NVIDIA hat kürzlich ein leistungsstarkes Framework veröffentlicht: die „AI Kill Chain“. Es bildet ab, wie Angriffe auf KI-gestützte Anwendungen ablaufen. Es ist einer der bisher klarsten Versuche, der zunehmend unübersichtlichen Sicherheitslandschaft Struktur zu verleihen. Das Framework zeigt, wie Angreifer von Aufklärung und Datenmanipulation zu Ausnutzung und Steuerung vorgehen und bietet Sicherheitsteams damit eine gemeinsame Sprache zum Verständnis KI-spezifischer Bedrohungen.
Der Wert dieser Erkenntnis liegt darin, dass sie die Reifekurve widerspiegelt, die wir in der traditionellen Cybersicherheit beobachtet haben. Sobald wir gelernt hatten, das Denken von Angreifern zu modellieren, konnten wir Abwehrmechanismen entwickeln, die antizipieren, anstatt zu reagieren. Aber wie KI-Systeme entwickeln sich von passiven Modellen zu autonomen Agenten.Wir stehen vor einer neuen Herausforderung: Diese Agenten verfügen über Zugangsdaten, greifen auf sensible Ressourcen zu und handeln im Auftrag von Nutzern – ihr Verhalten ist jedoch weitaus unberechenbarer als das eines Menschen. Deshalb muss die Identität im Mittelpunkt stehen. Nicht nur, was der Agent tun kann, sondern auch, als wessen Person er handelt und unter wessen Autorität.
Der Wandel von Systemen zu Akteuren
In herkömmlichen Architekturen verarbeiten Systeme Eingaben. In KI-gesteuerten Umgebungen agieren sie.
KI-Agenten fragen Datenbanken ab, versenden Nachrichten, lösen Arbeitsabläufe aus und treffen mitunter Richtlinienentscheidungen. Sie stellen somit neue Akteure im Unternehmen dar. Jeder von ihnen agiert unter einer Identität, die Anmeldeinformationen, Berechtigungen und Verhaltensmuster beinhaltet.
Diese Identität ist es, die ein KI-System von einem Modell in einen Agenten verwandelt. Und genau wie menschliche Benutzer oder Service AccountsDiese Identitäten können missbraucht, mit übermäßigen Berechtigungen versehen oder unkontrolliert bleiben. Dies verändert unsere Interpretation jeder einzelnen Phase der Angriffskette.
Aufklärung Es geht nicht nur um die Kartierung von Systemen. Es geht darum herauszufinden, welche Akteure existieren, worauf sie Zugriff haben und wen sie vertreten.
Ausbeutung Dies geschieht, wenn ein Angreifer die Logik eines Agenten manipuliert, um eine legitime Aktion mit unrechtmäßiger Absicht auszuführen.
Command and Control Verlagerung vom Fernzugriff zur delegierten Kontrolle, wobei die vertrauenswürdige Identität des Agenten genutzt wird, um unsichtbar innerhalb der Umgebung zu agieren.
Sobald wir KI-Angriffe aus der Perspektive der Identität betrachten, ändert sich das Problem. Anstatt zu fragen: „Wie schützen wir das Modell?“, sollten wir fragen: „Wie kontrollieren wir, als wessen Identität das Modell agiert?“
Ein Szenario in Bewegung
Stellen Sie sich einen KI-Assistenten im Finanzwesen vor, der Rechnungen abgleicht. Er ist in Zahlungssysteme integriert und verfügt über die Berechtigung, kleinere Transaktionen automatisch zu genehmigen. Durch eine manipulierte Eingabe wird die Definition von „klein“ subtil verändert, und der Assistent beginnt, größere Überweisungen zu genehmigen – alles innerhalb seiner zulässigen Berechtigungen.
Die Anomalieerkennung schlägt keinen Alarm, da technisch gesehen keine Richtlinien verletzt werden. Der Verstoß resultiert nicht aus einem Modellfehler, sondern aus Identitätsmissbrauch. Das System funktionierte genau wie vorgesehen, jedoch unter falscher Einschätzung.
Hier wird die Identität zum verbindenden Element in der KI-Tötungskette. Jede Phase (Aufklärung, Ausbeutung und Kontrolle) setzt voraus, dass man weiß, wer oder was handelt, unter wessen Autorität und innerhalb welcher Grenzen.
Die Tötungskette in eine Vertrauenskette umwandeln
Identitätssicherheit bringt Disziplinen mit sich, die sich direkt auf die KI-Abwehr übertragen lassen: minimale Berechtigungen, kontinuierliche Sicherheit AD-AuthentifizierungVerhaltensgrundlagen und nachvollziehbare Zuordnung. Zusammen wandeln sie reaktive Kontrollen in proaktive Absicherung um. Ich würde dies als Vertrauenskette für KI bezeichnen.
In dieser Kette:
- Jede Handlung hat einen Kontext: Wer hat sie initiiert, in wessen Auftrag und in welchem Umfang?
- Jede Abweichung vom erwarteten Verhalten kann beobachtet, überprüft und gesteuert werden.
Durch die Verknüpfung von lebenszyklusbasierten Modellen wie der AI Kill Chain mit identitätsbezogenen Kontrollmechanismen beginnen wir, den Kreislauf zwischen dem Ablauf von Angriffen und den Personen, die deren Ablauf ermöglichen, zu schließen.
Wir freuen uns
Mit der Zeit wird Identität zur Organisationsebene für die KI-Governance werden. Genau wie wir einst die Zugriffsverwaltung für menschliche Benutzer zentralisiert haben, Wir werden das Gleiche bald auch für KI-Agenten tun.Wir werden jeden digitalen Akteur im Unternehmen definieren, überwachen und authentifizieren.
Die KI-Kill-Chain hilft uns zu verstehen, wie sich Gegner bewegen.
Die Identität verrät uns, durch wen sie sich bewegen.
Die Zusammenführung dieser beiden Perspektiven ermöglicht es uns, KI von einem undurchsichtigen System in ein vertrauenswürdiges zu verwandeln. Nicht indem wir Innovationen bremsen, sondern indem wir Verantwortlichkeit skalierbar machen.
Möchten Sie sehen, wie das in der Praxis aussieht? Lesen Sie unseren Aufschlüsselung von GTG-1002Die erste dokumentierte agentenbasierte Cyberkampagne – und was sie für die Verteidiger bedeutet.