Log in
Sign up
MITRE ATLAS AI threat framework illustration

Sections

MITRE ATLAS: Von KI-Angriffstechniken zu Compliance-Kontrollen

Auf einen Blick

  • MITRE ATLAS ist eine offene, fortlaufend gepflegte Wissensbasis darüber, wie KI-Systeme tatsächlich angegriffen werden: 16 Taktiken und 84 Techniken, abgeleitet aus realen Vorfällen und Red-Team-Arbeit.
  • Das Rahmenwerk überträgt die Logik von MITRE ATT&CK auf die Angriffsfläche des maschinellen Lernens und erfasst Bedrohungen wie Datenvergiftung, Modellumgehung und Prompt Injection, die klassische Sicherheitsstandards nie benannt haben.
  • ATLAS, die OWASP LLM Top 10 und das NIST AI RMF sind sich ergänzende Schichten (Bedrohungen, Anwendungsschwachstellen, Governance) und keine konkurrierenden Standards.
  • Die von ATLAS katalogisierten Angriffsklassen sind genau jene, gegen die die KI-Verordnung Hochrisiko-Anbieter zu schützen verpflichtet, womit ATLAS zum Compliance-Nachweis wird.
  • Der praktische Gewinn liegt in einer Kette: jede ATLAS-Technik mit einer Kontrolle und einem Prüfnachweis in Ihrem KI-Governance-Programm zu verknüpfen.
Illustration des MITRE ATLAS KI-Bedrohungsframeworks

Was ist MITRE ATLAS?

MITRE ATLAS steht für Adversarial Threat Landscape for Artificial-Intelligence Systems. MITRE beschreibt das Rahmenwerk als eine global zugängliche, lebende Wissensbasis gegnerischer Taktiken und Techniken gegen KI-gestützte Systeme, die auf Beobachtungen realer Angriffe beruht sowie auf Demonstrationen spezialisierter KI-Red-Teams. Vereinfacht gesagt handelt es sich um eine strukturierte Landkarte dessen, wie KI angegriffen wird, gespeist aus Vorfällen, die tatsächlich stattgefunden haben, und nicht aus theoretischer Sorge. In der Version 5.4.0 (Februar 2026) umfasst die ATLAS-Matrix 16 Taktiken, 84 Techniken, 56 Untertechniken, 32 Gegenmaßnahmen und 42 dokumentierte Fallstudien. Diese Fälle sind greifbar statt akademisch: die Umgehung der Identitätsprüfung per Deepfake, die Modellumgehung beim maschinellen Lernen, KI-Agenten mit Hintertüren oder das Abgreifen von Finanztransaktionen über KI-Assistenten. Das Rahmenwerk existiert, weil KI eine Angriffsfläche hinzufügt, die herkömmliche Sicherheitsmodelle nie beschreiben sollten. Ein Modell kann während des Trainings korrumpiert, zur Laufzeit getäuscht oder so lange abgefragt werden, bis es die Daten preisgibt, aus denen es gelernt hat. ATLAS gibt Sicherheits- und Governance-Teams ein gemeinsames Vokabular für diese Fehlerbilder, sodass ein Red-Team-Befund, ein Kontrollverantwortlicher und ein Prüfer auf dieselbe Technik zeigen und dasselbe meinen. Für eine regulierte Organisation ist diese gemeinsame Sprache der erste Schritt, KI-Sicherheit als Governance-Disziplin zu behandeln und nicht als einmaliges Projekt. Eben deshalb legt AI Sigil ATLAS als Referenzschicht unter sein Risiko- und Kontrollmodell.

