Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

KI-Infrastruktur-Sicherheit

Die unsichtbare Angriffsfläche
Ihrer KI-Infrastruktur.

Die meisten KI-Sicherheitsvorfälle passieren nicht im Modell — sie passieren in der Infrastruktur darum herum. Offene MLflow-Instanzen. Unsichere Model-Registries. Unverifizierte Basismodelle. Ungeschützte Trainingspipelines. Wir prüfen alles.

KI-Infrastruktur-Assessment anfragen Testbereiche ansehen
MITRE ATLAS NIST AI RMF ISO 42001 AI SBOM
ML PIPELINE — ANGRIFFSPFADE
Data Ingestion VULNERABLE
Training Pipeline EXPOSED
Experiment Tracking OPEN
Model Registry UNSECURED
Serving Endpoint UNMONITORED
Supply Chain UNVERIFIED

MITRE ATLAS · AML.T0010 · AML.T0020 · reale Konfiguration

Festpreisangebot
ab 12.000 €
Angebot innerhalb von
MLOps-Plattformen getestet
Subunternehmer

Das Problem

Die meisten KI-Angriffe zielen nicht auf das Modell

KI-Sicherheit wird oft als rein algorithmisches Problem betrachtet — Adversarial Attacks, Prompt Injection, Jailbreaking. Aber in der Praxis ist die Infrastruktur rund um das Modell das schwächste Glied. Ungesicherte MLOps-Umgebungen öffnen Angreifern eine breite, reale Angriffsfläche — jenseits jeder ML-spezifischen Technik.

Offene Jupyter-Notebooks und MLflow-UIs

Viele ML-Teams betreiben Experiment-Tracking-Interfaces ohne Authentifizierung im internen Netz — zugänglich für jeden Angreifer mit Netzwerkzugriff. Eine kompromittierte Workstation reicht.

Model-Registry ohne Signierung und Audit-Trail

Wer kann welches Modell promoten? Wurde das Produktionsmodell durch ein präpariertes Modell ersetzt? Ohne kryptographische Signierung und unveränderliche Logs ist das nicht feststellbar.

Unverifizierte Basismodelle aus öffentlichen Quellen

Täglich werden neue Modell-Checkpoints auf Hugging Face hochgeladen — ohne zentrale Sicherheitsüberprüfung. Kompromittierte Modelle mit Backdoors werden oft erst nach dem Fine-Tuning und dem produktiven Einsatz entdeckt.

REALES ANGRIFFSSZENARIO — ML PIPELINE COMPROMISE

RECON › Nmap-Scan: Port 5000 offen — MLflow Tracking Server
ACCESS › Kein Auth-Token erforderlich — direkter UI-Zugriff
ENUM › 124 Experimente · 18 Modell-Artefakte · S3-Bucket-URL
UPLOAD › Präpariertes Modell in Registry hochgeladen — promoted
IMPACT › Backdoor-Modell deployed — MITRE ATLAS AML.T0020

MITRE ATLAS — RELEVANTE TECHNIKEN

AML.T0010 ML Supply Chain Compromise
AML.T0019 Publish Poisoned Datasets
AML.T0020 Poison Training Data
AML.T0044 Full ML Model Access
AML.T0047 ML Artifact Collection

Was wir testen

Sechs Schichten der KI-Infrastruktur-Sicherheit

Von der Datenpipeline bis zum Serving-Endpoint — wir prüfen den gesamten ML-Lifecycle auf Schwachstellen.

01

MLOps Pipeline Security

Sicherheitsprüfung der CI/CD-Infrastruktur für ML: Trainingspipelines (Kubeflow, Airflow, GitHub Actions), Experiment-Tracking (MLflow, Weights & Biases), Authentifizierung, Autorisierung, Secrets-Management und Netzwerksegmentierung. Prüfung auf Pipeline-Injection-Möglichkeiten und unautorisierte Modellmanipulation.

KubeflowMLflowAirflow
02

Model Registry Security

Zugriffskontrolle (RBAC für Lesen, Schreiben, Promoten), kryptographische Signierung von Modell-Artefakten, unveränderliche Audit-Logs, Netzwerkzugriffsbeschränkung und Integritätsprüfung gespeicherter Modelle. Prüfung auf Privilege-Escalation-Pfade und unautorisierte Modellsubstitution.

RBACArtifact SigningAudit Log
03

AI API Endpoint Security

Sicherheitsprüfung der Inference-APIs: Authentifizierung und Autorisierung, Rate-Limiting gegen Model Extraction und DoS, Input-Validierung, Output-Filtering, Query-Pattern-Monitoring (Extraction-Detection) und Transport-Security (TLS, mTLS). Prüfung auf Enumeration, Reconnaissance und Side-Channel-Angriffe.

