>_AYSOLI SECURITY HUB
THREAT AREA

Automatisierte Datenanalyse

Wenn KI-Systeme massenhaft Kundendaten verarbeiten, entsteht ein hochattraktives Ziel für Datendiebstahl und Spionage.

Deine Strategie

Anonymisierung ist hier der Schlüssel. Sensible Daten sollten maskiert oder mittels Differential Privacy geschützt werden, bevor sie an das KI-Modell übergeben werden.

Best Practices

  • Differential Privacy: Füge kontrolliertes Rauschen zu den Daten hinzu, um die Identifizierung von Einzelpersonen zu verhindern.
  • Audit-Proof: Protokolliere jeden Zugriff auf das Trainings- oder Analyse-Dataset unveränderbar.
  • Minimierung: Verarbeite nur die Datenfelder, die für die spezifische Analyse absolut notwendig sind.

STRIDE-LM Design-Risiken

SpoofingS-01

Identity Spoofing

Angreifer gibt sich als legitimer Benutzer oder Partner aus.

TamperingT-AI-02

Training Data Poisoning

Manipulation der Trainingsdaten zur Beeinflussung des Modellverhaltens.

RepudiationR-01

Audit Log Manipulation

Löschen oder Verändern von Spuren einer Aktion.

Information DisclosureI-AI-02

Model Inversion / Membership Inference

Rekonstruktion von Trainingsdaten aus den Modell-Antworten.

Denial of ServiceD-01

Resource Exhaustion

Überlastung von Systemen durch massenhafte Anfragen oder Ressourcen-Hogging.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-AI-02

Overreliance on AI Outputs

Ungeprüfte Übernahme von KI-generierten Inhalten oder Code.

MITRE ATT&CK® Techniken

Reconnaissance
T1592

Gather Victim Digital Network Information

ATT&CK

Sammeln von Informationen über die Ziel-Infrastruktur.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
LLM Gateway / FirewallErweiterter SchutzMittel
NIST: AI-1OWASP: LLM01
Continuous AI Red TeamingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Regular Access ReviewsGrundschutzNiedrig
CIS: 6.6NIST: PR.AC-1OWASP: A01:2021
Credential Access
T1552

Credentials from Password Stores

ATT&CK

Auslesen von Passwörtern aus Web-Browsern oder Passwort-Managern.

Mitigiert durch
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
Collection
T1530

Data from Cloud Storage Object

ATT&CK

Abgreifen von Daten aus Cloud-Speichern (S3, Blobs).

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
T1213

Data from Information Repositories

ATT&CK

Abgreifen von Daten aus Wissensdatenbanken (SharePoint, Confluence).

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
LLM Gateway / FirewallErweiterter SchutzMittel
NIST: AI-1OWASP: LLM01
Least Privilege PrincipleGrundschutzMittel
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Exfiltration
T1020

Automated Exfiltration

ATT&CK

Automatisiertes Abgreifen von Daten über Schnittstellen.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
LLM Gateway / FirewallErweiterter SchutzMittel
NIST: AI-1OWASP: LLM01
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1
Continuous AI Red TeamingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Output Content FilteringGrundschutzNiedrig
NIST: AI-1.2OWASP: LLM02
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
Data Loss Prevention (DLP)GrundschutzMittel
CIS: 13.3NIST: PR.DS-1
LLM Gateway / FirewallErweiterter SchutzMittel
NIST: AI-1OWASP: LLM01
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Continuous AI Red TeamingErweiterter SchutzHoch
CIS: 18.1NIST: AI-5.1
Impact
T1565

Inplace Modification

ATT&CK

Manipulation von bestehendem Code oder Daten am Speicherort.

Mitigiert durch
Data Anonymization (Differential Privacy)Erweiterter SchutzHoch
NIST: PR.PT-3
Immutable Audit LogsErweiterter SchutzMittel
CIS: 8.2NIST: PR.PT-1

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch