KI-Penetrationstests: Mindestanforderungen an die Sicherheit für Sicherheitstests

Wann ist der Einsatz von KI-Penetrationstests gegen reale Systeme tatsächlich sicher?

Wenn Sie sich bei KI-Penetrationstests unwohl fühlen, sind Sie nicht im Rückstand. Wahrscheinlich sind Sie sogar voraus.

Sicherheitstests sind einer der ersten Bereiche, in denen KI nicht mehr nur Menschen unterstützt, sondern eigenständig agiert. Moderne KI-Penetrationstest-Systeme erkunden Anwendungen unabhängig, führen reale Aktionen aus und passen sich basierend auf ihren Beobachtungen an.

Das ist leistungsstark. Es wirft aber auch sehr reale Fragen bezüglich Kontrolle, Sicherheit und Vertrauen auf.

In diesem Beitrag geht es nicht darum, ob KI-Penetrationstests funktionieren. Es geht darum, wann ihr Einsatz tatsächlich sicher ist.

Warum Skepsis gegenüber KI-Penetrationstests berechtigt ist

Die meisten Sicherheitsverantwortlichen, mit denen wir sprechen, sind nicht gegen KI. Sie sind vorsichtig, und das aus guten Gründen.

Sie machen sich Sorgen über Dinge wie:

• Verlust der Kontrolle darüber, was getestet wird
• Agenten, die versehentlich mit Produktionssystemen interagieren
• Rauschen, das echte Probleme überdeckt
• Sensible Daten, die auf unklare Weise verarbeitet werden
• Tools, die sich wie Black Boxes verhalten, die sie intern nicht erklären können

Diese Bedenken sind berechtigt, insbesondere da vieles, was heute als „KI-Penetrationstests“ bezeichnet wird, hier kein Vertrauen schafft.

Einige Tools sind DAST mit einem zusätzlichen LLM. Andere sind Checklisten-basierte Systeme, bei denen Agenten ein Problem nach dem anderen testen. Beide Ansätze sind begrenzt, und keiner bereitet Sie darauf vor, was passiert, wenn Systeme autonom agieren.

Echte KI-Penetrationstests sind anders, und dieser Unterschied verändert die Sicherheitsanforderungen.

Was sich bei echten KI-Penetrationstests ändert

Im Gegensatz zu Scannern oder Tools, die Anweisungen befolgen, sind echte KI-Penetrationstest-Systeme:

• Treffen autonome Entscheidungen
• Führen reale Tools und Befehle aus
• Interagieren mit Live-Anwendungen und APIs
• Passen ihr Verhalten basierend auf Feedback an
• Laufen oft im großen Maßstab mit vielen Agenten parallel

Sobald dieses Maß an Autonomie erreicht ist, reichen Absicht und Anweisungen nicht mehr aus. Sicherheit muss technisch durchgesetzt werden, selbst wenn sich das System unerwartet verhält.

Das führt zu einer einfachen Frage.

Was erfordern „sichere“ KI-Penetrationstests tatsächlich?

Basierend auf dem praktischen Betrieb von KI-Penetrationstestsystemen zeichnet sich eine klare Basis ab. Dies sind die Anforderungen, die unserer Meinung nach erfüllt sein sollten, bevor KI-Penetrationstests überhaupt als sicher gelten.

Diese Liste ist bewusst konkret gehalten. Jede Anforderung beschreibt etwas, das verifiziert, durchgesetzt oder auditiert werden kann, und nicht ein Prinzip oder eine Best Practice.

1. Eigentumsvalidierung und Missbrauchsprävention

Ein KI-Penetrationstestsystem darf nur gegen Assets eingesetzt werden, die der Betreiber besitzt oder für deren Test er explizit autorisiert ist.

Mindestens:

• Das Eigentum muss verifiziert werden, bevor Tests beginnen.
• Die Autorisierung muss technisch durchgesetzt werden, nicht durch Benutzererklärungen.

Ohne dies wird eine KI-Penetrationstests-Plattform zu einem allgemeinen Angriffswerkzeug. Sicherheit beginnt, bevor die erste Anfrage überhaupt gesendet wird.

2. Durchsetzung des Geltungsbereichs auf Netzwerkebene

Agenten werden irgendwann abdriften. Dies ist erwartetes Verhalten, kein Fehler.

Deshalb:

• Jede ausgehende Anfrage muss programmatisch überprüft werden.
• Ziele müssen explizit auf einer Whitelist stehen.
• Alle nicht autorisierten Ziele müssen standardmäßig blockiert werden.
  

Die Durchsetzung des Geltungsbereichs kann sich nicht auf Prompts oder Anweisungen verlassen. Sie muss auf Netzwerkebene, bei jeder Anfrage, erfolgen.

Beispiel:

• Agenten, die angewiesen sind, eine Staging-Umgebung zu testen, werden manchmal versuchen, Links zur Produktion zu folgen. Ohne Netzwerkdurchsetzung erreicht dieser Fehler das Ziel. Mit ihr wird die Anfrage blockiert, bevor sie das System verlässt.

3. Isolation zwischen Logik und Ausführung

Agentenbasierte Penetrationstestsysteme führen echte Tools wie Bash-Befehle oder Python-Skripte aus. Das birgt ein Ausführungsrisiko.

Mindestsicherheitsanforderungen umfassen:

• Strikte Trennung zwischen Agentenlogik und Tool-Ausführung.
• Sandboxed Ausführungsumgebungen.
• Isolation zwischen Agenten und zwischen Kunden.

Wenn ein Agent sich fehlerhaft verhält oder manipuliert wird, muss die Ausführung vollständig eingedämmt bleiben.

Beispiel:

• Frühe Versuche zur Befehlsausführung können erfolgreich erscheinen, laufen aber tatsächlich lokal ab. Validierung und Isolation verhindern, dass diese Ergebnisse falsch interpretiert oder über die Sandbox hinaus eskaliert werden.

4. Validierung und Fehlalarmkontrolle

Autonome Systeme werden falsche Hypothesen generieren. Das ist zu erwarten.

Ein sicheres System muss:

• Erste Ergebnisse als Hypothesen behandeln
• Verhalten vor der Meldung reproduzieren
• Validierungslogik verwenden, die von der Erkennung getrennt ist

Andernfalls werden Ingenieure von Rauschen überwältigt und echte Probleme übersehen.

Beispiel:

• Ein Agent meldet eine potenzielle SQL-Injection aufgrund verzögerter Antworten. Ein Validierungsschritt wiederholt die Anfrage mit variierenden Payloads und verwirft den Befund, wenn die Verzögerungen nicht konsistent skalieren.

5. Umfassende Beobachtbarkeit und Notfallsteuerungen

KI-Penetrationstests dürfen keine Black Box sein.

Operatoren müssen in der Lage sein, Folgendes zu tun:

• Jede von Agenten durchgeführte Aktion überprüfen
• Verhalten in Echtzeit überwachen
• Alle Aktivitäten sofort stoppen, wenn etwas nicht in Ordnung zu sein scheint

Not-Aus-Mechanismen sind eine grundlegende Sicherheitsanforderung, keine erweiterte Funktion.

6. Datenresidenz und Verarbeitungsgarantien

KI-Penetrationstest-Systeme verarbeiten sensible Anwendungsdaten.

Mindestanforderungen umfassen:

• Klare Garantien, wo Daten verarbeitet und gespeichert werden
• Regionale Isolation bei Bedarf
• Standardmäßig keine regionsübergreifende Datenverschiebung

Ohne dies können viele Organisationen KI-Penetrationstests unabhängig von ihren technischen Fähigkeiten nicht einführen.

7. Prompt Injection Eindämmung

Agenten interagieren konzeptbedingt mit nicht vertrauenswürdigen Anwendungsinhalten. Prompt Injection sollte erwartet werden.

Sichere Systeme müssen:

• Zugriff auf unkontrollierte externe Datenquellen beschränken
• Datenexfiltrationspfade verhindern
• Ausführungsumgebungen isolieren, sodass injizierte Anweisungen nicht aus dem Geltungsbereich ausbrechen können

Prompt Injection ist kein Edge Case. Es ist Teil des Bedrohungsmodells.

Was dies verspricht und was nicht

Autonome Systeme werden, genau wie Menschen, einige Probleme übersehen.

Das Ziel ist nicht Perfektion. Das Ziel ist es, materiell ausnutzbare Risiken schneller, sicherer und in größerem Umfang aufzudecken als bestehende Point-in-Time-Testmodelle.

Warum wir einen Sicherheitsstandard veröffentlicht haben

Wir führten immer wieder die gleichen Gespräche mit Sicherheitsteams.

Sie fragten nicht nach mehr KI. Sie fragten, wie man bewerten kann, ob ein System überhaupt sicher zu betreiben ist.

Solange es keine gemeinsame Basis gibt, müssen Teams raten, ob KI-Penetrationstests-Tools verantwortungsvoll arbeiten oder ob sie die Sicherheit einfach voraussetzen.

Also haben wir aufgeschrieben, was unserer Meinung nach die Mindestanforderung ist. Keine Produkt-Checkliste. Kein Vergleich. Eine Reihe durchsetzbarer Anforderungen, die Teams nutzen können, um Tools zu bewerten und bessere Fragen zu stellen.

Den vollständigen Sicherheitsstandard lesen

Wenn Sie eine prägnante, herstellerneutrale Version dieser Liste wünschen, die Sie intern teilen oder bei der Bewertung von Tools verwenden können, haben wir sie als PDF veröffentlicht.

Es enthält auch einen Anhang, der zeigt, wie eine Implementierung, Aikido Attack, diesen Anforderungen zur Transparenz entspricht.

Hier ansehen: Wann ist KI-Penetrationstests sicher? Mindestsicherheitsanforderungen für autonome Sicherheitstests

Sehen Sie, wie das in der Praxis funktioniert

Wenn Sie neugierig sind, wie diese Sicherheitsanforderungen in einem echten KI-Penetrationstests-System implementiert werden, können Sie auch einen Blick werfen auf Aikido Attack, unseren Ansatz für KI-gesteuerte Sicherheitstests.

Es wurde entwickelt, um diese Einschränkungen zu erfüllen, basierend auf dem, was notwendig wird, sobald KI-Penetrationstests-Systeme im großen Maßstab gegen reale Anwendungen eingesetzt werden.

Sie können erkunden, wie es funktioniert, oder diese Liste verwenden, um jedes Tool zu bewerten, das Sie in Betracht ziehen.

​