Rate LimitingAuthTLS
04

Data Pipeline Integrity

Datenherkunfts-Tracking (Data Lineage), Integritätsprüfung von Trainingsdaten vor der Verarbeitung, Validierung von Datentransformationen und Feature-Engineering-Schritten. Prüfung auf unautorisierte Modifikation von Trainingsdaten (Data Poisoning-Vektoren) in der Pipeline.

Data LineageIntegrity CheckPoisoning
05

AI Supply Chain Audit

Inventarisierung und Verifizierung aller externen KI-Komponenten: vortrainierte Modelle (Hugging Face, TF Hub), Trainings-Frameworks und Abhängigkeiten (PyTorch, Transformers, LangChain), öffentliche Datensätze und Data-Labeling-Dienstleister. AI-SBOM-Erstellung. Backdoor-Prüfung ausgewählter Basis-Modelle.

AI SBOMProvenanceBackdoor-Check
06

Container & Cloud Security für KI

Sicherheitsprüfung der Container-Infrastruktur für KI-Workloads: Docker-Images auf bekannte Schwachstellen, Kubernetes-RBAC für ML-Namespaces, GPU-Ressourcenisolation, Cloud-IAM-Berechtigungen (S3, GCS, Azure Blob für Modell-Artefakte) und Netzwerkrichtlinien für Trainings- und Inference-Cluster.

KubernetesCloud IAMContainer

MLOps-Plattformen

Alle Plattformen — ein Assessment

Wir testen alle marktgängigen MLOps-Plattformen und custom Pipelines. Der Testansatz wird individuell auf Ihre Infrastruktur zugeschnitten.

Kubeflow

Kubernetes-native
  • Pipelines Endpoint Auth
  • KFServing Inference Auth
  • Katib RBAC
  • Netzwerksegmentierung
  • Istio-Konfiguration

MLflow

Open Source
  • Tracking-Server-Auth
  • Artifact Store ACL
  • Model Registry RBAC
  • Artifact-Signierung
  • API-Endpunkt-Exposition

Amazon SageMaker

AWS Cloud
  • IAM-Rollenberechtigungen
  • S3-Bucket-Policies
  • Endpoint-Konfiguration
  • Feature-Store-Zugriff
  • Studio-Domain-Isolation

Google Vertex AI

GCP Cloud
  • Service-Account-Rechte
  • GCS-Bucket-Permissions
  • Endpoint-IAM-Policies
  • Matching-Engine-Zugriff
  • Workbench-Isolation

Azure Machine Learning

Azure Cloud
  • Managed Identity
  • Datastore-Zugriffsrechte
  • Compute-Netzwerksegmentierung
  • Endpoint-Auth
  • Registry-RBAC

Custom Pipelines

Airflow · Prefect · ZenML
  • DAG-Zugriffskontrolle
  • Secrets-Management
  • Artifact-Integrität
  • Pipeline-Injection-Vektoren
  • Monitoring-Blindspots

Methodik

Wie ein KI-Infrastruktur-Assessment abläuft

Klassisches Penetrationstest-Handwerk kombiniert mit KI-spezifischen Prüftechniken — nach MITRE ATLAS und NIST AI RMF.

01

2–3 Tage

Scoping & Infrastruktur-Inventarisierung

Vollständige Bestandsaufnahme der KI-Infrastruktur: MLOps-Plattformen, Trainingspipelines, Serving-Endpunkte, Datenspeicher und externe Abhängigkeiten. Bedrohungsmodellierung nach MITRE ATLAS — welche Angreifer-Profile und Taktiken sind realistisch? Erstellung der initialen AI-SBOM: Welche vortrainierten Modelle und Datensätze werden verwendet?

MITRE ATLASAI SBOM
02

2–3 Tage

Netzwerk- und Zugriffs-Reconnaissance

Netzwerk-Scanning der ML-Infrastruktur: Welche Ports und Services sind intern/extern erreichbar? Service-Banner-Analyse für MLflow, Jupyter, TensorBoard, KFServing. Cloud-IAM-Enumeration: Welche Rollen und Berechtigungen sind vergeben? Identifikation von überprivilegiierten Service Accounts und Rollen.

