Claude Mythos: Wenn KI zur Cyberwaffe wird – und niemand sie stoppen kann

Anthropics KI-Modell Mythos findet tausende Zero-Day-Lücken in allen gängigen Betriebssystemen. US-Finanzminister und Fed-Chef warnen Bankenchefs in Dringlichkeitssitzung. Das BSI fürchtet einen Paradigmenwechsel der Cyberbedrohung.

Wenn US-Finanzminister Scott Bessent und Fed-Chef Jerome Powell die CEOs aller systemrelevanten Banken kurzfristig nach Washington einbestellen, brennt es. Diesmal geht es um Mythos – ein KI-Modell von Anthropic, das Sicherheitslücken aufspürt, bevor sie überhaupt jemand kennt. Die Botschaft an Jane Fraser (Citigroup), Ted Pick (Morgan Stanley) und ihre Kollegen war unmissverständlich: Bereitet eure Systeme vor, denn diese Technologie verändert alles. Anthropic hat bereits tausende kritische Zero-Day-Schwachstellen in sämtlichen großen Betriebssystemen und Browsern identifiziert. Zero-Day bedeutet: Die Hersteller wissen nichts davon, Patches existieren nicht.

Bislang waren solche Lücken das Gold der Geheimdienste und Cyberkriminellen – wer sie findet, hat einen Vorsprung. Mythos demokratisiert dieses Wissen. Oder macht es zur ultimativen Waffe, je nachdem, wer Zugang erhält.

Exklusiver Zugang statt freier Markt

Anthropic zieht die Notbremse: Mythos wird nicht öffentlich verfügbar sein. Nur rund 40 ausgewählte Technologiekonzerne und Sicherheitsfirmen erhalten Zugang – darunter Apple, Amazon, Microsoft, die Linux-Stiftung, Crowdstrike, Palo Alto Networks und Cisco. Das Kalkül dahinter: Die Guten sollen ihre Systeme abdichten, bevor die Bösen vergleichbare KI-Modelle entwickeln. Doch wie lange hält dieser Vorsprung? Laut Heise rechnet selbst Anthropic damit, dass ähnliche Fähigkeiten schon bald auch Angreifern zur Verfügung stehen könnten. Die KI-Entwicklung beschleunigt sich exponentiell.

Was heute exklusiv ist, kann morgen auf GitHub liegen oder in den Händen staatlich gesponserter Hackergruppen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht bereits mit Anthropic im Austausch. BSI-Präsidentin Claudia Plattner spricht von erwarteten Umwälzungen in der gesamten Schwachstellenlandschaft. Ihre These: Mittelfristig könnte es keine unbekannten klassischen Software-Schwachstellen mehr geben. Klingt gut? Nur auf den ersten Blick. Denn wenn KI alle bekannten Angriffsvektoren eliminiert, verschieben sich die Methoden – in Bereiche, die noch schwerer zu kontrollieren sind.

Souveränitätsfrage für Europa

Die eigentliche Brisanz liegt tiefer: Wer kontrolliert diese Technologie langfristig? Anthropic ist ein US-Unternehmen, die Partner überwiegend amerikanisch. Europa spielt in dieser Liga nicht mit. Plattner formuliert es diplomatisch, aber deutlich: Es ergeben sich Fragen nationaler und europäischer Sicherheit und Souveränität. Übersetzt: Wenn kritische Infrastruktur von KI-gestützten Sicherheitstools abhängt, die ausschließlich von US-Firmen kontrolliert werden, entsteht eine gefährliche Abhängigkeit.

Die EU hat bei Cloud-Infrastruktur, Halbleitern und Plattformen bereits den Anschluss verloren. Bei KI-gestützter Cybersecurity droht das nächste Kapitel technologischer Unterlegenheit. Die WannaCry-Attacke von 2017 zeigt, was passiert, wenn Sicherheitslücken zur Waffe werden. Damals nutzte die NSA eine Windows-Schwachstelle für eigene Zwecke, hielt sie geheim – bis Hacker sie stahlen und weltweit Krankenhäuser, Bahnsysteme und Unternehmen lahmlegten. Mythos könnte dieses Szenario in beide Richtungen verschärfen: als Schutzschild oder als Angriffsvektor, je nachdem, wer schneller ist.

