Wenn der US-Finanzminister und der Chef der Notenbank die mächtigsten Banker der Wall Street kurzfristig nach Washington zitieren, geht es meist um eine drohende Finanzkrise. Diesmal ist der Auslöser jedoch kein toxisches Finanzprodukt, sondern ein Algorithmus. Anthropic hat mit „Claude Mythos“ ein KI-Modell geschaffen, das so effektiv darin ist, digitale Festungen zu stürmen, dass selbst seine Schöpfer Angst vor einer öffentlichen Veröffentlichung haben. Die Sorge ist real: Eine KI, die Sicherheitslücken findet, bevor die Entwickler wissen, dass sie existieren, könnte das Fundament unserer digitalen Infrastruktur ins Wanken bringen.
Das Ende der „Zero Day“-Geheimnisse
In der Welt der Cybersicherheit sind „Zero Day“-Lücken die gefährlichsten Waffen. Sie sind Fehler im Code, die weder dem Hersteller noch der Öffentlichkeit bekannt sind. Hacker nutzen sie aus, während die Verteidiger noch im Dunkeln tappen. Claude Mythos hat dieses Spiel verändert. Das Modell identifizierte bereits tausende schwerwiegende Schwachstellen in nahezu jedem gängigen Betriebssystem und Webbrowser.
Besonders erschreckend ist ein konkretes Beispiel: Mythos fand eine Lücke in OpenBSD, einem System, das seit fast drei Jahrzehnten als eine der sichersten Bastionen der IT-Welt gilt. 27 Jahre lang haben weder menschliche Experten noch kriminelle Hacker diesen Fehler entdeckt. Die KI erledigte das in einem Bruchteil der Zeit. Doch Mythos geht über das bloße Finden hinaus. Die KI kann deutlich häufiger funktionierende „Exploits“ entwickeln – also die digitalen Schlüssel, um diese Lücken tatsächlich zu öffnen und Systeme zu infiltrieren.
Ein riskantes Wettrüsten der Algorithmen
Anthropic versucht derzeit, die „guten Akteure“ einen Vorsprung zu verschaffen. Jared Kaplan, der Chef-Wissenschaftler des Unternehmens, betont, dass das Ziel darin liege, die Infrastruktur zu schützen, bevor die Technik allgemein verfügbar wird. Die Strategie ist simpel: Erst die Verteidigung stärken, dann die Gefahr managen. Doch diese Hoffnung ist fragil. Die Geschwindigkeit der KI-Entwicklung lässt vermuten, dass ähnliche Fähigkeiten bald auch für Kriminelle oder staatliche Akteure zugänglich sein werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht hier einen fundamentalen Paradigmenwechsel. BSI-Präsidentin Claudia Plattner spricht von „Umwälzungen“ in der Schwachstellenlandschaft. Wenn KI-Modelle wie Mythos zum Standard werden, könnten klassische, unbekannte Softwarefehler mittelfristig aussterben, weil sie sofort gefunden und geflickt werden. Das klingt erst einmal positiv, bedeutet aber auch, dass Angreifer ihre Taktiken ändern müssen. Die Angriffsvektoren verschieben sich; die Gefahr verschwindet nicht, sie mutiert nur.
Systemrelevanz unter Druck
Die Dringlichkeit des Treffens in Washington zeigt, dass die US-Aufsichtsbehörden die Finanzindustrie als besonders verwundbar einstufen. Banken stützen sich oft auf hochkomplexe, teils veraltete IT-Systeme. Ein einziger KI-gesteuerter Angriff auf eine systemrelevante Bank könnte eine Kettenreaktion auslösen. Die Behörden fordern die Institute daher auf, ihre Systeme massiv zu wappnen.
Wir stehen vor einer paradoxen Situation. Die KI ist gleichzeitig das beste Werkzeug zur Sicherung unserer Daten und die gefährlichste Waffe zur deren Diebstahl. Die Entscheidung von Anthropic, das Modell nicht frei zu geben, ist ein seltenes Eingeständnis der eigenen Macht. Es ist ein Wettlauf gegen die Zeit, bei dem die Verteidiger hoffen, dass ihre Mauern schneller wachsen als die Fähigkeit der KI, Löcher hineinzubohren.
Was genau ist Claude Mythos eigentlich?
Es ist ein neues KI-Modell von Anthropic, das extrem spezialisiert auf Programmierung und „Pentesting“ (Sicherheitstests) ist. Im Gegensatz zu herkömmlichen Chatbots kann es komplexe Sicherheitslücken in Software finden und die passenden Codes schreiben, um diese Lücken auszunutzen.
Warum ist das Treffen der US-Banken so ungewöhnlich?
Die kurzfristige Einberufung durch den Finanzminister und den Notenbankchef signalisiert eine akute Bedrohung. Es zeigt, dass die US-Regierung die Fähigkeit von KI, Finanzsysteme anzugreifen, nicht mehr nur als theoretisches Risiko, sondern als unmittelbare Gefahr für die nationale wirtschaftliche Stabilität betrachtet.
Welche langfristigen Folgen hat diese Entwicklung für die IT-Sicherheit?
Es könnte zu einem Paradigmenwechsel kommen. Wenn KI-Modelle alle klassischen Softwarefehler finden, verschwinden die „Zero Day“-Lücken im herkömmlichen Sinne. Angreifer werden sich wahrscheinlich auf andere Schwachstellen konzentrieren, etwa auf menschliche Fehler (Social Engineering) oder neue, KI-spezifische Angriffswege.
