Das Paradoxon ist elegant und beängstigend zugleich: Je besser die Schwachstellenerkennung wird, desto sichtbarer wird ein organisatorisches Scheitern, das deutsche Unternehmen und Behörden seit Jahren mit sich herumschleppen.
Anthropics Claude Mythos, das zugängliche KI-Modell zur cybersicherheitsgestützten Vulnerabilityanalyse, kann Sicherheitslücken in einer Tiefe und Geschwindigkeit identifizieren, die menschliche Red-Teams nicht erreichen. Die technischen Metriken sind beeindruckend: 89-prozentige Übereinstimmung bei der Schweregrad-Bewertung mit menschlichen Sicherheitsexperten – zumindest in den Curated-Samples, die Anthropic präsentiert. Doch Bruce Schneier und andere Sicherheitsforscher haben bereits auf ein entscheidendes Problem hingewiesen: Die echte False-Positive-Rate von Mythos in Vollläufen ist unbekannt. KI-Systeme, die nahezu jede echte Sicherheitslücke erkennen, neigen auch dazu, in korrigiertem oder gepatcht-tem Code plausibel klingende, aber nicht existierende Vulnerabilities zu konstruieren.
Hier beginnt die operative Krise. Ein Tool, das hochvolumig falsch-positive kritische Befunde mit hohem Vertrauensscore generiert, reduziert die Belastung von Security-Teams nicht – es erhöht sie massiv. Jeder spurlose kritische Befund, der triagiert und verworfen werden muss, ist Zeit, die ein Security-Engineer nicht für echte Probleme aufwendet.
Das eigentliche Problem aber liegt tiefer: In den meisten deutschen Organisationen – von mittelständischen Softwareunternehmen bis zu Behörden – fehlt die operationale Infrastruktur zur Remediation vollständig. Ein typisches Szenario nach einer Penetrationsprüfung oder Vulnerability-Scan: Der kritische Befund landet in einer Spreadsheet, einem Ticket oder einem PDF-Report in einer Inbox. Das Security-Team weiß davon. Das Engineering-Team möglicherweise nicht. Remediation-Ownership ist mehrdeutig. Es gibt keinen strukturierten Weg zu verfolgen, ob der Patch tatsächlich deployed wurde, ob er deprioritisiert wurde oder ob ein Retest jemals geplant war. Währenddessen sammeln sich die Befunde an.
Wenn ein aktueller Pentest-Prozess drei Wochen braucht, um zehn kritische Befunde zu surfacen, und die Remediation bereits Schwierigkeiten hat, diese zu bewältigen – was passiert dann, wenn die gleiche Oberfläche kontinuierlich gescannt wird und zehnfach mehr Befunde pro Tag generiert?
Dies ist die strukturelle Schwäche, die Mythos akut macht. Drei Dinge sind notwendig, um die Discovery-Velocity der neuen KI-Ära zu absorbieren:
Erste Anforderung: Zentralisiertes Findings-Management. Nicht ein Ticket-System, nicht JIRA auf einer Spreadsheet-Basis. Ein Purpose-Built-System, in dem Vulnerability-Befunde aus mehreren Quellen – Scanner-Output, Pentest-Reports, Red-Team-Engagements – in normalisiertem, abfragbarem Format leben. Ohne dies ist die Integration von KI-generierten Befunden nur eine weitere Data-Silo.
Zweite Anforderung: Risiko-kontextualisierte Priorisierung. Reine CVSS-Scores sind ein Anfang, keine Entscheidung. Ein kritischer Befund in einem luftgestützten, internen System ist nicht das gleiche Risiko wie dieselbe Lücke in einer kundenorientierten API. Organisationen, die nur nach Severity sortieren können, werden überwältigt, wenn AI-Discovery Befunde im Volumen produziert.
Dritte Anforderung: Closed-Loop-Remediation-Tracking. Dies ist, wo die meisten Programme tatsächlich scheitern. Ein Befund, der nicht als behoben verifiziert wurde, ist eine dokumentierte Liability mit einem Namen. Kontinuierliche Retests, strukturierte Remediation-Workflows und klare Ownership-Übergaben sind nicht glamourös – sie sind der Unterschied zwischen einem Sicherheitsprogramm, das sich verbessert, und einem, das nur dokumentiertes Risiko akkumuliert.
Die DSGVO-Implikationen sind nicht zu unterschätzen: Jede unverifizierten Schwachstelle, die ausgenutzt wird, kann zu Meldepflichten nach Artikel 33 führen und zu Bußgeldern bis zu 4 Prozent des Jahresumsatzes. Das BSI sollte deutsche Organisationen dringend auffordern, ihre Remediation-Pipelines zu auditivieren – nicht ihre Vulnerability-Scanner zu upgraden.
Die Mythos-Ankündigung ist ein nützlicher Weckruf: Sie macht eine Jahre lang schwelende Lücke sichtbar. Die richtige Reaktion ist nicht Panik, sondern ein ehrliches Audit der eigenen Remediation-Pipeline.