MITRE ATLAS im Vergleich zu MITRE ATT&CK

Wer im Security Operations Center gearbeitet hat, findet sich in ATLAS schnell zurecht, und das ist Absicht. Das Rahmenwerk orientiert sich unmittelbar an der Methodik von MITRE ATT&CK: dieselbe Unterscheidung zwischen Taktiken (dem Ziel des Angreifers in jeder Phase) und Techniken (der Art, wie er es erreicht), dargestellt als Matrix, die man von links nach rechts entlang des Angriffslebenszyklus liest. Der Unterschied liegt im Ziel. ATT&CK beschreibt Angriffe auf klassische IT: Endgeräte, Netzwerke, Identitäten. ATLAS beschreibt Angriffe auf die KI selbst: das Modell, seine Trainingsdaten, seine Inferenzpipeline und die darauf aufbauenden Agenten. Mehrere Taktiken sind beiden gemeinsam (Aufklärung, Erstzugriff, Exfiltration, Auswirkung), weil Angreifer weiterhin phishen, sich seitlich bewegen und Zugangsdaten stehlen. Was ATLAS hinzufügt, ist der KI-spezifische Kern: Zugriff auf ein Modell erlangen, seine Trainingsdaten vergiften, Eingaben erzeugen, die es täuschen, oder es vollständig extrahieren. Für ein Governance-Team lautet die Konsequenz nicht, sich zwischen beiden zu entscheiden. ATT&CK deckt die Infrastruktur rund um das Modell ab, ATLAS deckt das Modell ab. Ein ernsthafter KI-Angriff nimmt in der Regel beide Wege.

In der MITRE-ATLAS-Matrix: die 16 Taktiken

Die Matrix liest sich am besten als Lebenszyklus. Der Angreifer beginnt mit der Aufklärung (er untersucht Ihr Modell, dessen API, dessen öffentliche Dokumentation), durchläuft Ressourcenentwicklung und Erstzugriff und erreicht dann die KI-spezifischen Stufen: Modellzugriff, Angriffsvorbereitung, Ausführung, Persistenz, Exfiltration und Auswirkung. Jede Taktik bündelt Techniken, die einen konkreten Schritt beschreiben. Vier Technikfamilien sind für die Governance besonders wichtig, weil sie sich mit ausdrücklich benannten regulatorischen Risiken decken:

  • Datenvergiftung. Die Trainingsdaten so manipulieren, dass das Modell das Falsche lernt, sei es eine verborgene Hintertür oder eine allgemeine Verschlechterung der Genauigkeit.
  • Modellumgehung (adversariale Beispiele). Eingaben gestalten, die ein produktives Modell zu einem Fehler verleiten, etwa ein subtil verändertes Bild oder ein Umgehungs-Prompt, der einen Sicherheitsfilter aushebelt.
  • Modellextraktion und -inversion. Ein Modell so lange abfragen, bis man es rekonstruieren oder die vertraulichen Trainingsdaten zurückgewinnen kann, ein Angriff auf die Vertraulichkeit.
  • Prompt Injection und Jailbreaks. Ein Sprachmodell oder einen KI-Agenten über präparierte Anweisungen kapern, die in den verarbeiteten Inhalten verborgen sind.

Diese Familien decken sich sauber mit der offiziellen US-Taxonomie. Das NIST AI 100-2 E2025, die bundesstaatliche Taxonomie des adversarialen maschinellen Lernens, ordnet Angriffe auf prädiktive KI in Umgehung, Vergiftung und Privatsphäre ein, Angriffe auf generative KI in Prompt Injection, Jailbreaks und Lieferketten-Kompromittierung. ATLAS liefert die im Feld erprobten Techniken, NIST liefert die formale Terminologie. Beides zusammen ergibt das Was und das Wie.

ATLAS, die OWASP LLM Top 10 und das NIST AI RMF

Eine der häufigsten Fragen lautet, wie sich ATLAS zu den anderen KI-Sicherheits- und Governance-Rahmenwerken verhält. Die kurze Antwort: Sie arbeiten auf unterschiedlichen Höhenlagen und sind für den gemeinsamen Einsatz gedacht.

  • MITRE ATLAS ist ein Angreifermodell. Es beantwortet die Frage „wie würde jemand dieses System angreifen?“ und dient der Bedrohungsmodellierung, dem Red Teaming und der Detektionsentwicklung.
  • Die OWASP LLM Top 10 sind ein Schwachstellenmodell. Sie beantworten „was ist in LLM-Anwendungen typischerweise falsch?“ (Prompt Injection, unsichere Ausgabeverarbeitung, Vergiftung der Trainingsdaten) und dienen der sicheren Entwicklung und der Code-Prüfung.
  • Das NIST AI RMF ist ein Governance-Modell. Seine vier Funktionen (Governance, Kartierung, Messung, Steuerung) beantworten „wie überwacht unsere Organisation das KI-Risiko?“ und richten sich an Risiko- und Compliance-Verantwortliche.