NmapCloud IAM ReviewService Enum
03

4–6 Tage

MLOps-Plattform-Penetrationstest

Aktiver Penetrationstest aller identifizierten MLOps-Komponenten: Authentication-Bypass-Tests, Privilege-Escalation-Versuche, Pipeline-Injection-Tests (können unautorisierte Trainingsjobs ausgelöst werden?), Artifact-Manipulation-Tests (können Modelle unautorisiert ersetzt werden?) und Lateral-Movement-Analyse innerhalb des ML-Clusters.

Custom ExploitsPipeline InjectionRBAC Bypass
04

2–4 Tage

API Endpoint & Inference Security

Sicherheitsprüfung aller Inference-APIs: Authentifizierungsmechanismen, Autorisierungsgranularität, Rate-Limiting-Effektivität (Simulation von Model-Extraction-Queries), Input-Validierung, Output-Filtering, TLS-Konfiguration und Monitoring-Abdeckung. Abschätzung der Extractions-Kosten: Wie viele Queries für ein akkurates Surrogate-Modell?

API TestingExtraction SimTLS Audit
05

2–4 Tage

Supply Chain & Artefakt-Audit

Detaillierte Prüfung aller externen KI-Komponenten: Backdoor-Detection in verwendeten Basismodellen (Neural Cleanse, STRIP, ABS-Methoden), CVE-Scan aller ML-Framework-Abhängigkeiten, Vertrauenswürdigkeitsbewertung der Trainings-Datenquellen und Prüfung der Modell-Signierungskette. Vollständige AI-SBOM-Finalisierung.

Neural CleanseCVE ScanningProvenance Audit
06

2–3 Tage

Reporting & Remediation-Roadmap

Technischer Bericht mit CVSS-Scoring, MITRE-ATLAS-Mapping und priorisierter Remediation-Roadmap. Compliance-Mapping: NIST AI RMF (Govern, Map, Measure, Manage), ISO 42001 operative Controls und EU AI Act Art. 15 (Robustheit). AI-SBOM-Deliverable. Management Summary und optionale Abschlusspräsentation mit dem ML-Team.

NIST AI RMFISO 42001AI SBOM

Typische Gesamtdauer: 15–23 Tage — abhängig von der Anzahl der MLOps-Plattformen und der Komplexität der Infrastruktur.
Sie erhalten innerhalb von 48 Stunden ein verbindliches Festpreisangebot ab 12.000 EUR.

Frameworks & Standards

Ein Assessment — alle Compliance-Nachweise

Jedes Finding wird auf relevante Standards und Regulierungen gemappt. Ihr Bericht ist für Audits und Zertifizierungen verwendbar.

MITRE ATLAS

Das KI-spezifische ATT&CK-Framework dokumentiert reale Angriffs-TTPs auf KI-Systeme. Wir strukturieren unsere Angriffsszenarien entlang der ATLAS-Matrix — von Reconnaissance bis Impact.

Supply Chain · Pipeline · Evasion

NIST AI RMF

Das AI Risk Management Framework der NIST definiert operative KI-Sicherheitskontrols. Unser Assessment liefert Evidenz für alle vier Kernfunktionen: Govern, Map, Measure, Manage.

Inkl. Adversarial ML Profile

ISO/IEC 42001

Die operative Sicherheit der KI-Infrastruktur ist ein Kernbestandteil der ISO-42001-Controls. Unser Assessment liefert audit-ready Evidenz für Zertifizierungsverfahren.

38 Controls · 9 Zielkategorien

EU AI Act — Art. 15

Hochrisiko-KI-Systeme müssen robust gegen Angriffe auf die Infrastruktur sein. Unser Report mappt alle Findings auf Art. 15 und liefert auditierbaren Compliance-Nachweis.

Hochrisiko-KI · GPAI ab Aug 2025

NIS-2 & BSI

KI-Infrastruktur in KRITIS-Sektoren unterliegt den NIS-2-Sicherheitsanforderungen. Der Assessment-Bericht ist als Nachweis gegenüber Aufsichtsbehörden konzipiert.

KRITIS · BSIG-E § 30

AI SBOM Deliverable

Jedes Assessment schließt mit einem vollständigen AI Software Bill of Materials: Inventar aller KI-Komponenten, Provenance-Daten und Risikoklassifikation der Supply-Chain-Elemente.

Maschinenlesbar · CycloneDX-kompatibel

Warum AWARE7

Was uns von anderen Anbietern unterscheidet

Reine Awareness-Plattformen testen keine Systeme. Reine Beratungskonzerne sind zu weit weg. AWARE7 verbindet beides: Wir hacken Ihre Infrastruktur und schulen Ihre Mitarbeiter — mittelstandsgerecht, persönlich, ohne Enterprise-Overhead.

