Die klassische Cybersicherheitsstrategie – schnell patchen nach Bekanntwerden einer Sicherheitslücke – funktioniert nicht mehr. Claude Mythos bewies dies eindrucksvoll: Das Modell löste eine komplexe Netzwerk-Simulation, die manuell über zehn Stunden Expert:innen-Arbeit erfordert hätte. Besonders bemerkenswert: Es identifizierte Sicherheitsprobleme in Jahrzehnte alte Software, die in Tausenden von Sicherheitsüberprüfungen übersehen worden waren.
Diese Fähigkeit ist nicht einmalig. Andere Large Language Models zeigen ähnliche Capabilities bei der Schwachstellenerkennung. Die Konsequenz ist klar: Jedes Softwaresystem enthält vermutlich Tausende unbekannter Vulnerabilities, die AI-gestützt schnell exploitiert werden können.
Für Sicherheitsteams bedeutet dies einen Paradigmenwechsel. Das klassische Modell „schneller patchen” ist gescheitert. Stattdessen müssen Organisationen von einem “Assume-Breach”-Modell ausgehen: Annahme ist, dass Breaches stattfinden werden. Die Reaktion muss daher auf schnelle Erkennung und Containment ausgerichtet sein.
Der Schlüssel liegt in der Reduzierung der “Mean-Time-to-Contain” (MTTC) – also der Zeit bis zur Eindämmung eines Angriffs. Dies erfordert Echtzeit-Netzwerktransparenz. Moderne Network Detection and Response (NDR)-Plattformen spielen hierbei eine zentrale Rolle. Sie müssen kontinuierlich Netzwerkverkehr überwachen und subtile Indikatoren erkennen, die auf Kompromittierung hindeuten.
Besonders tückisch sind “Living-off-the-Land”-Techniken (LOTL), bei denen Angreifer legitime Systemtools für bösartige Zwecke nutzen. NDR-Systeme müssen auf Anomalien reagieren: unerwartete SMB-Admin-Shares, NTLM-Nutzung statt Kerberos, verdächtige RDP- oder WMI-Verbindungen. Auch bei Datenabfluss sind automatisierte Erkennungsmuster notwendig – ungewöhnliche Uploads, hohe Entropie in DNS-Anfragen, oder Kommunikation mit neuen Cloud-Speicherdiensten.
Das Problem verschärft sich durch fehlende Asset-Inventare. Viele Organisationen wissen nicht präzise, welche Software im Einsatz ist und wie Assets kommunizieren. Diese Wissenslücken sind ideale Angriffsflächen.
Automatisierte Incident-Rekonstruktion ist ebenfalls essentiell. Werden Breaches erkannt, muss in Echtzeit die Betroffenheit ermittelt werden. Manuelle Analyse ist zu langsam für AI-getriebene Bedrohungen.
Die Botschaft ist eindeutig: Herkömmliche Cybersecurity-Praktiken sind überholt. Organisationen benötigen adaptive Abwehrschichten, die mit der Geschwindigkeit von AI-gestützten Attacken Schritt halten. Das bedeutet Investitionen in Netzwerksichtbarkeit, Automatisierung und schnelle Response-Workflows – nicht mehr später, sondern jetzt.