrastrukturbedrohungen und ATLAS für KI-spezifische Angriffsvektoren.
So funktioniert ATLAS: Rahmenstruktur und die MITRE ATLAS-Matrix
Die offizielle Wissensdatenbank MITRE ATLAS organisiert Bedrohungsinformationen anhand derselben Matrixstruktur, die auch ATT&CK so erfolgreich gemacht hat. Das Verständnis dieser Struktur ermöglicht eine effektive Erkennung von Bedrohungen und die Erstellung von KI-basierten Bedrohungsmodellen.
Die MITRE-ATLAS-Matrix (manchmal auch als MITRE-Framework-Matrix für KI oder KI-Bedrohungsmatrix bezeichnet) stellt Taktiken in Spalten und Techniken in Zeilen dar. Jede Zelle steht für eine bestimmte Methode, die Angreifer anwenden, um taktische Ziele gegen KI-Systeme zu erreichen. Diese visuelle Darstellung ermöglicht es Sicherheitsteams, Lücken in der Abdeckung schnell zu erkennen und Abwehrmaßnahmen zu priorisieren.
Die Framework-Komponenten arbeiten zusammen:
- Taktiken beantworten das „Warum“ – das Ziel des Gegners in jeder Angriffsphase.
- Techniken beantworten die Frage „Wie?“ – spezifische Methoden zur Erreichung taktischer Ziele.
- Untertechniken liefern detaillierte Informationen zu Technikvariationen.
- Abhilfemaßnahmen beschreiben defensive Maßnahmen, die bestimmten Techniken entgegenwirken.
- Fallstudien dokumentieren reale Angriffe, die ATLAS-TTP-Methoden zugeordnet sind.
ATLAS-Daten sind im STIX 2.1-Format verfügbar, was eine maschinenlesbare Integration mit Sicherheitstools und -plattformen ermöglicht. Dieses standardisierte Format unterstützt die automatisierte Einbindung in Threat-Intelligence-Plattformen und SIEM-Systeme.
Das Framework wird durch Beiträge der Community und die laufenden Forschungsarbeiten von MITRE regelmäßig aktualisiert. Das Update vom Oktober 2025, das in Zusammenarbeit mit Zenity Labs erfolgte, fügte 14 neue agentenorientierte Techniken hinzu, gefolgt von der Version 5.1.0 vom November 2025, die das Framework auf 16 Taktiken mit 84 Techniken erweiterte. Das Update 5.4.0 vom Februar 2026 fügte weitere Techniken hinzu, darunter „Publish Poisoned AI Agent Tool“ und „Escape to Host“, was die aktive Weiterentwicklung des Frameworks verdeutlicht.
Verständnis von Taktiken, Techniken und Verfahren (TTPs)
Taktiken, Techniken und Verfahren (TTPs) bilden das Kernvokabular der bedrohungsorientierten Verteidigung. In ATLAS:
- Taktiken spiegeln die Ziele der Angreifer in jeder Phase eines Angriffs auf KI-Systeme wider. Die 16 ATLAS-Taktiken reichen von der ersten Erkundung über die endgültige Wirkung bis hin zu Führung und Kontrolle.
- Techniken Beschreiben Sie die spezifischen Maßnahmen, die Gegner ergreifen, um taktische Ziele zu erreichen. Jede Technik hat eine eindeutige Kennung im Format
AML.TXXXX. - Untertechniken Techniken in spezifischere Varianten unterteilen. Zum Beispiel prompt injection
AML.0051) umfasst Untertechniken für direkte und indirekte Einspritzverfahren. - In Fallstudien werden Verfahren vorgestellt, die genau zeigen, wie Angreifer in der Praxis bestimmte Techniken eingesetzt haben.
Diese Hierarchie ermöglicht eine zunehmend detaillierte Bedrohungsmodellierung. Teams können mit einer Analyse auf Taktikebene beginnen und dann je nach Gefährdung ihres KI-Systems einen Drilldown zu bestimmten Techniken durchführen.
Die 16 ATLAS-Strategien und wichtigsten Techniken
ATLAS umfasst 84 Techniken, die sich auf 16 Taktiken verteilen und den gesamten Lebenszyklus von Angriffen abdecken – eine Steigerung gegenüber den 15 Taktiken und 66 Techniken im Oktober 2025. Diese umfassende Aufschlüsselung schließt eine erhebliche inhaltliche Lücke, die bei der Analyse der Konkurrenz festgestellt wurde: Kein bisheriger Leitfaden deckt alle Taktiken mit einem Schwerpunkt auf der Erkennung ab.