Forschung und Lehre als Fundament

Rund 20% unseres Umsatzes stammen aus Forschungsprojekten für BSI, BMBF und die EU. Wir veröffentlichen CVEs, präsentieren auf internationalen Top-Konferenzen und bilden als T.I.S.P.-Schulungsanbieter Sicherheitsexperten aus. Alle Berater sind mehrfach zertifiziert - von ISO 27001 Lead Auditor bis OSCP.

Digitale Souveränität - keine Kompromisse

Alle Daten werden ausschließlich in Deutschland gespeichert und verarbeitet - ohne US-Cloud-Anbieter. Keine Freelancer, keine Subunternehmer in der Wertschöpfung. Alle Mitarbeiter sind sozialversicherungspflichtig angestellt und einheitlich rechtlich verpflichtet. Auf Anfrage VS-NfD-konform.

Festpreis in 24h - planbare Projektzeiträume

Innerhalb von 24 Stunden erhalten Sie ein verbindliches Festpreisangebot - kein Stundensatz-Risiko, keine Nachforderungen, keine Überraschungen. Durch eingespieltes Team und standardisierte Prozesse erhalten Sie einen klaren Zeitplan mit definiertem Starttermin und Endtermin.

Ihr fester Ansprechpartner - jederzeit erreichbar

Ein persönlicher Projektleiter begleitet Sie vom Erstgespräch bis zum Re-Test. Sie buchen Termine direkt bei Ihrem Ansprechpartner - keine Ticket-Systeme, kein Callcenter, kein Wechsel zwischen wechselnden Beratern. Kontinuität schafft Vertrauen.

Für wen sind wir der richtige Partner?

Mittelstand mit 50–2.000 MA

Unternehmen, die echte Security brauchen — ohne einen DAX-Konzern-Dienstleister zu bezahlen. Festpreis, klarer Scope, ein Ansprechpartner.

IT-Verantwortliche & CISOs

Die intern überzeugend argumentieren müssen — und dafür einen Bericht mit Vorstandssprache brauchen, nicht nur technische Findings.

Regulierte Branchen

KRITIS, Gesundheitswesen, Finanzdienstleister: NIS-2, ISO 27001, DORA — wir kennen die Anforderungen und liefern Nachweise, die Auditoren akzeptieren.

Mitwirkung an Industriestandards

LLM

OWASP · 2023

OWASP Top 10 for Large Language Models

Prof. Dr. Matteo Große-Kampmann als Contributor im Core-Team des weltweit führenden LLM-Sicherheitsstandards.

BSI

BSI · Allianz für Cyber-Sicherheit

Management von Cyber-Risiken

Prof. Dr. Matteo Große-Kampmann als Mitwirkender des offiziellen BSI-Handbuchs für die Unternehmensleitung (dt. Version).

Häufige Fragen zur KI-Infrastruktur-Sicherheit

Alles, was Sie über MLOps Security, AI Supply Chain und Model Registry Absicherung wissen sollten.

