Mythos beschleunigt das Finden von Schwachstellen – beim Beheben hapert es

Zusammenfassung

Anthropics Claude Mythos Preview bestimmt seit der Ankündigung am 7. April die Sicherheitsdebatte. Berichte beschreiben ein auf Cybersicherheit ausgerichtetes KI-System, das Schwachstellen in großem Umfang aufspüren kann – und damit die Frage aufwirft, wie schnell Organisationen das Gefundene überhaupt prüfen, priorisieren und beheben können. Die bisherige Diskussion kreist vor allem darum, ob es sich um einen Sprung oder einen graduellen Fortschritt handelt, ob die Beschränkung des Zugangs auf Microsoft, Apple, AWS und JPMorgan das Risiko mindert oder den Verteidigungsvorteil nur bei den ohnehin gut geschützten Akteuren bündelt, und was geschieht, wenn staatliche Akteure oder kriminelle Organisationen vergleichbare Fähigkeiten aufbauen. Diese Fragen sind wichtig. Daneben gibt es jedoch ein leiseres betriebliches Problem, das weniger Aufmerksamkeit erhält und dennoch darüber entscheiden dürfte, ob die meisten Organisationen diesen Umbruch überstehen: Schwachstellen zu finden und sie zu beheben sind zwei völlig verschiedene Arbeitsabläufe. In der Lücke zwischen beiden verlieren viele Sicherheitsprogramme unbemerkt an Substanz – genau dort setzt die Plattform PlexTrac an.

Was nach einem Penetrationstest oder einem Schwachstellen-Scan typischerweise passiert, illustriert das Problem: Ein kritischer Fund landet in einer Tabelle, einem Ticket oder einem PDF-Bericht in irgendeinem Postfach. Das Sicherheitsteam weiß davon, das Engineering-Team möglicherweise nicht. Die Zuständigkeit für die Behebung bleibt unklar, und es gibt keinen sauberen Weg nachzuvollziehen, ob ein Patch tatsächlich ausgeliefert, ob er zurückgestellt oder ob jemals ein erneuter Test angesetzt wurde.

KI-Modelle wie Mythos beschleunigen die Eingangsseite dieser Pipeline drastisch. Sie entdecken Schwachstellen in einem Tempo und einer Tiefe, mit denen menschliche Red Teams nicht mithalten können. Hat die organisatorische Infrastruktur zum Sichten, Priorisieren, Kommunizieren und Verifizieren von Korrekturen jedoch nicht Schritt gehalten, bedeutet schnelleres Finden lediglich einen schneller wachsenden Rückstau ungelöster kritischer Probleme. Braucht ein bestehender Pentest-Prozess drei Wochen, um zehn schwerwiegende Funde zutage zu fördern, und kommt die Behebung schon jetzt kaum hinterher – was geschieht, wenn dieselbe Angriffsfläche kontinuierlich gescannt wird und Funde im Zehnfachen dieser Rate erzeugt?

Bruce Schneier wies in seiner Analyse auf einen wunden Punkt hin: Die Falsch-Positiv-Rate von Mythos bei ungefiltertem Output ist unbekannt. Anthropic gibt eine Übereinstimmung von 89 Prozent mit menschlichen Auftragnehmern bei der Schwereeinstufung der vorgestellten Funde an – das ist allerdings eine kuratierte Auswahl, keine vollständige Verteilung. KI-Systeme, die nahezu jeden echten Fehler erkennen, neigen zugleich dazu, plausibel klingende Schwachstellen in bereits korrigiertem Code zu melden.

Das hat betriebliche Folgen: Ein Werkzeug, das überzeugend klingende Fehlalarme in großer Zahl erzeugt, entlastet Sicherheitsteams nicht, sondern belastet sie zusätzlich. Jeder Scheinbefund, der gesichtet und verworfen werden muss, ist Zeit, die nicht in einen echten Fund fließt. Der Nutzen KI-gestützter Schwachstellensuche entfaltet sich nur, wenn die Funde effizient bewertet, gegen das tatsächliche Geschäftsrisiko eingeordnet und an die richtigen Personen weitergeleitet werden können.

Am besten gewappnet sind laut dem Text Teams, die drei Dinge bereits etabliert haben: ein zentrales Fund-Management, in dem Ergebnisse aus Scannern, Pentest-Berichten und Red-Team-Einsätzen in einem normalisierten, abfragbaren Format zusammenlaufen; eine risikokontextualisierte Priorisierung, die nicht nur nach reinen CVSS-Werten sortiert, sondern nach Kritikalität der Systeme, Geschäftswirkung und Exposition; sowie eine geschlossene Nachverfolgung der Behebung mit kontinuierlichem Nachtesten, strukturierten Abläufen und klaren Zuständigkeiten. An letzterem scheitern die meisten Programme – ein nicht als behoben verifizierter Fund bleibt eine Belastung mit Namen.

PlexTrac, eine Plattform für Pentest-Berichte und Exposure-Management, baut nach Darstellung des Textes genau in diese Richtung. Eine Kritik am Projekt Glasswing lautet, dass die Konzentration des Mythos-Zugangs auf 50 große Anbieter ausgerechnet jene Organisationen zuerst bedient, die am besten handeln können. Wie der frühere nationale Cyber-Direktor in einem Fortune-Beitrag anmerkte, sind Fortune-500-Konzerne besser gerüstet; kleinere und mittlere Unternehmen, regionale Infrastrukturbetreiber und spezialisierte Industriesysteme sind am stärksten exponiert und am schwächsten ausgestattet. Selbst bei demokratisiertem Zugang fehlt vielen kleineren Organisationen die operative Infrastruktur, um KI-Funde in umgesetzte Korrekturen zu verwandeln.

Der Mythos-Moment wirkt damit als nützlicher Anstoß, die eigene Behebungs-Pipeline zu prüfen: Wie lange braucht ein kritischer Fund von der Entdeckung bis zur verifizierten Korrektur? Wie viele offene schwerwiegende Funde stecken in einem unklaren Zustand des „wird bearbeitet"? Lässt sich nach der Behebung tatsächlich nachtesten? Diese Fragen erfordern keinen Zugang zu Mythos – und für die meisten Teams dürften die Antworten unbequemer ausfallen als alles in Anthropics 245-seitigem technischen Dokument.

Mythos beschleunigt das Finden von Schwachstellen – beim Beheben hapert es

Ähnliche Artikel

Neueste Artikel