Lange wurde Künstliche Intelligenz vor allem dafür gefeiert, dass sie mittelmäßige Gedichte schreibt, peinliche Bewerbungen optimiert und Menschen auf LinkedIn glauben lässt, sie seien „Thought Leader“.
Jetzt kommt mit Claude Mythos endlich die Anwendung, auf die wirklich niemand gewartet hat:
eine KI, die Sicherheitslücken findet wie andere Leute Parkplätze – nur leider auch für Kriminelle.
Internationale Finanzminister, Banken, Zentralbanken, Behörden und CERTs sind plötzlich in heller Aufregung.
Man könnte auch sagen:
Die gleichen Leute, die jahrelang „Digitalisierung“ gerufen haben, entdecken nun erschrocken, dass das Internet zurückschlagen kann.
Österreich warnt vor „Schwall an Schwachstellen“ – klingt gemütlich, ist aber digitaler Weltuntergang
Besonders schön formuliert Österreich.
Das nationale CERT warnt vor einem „Schwall an Schwachstellen“.
Ein Schwall!
Das klingt nicht nach Cyberkrieg, sondern nach einem etwas unerquicklich verlaufenen Nachmittag am Wolfgangsee.
Tatsächlich bedeutet es aber:
Alles, was in den letzten zehn Jahren ungepatcht, schlecht dokumentiert oder mit dem Passwort „Sommer2021!“ betrieben wurde, könnte bald plötzlich sehr sichtbar werden.
Und zwar nicht, weil ein besonders genialer Hacker nachts in einem Kapuzenpulli im Keller sitzt, sondern weil eine KI in Sekunden erledigt, wofür früher Tage, Wochen oder Talent nötig waren.
Vom Praktikanten mit Scanner zur industriellen Panikmaschine
CERT erklärt sinngemäß:
Ja, Large Language Models zur Schwachstellensuche gibt es schon länger.
Bisher waren sie halt eher so … meh.
Also technisch vorhanden, aber ungefähr so verlässlich wie:
- ein Billigscanner aus dem Baumarkt
- ein PowerPoint-Sicherheitsaudit
- oder der Satz: „Wir haben eh eine Firewall.“
Jetzt aber sei 2026 der Punkt erreicht, an dem die Funde wirklich gut werden – und zwar ohne viel manuelle Nacharbeit.
Übersetzt:
Früher brauchte man Fachwissen, Erfahrung und Zeit.
Heute braucht man bald nur noch schlechte Absichten und einen guten Prompt.
Die KI findet nicht nur die offene Tür – sie bringt dem Einbrecher auch noch einen Dietrich
Das eigentlich Beruhigende an Claude Mythos ist:
Es findet nicht nur Schwachstellen.
LLMs werden auch immer besser darin, gleich den passenden Schadcode mitzuliefern.
Das ist ungefähr so, als würde dein Rauchmelder nicht nur Alarm schlagen, sondern dem Brandstifter parallel noch sagen:
„Küche links, Vorhänge sind trocken, viel Erfolg.“
CERT formuliert es natürlich höflicher und spricht von „zeitlicher Komprimierung“.
Gemeint ist: Zwischen
- Lücke entdecken
- Lücke veröffentlichen
- Lücke ausnutzen
liegt künftig ungefähr so viel Zeit wie zwischen
„Wir kümmern uns nächste Woche drum“
und
„Warum ist der Server verschlüsselt?“
Alle Türen werden jetzt gleichzeitig getestet – viel Spaß mit eurer Angriffsfläche
Besonders charmant ist der Vergleich des CERT mit parkenden Autos.
Früher habe man hier und da mal an einer Tür gerüttelt.
Künftig müsse man sich vorstellen, dass bei jedem Auto gleichzeitig automatisiert und mit großer Ausdauer an allen Türen, Fenstern und Kofferräumen gezogen wird.
Oder moderner formuliert:
Das Internet wird zur Wohnstraße, und Claude Mythos ist der Nachbar, der nachts systematisch prüft, wer vergessen hat abzuschließen – nur dass er die Ergebnisse leider auch an Einbrecher weiterreichen könnte.
