Das Szenario ist beängstigend: Während Anthropic Mythos an etablierte Sicherheitsunternehmen wie Apple, AWS und Microsoft verteilt, wird es nur eine Frage der Zeit sein, bis das Modell auch Angreifern zur Verfügung steht. Mit Project Glasswing investiert Anthropic 100 Millionen Dollar in Mythos-Nutzungsguthaben und vier Millionen Dollar direkt in Open-Source-Sicherheitsprojekte — ein Signal, dass das Unternehmen selbst die transformative Kraft seiner KI ernst nimmt.
Die CSA hat darauf mit bemerkenswerter Geschwindigkeit reagiert. In Zusammenarbeit mit renommierten Sicherheitsexperten wie der früheren CISA-Direktorin Jen Easterly, Google-CISO Heather Adkins und dem NSA-Cybersicherheitsdirektor Rob Joyce entstand ein Strategiepapier zur bevorstehenden “KI-Schwachstellen-Welle”. Die zentrale These: Während KI-Systeme wie Mythos Verteidigern helfen, schneller Patches zu entwickeln, profitieren Angreifer disproportional davon.
Das Problem liegt in der Asymmetrie. Traditionelle Patch-Zyklen, Incident-Response-Prozesse und Risikomanagementsysteme wurden für ein Tempo ausgelegt, das Mythos um ein Vielfaches übersteigen könnte. Organisationen, die mit knappen Ressourcen kämpfen, werden von der Flut neuer Schwachstellen überwältigt werden. Gleichzeitig zwingen längere Downtime-Anforderungen und komplexe Abhängigkeiten Unternehmen zu schwierigen Abwägungen zwischen Sicherheit und Betriebsstabilität.
Was sollten deutsche CISOs konkret tun? Die CSA empfiehlt ein mehrstufiges Vorgehen: Zunächst die Grundlagen: Netzwerksegmentierung, Egress-Filterung und Multi-Faktor-Authentifizierung müssen gestärkt werden. Danach folgen modernere Maßnahmen wie robustes Dependency-Management, um Risiken aus Open-Source-Komponenten zu reduzieren, sowie der flächendeckende Einsatz von KI-Agenten im Security-Team, um mit der Geschwindigkeit attackierender Systeme Schritt zu halten.
Besonders wichtig ist eine Neubewertung der Risikotoleranz. Organisationen müssen bereit sein, für kritische Updates auch Betriebsausfallzeiten zu akzeptieren und ihre Governanceprozesse für schnelleres Vendor-Onboarding anzupassen. Nicht zuletzt: Budgets erhöhen. Die CSA warnt explizit vor Burnout und fordert Reservekapazitäten, um das bestehende Personal nicht zu überfordern.
Jessica Sica, Information-Security-Leiterin bei Weave, bringt es auf den Punkt: “Viel KI-Talk ist derzeit Hype und Vaporware. Aber wer die Bedrohung nicht ernst nimmt, könnte unvorbereitet erwischt werden.” Ihre Empfehlung: Im Worst-Case-Szenario denken. Für deutsche Unternehmen bedeutet das konkret: Die Zeit zum Handeln ist jetzt — bevor die Mythos-Welle kommt.