Dies sind Schichten, keine Alternativen: die Bedrohung (ATLAS), die ausgenutzte Schwachstelle (OWASP) und die Aufsicht, die über das Vorgehen entscheidet (NIST). Der praktische Grund ist die Kostenseite. Laut der Matrix-Analyse von Vectra entsprechen rund 70 % der ATLAS-Gegenmaßnahmen Sicherheitskontrollen, die Organisationen bereits betreiben. Sie bauen selten bei null auf, sondern verbinden eine KI-Bedrohung mit einer bereits vorhandenen Kontrolle und weisen die Verknüpfung nach. Die Governance-Ressourcen von AI Sigil behandeln die drei Rahmenwerke als zusammenhängenden Stapel statt als konkurrierende Checklisten.

Warum MITRE ATLAS für die Compliance zählt, nicht nur für die Sicherheit

Hier ist der Punkt, den die meisten ATLAS-Erklärungen übergehen. Üblicherweise wird das Rahmenwerk als Werkzeug für das Security Operations Center präsentiert. Für eine regulierte Organisation ist es zugleich ein Compliance-Instrument, denn die Angriffe, die es katalogisiert, sind die Angriffe, die das Gesetz nun benennt. Artikel 15 der KI-Verordnung verlangt, dass Hochrisiko-KI-Systeme „ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit“ erreichen. In Absatz 5 geht er weiter: Solche Systeme „müssen widerstandsfähig gegen Versuche unbefugter Dritter sein, ihre Verwendung, ihre Ergebnisse oder ihre Leistung durch Ausnutzung von Systemschwachstellen zu verändern“. Derselbe Absatz benennt anschließend die Bedrohungen nach Kategorie. Die technischen Lösungen müssen, soweit angebracht, Angriffe adressieren, „mit denen versucht wird, den Trainingsdatensatz zu manipulieren (data poisoning) oder vortrainierte Komponenten zu manipulieren (model poisoning), von Eingaben, die das KI-Modell zu Fehlern verleiten sollen (adversarial examples oder model evasion), von Angriffen auf die Vertraulichkeit oder von Modellmängeln“. Lesen Sie diese Liste neben den oben genannten ATLAS-Technikfamilien: Es sind dieselben Bedrohungen. Die Verordnung formuliert die Pflicht, ATLAS liefert den operativen Katalog, mit dem Sie zeigen, wie Sie ihr nachkommen. Wenn ein Prüfer fragt, wie Sie adversariale Beispiele oder Datenvergiftung behandeln, wiegt „wir haben die relevanten ATLAS-Techniken mit Kontrollen verknüpft und getestet“ weit schwerer als eine Grundsatzerklärung. Dieselbe Logik gilt nach oben: Der Verhaltenskodex für KI-Modelle mit allgemeinem Verwendungszweck erwartet adversariale Tests für Modelle mit systemischem Risiko, und ATLAS ist eine natürliche Quelle für die Testfälle. In Deutschland knüpft diese Erwartung an Prinzipien an, die das BSI mit seinen KI-Sicherheitsleitlinien bereits vertritt. Genau dieser Perspektivwechsel ist entscheidend. ATLAS ist nicht nur ein Mittel, Angriffe zu erkennen, sondern ein Mittel, nachzuweisen, dass Sie sie vorhergesehen haben.