Für Unternehmen bedeutet das:
- jeder Webserver wird abgeklopft
- jede offene Schnittstelle wird getestet
- jedes alte VPN-Gateway wird plötzlich wieder relevant
- und jede längst verdrängte Altlast meldet sich zurück wie ein toxischer Ex-Partner mit Root-Zugriff
Aber keine Sorge: Es gibt keine neuen Schwachstellenklassen. Nur mehr Stress.
Die Experten versuchen auch zu beruhigen.
Die KI finde keine völlig neuen Klassen von Sicherheitslücken, heißt es.
Es steige nur der Druck.
Nur.
Das ist ungefähr so beruhigend wie:
„Keine Panik, der Tsunami ist kein neues Wetterphänomen – er kommt nur jetzt schneller und flächendeckender.“
Oder:
„Das Haus stürzt nicht anders ein als früher, nur jetzt eben automatisiert, skaliert und mit KI-Unterstützung.“
Claude Mythos ist natürlich auch ein Marketing-Mythos – was für ein Zufall
Dass gerade jetzt alle über Claude Mythos reden, könnte laut CERT auch daran liegen, dass Anthropic ziemlich geschickt Marketing betreibt.
Wirklich?
Ein Silicon-Valley-Unternehmen, das ein Modell ankündigt, das angeblich so mächtig und gefährlich ist, dass es nur 40 ausgewählte Firmen sehen dürfen?
Das ist natürlich keine PR-Strategie.
Das ist reine Verantwortungsethik.
Kurz gesagt:
- künstliche Verknappung
- Sicherheitsdrama
- Weltuntergangs-Vibes
- Exklusivität
- CEO-Fotos mit Börsengang-Aura
Mehr Tech-Marketing geht nur noch mit Nebelmaschine und gregorianischem Chorgesang.
Spoiler: In ein paar Monaten hat sowieso jeder so ein Modell
Der wirklich lustige Teil:
Selbst wenn Anthropic sich jetzt als verantwortungsvolle digitale Atommacht inszeniert – in ein paar Monaten werden vermutlich ähnliche Modelle überall auftauchen.
Mit hoher Wahrscheinlichkeit:
- günstiger
- offener
- weniger reguliert
- irgendwo aus Asien
- ohne eingebaute Sicherheitsbremse
- und verfügbar für jeden, der „Download“ klicken kann
Mit anderen Worten:
Heute noch „unter strengsten Auflagen“.
Morgen als Open Source.
Übermorgen im Lieblingsforum deines lokalen Ransomware-Kollektivs.
Behörden empfehlen nun exakt das, was sie seit zehn Jahren empfehlen – nur diesmal mit mehr Schweiß
Das Innenministerium und CERT haben selbstverständlich auch Handlungsempfehlungen:
- Patch-Management verbessern
- Überblick über die eigene IT-Landschaft schaffen
- unnötig exponierte Systeme abschirmen
- Angriffsfläche reduzieren
- Notfallpläne vorbereiten
Also exakt jene Punkte, die in Unternehmen seit Jahren unter „machen wir irgendwann“ laufen – gleich zwischen:
- „Passwortkonzept modernisieren“
- „Backups testen“
- und „Wer ist eigentlich für die alte Citrix-Kiste zuständig?“
Jetzt soll das alles plötzlich schnell gehen.
Sehr schnell.
Das ist der Moment, in dem halb Europa entdeckt, dass IT-Sicherheit kein PDF mit Maßnahmenliste ist, sondern Arbeit.
Fazit
Claude Mythos ist möglicherweise ein echter Wendepunkt.
Oder ein genial vermarkteter Vorbote des Unvermeidlichen.
Wahrscheinlich ist es beides.
Sicher ist nur:
- Die KI findet mehr Lücken
- Hacker werden effizienter
- Behörden werden plötzlich wach
- Banken bekommen Krisentreffen
- Finanzminister sehen düster aus
- und Unternehmen realisieren mit Verspätung, dass „wir patchen am Quartalsende“ vielleicht doch kein belastbares Sicherheitskonzept war
Oder noch kürzer:
Die Zukunft der Cybersicherheit hat begonnen – und sie klingt ungefähr so:
„Wir haben ein kritisches Problem.“
„Seit wann?“
„Seit die KI es vor 14 Sekunden gefunden hat.“