Tabelle: MITRE ATLAS-Taktiken mit den wichtigsten Techniken
| Taktik-ID |
Taktikname |
Schlüsseltechniken |
Erkennungsfokus |
AML.0001 |
Aufklärungsarbeit |
ML-Artefakte entdecken, ML-Modellontologie entdecken, Aktives Scannen |
Monitor für die Überprüfung der Modellarchitektur |
AML.0002 |
Ressourcenentwicklung |
Erwerb öffentlicher ML-Artefakte, Entwicklung von Fähigkeiten für gegnerische ML-Angriffe |
Entstehung von Tools für gegnerische Zwecke verfolgen |
AML.0003 |
Erster Zugang |
Supply Chain , Prompt InjectionAML.0051) |
Lieferkette prüfen, Eingaben validieren |
AML.0004 |
Zugriff auf ML-Modell |
Zugriff auf Inferenz-API, Zugriff auf ML-Artefakte |
API-Zugriffsprotokollierung, Artefaktintegrität |
AML.0005 |
Ausführung |
Benutzerausführung, Kompromittierung des LLM-Plugins |
Überwachung der Plugin-Sicherheit |
AML.0006 |
Persistenz |
Konfiguration des KI-Agenten ändern |
Erkennung von Konfigurationsänderungen |
AML.0007 |
Rechte-Eskalation |
Ausnutzung durch ML-System |
ML-System-Grenzüberwachung |
AML.0008 |
Verteidigung Umgehung |
Adversarial Perturbation, LLM Meta Prompt Extraction |
Erkennung von Verhaltensanomalien bei Modellen |
AML.0009 |
Zugang zu Anmeldeinformationen |
Anmeldedaten aus der AI-Agent-Konfiguration |
Überwachung des Zugriffs auf die Agentenkonfiguration |
AML.0010 |
Entdeckung |
Entdecken Sie die Konfiguration von KI-Agenten |
Erkennung von Aufzählungsversuchen |
AML.0011 |
Sammlung |
Daten aus KI-Diensten, RAG-Datenbankabfrage |
Analyse des Datenzugriffsmusters |
AML.0012 |
ML-Angriffsvorbereitung |
Gift-Trainingsdaten (AML.0020), Backdoor-ML-Modell |
Überwachung der Integrität von Trainingsdaten |
AML.0013 |
Exfiltration |
Exfiltration über ML-Inferenz-API, Exfiltration über Aufruf des KI-Agent-Tools |
Erkennung von Anomalien bei der API-Nutzung |
AML.0014 |
Auswirkungen |
Verweigerung des ML-Dienstes, Umgehung des ML-Modells, Spamming des ML-Systems |
Überwachung der Serviceverfügbarkeit |
AML.0015 |
Command and Control |
Reverse Shell, KI-Dienst-API (AML.0096) |
Erkennung des C2-Kanals in der KI-Infrastruktur |
Mit der Version 5.1.0 vom November 2025 wurde eine 16. Taktik hinzugefügt – Command and ControlAML.0015) – zusammen mit 18 neuen Techniken und 6 neuen Abwehrmaßnahmen, die sich auf Sicherheitskontrollen für KI-Agenten konzentrieren. Damit stieg die Gesamtzahl der Techniken von 66 auf 84 und die der Fallstudien von 33 auf 42.
Aufklärung durch ersten Zugriff (AML.TA0001-AML.TA0003)
Der Angriffszyklus beginnt mit der Aufklärung, bei der Angreifer Informationen über die ML-Zielsysteme sammeln. Zu den wichtigsten Techniken gehören:
- Entdecken Sie ML-Artefakte: Gegner durchsuchen öffentliche Repositorys, Dokumentationen und APIs, um Modellarchitekturen und Trainingsdaten zu verstehen.
- Supply Chain : Angreifer zielen auf Lieferkettenangriffe ab, indem sie bösartigen Code oder Daten in ML-Pipelines einschleusen.
- Prompt Injection (
AML.0051): Gegner erstellen bösartige Eingaben, um das Verhalten von LLM zu manipulieren – dies entspricht OWASP LLM01.
Zugriff auf ML-Modelle und deren Ausführung (AML.TA0004-AML.TA0005)
Diese KI-spezifischen Taktiken beschreiben, wie Angreifer mit ML-Modellen interagieren und diese ausnutzen:
- Zugriff auf Inference-API: Der Zugriff auf Modellvorhersageschnittstellen ermöglicht Aufklärung und Angriffsvorbereitungen.
- LLM-Plugin-Kompromittierung: Die Ausnutzung anfälliger Plugins erweitert die Möglichkeiten von Angreifern innerhalb von KI-Systemen.