MLOps Security bezeichnet den Schutz der gesamten operativen Infrastruktur, die hinter KI- und ML-Systemen steht: Trainingspipelines, Experiment-Tracking, Model-Registry, Serving-Infrastruktur, Monitoring und Data-Pipelines. Während sich viele KI-Sicherheitsdiskussionen auf das Modell selbst konzentrieren, zeigen reale Vorfälle, dass die meisten Angriffe auf die Infrastruktur abzielen — auf unsicherte MLflow-Instanzen, offene Jupyter-Notebooks, ungesicherte S3-Buckets mit Modellgewichten oder kompromittierte CI/CD-Pipelines für das ML-Training. MLOps Security stellt sicher, dass der gesamte ML-Lifecycle gegen Angriffe abgesichert ist.
Eine ML-Trainingspipeline ist im Kern ein automatisierter Softwareentwicklungsprozess — mit den gleichen Angriffsflächen wie klassische CI/CD-Pipelines, aber zusätzlichen KI-spezifischen Risiken. Kompromittierte Pipelines ermöglichen: Data Poisoning durch Manipulation von Trainingsdaten vor dem Training, Model Substitution (Austausch des produzierten Modells durch ein präpariertes Modell), Backdoor-Einschleusung in den Fine-Tuning-Schritt und Exfiltration von Trainings-IP. Viele ML-Teams setzen Jupyter Notebooks, MLflow oder Kubeflow ohne konsequente Authentifizierung und Netzwerksegmentierung ein — ein offenes Einfallstor für Angreifer mit Netzwerkzugriff.
Ein AI SBOM (AI Software Bill of Materials, auch ML-BOM oder Model Card mit Provenance-Daten) ist ein maschinenlesbares Inventar aller Komponenten, die in ein KI-System eingeflossen sind: vortrainierte Basismodelle, Trainings-Datensätze, verwendete Frameworks (PyTorch, TensorFlow, Hugging Face Transformers), Data-Processing-Bibliotheken und externe APIs. Analog zum SBOM in der klassischen Softwareentwicklung (gefordert durch die US Executive Order on Cybersecurity und NIS-2) ermöglicht ein AI SBOM die schnelle Identifikation betroffener Komponenten bei neuen Schwachstellen (z.B. eine Backdoor-Entdeckung in einem populären Basismodell auf Hugging Face). Für den EU AI Act und ISO 42001 ist die Dokumentation der technischen Lieferkette ein Pflichtbestandteil.
AI Supply Chain Security schützt alle externen Komponenten, die in Ihren KI-Workflow einfließen: vortrainierte Modelle aus öffentlichen Repositories (Hugging Face, TensorFlow Hub, PyPI-Pakete wie transformers oder langchain), öffentliche Trainingsdatensätze (Common Crawl, ImageNet, Wikipedia-Dumps), Data-Labeling-Dienstleister (Crowdsourcing-Plattformen) und Cloud-ML-Dienste (SageMaker, Vertex AI). Angreifer, die einen weit verbreiteten vortrainierten Checkpoint kompromittieren, können tausende Downstream-Modelle mit einem einzigen Backdoor infizieren — eine enorme Hebelwirkung. MITRE ATLAS dokumentiert reale Supply-Chain-Angriffe auf KI-Systeme unter AML.T0010 (ML Supply Chain Compromise).
Wir testen alle marktgängigen MLOps-Plattformen und Custom-Setups: Kubeflow (Kubernetes-native ML-Pipelines, inklusive Katib Hyperparameter-Tuning und KFServing-Endpoints), MLflow (Experiment-Tracking, Model-Registry, MLflow-Projects und MLflow-Serving), Amazon SageMaker (Studio, Pipelines, Model Registry, Endpoints, Feature Store), Google Vertex AI (Pipelines, Model Registry, Endpoints, Matching Engine), Azure Machine Learning (Pipelines, Model-Registry, Managed Endpoints, Datastores) sowie vollständig eigene Pipelines auf Basis von Airflow, Prefect, ZenML oder Custom-Python-Skripten. Der Testansatz wird individuell auf Ihre Plattform und Konfiguration zugeschnitten.
Ein KI-Infrastruktur-Assessment beginnt ab 12.000 EUR für eine fokussierte Prüfung einer einzelnen MLOps-Plattform (z.B. nur MLflow + zugehörige API-Endpoints). Ein umfassendes Assessment der gesamten KI-Infrastruktur — Pipeline, Registry, APIs, Supply Chain, Container-Security — liegt bei 20.000–35.000 EUR. Die genauen Kosten hängen von der Anzahl der MLOps-Plattformen, der Komplexität der Datenpipelines und dem gewünschten Testumfang ab. Sie erhalten innerhalb von 48 Stunden ein verbindliches Festpreisangebot — keine Stundensätze, keine Nachforderungen.
Ein Model Registry ist das zentrale Artefakt-Repository für Ihre ML-Modelle — und oft das am wenigsten gesicherte Element der gesamten MLOps-Infrastruktur. Kritische Schutzmaßnahmen: Rollenbasierte Zugriffskontrolle (RBAC) für alle Registry-Operationen (Lesen, Schreiben, Promoten, Löschen), unveränderliche Audit-Logs aller Änderungen, kryptographische Signierung von Modell-Artefakten (analog zu Package-Signing in Software-Registries), Netzwerksegmentierung (kein öffentlicher Internetzugriff auf den Registry-Endpunkt), Secrets-Management für Zugangsdaten und API-Keys und reguläre Integritätsprüfungen aller gespeicherten Artefakte. Im Assessment prüfen wir alle diese Dimensionen und identifizieren Privilege-Escalation-Pfade.

Wie sicher ist Ihre KI-Infrastruktur wirklich?

Unsere Experten prüfen Ihre MLOps-Pipelines, Model Registry, Inference-APIs und AI Supply Chain — mit Festpreisgarantie und AI-SBOM-Deliverable.

KI-Infrastruktur-Assessment anfragen

Kostenlos · 30 Minuten · Unverbindlich

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung