Claude Mythos: Auswirkungen auf die Cybersicherheit und den Mittelstand

"Claude Mythos": Eine neue Ära der Cybersicherheit?

Das US-amerikanische KI-Unternehmen Anthropic hat mit seinem neuesten Modell, "Claude Mythos", eine umfassende Debatte über die Zukunft der Cybersicherheit ausgelöst. Die KI, noch vor ihrer breiten Veröffentlichung, soll in der Lage sein, tausende bisher unentdeckte Sicherheitslücken in weit verbreiteten Betriebssystemen, Browsern und anderer Software zu identifizieren. Diese Fähigkeit, kombiniert mit der potenziellen Möglichkeit, automatisierte Angriffswerkzeuge zu generieren, wirft grundlegende Fragen zur globalen IT-Sicherheit auf.

Die Fähigkeiten von "Claude Mythos" im Detail

"Claude Mythos Preview" ist laut Anthropic kein spezialisiertes Sicherheitstool, sondern ein universelles Sprachmodell (LLM), das Code lesen, analysieren und auf Schwachstellen prüfen kann. Ein entscheidender Unterschied zu früheren Modellen liegt in seiner Fähigkeit, mehrere einzelne Schwachstellen eigenständig zu vollständigen Angriffsketten zu verketten. Als Beispiel nennt Anthropic die Kombination separater Lücken im Linux-Kernel, um eine komplette Rechteeskalation vom normalen Benutzer bis zum Root-Zugang zu ermöglichen.

Interne Tests von Anthropic sollen die Leistungsfähigkeit des Modells belegen. Auf dem CyberGym-Benchmark, der reale Cybersicherheitsaufgaben simuliert, erreichte "Mythos" einen Wert von 83,1 %, während das Vorgängermodell Claude Opus 4.6 bei 66,6 % lag. Beim SWE-bench, einem Coding-Benchmark, zeigte sich ein ähnlicher Sprung von 80,8 % auf 93,9 %.

Besondere Aufmerksamkeit erregten die Entdeckungen von "Mythos" in Bezug auf langlebige Schwachstellen. Eine 27 Jahre lang unentdeckte Lücke im Open-Source-System OpenBSD, das in Firewalls, Routern und VPN-Programmen zum Einsatz kommt, sowie eine 16 Jahre alte Schwachstelle in der Videosoftware FFmpeg, die Millionen von automatisierten Tests überdauert hatte, unterstreichen die Effizienz der KI.

Der Prozess, den "Claude Mythos" zur Schwachstellensuche anwendet, ist laut Anthropic vollständig autonom. Nach dem Start in einem isolierten Container mit dem zu testenden Quellcode liest das Modell den Code, formuliert Hypothesen, führt die Software aus, bestätigt oder verwirft Vermutungen und erstellt am Ende einen vollständigen Fehlerbericht inklusive Proof-of-Concept-Exploit und Reproduktionsschritten. Eine Priorisierungsstrategie, die Dateien nach ihrer Wahrscheinlichkeit, Schwachstellen zu enthalten, bewertet, soll die Effizienz weiter steigern. Ein zweiter KI-Agent validiert die Funde, um die Relevanz der Schwachstellen zu sichern.

"Project Glasswing": Eine defensive Strategie

Angesichts der potenziellen Gefahren hat Anthropic entschieden, "Claude Mythos" nicht öffentlich freizugeben. Stattdessen wurde "Project Glasswing" ins Leben gerufen. Im Rahmen dieser Initiative erhalten rund 50 ausgewählte Partnerorganisationen, darunter Tech-Giganten wie Microsoft, Google, Apple, Amazon Web Services, Nvidia sowie Infrastruktur-Anbieter wie Cisco und Broadcom, Zugang zu dem KI-Modell. Ziel ist es, diesen Unternehmen die Möglichkeit zu geben, ihre eigenen Systeme auf Schwachstellen zu prüfen und zu härten, bevor die Technologie potenziell in die falschen Hände gerät.

Anthropic stellt für "Project Glasswing" rund 91 Millionen Euro an Nutzungsguthaben bereit und spendet zusätzlich 3,6 Millionen Euro an Open-Source-Sicherheitsorganisationen wie die Linux Foundation und die Apache Software Foundation, um die Behebung von Schwachstellen in kritischen Open-Source-Projekten zu unterstützen.

Bewertungen und Bedenken von Experten und Behörden

Die Ankündigung von "Claude Mythos" hat bei Sicherheitsexperten und staatlichen Institutionen weltweit Reaktionen hervorgerufen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) steht nach eigenen Angaben im Austausch mit Anthropic und erwartet "Umwälzungen im Umgang mit Sicherheitslücken und in der Schwachstellenlandschaft insgesamt". BSI-Präsidentin Claudia Plattner warnte, dass sich das Zeitfenster zwischen der Entdeckung eines Fehlers und einem tatsächlichen Cyberangriff drastisch verkürzen könnte – von Tagen oder Wochen auf Minuten.

Auch das Bundesfinanzministerium äußerte sich besorgt. Es sieht in Modellen wie "Claude Mythos" eine Verschärfung der Cyber-Bedrohungslage, die sich auch auf die Finanzstabilität auswirken kann. Der Internationale Währungsfonds (IWF) teilt diese Einschätzung und befürchtet, dass großflächige Cyberangriffe Finanzierungsschwierigkeiten auslösen und Märkte destabilisieren könnten.

Kritiker weisen darauf hin, dass die Marketingkomponente bei der Vorstellung von "Claude Mythos" nicht zu unterschätzen sei. Einige der von Anthropic präsentierten Linux-Kernel-Lücken sollen bereits vor der Entdeckung durch die KI gepatcht gewesen sein. Zudem wurden von den tausenden gemeldeten Schwachstellen bislang nur 198 manuell überprüft. Es wird argumentiert, dass KI-gestützte Angriffswerkzeuge bereits im Einsatz seien und die Fähigkeiten von "Mythos" bestehende Schwachstellen-Management-Prozesse obsolet machen könnten.

Ein weiteres kritisches Thema ist die Frage der digitalen Souveränität. Dr. Heiko Roßnagel vom Fraunhofer-Institut für Arbeitswirtschaft und Organisation bemängelt, dass durch den exklusiven Zugang zu "Project Glasswing" hauptsächlich US-amerikanische Unternehmen und Behörden in der Lage seien, ihre Systeme abzusichern, während europäische Akteure möglicherweise in Rückstand geraten.

Implikationen für den deutschen Mittelstand

Für den deutschen Mittelstand ergeben sich aus der Entwicklung von "Claude Mythos" und ähnlichen KI-Modellen erhebliche Konsequenzen. Jedes Unternehmen, das gängige Betriebssysteme und Browser verwendet, ist potenziell von den durch die KI entdeckten Schwachstellen betroffen. Die größte Gefahr besteht in der Verzögerung zwischen der Verfügbarkeit eines Patches und dessen tatsächlicher Installation.

Sicherheitsexperte Mirko Ross betont, dass die Schwelle für Angreifer mit breiter verfügbar werdenden KI-Modellen dramatisch sinkt. Was bisher spezialisiertes Wissen und wochenlange Vorbereitung erforderte, könnte sich auf Stunden reduzieren. Dies stellt besonders für kleinere und mittlere Unternehmen, die oft über begrenzte IT-Sicherheitsressourcen verfügen, eine ernste Bedrohung dar. Das BSI warnt, dass für ein Viertel der kleinen Unternehmen Cyberattacken sehr schwere bis existenzbedrohende Folgen haben können.

Der Mittelstand muss sich auf eine stetig wachsende Flut an Sicherheitslücken und notwendigen Software-Updates einstellen. Es wird empfohlen, das Patch-Management zu verschärfen, ein umfassendes Asset-Inventar zu erstellen, Incident-Response-Pläne zu aktualisieren, externe Expertise einzubinden und Mitarbeiter zu schulen. Die EU schreibt mit Artikel 4 des KI-Gesetzes bereits seit Februar 2025 eine Kompetenzverpflichtung für Mitarbeiter vor, die KI-Systeme nutzen oder entwickeln.

Regulatorische Aspekte: Der EU AI Act

Der EU AI Act, dessen volle Durchsetzung am 2. August 2026 beginnt, wird den Umgang mit KI-Sicherheitstools wie "Claude Mythos" maßgeblich beeinflussen. Modelle wie "Mythos" fallen in die Kategorie der General-Purpose-AI-Modelle mit systemischem Risiko. Dies bedeutet, dass Anbieter umfangreiche Transparenz- und Risikoberichte liefern müssen. Auch europäische Unternehmen, die solche Modelle in ihre Sicherheitsarchitektur integrieren, unterliegen den Pflichten des AI Act, unabhängig vom Standort des Anbieters.

Die regulatorische Entwicklung erfordert von Entscheidern eine genaue Beobachtung. Es ist ratsam, zu dokumentieren, welche KI-gestützten Sicherheitstools im Unternehmen zum Einsatz kommen, und sich auf eine deutlich stärkere Regulierung von KI-Sicherheitsfragen einzustellen.

Fazit

"Claude Mythos" markiert möglicherweise einen Wendepunkt in der Cybersicherheit. Die Fähigkeit von KI, Schwachstellen in beispielloser Geschwindigkeit und Tiefe zu entdecken, birgt sowohl enorme Potenziale zur Stärkung der Verteidigung als auch erhebliche Risiken durch die mögliche Nutzung durch Angreifer. Für Unternehmen, insbesondere im Mittelstand, ist es von entscheidender Bedeutung, ihre Cybersicherheitsstrategien proaktiv anzupassen und sich auf eine beschleunigte Bedrohungslandschaft einzustellen. Der Dialog zwischen KI-Entwicklern, Regierungen und der Industrie sowie eine angepasste Regulierung sind essenziell, um die Chancen der KI zu nutzen und gleichzeitig die Risiken zu minimieren.

Bibliography: - Anthropic | Project Glasswing | https://www.anthropic.com/glasswing - Anthropic Frontier Red Team | Claude Mythos Preview: Assessing cybersecurity capabilities | https://red.anthropic.com/2026/mythos-preview/ - ZDF Heute | Claude Mythos von Anthropic: BSI zeigt sich besorgt | https://www.zdfheute.de/politik/deutschland/ki-anthropic-claude-mythos-schwachstellen-software-bsi-100.html - Wirtschaftswoche | Anthropic-KI Claude Mythos findet Schwachstellen: BSI warnt vor weitreichenden Folgen | https://www.wiwo.de/technologie/digitale-welt/anthropic-ki-claude-mythos-findet-schwachstellen-bsi-warnt-vor-weitreichenden-folgen/100215799.html - NBC News | Anthropic Project Glasswing: Mythos Preview gets limited release | https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234 - Security Magazine | What Are Security Experts Saying About Claude Mythos and Project Glasswing? | https://www.securitymagazine.com/articles/102226-what-are-security-experts-saying-about-claude-mythos-and-project-glasswing - Forrester | Project Glasswing: The 10 Consequences Nobody’s Writing About Yet | https://www.forrester.com/blogs/project-glasswing-the-10-consequences-nobodys-writing-about-yet/ - CIO DE | KI-Waffe Claude Mythos: Neue Bedrohung hebelt IT-Sicherheit aus | https://www.cio.de/article/4169877/ki-waffe-claude-mythos-neue-bedrohung-hebelt-it-sicherheit-aus.html - DIE ZEIT | Claude Mythos: Anthropic findet sich gefährlich gut | https://www.zeit.de/digital/2026-04/claude-mythos-anthropic-newsletter-kuenstliche-intelligenz - t3n | Claude Mythos Preview: Sicherheitsexperten bewerten Gefahr durch Anthropics KI | https://t3n.de/news/panikmache-oder-echte-gefahr-1737685/ - scinexx.de | KI: Wie gefährlich ist Claude Mythos? - Eine Anthropic-KI, globale Sicherheitslücken und das Projekt Glasswing | https://www.scinexx.de/news/technik/ki-wie-gefaehrlich-ist-claude-mythos/%22 - finanzen.at | Finanzministerium warnt vor KI als Cyberwaffe | https://www.finanzen.at/nachrichten/aktien/finanzministerium-warnt-vor-ki-als-cyberwaffe-1036137116 - drweb.de | Verändert Claude Mythos die Cybersicherheit? | https://www.drweb.de/claude-mythos/ - IT Sicherheitsnews | Anthropics neues KI-Modell: Wie bedrohlich ist Claude Mythos? | https://www.itsicherheitnews.de/anthropics-neues-ki-modell-wie-bedrohlich-ist-claude-mythos/ - ZDFheute | "Claude Mythos": Neue KI als Cyberwaffe für Kriminelle? | https://www.zdfheute.de/wirtschaft/anthropic-claude-mythos-software-schwachstellen-100.html - fr.de | Experte alarmiert wegen Claude Mythos: „Jeder, der Online-Banking nutzt“ | https://www.fr.de/verbraucher/experte-alarmiert-wegen-claude-mythos-jeder-der-online-banking-nutzt-zr-94290557.html