Beharrlichkeit durch Umgehung von Abwehrmaßnahmen (AML.TA0006-AML.TA0008)
Bedrohungsakteure erhalten sich den Zugriff und vermeiden die Entdeckung durch:
- Ändern der KI-Agentenkonfiguration (Ergänzung vom Oktober 2025): Angreifer ändern die Agenten-Einstellungen, um die Persistenz aufrechtzuerhalten.
- Adversarial Perturbation: Erstellen von Eingaben, die zu Fehlklassifizierungen durch Modelle führen, während sie für Menschen normal erscheinen
Erfassung durch Auswirkungen (AML.TA0009-AML.TA0014)
Taktiken in späteren Phasen konzentrieren sich auf das Erreichen der Ziele des Gegners:
- RAG-Datenbankabfrage: Extrahieren sensibler Informationen aus abfrageverstärkten Generierungssystemen
- Gift-Trainingsdaten (
AML.0020): Datenvergiftung verfälscht Trainingsdaten, um das Modellverhalten zu manipulieren – ein kritischer Datenexfiltration Vektor - Exfiltration über AI Agent Tool Invocation (Ergänzung vom Oktober 2025): Nutzung des Zugriffs auf Agent-Tools zum Extrahieren von Daten
Das Verständnis lateraler Bewegungsmuster hilft Sicherheitsteams dabei, die Vorgehensweise von Angreifern bei der Umsetzung dieser Taktiken nachzuvollziehen.
ATLAS-Tools-Ökosystem
ATLAS bietet kostenlose, praktische Tools, die das Framework von einer Dokumentation in umsetzbare Sicherheitsfunktionen verwandeln. Dieses Tool-Ökosystem schließt eine große Lücke – nur wenige Mitbewerber decken diese Ressourcen umfassend ab.
Tabelle: Offizielles Tool-Ökosystem von MITRE ATLAS
| Werkzeug |
Zweck |
URL |
Wesentliche Merkmale |
| ATLAS-Navigator |
Matrixvisualisierung und Annotation |
atlas.mitre.org |
Benutzerdefinierte Ebenen, Abdeckungskartierung, Exportfunktionen |
| Arsenal |
Automatisierte Emulation von Angreifern |
github.com/mitre-atlas/arsenal |
CALDERA-Plugin, technische Implementierung, Automatisierung des Red Teams |
| AI-Vorfallsaustausch |
Bedrohungsinformationen der Community |
ai-vorfälle.mitre.org |
Anonymisierte Vorfallberichte, Schwachstellendatenbank |
| KI-Risikodatenbank |
Repository für Vorfälle und Schwachstellen |
ai-vorfälle.mitre.org |
Durchsuchbare Vorfälle, CVE-Integration |
ATLAS Navigator-Anleitung
Der ATLAS Navigator bietet eine interaktive Webschnittstelle zur Visualisierung der Framework-Matrix. Sicherheitsteams nutzen den Navigator für folgende Zwecke:
- Abdeckungskartierung: Erstellen Sie benutzerdefinierte Ebenen, die zeigen, welche Techniken Ihre Sicherheitskontrollen abdecken.
- Bedrohungsmodellierung: Heben Sie relevante Techniken hervor, die auf der Architektur Ihres KI-Systems basieren.
- Lückenanalyse: Identifizieren Sie Techniken ohne entsprechende Erkennungsfunktionen.
- Berichterstattung: Exportieren von Visualisierungen für die Kommunikation mit Stakeholdern
Navigator lässt sich in den ATT&CK Navigator integrieren und ermöglicht so eine einheitliche Ansicht beider Frameworks. Teams, die bereits den ATT&CK Navigator verwenden, werden sich sofort mit der ATLAS-Oberfläche vertraut fühlen.
Arsenal für AI-Red-Teaming
Im März 2023 gaben Microsoft und MITRE ihre Zusammenarbeit an Arsenal bekannt – einem CALDERA-Plugin, das eine automatisierte Emulation von Angreifern gegen KI-Systeme ermöglicht. Arsenal implementiert ATLAS-Techniken, ohne dass dafür fundierte Kenntnisse im Bereich Deep Learning erforderlich sind.
Zu den wichtigsten Funktionen gehören:
- Vorkonfigurierte Gegnerprofile basierend auf ATLAS-Taktiken
- Automatisierte Ausführung von Angriffsketten für Purple-Team-Übungen
- Ergebnisse direkt den ATLAS-Technik-IDs zugeordnet
- Integration mit bestehenden CALDERA-Implementierungen
Arsenal unterstützt threat hunting , indem es die Erkennungsreichweite anhand realistischer Angriffssimulationen validiert. Für Incident-Response-Teams hilft Arsenal dabei, die Fähigkeiten von Angreifern zu verstehen und Reaktionsverfahren zu testen.
Initiative zum Austausch von KI-Vorfällen
Die AI Incident Sharing Initiative ermöglicht es Organisationen, Informationen über Sicherheitsvorfälle im Zusammenhang mit KI auszutauschen und daraus zu lernen. Diese gemeinschaftsorientierte Plattform bietet:
- Anonymisierte Vorfallberichte mit ATLAS-Technik-Kartierung
- Durchsuchbare Datenbank mit KI-Schwachstellen und Angriffen
- Integration mit den CVE- und CWE-KI-Arbeitsgruppen
- Trendanalyse über gemeldete Vorfälle hinweg
Diese Informationen fließen direkt in die ATLAS-Updates ein, sodass das Framework aktuelle Bedrohungsmuster widerspiegelt.
Vergleich der Frameworks: ATLAS vs. OWASP LLM Top 10 vs. NIST AI RMF
Sicherheitsteams fragen oft, welches KI-Sicherheitsframework sie einsetzen sollen. Die Antwort: Verwenden Sie alle drei, um sich gegenseitig zu ergänzen. Dieser Vergleich hilft Teams zu verstehen, wann sie welches Framework anwenden sollten, und beantwortet damit eine häufig gestellte Frage zu PAA.
Tabelle: Vergleich von KI-Sicherheitsrahmenwerken: ATLAS vs. OWASP vs. NIST AI RMF
| Rahmenwerk |
Schwerpunkt |
Publikum |
Am besten für |
| MITRE ATLAS |
Feindliche TTPs für KI-Systeme |
Sicherheitsmaßnahmen, Bedrohungsjäger |
Bedrohungsmodellierung, Entwicklung von Erkennungsmechanismen, Red Teaming |
| OWASP LLM Top 10 |
LLM-Anwendungsschwachstellen |
Entwickler, AppSec-Ingenieure |
Sichere Entwicklung, Codeüberprüfung, Schwachstellenanalyse |
| NIST KI RMF |
Risikomanagement im Bereich KI |
Risikomanager, Compliance-Teams |
Organisationsführung, Einhaltung gesetzlicher Vorschriften |
Laut der Rahmenanalyse von Cloudsine dienen diese Rahmenwerke verschiedenen Phasen des KI-Sicherheitslebenszyklus:
- Entwicklungsphase: OWASP LLM Top 10 Leitfäden für sichere Codierungspraktiken
- Operationsphase: ATLAS informiert über Bedrohungsmodellierung und Erkennungsstrategien
- Governance-Phase: NIST AI RMF strukturiert Risikomanagement und Compliance
Crosswalk-Tabelle: Zuordnung zwischen Frameworks
Tabelle: Rahmenwerk-Crosswalk für häufige KI-Schwachstellen
| Verwundbarkeit |
ATLAS-Technik |
OWASP LLM |
NIST-Funktion für KI-RMF |
| Prompt injection |
AML.0051 |
LLM01 |
Karte, Maß |
| Datenvergiftung |
AML.0020 |
LLM03 |
Verwalten Sie |
| Lieferkette |
ML Supply Chain |
LLM05 |
Regieren |
| Modelldiebstahl |
Modell-Extraktion |
LLM10 |
Verwalten Sie |
Das Verständnis der Schwachstellen in allen drei Frameworks ermöglicht eine umfassende Abdeckung. Teams sollten ihre KI-Ressourcen den relevanten Techniken in jedem Framework zuordnen.
SOC-Integration und Operationalisierung
Die Integration von ATLAS in Sicherheitsabläufe erfordert die Zuordnung von Techniken zu Erkennungsfunktionen und Arbeitsabläufen. Laut dem SOC-Integrationsleitfaden von ThreatConnect lassen sich etwa 70 % der ATLAS-Abhilfemaßnahmen bestehenden Sicherheitskontrollen zuordnen. Die restlichen 30 % erfordern neue KI-spezifische Kontrollen.
Schritte zur SOC-Integration:
- Bestandsaufnahme der KI-Ressourcen: Dokumentieren Sie alle ML-Modelle, Trainingspipelines und KI-fähigen Anwendungen.
- Techniken auf Assets abbilden: Identifizieren Sie anhand Ihrer KI-Architektur, welche ATLAS-Techniken anzuwenden sind.
- Aktuelle Abdeckung bewerten: Verwenden Sie Navigator, um vorhandene Erkennungsfunktionen zu visualisieren.
- Priorisieren Sie Lücken: Konzentrieren Sie sich auf wirkungsvolle Techniken, die für Ihre Umgebung relevant sind.
- Erstellen Sie Erkennungsregeln: Erstellen Sie SIEM -Regeln und Warnmeldungen für vorrangige Techniken.