ATLAS in einem KI-Governance-Programm operationalisieren

ATLAS vom Referenzposter zum arbeitenden Teil der Governance zu machen, läuft auf eine Kette hinaus: Bedrohung, Kontrolle, Nachweis. Bedrohung. Wählen Sie für jedes KI-System in Ihrem Inventar die tatsächlich einschlägigen ATLAS-Techniken aus. Ein öffentlich zugänglicher LLM-Assistent ist Prompt Injection und Jailbreaks ausgesetzt, ein auf Drittdaten trainiertes Betrugsmodell der Vergiftung, ein über eine API erreichbares Modell der Extraktion. Sie brauchen nicht alle 84 Techniken, sondern nur jene, die Ihre Architektur einlädt. Kontrolle. Verknüpfen Sie jede ausgewählte Technik mit einer Systemkontrolle. Da die meisten ATLAS-Gegenmaßnahmen bestehenden Sicherheitskontrollen entsprechen, geht es meist darum, eine KI-Bedrohung an Zugriffsverwaltung, Eingabevalidierung, Monitoring, Lieferkettenprüfungen oder Red-Team-Tests anzubinden, die Sie bereits vorweisen können. Wo eine echte Lücke besteht, haben Sie gerade eine zu schaffende Kontrolle gefunden. Nachweis. Fügen Sie den Beleg bei, dass die Kontrolle wirkt: einen Red-Team-Bericht gegen die Technik, das Ergebnis eines Vergiftungstests, ein Zugriffsprotokoll, eine unterzeichnete Freigabe. Das verwandelt eine behauptete Kontrolle in ein Prüfartefakt. Genau diese Kette verlangen die Funktionen Messung und Steuerung des NIST AI RMF, und sie deckt sich mit den Anhang-A-Kontrollen der ISO 42001, dem zertifizierbaren Standard für KI-Managementsysteme. Sie klärt zudem die Verantwortung: Nach der KI-Verordnung verantwortet der Anbieter die ins Modell eingebaute Robustheit, während der Betreiber die Einsatzbedingungen verantwortet; dieselbe ATLAS-Technik kann somit Pflichten für beide Parteien auslösen. Eine Plattform wie AI Sigil dient genau dazu, diese Zuordnung (Bedrohungen, Kontrollen, Nachweise und Pflichten) an einem Ort zu halten, damit die Kette prüfbar bleibt, statt zum Bewertungszeitpunkt aus dem Gedächtnis rekonstruiert zu werden.

Mit MITRE ATLAS beginnen

Für den Anfang braucht es kein großes Programm. Ein erster Durchgang sieht so aus:

  1. Inventarisieren Sie Ihre KI-Systeme und notieren Sie für jedes den Modelltyp, die Datenquellen und die Art der Exposition.
  2. Engern Sie für jedes System die angesichts dieser Architektur plausiblen ATLAS-Techniken ein.
  3. Bewerten Sie Ihre aktuelle Kontrollabdeckung gegen diese Auswahl und halten Sie fest, wo Sie stark und wo Sie exponiert sind.
  4. Priorisieren Sie die Lücken nach Auswirkung, beginnend mit Systemen, die nach der KI-Verordnung hochriskant oder geschäftskritisch sind.
  5. Dokumentieren Sie die Nachweise für bereits wirksame Kontrollen, damit vor dem nächsten Audit nichts verloren geht.
  6. Überprüfen Sie vierteljährlich, denn ATLAS ist ein lebendes Rahmenwerk und Ihr Modellbestand verändert sich.

Für regulierte Teams kommt eine Spalte hinzu: die Pflicht, die jede Technik erfüllen hilft. Diese eine Verbindung, von der ATLAS-Technik zur regulatorischen Pflicht, verwandelt eine Sicherheits-Checkliste in Governance.

Häufige Fragen

Was ist MITRE ATLAS? MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) ist eine offene, lebende Wissensbasis der Taktiken und Techniken, die Angreifer gegen KI-Systeme einsetzen, gestützt auf reale Beobachtungen und Red-Team-Demonstrationen. Die aktuelle Matrix umfasst 16 Taktiken und 84 Techniken, aufgebaut wie MITRE ATT&CK, aber auf maschinelles Lernen ausgerichtet. Worin unterscheiden sich MITRE ATLAS und MITRE ATT&CK? ATT&CK beschreibt Angriffe auf klassische IT-Systeme (Endgeräte, Netzwerke, Identitäten). ATLAS beschreibt Angriffe auf die KI-Systeme selbst: das Modell, seine Trainingsdaten und seine Inferenzpipeline. ATLAS übernimmt die Struktur von ATT&CK und teilt einige Taktiken, fügt aber KI-spezifische Techniken hinzu wie Datenvergiftung, Modellumgehung und Modellextraktion. Worin unterscheiden sich MITRE ATLAS und die OWASP LLM Top 10? Sie lösen verschiedene Probleme. ATLAS ist ein Angreifermodell für Bedrohungsmodellierung und Red Teaming. Die OWASP LLM Top 10 sind eine Liste der häufigsten Schwachstellen in LLM-Anwendungen für die sichere Entwicklung. ATLAS sagt, wie Sie angegriffen werden könnten, OWASP sagt, wo üblicherweise die Schwächen liegen. Beide ergänzen sich. Wie viele Taktiken hat MITRE ATLAS? In der Version 5.4.0 (Februar 2026) umfasst die ATLAS-Matrix 16 Taktiken sowie 84 Techniken, 56 Untertechniken, 32 Gegenmaßnahmen und 42 Fallstudien. Quellen, die 14 Taktiken nennen, liegen vor den jüngsten Aktualisierungen; prüfen Sie stets die aktuelle Matrix auf atlas.mitre.org. Ist MITRE ATLAS durch die KI-Verordnung vorgeschrieben? Die Verordnung nennt ATLAS nicht, es ist also nicht verpflichtend. Artikel 15 verlangt jedoch, dass Hochrisiko-KI-Systeme gegen Datenvergiftung, Modellvergiftung, adversariale Beispiele und Angriffe auf die Vertraulichkeit widerstandsfähig sind, also genau gegen die Bedrohungen, die ATLAS katalogisiert. ATLAS ist ein praktischer Weg, die erwarteten technischen Lösungen zu ordnen und nachzuweisen. Wie hängt MITRE ATLAS mit dem NIST AI RMF zusammen? Sie wirken auf unterschiedlichen Ebenen. ATLAS ist ein Bedrohungskatalog, das NIST AI RMF ein Governance-Rahmenwerk rund um Governance, Kartierung, Messung und Steuerung. In der Praxis speist ATLAS die Funktionen Messung und Steuerung: Es liefert die konkreten Bedrohungen, die Sie bewerten und behandeln, während das RMF die Aufsichtsstruktur darum herum bereitstellt.

