KI auf Schwachstellenjagd: Das Mythos-Dilemma
Anthropics Claude Mythos stellt die Sicherheitsindustrie vor ein fundamentales Dilemma: Die gleiche Technologie, die Verteidigern hilft, Lücken zu schließen, kann auch Angreifern ermöglichen, Systeme zu kompromittieren. Das Unternehmen demonstrierte dies eindrucksvoll, indem es mit Mythos eine 27 Jahre alte Schwachstelle in OpenBSD identifizierte – ein System, das von Experten als hochgradig gehärtet gilt. Besonders beunruhigend: Anthropic berichtete, dass Ingenieure ohne formale Sicherheitsausbildung mit dem Modell Remote-Code-Execution-Schwachstellen fanden und komplette funktionierende Exploits erhalten, teilweise innerhalb weniger Stunden.
Dies markiert einen Wendepunkt. Während traditionelle Hacking-Tools wie Metasploit oder Mimikatz bereits bekannt waren, demokratisiert Mythos die Fähigkeit zur Schwachstellenentdeckung radikal. Weniger qualifizierte Angreifer können nun Exploits generieren, für die bisher tiefgehendes technisches Wissen notwendig war.
Project Glasswing: Hoffnung und Fragezeichen
Das Konsortium Project Glasswing vereint zwölf technologische und finanzielle Schwergewichte – darunter AWS, Google, Microsoft, Apple, Cisco, CrowdStrike und JP Morgan Chase – mit etwa 40 weiteren Organisationen. Diese erhalten frühzeitigen Zugriff auf Mythos, um Schwachstellen defensiv zu identifizieren, bevor diese öffentlich oder von Kriminellen ausgenutzt werden.
Doch ein kritisches Problem bleibt ungelöst: Gibt es verbindliche Regeln zur Informationsweitergabe an Behörden wie der US-amerikanischen CISA? Solche Vereinbarungen sind nicht formal dokumentiert. Für Deutschland bedeutet dies, dass das BSI und der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) möglicherweise nicht unmittelbar von Erkenntnissen aus Glasswing erfahren – ein erhebliches Governance-Problem.
Das Regulierungs-Paradoxon
Politiker und Behörden sind sich einer unbequemen Wahrheit bewusst: Die Technologie kann nicht reguliert werden wie Umweltgifte. Man kann nicht zwischen “gutem” und “bösem” Einsatz eines KI-Modells unterscheiden. Ein System, das Verteidigern beim Patching hilft, wird unvermeidlich auch Angreifern nutzen.
Die aktuelle US-Administration unter Präsident Trump hat sich für einen Hands-off-Ansatz entschieden und frühere Berichtspflichten gestrichen. In Deutschland könnten solche Fragen bald ebenfalls relevant werden, besonders wenn europäische Hersteller ähnliche Modelle entwickeln.
Die praktische Realität: Tempo als Waffe
Das eigentliche Problem ist nicht die Existenz neuer Angriffsmethoden – es ist die Geschwindigkeit. Wenn Schwachstellen im Industrietempo aufgedeckt und ausgenutzt werden, müssen Sicherheitsteams Patches ebenfalls im Industrietempo einspielen. Dies überfordert viele deutsche Unternehmen, die bereits unter Fachkräftemangel leiden.
Experten empfehlen: Sofort budgetieren, Personal einstellen, Automation ausbauen und traditionelle Sicherheitshygiene (starke Passwörter, aktuelle Firmware, Netzwerk-Segmentierung) noch rigoroser durchsetzen. Die Cloud Security Alliance warnt vor einem “verkürzten Fenster” zwischen Schwachstellenoffenlegung und Exploitbarkeit.
Fazit: Deutschland im Beobachtungsmodus
Anthropics Mythos ist weder Hype noch harmlos – sondern ein Werkzeug, das die Spielregeln verändern könnte. Während Glasswing eine notwendige Koordination darstellt, fehlt es an verbindlichen Strukturen für Informationsaustausch mit deutschen Behörden. Das BSI sollte proaktiv mit deutschen Glasswing-Teilnehmern zusammenarbeiten und Szenarien für schnelle Vulnerability-Response-Prozesse entwickeln. Für Unternehmen gilt: Jetzt ist der Moment, die Sicherheitsbudgets zu erhöhen und Reaktionsfähigkeit zu maximieren.