- Festlegen von Basiswerten: Definieren Sie normales Verhalten für die Telemetrie von KI-Systemen.
- Integration in Arbeitsabläufe: ATLAS-Kontext zu Alarmierungs-, Triage- und Untersuchungsverfahren hinzufügen
- Vierteljährliche Überprüfung: Aktualisieren Sie die Bedrohungsmodelle entsprechend der Weiterentwicklung von ATLAS.
Zuordnung von Erkennungsregeln
Eine effektive Erkennung erfordert die Zuordnung von ATLAS-Techniken zu bestimmten Protokollquellen und Erkennungslogiken.
Tabelle: Beispiel für die Zuordnung von Erkennungsmerkmalen für vorrangige ATLAS-Techniken
| ATLAS-Technik |
Protokollquelle |
Erkennungslogik |
Priorität |
Prompt InjectionAML.0051) |
Anwendungsprotokolle, API-Gateway |
Ungewöhnliche Eingabemuster, Injektionssignaturen |
Kritisch |
Datenvergiftung (AML.0020) |
Protokolle der Trainingspipeline |
Anomalien bei der Datenverteilung, Verstöße gegen die Herkunftsvorschriften |
Hoch |
| ML-Inferenz-API-Exfiltration |
API-Zugriffsprotokolle, cloud -Sicherheitsprotokolle |
Anfragen mit hohem Volumen, ungewöhnliche Zugriffsmuster |
Hoch |
| Modell-Extraktion |
Inferenz-API-Protokolle |
Systematische Abfragen zur Untersuchung von Modellgrenzen |
Mittel |
Netzwerkerkennungs- und Reaktionsfunktionen ergänzen die Erkennung auf Anwendungsebene. Die Analyse des Benutzer- und Entitätsverhaltens (UEBA) hilft dabei, anomale Zugriffsmuster auf KI-Systeme zu identifizieren.
Metriken und Reichweitenverfolgung
Verfolgen Sie diese Kennzahlen, um die Operationalisierung von ATLAS zu messen:
- Technikabdeckung: Prozentsatz relevanter Techniken mit Erkennungsregeln
- Erkennungslatenz: Zeit zwischen der Ausführung des Angriffs und der Generierung einer Warnmeldung
- Falsch-positiv-Rate: Alarmgenauigkeit für KI-spezifische Erkennungen
- Aktualität des Bedrohungsmodells: Tage seit der letzten Aktualisierung durch ATLAS
Vierteljährliche Überprüfungen des Bedrohungsmodells stellen sicher, dass der Schutz mit den Aktualisierungen des Frameworks und neuen Bedrohungen Schritt hält.
Fallstudien und gewonnene Erkenntnisse
ATLAS umfasst 42 Fallstudien, die reale Angriffe auf KI-Systeme dokumentieren – ein Anstieg gegenüber den 33 Fällen im Oktober 2025. Die Analyse dieser Vorfälle liefert umsetzbare Erkenntnisse für die Verteidigung, die über die theoretische Bedrohungsmodellierung hinausgehen.
Analyse der Fallstudie zu Deepfakes von iProov
Im November 2025 veröffentlichte MITRE ATLAS eine Fallstudie, in der Deepfake-Angriffe auf mobile KYC-Lebenszeichen-Erkennungssysteme (Know Your Customer) dokumentiert wurden. Laut einem Bericht von Mobile ID World richtete sich dieser Angriff gegen Banken, Finanzdienstleister und Kryptowährungsplattformen.
Verlauf der Angriffskette:
Aufklärung -> Ressourcenentwicklung -> Erster Zugriff -> Umgehung der Verteidigung -> Auswirkung
- Aufklärung: Angreifer sammelten Informationen zur Identität ihrer Ziele mithilfe von Social Engineering über Social-Media-Profile.
- Ressourcenentwicklung: Gegner haben sich KI-Tools zum Austausch von Gesichtern beschafft (Faceswap, Deep Live Cam).
- Erster Zugriff: Die virtuelle Kamera von OBS umging die Anforderungen an physische Kameras.
- Verteidigungsumgehung: KI-generierte Deepfakes haben Algorithmen zur Lebendigkeitserkennung überwunden.
- Auswirkung: Erfolgreiche betrügerische Kontoerstellung und Umgehung der Identitätsprüfung
Defensive Empfehlungen:
- Implementierung einer multimodalen Verifizierung über die Gesichtserkennung hinaus
- Gerätebescheinigung einsetzen, um virtuelle Kamera-Injektionen zu erkennen
- Überwachen Sie biometrische Erfassungen auf Anzeichen synthetischer Medien.
- Verbesserte Lebendigkeitserkennung mit Tiefenerfassung einrichten
Diese Fallstudie zeigt, wie Angreifer Social Engineering mit KI-Tools kombinieren, um Sicherheitskontrollen zu umgehen, was möglicherweise zu Datenverletzungen führen kann.
Fallstudie zur SesameOp-KI-Agenten-Backdoor (AML.CS0042)
Die SesameOp-Fallstudie, die Ende 2025 in ATLAS aufgenommen wurde, dokumentiert eine neuartige Backdoor-Technik, bei der KI-Assistenten-APIs für die Befehls- und Kontrollfunktionen genutzt werden. Anstatt eine herkömmliche C2-Infrastruktur aufzubauen, nutzten die Angreifer legitime Agent-Service-APIs als verdeckte Kontrollkanäle – und integrierten so böswillige Aktivitäten in normale KI-Arbeitsabläufe. Dieses Angriffsmuster entspricht der neuen „AI Service API“-Technik (AML.0096) und zeigt, wie eine agentenbasierte KI-Infrastruktur Befehl und Kontrolle Kanäle, die der herkömmlichen Netzwerkerkennung entgehen.
Weitere bemerkenswerte Fallstudien (2025–2026)
Zwischen Oktober 2025 und Februar 2026 wurde die Zahl der Fallstudien im Rahmen von ATLAS von 33 auf 42 erweitert. Zu den nennenswerten Neuzugängen zählen:
- Manipulation von Finanztransaktionen mit M365 Copilot als Insider – eine Demonstration, wie KI-Assistenten für unbefugte Finanztransaktionen missbraucht werden können
- Organisationsverwirrung bei Hugging Face – Risiken durch den Missbrauch von Modell-Repositorys bei Angriffen auf die Lieferkette
- MCP-Server-Kompromittierung (Januar 2026) – Dokumentation von Angriffen auf die Infrastruktur des Model Context Protocol
Umgehung endpoint Cylance endpoint
Die HiddenLayer-Analyse der ATLAS-Fallstudie AML.CS0003 dokumentiert, wie Forscher ein ML-basiertes endpoint umgangen haben:
- Angreifer verwendeten gegnerische Störungstechniken, um malware , die der Erkennung entging.
- Der Angriff demonstrierte eine Modellumgehung ohne Kenntnis der zugrunde liegenden Modellarchitektur.
- Zu den Defensivmaßnahmen gehören Modellvielfalt und Eingabevalidierung für ML-basierte Sicherheitstools.
Erkennen und Verhindern von KI-Bedrohungen
Sicherheitsbedrohungen durch KI erfordern spezielle Erkennungsansätze, die über herkömmliche Sicherheitsmaßnahmen hinausgehen. Angesichts eines Anstiegs der KI-gestützten Angriffe um 89 % im Vergleich zu den Vorjahren – gegenüber einem Anstieg von 72 % im Jahr 2025 – benötigen Unternehmen proaktive Verteidigungsstrategien.
Checkliste für die Sicherheit von KI:
- [ ] Implementierung von Eingabevalidierung und -bereinigung für alle LLM-Interaktionen
- [ ] Implementieren Sie prompt injection auf Anwendungsebene
- [ ] Herkunft und Integrität der Trainingsdaten überwachen
- [ ] Überwachen Sie die Zugriffsmuster der Inferenz-API auf Anomalien.
- [ ] Konfigurationen und Berechtigungen von KI-Agenten regelmäßig überprüfen
- [ ] KI-spezifische Warnmeldungen in bestehende SOC-Workflows integrieren
- [ ] Regelmäßige AI-Red-Team-Übungen mit Arsenal durchführen
- [ ] AI-Bedrohungsinformationen abonnieren
Unternehmen sollten ihre Investitionen in KI-Sicherheit sowohl auf phishing (durch KI generiertes phishing rapide zu) als auch auf ransomware (KI ermöglicht komplexere Angriffe) abstimmen.
Prompt injection in MITRE ATLAS (AML.0051)
Prompt injection die bekannteste ATLAS-Technik und wird wie folgt bezeichnet: AML.0051 im Rahmen der „Initial Access“-Taktik. Große Sprachmodelle sind mit besonderen Angriffsvektoren konfrontiert, denen herkömmliche Sicherheitsmaßnahmen nicht gewachsen sind, und ATLAS erfasst diese Bedrohungen systematisch.
Tabelle: LLM-Bedrohungstypen mit ATLAS-Zuordnung und Erkennungsmethoden
| Art der Bedrohung |
ATLAS-Technik |
Erkennungsmethode |
Milderung |
| Direkte prompt injection |
AML.0051.001 |
Eingabemusteranalyse |
Eingabesanitierung, Befehlshierarchie |
| Indirekte prompt injection |
AML.0051.002 |
Validierung der Inhaltsquelle |
Datenquellenkontrollen, Sandboxing |
| LLM-Jailbreaking |
AML.0051 |
Überwachung des Ausgabeverhaltens |
Leitplanken, Ausgangsfilterung |
| Manipulation des Kontextfensters |
AML.0051 |
Überwachung der Kontextlänge |
Kontextbeschränkungen, Zusammenfassung |
| RAG-Vergiftung |
AML.0060 |
Dokumentenintegritätsprüfungen |
Quellüberprüfung, Zugriffskontrollen |
Aktuelle CVEs zeigen diese Bedrohungen in der Praxis:
- CVE-2025-32711 (EchoLeak): Laut einer Analyse von Hack The Box ermöglichte diese Sicherheitslücke in Microsoft Copilot die Datenexfiltration ohne Benutzerinteraktion (Zero-Click) durch prompt injection und Prompt-Reflection
- CVE-2025-54135/54136 (CurXecute): Wie BleepingComputer berichtet, ermöglichte die MCP-Implementierung der Cursor IDE die Ausführung von Remote-Code durch prompt injection
Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen helfen dabei, Versuche des Diebstahls von Anmeldedaten durch Ausnutzung von LLM zu erkennen.
Sicherheitsaspekte bei agentenbasierter KI
Das ATLAS-Update vom Oktober 2025 befasst sich speziell mit autonomen KI-Agenten – Systemen, die Aktionen ausführen, auf Tools zugreifen und den Kontext über mehrere Sitzungen hinweg beibehalten können. Zu den neuen Techniken gehören:
AML.0058 KI-Agent-Kontextvergiftung: Einschleusen von schädlichen Inhalten in den Speicher oder Thread-Kontext des AgentenAML.0059 Aktivierungsauslöser: Einbettung von Triggern, die unter bestimmten Bedingungen aktiviert werdenAML.0060 Daten aus KI-Diensten: Extraktion von Informationen durch Abruf aus der RAG-DatenbankAML.0061 KI-Agent-Tools: Missbrauch des Zugriffs auf Agent-Tools für böswillige ZweckeAML.0062 Exfiltration über AI Agent Tool Invocation: Verwendung legitimer Tool-Aufrufe zum Extrahieren von Daten
Sicherheitsgrundsätze für KI-Agenten:
- Wenden Sie das Prinzip der geringsten Privilegien auf alle Berechtigungen für Agent-Tools an.
- Implementieren Sie Human-in-the-Loop für sensible Vorgänge.
- Überwachen Sie Änderungen an der Konfiguration des Agenten kontinuierlich.
- MCP-Serverkonfigurationen und -Verbindungen validieren
- Festlegen von Basiswerten für das Verhalten von Agenten zur Erkennung von Anomalien
Gemäß den AI/OT-Leitlinien der CISA vom Dezember 2025 sollten Unternehmen Überwachungs- und Ausfallsicherungen für alle KI-Systeme einbauen, die in kritischen Umgebungen betrieben werden.
MCP-Sicherheit und Kartierung mittels der ATLAS-Technik
Das Model Context Protocol (MCP) – ein offener Standard für die Anbindung von KI-Agenten an externe Tools und Datenquellen – schafft Angriffsflächen, denen ATLAS nun gezielt entgegenwirkt. Durch MCP-Exploits können Angreifer die Tool-Aufrufebene zwischen KI-Agenten und Unternehmenssystemen manipulieren und so herkömmliche Sicherheitskontrollen umgehen.
Zu den für die MCP-Sicherheit relevanten ATLAS-Techniken gehören:
- KI-Agent-Tools (
AML.0061): Angreifer nutzen MCP-Serverkonfigurationen aus, um unbefugte Tool-Aktionen auszulösen oder auf geschützte Daten zuzugreifen - Exfiltration über AI Agent Tool Invocation (
AML.0062): Angreifer nutzen legitime MCP-Tool-Aufrufe, um sensible Daten über autorisierte Kanäle abzugreifen - Tool zur Veröffentlichung manipulierter KI-Agenten (hinzugefügt im Februar 2026): Angreifer erstellen bösartige Versionen legitimer MCP-Tools, die sicher erscheinen, aber beim Aufruf schädliche Aktionen ausführen
- KI-Service-API (
AML.0096(hinzugefügt 2026): Nutzung von KI-Orchestrierungs-APIs für verdeckte Befehls- und Kontrollfunktionen
Das ATLAS-Update vom Januar 2026 (v5.3.0) enthielt drei neue Fallstudien, die sich speziell mit Kompromittierungen von MCP-Servern sowie der indirekten prompt injection über MCP-Kanäle sowie den Einsatz bösartiger KI-Agenten. Sicherheitsteams sollten alle MCP-Serverkonfigurationen überprüfen, die Berechtigungen für Tools auf das Mindestmaß beschränken und die Aufrufmuster der Tools auf Anomalien überwachen.
Moderne Ansätze für KI-Sicherheit
Die KI-Sicherheitslandschaft entwickelt sich rasant weiter, wobei regulatorischer Druck und die Zusammenarbeit der Branche die Einführung von Rahmenwerken vorantreiben. Unternehmen müssen sich sowohl auf neue Bedrohungen als auch auf Compliance-Anforderungen vorbereiten.
Das MITRE Secure AI Program, das von 16 Mitgliedsorganisationen – darunter Microsoft und JPMorgan Chase – unterstützt wird, konzentriert sich darauf, ATLAS um Beobachtungen aus der Praxis zu erweitern und den Austausch von Informationen zu KI-Vorfällen zu beschleunigen.
Regulatorische Entwicklungen:
- EU-KI-Gesetz: Die GPAI-Verpflichtungen (General Purpose AI) traten im August 2025 in Kraft und verlangen adversariale Tests für KI-Systeme mit systemischem Risiko sowie Cybersicherheitsschutz vor unbefugtem Zugriff.
- CISA-Leitfaden: Die im Dezember 2025 veröffentlichte behördenübergreifende Publikation befasst sich mit der KI-Sicherheit in operativen Technologieumgebungen.
Die Sicherheitsbedrohungen durch KI nehmen weiter zu: Laut einer Branchenstudie geben 87 % der Unternehmen an, dass sie Cyberangriffen durch KI ausgesetzt sind, und 92 % äußern Bedenken hinsichtlich der Sicherheitsrisiken durch autonome KI.
Wie Vectra AI KI-Sicherheitsbedrohungen Vectra AI
Attack Signal Intelligence Vectra AI wendet verhaltensbasierte Erkennungsprinzipien an, die mit den Zielen des ATLAS-Frameworks im Einklang stehen. Indem sie sich auf das Verhalten von Angreifern statt auf statische Signaturen konzentrieren, können Unternehmen die in ATLAS katalogisierten Techniken – von prompt injection bis hin zur Datenexfiltration über Inferenz-APIs – in hybriden cloud erkennen.
Dieser Ansatz ermöglicht es Sicherheitsteams, echte KI-bezogene Bedrohungen zu identifizieren und zu priorisieren und gleichzeitig die Anzahl der Fehlalarme zu reduzieren. Die Kombination aus Netzwerküberwachung und -reaktion mit der Erkennung von Identitätsbedrohungen sorgt für Transparenz über die gesamte Angriffsfläche, auf die KI-Bedrohungen heute abzielen.
Schlussfolgerung
MITRE ATLAS bietet den strukturierten Ansatz, den Unternehmen benötigen, um KI-Systeme gegen raffinierte Angreifer zu schützen. Mit 16 Taktiken, 84 Techniken und kontinuierlichen Aktualisierungen, die neue Bedrohungen wie Angriffe durch agentische KI und MCP-Exploits berücksichtigen, liefert das Framework umsetzbare Erkenntnisse für Sicherheitsteams.
Die rasante Erweiterung von 15 Taktiken im Oktober 2025 auf 16 Taktiken und 84 Techniken bis Februar 2026 verdeutlicht das Engagement von ATLAS, mit der Entwicklung der KI Schritt zu halten. Angesichts der weiter zunehmenden Zahl KI-gestützter Angriffe und des Inkrafttretens regulatorischer Anforderungen wie des EU-KI-Gesetzes können es sich Unternehmen nicht leisten, die KI-Sicherheit als Nebensache zu betrachten.
Beginnen Sie mit diesen Sofortmaßnahmen:
- Entdecken Sie den ATLAS Navigator, um die Struktur des Frameworks zu verstehen
- Erstellen Sie eine Bestandsaufnahme Ihrer KI-Ressourcen und erfassen Sie relevante Techniken
- Die derzeitige Erfassungsreichweite anhand vorrangiger Techniken bewerten
- Den ATLAS-Kontext in bestehende SOC-Arbeitsabläufe integrieren
Für Unternehmen, die über die bloße Einführung von Frameworks hinaus eine umfassende KI-Sicherheit anstreben, Attack Signal Intelligence Vectra AI eine verhaltensbasierte Erkennung, die die von ATLAS katalogisierten Angreifertechniken identifiziert – so können Sicherheitsteams KI-Bedrohungen in hybriden Umgebungen aufspüren und abwehren.