Fazit

Die meisten Teams begegnen MITRE ATLAS als Sicherheitsartefakt, einer Angriffsmatrix, die das Red Team studiert. Diese Sicht ist richtig, aber unvollständig. Für jede Organisation, die KI unter Regulierung betreibt, ist ATLAS die Brücke zwischen zwei Welten, die meist aneinander vorbeireden: dem Sicherheitsteam, das weiß, wie KI angegriffen wird, und dem Compliance-Team, das die Robustheit des Systems nachweisen muss. Seine Techniken sind die von der KI-Verordnung benannten Bedrohungen, konkret gemacht, und sie mit Kontrollen und Nachweisen zu verknüpfen, ist genau das, was ein Audit sehen will. Beginnen Sie klein, mit einem System und seinen plausiblen Techniken, und erweitern Sie die Zuordnung von dort. Damit diese Zuordnung an einem prüfbaren Ort lebt, sehen Sie, wie AI Sigil KI-Bedrohungen, Kontrollen und Pflichten verbindet.

Dr. Anna Hoffmann

MITRE ATLAS: Von KI-Angriffstechniken zu Compliance-Kontrollen

MITRE ATLAS erfasst 16 Taktiken und 84 Techniken gegen KI-Systeme. So werden sie zu Kontrollen und Nachweisen für Artikel 15 der KI-Verordnung.

KI-Governance: das Betriebssystem für konforme und verantwortliche KI

KI-Governance macht aus Prinzipien prüfbare Kontrollen. So greifen KI-Verordnung, ISO 42001 und das NIST AI RMF ineinander, von Pflicht bis Nachweis.

Risikomanagement-Compliance: Das 2026er Praxisbuch für GRC-Teams im KI-Zeitalter

Risikomanagement-Compliance im KI-Zeitalter neu denken: ISO 31000, ISO 42001, NIST AI RMF und Artikel 9 der KI-Verordnung in einem kohärenten Stack.

LLM-Benchmarks: Compliance-Leitfaden für KI-Governance-Teams

Ein aufsichtsbewusster Leitfaden zu LLM-Benchmarks: Wie MMLU, HumanEval, HELM und AIR-Bench auf KI-VO, NIST AI RMF und ISO 42001 abbilden.

Das größte Risiko generativer KI-Modelle, erklärt

Halluzination ist das materiell schwerwiegendste Risiko generativer KI-Modelle. 12 NIST-Risiken auf KI-Verordnung mappen und mit bewährten Kontrollen steuern.

ISO-Zertifizierungsstellen 2026: Der Leitfaden für Käufer im KI-Zeitalter

Die führenden ISO-Zertifizierungsstellen 2026 im Vergleich, wer für ISO/IEC 42001 KI-Managementsysteme akkreditiert ist, und wie Sie den richtigen Auditor wählen.