Nach der Darstellung des Berichts wird sich die geschützte Phase rund um Project Glasswing nicht dauerhaft halten lassen, und nicht alle Schwachstellen werden in diesem Rahmen behoben. Früher oder später werde Mythos in den Händen verschiedener Akteure liegen – staatlicher Gruppen, krimineller Banden, Hacktivisten und jugendlicher Störer. Erwartet werden mehr überlappende Angriffe von mehr Akteuren mit unterschiedlichen Motiven, und das in einem nie zuvor erlebten Tempo. Sicher sei nur, dass die heutigen Abwehrmaßnahmen damit überfordert sein werden.
Grundlegend ändere sich die Cybersicherheit dabei nicht – bewährte Praktiken blieben gleich, gewönnen aber an Bedeutung. „Konzentriert euch auf die Grundlagen und härtet eure Umgebung weiter ab", schreiben die Autoren. Segmentierung, Egress-Filterung, Multifaktor-Authentifizierung sowie Verteidigung in der Tiefe und Breite erschwerten Angreifern die Arbeit. Neu sei daran nichts, doch viele Unternehmen hätten dies bislang nicht ausreichend umgesetzt.
Besonders kritisch werde das Patchen. Es werde mehr Patches geben, und Verteidiger könnten nicht länger mit einer Schonfrist bis zur Einspielung rechnen. Da die üblichen Grenzen der Patch-Geschwindigkeit aber bestehen blieben, entstehe hier ein erhebliches Problem, das eine Umverteilung von Ressourcen erfordern dürfte.
Der Bericht benennt auch die menschlichen Folgen. „Führungskräfte müssen sich über die menschlichen Kosten dieses Übergangs im Klaren sein", heißt es. Sicherheitsteams steckten in der Zange: KI erhöhe gleichzeitig die Zahl der zu bearbeitenden Schwachstellen, die Menge des ausgelieferten Codes und die Angriffsfläche. Die Folge seien mehr Burnout und Abgänge. Als wichtigste Gegenmaßnahme gilt mehr Personal, was jedoch an Wirtschaftlichkeit und Widerstand der Vorstände scheitern könne. Daneben empfiehlt der Bericht den verstärkten Einsatz von KI und Automatisierung in der Verteidigung – mit dem Hinweis, dass dies die Angriffsfläche zugleich vergrößere.
Konkret raten die Autoren dazu, automatisierte Sicherheitsprüfungen fest in Entwicklungsprozesse zu integrieren und dabei auch LLM-gestützte Agenten einzusetzen, um Schwachstellen vor den Angreifern zu finden. KI-Agenten sollten umfassend in die Sicherheitsmannschaft eingebunden werden, damit Verteidiger das Tempo der Angreifer erreichen.
Auffällig ist laut Quelltext, dass der Bericht trotz der erwarteten Vielzahl von Angriffen keine Backup-Fähigkeiten erwähnt. Am nächsten kommt dem die Empfehlung, die Risikotoleranz gegenüber Betriebsausfällen durch Schwachstellenbehebung angesichts kürzerer Angreiferfristen neu zu bewerten.
Empfohlen werden zudem Tabletop-Übungen für mehrere gleichzeitige schwerwiegende Vorfälle innerhalb einer Woche, Playbooks für kritische Vorfälle, eine möglichst weitgehende Automatisierung der Behebung sowie das Verifizieren und Aktivieren mildernder Kontrollen wie Segmentierung, Egress-Filterung, Zero-Trust-Architekturen, Phishing-resistente MFA und Rotation von Geheimnissen. Auch die Lieferkette werde betroffen sein.
„Bis zum Jahresende werden Fähigkeiten auf Mythos-Niveau in den Händen jedes Angreifers sein", kommentierte Mike Johnson, CISO des Elektrofahrzeugherstellers Rivian. An die CISOs gerichtet riet er, sich jetzt einzubringen: Das Zeitfenster werde sich unerwartet schließen, man solle nicht warten. Der Quelltext verweist darauf, dass in den kommenden Monaten weitere und noch leistungsfähigere Modelle dieser Art von anderen KI-Entwicklern zu erwarten seien.