Business Punk Check

Mythos ist kein normales Sicherheitstool – es ist ein Machtinstrument. Anthropic verkauft es als defensive Technologie, doch die Realität ist komplexer. Wer alle Schwachstellen kennt, kann sie schließen oder ausnutzen. Die Entscheidung, nur 40 handverlesene Partner zuzulassen, schafft eine neue digitale Elite. Unternehmen außerhalb dieses Kreises bleiben verwundbar, während die Großen ihre Systeme härten. Für europäische Firmen bedeutet das: Abhängigkeit von US-Technologie verschärft sich weiter.

Weder Deutschland noch die EU haben vergleichbare KI-Modelle in der Pipeline. Das BSI kann mit Anthropic reden, aber nicht mitentscheiden. Souveränität sieht anders aus. Die unbequeme Wahrheit: Mythos beschleunigt ein Wettrüsten, das längst läuft. Wenn KI-Modelle Schwachstellen schneller finden als Menschen sie patchen können, kippt die Balance. Unternehmen müssen jetzt entscheiden: Investieren sie massiv in KI-gestützte Verteidigung oder hoffen sie, dass ihre Systeme nicht zum Ziel werden? Abwarten ist keine Option mehr – denn die nächste Generation von Mythos wird nicht exklusiv bleiben.

Häufig gestellte Fragen

Welche konkreten Auswirkungen hat Mythos auf deutsche Unternehmen?

Deutsche Firmen ohne Zugang zu Mythos oder vergleichbaren KI-Tools werden strukturell benachteiligt. Während US-Konzerne und ausgewählte Partner ihre Systeme systematisch härten, bleiben mittelständische Unternehmen auf traditionelle Sicherheitsaudits angewiesen – die gegen KI-gestützte Angriffe zunehmend wirkungslos werden. Besonders kritisch für Branchen mit hohem Digitalisierungsgrad wie Automotive, Maschinenbau und Finanzdienstleistungen.

Wie sollten sich Unternehmen auf KI-gestützte Cyberangriffe vorbereiten?

Investitionen in KI-basierte Verteidigungssysteme sind unvermeidbar. Unternehmen müssen ihre Sicherheitsarchitektur von reaktiv auf prädiktiv umstellen – Zero-Trust-Modelle, kontinuierliche Schwachstellenscans und automatisierte Patch-Management-Systeme werden zum Standard. Wer jetzt noch auf manuelle Prozesse setzt, verliert das Rennen gegen automatisierte Angriffsvektoren.

Welche Rolle spielt Europa in der KI-Cybersecurity?

Europa ist technologisch abgehängt. Weder auf EU- noch auf nationaler Ebene existieren KI-Modelle mit vergleichbaren Fähigkeiten wie Mythos. Die Abhängigkeit von US-Technologie wächst, während regulatorische Ansätze wie der AI Act zwar Rahmenbedingungen schaffen, aber keine eigene technologische Basis. Souveränität erfordert massive Investitionen in europäische KI-Forschung – die bislang fehlen.

Warum hält Anthropic Mythos unter Verschluss?

Die offizielle Begründung: Schutz vor Missbrauch. Die Realität: Anthropic will kontrollieren, wer Zugang zu dieser Machtposition erhält. Ein frei verfügbares Mythos würde Cyberkriminellen und staatlichen Akteuren sofort ermöglichen, ungepatchte Lücken massenhaft auszunutzen. Gleichzeitig schafft die Exklusivität einen Wettbewerbsvorteil für ausgewählte Partner – und festigt US-Dominanz in der Cybersecurity.

Was bedeutet das Ende klassischer Schwachstellen für die Sicherheitsbranche?

Wenn KI tatsächlich alle bekannten Schwachstellen eliminiert, verlagern sich Angriffe auf neue Vektoren: Social Engineering, Supply-Chain-Attacken, Hardware-Exploits und KI-Poisoning. Die Sicherheitsbranche muss sich neu erfinden – weg von Patch-Management hin zu verhaltensbasierter Anomalieerkennung und KI-gestützter Threat Intelligence. Traditionelle Penetrationstests werden obsolet, wenn KI sie in Sekunden durchführt.

Quellen: FAZ, Heise, Manager Magazin