Anthropic hat in den letzten Wochen mit seinem KI-Modell „Mythos" für Aufsehen gesorgt. In sieben Wochen fand das Modell über 2.000 bisher unbekannte Sicherheitslücken, darunter einen 27 Jahre alten Fehler in OpenBSD, der Millionen automatisierter Tests überlebt hatte. Regierungen, Banken und Tech-Konzerne sind alarmiert. Aber was bedeutet das wirklich für Unternehmen?
Kurzum: Wir befinden uns mitten in einem Paradigmenwechsel in der IT-Security – von abwehrenden Tools zu resilienten Systemen.
Inhalt
- Was Mythos wirklich kann und was nicht
- Die eigentliche Bedrohung: Die Zerodayclock
- Das Ende der Prevention-Illusion
- Warum Unternehmen zögern und warum das aufhören wird
- Was Sie morgen früh tun können
Was Mythos wirklich kann und was nicht
Zunächst zur Einordnung: Anthropic hat mit Mythos nur eine Security-Analysemethode eingesetzt: die Codeanalyse. Die gefundene 27 Jahre alte BSD-Schwachstelle ist keine Magie. Es ist ein Fehler im Code, der seit Jahrzehnten nicht mehr angefasst wurde. Kaum jemand hat ihn in den letzten Jahren analysiert.
Hätte ein menschliches Expertenteam denselben Code gezielt analysiert, hätte es diese Lücken vermutlich auch gefunden. Der Unterschied ist weniger der Preis als vielmehr Geschwindigkeit, Skalierung und die Verfügbarkeit von Experten – die es einfach nicht in ausreichender Zahl gibt. Auch mit KI-Unterstützung bleibt IT-Sicherheit eine signifikante Investition.
Ein genauerer Blick auf die technische System Card relativiert die Schlagzeilen: Die eigentliche nachgewiesene Stärke von Mythos ist nicht das Finden neuer Schwachstellen, sondern das automatisierte Schreiben von Exploits für bekannte Fehler.
Ich teile die Einschätzung von Linus Neumann, Sprecher des Chaos Computer Club: Mythos ist in erster Linie ein Vorteil für Verteidiger. Wer Mythos auf seinen eigenen Sourcecode ansetzt, kann systematisch Schwachstellen schließen, bevor Angreifer sie finden. Der wichtigste öffentlich zugängliche Open-Source-Code wurde bereits analysiert und aktualisiert. Für Angreifer ist das deutlich schwieriger: Bei proprietärer Software kommen sie oft nicht an den Quellcode heran. Und selbst dort, wo der Code öffentlich zugänglich ist, fehlt Angreifern schlicht das Budget für einen solchen Einsatz (staatliche Akteure ausgenommen).
Die eigentliche Bedrohung: Die Zerodayclock
Aber jetzt kommt die unbequeme Wahrheit:
Das Modell wird nicht nur das Finden von Schwachstellen automatisieren. Es wird auch das Schreiben von Exploits beschleunigen, also den Code, der eine Lücke tatsächlich ausnutzt.
Die Zerodayclock dokumentiert, wie dramatisch sich die Zeitspanne zwischen Veröffentlichung einer Schwachstelle und dem ersten Angriff verkürzt hat:
- 2018: 771 Tage bis zum ersten Exploit
- 2021: 84 Tage
- 2023: 6 Tage
- 2024: 4 Stunden
Das Ziel liegt heute bei unter 10 Stunden. Kaum ein Unternehmen kann heute in diesem Zeitfenster patchen, testen und ausrollen. Insbesondere der Mittelstand ist hier überfordert, da er kein 24/7 Follow-the-Sun-Modell hat.
Dabei entsteht ein neues Dilemma: Einfach sofort patchen ist auch keine sichere Antwort. Supply-Chain-Angriffe, bei denen Angreifer ein Update selbst kompromittieren, bevor es beim Nutzer ankommt, sind inzwischen die Regel. Die Empfehlung, 24 Stunden abzuwarten, damit ein manipuliertes Update beim Maintainer auffällt und zurückgezogen werden kann, widerspricht dem Imperativ, sofort zu handeln.
Eine pragmatische Priorisierung könnte so aussehen: Exponierte Systeme am Perimeter, also alles, was direkt aus dem Internet erreichbar ist, sollten so schnell wie möglich gepatcht werden. Interne Systeme können mit kurzer Verzögerung folgen, um Supply-Chain-Risiken zu reduzieren.
Das Ende der Prevention-Illusion
Die Konsequenz ist klar: Wir werden gehackt werden. Das ist keine Frage des Ob, sondern des Wann.
Unternehmen haben jahrelang vor allem in Prevention investiert: In Firewalls, Virenscanner, Perimeterschutz. Das ist nicht falsch, aber es reicht nicht mehr. Der Paradigmenwechsel, den wir jetzt brauchen, geht von Stabilität zu Resilienz.
Das bedeutet konkret:
- Zero Trust konsequent umsetzen. Zero Trust ist kein Produkt, sondern ein Prinzip: Kein System, kein User, kein Gerät wird automatisch als vertrauenswürdig behandelt, auch wenn es sich bereits im Netzwerk befindet. Jede Interaktion wird verifiziert. Das ist die Antwort auf die Realität, dass Angreifer oft wochenlang unentdeckt im Netzwerk sitzen, bevor sie zuschlagen. Mit Zero Trust kann sich ein Angreifer, der ein System kompromittiert hat, nicht schnell lateral weiterbewegen, weil er sich an jeder weiteren Stelle neu authentifizieren müsste.
- Container und kleinere Einheiten bauen. Monolithische Architekturen sind Risikofaktoren. Wer seine Systeme in kleinere, isolierte Einheiten zerlegt, begrenzt den Blast-Radius und damit den Schaden.
- Recovery und Business Continuity ernst nehmen. Das ist das unterschätzte Thema der letzten Jahre. Wer im Ernstfall nicht weiß, wie seine Systeme wiederherstellt werden, wer zuständig ist und welche Prozesse greifen, hat verloren. Das ist unabhängig davon, wie gut die Prävention war. KI kann hier übrigens helfen: nicht nur beim Angriff, sondern ebenso beim schnellen Erkennen von Anomalien und bei der Response.
Warum Unternehmen zögern und warum das aufhören wird
Ich kenne den Widerstand in den Entscheidungsgremien: Die Kosten für IT-Security sind erstmal nur da. Niemand kann vorhersagen, wann man es wirklich braucht, auch das Know-how fehlt in vielen Unternehmen. Zuletzt ist es schlicht schwer, einen Business Case für etwas zu rechnen, das möglicherweise nie eintritt.
Das ist menschlich, aber es ist auch gefährlich.
Meine Prognose: Der Druck wird in den nächsten Monaten massiv steigen. Nicht durch Regulierung, nicht durch Versicherer, sondern weil immer mehr Unternehmen tatsächlich gehackt werden. Das wird der entscheidende Hebel für CISOs sein.
Die Verantwortung liegt bei den Geschäftsführungen. Niemand sonst. Ich erhoffe mir vom BSI außerdem eine stärkere Sichtbarkeit bestehender Vorgaben: Frameworks wie der IT-Grundschutz sind ein guter Ausgangspunkt, bleiben aber zu abstrakt. Was fehlt, sind konkrete technische Empfehlungen: Welche technischen Architekturen für welche Unternehmensgrößen geeignet sind und welche nicht. Gerade dem Mittelstand fehlt diese Orientierung.
Was Sie morgen früh tun können
Bitte fangen sie nicht mit der Ausschreibung eines großen Transformationsprojektes an, sondern mit der Frage:
Wann haben Sie zuletzt Ihr Backup tatsächlich eingespielt?
Nicht theoretisch dokumentiert. Wirklich auf einer Testmaschine eingespielt, unter realen Bedingungen. Denn das Backup ist der Unterschied zwischen Recovery und Lösegeld – und die Mehrheit der Ransomware-Opfer, die zahlen müssen, scheitert genau an diesem Punkt, an nicht funktionierenden oder verschlüsselten Backups.
Wenn Sie das nicht wissen oder es noch nie gemacht haben: Das ist Ihr erster Schritt. Heute. Prüfen Sie außerdem, ob es ein Offline-Backup gibt, eines, dass ein Angreifer nicht erreichen kann, selbst wenn er bereits im Netzwerk ist.
Das klingt simpel und es ist simpel. Leider ist es genau der Punkt, an dem die meisten Unternehmen scheitern, wenn es ernst wird.
Haben Sie Fragen oder benötigen Sie Unterstützung?
Mehr zu den Möglichkeiten von IT-Security und Resilienz für Ihr Unternehmen finden Sie auf unserer Webseite. Nehmen Sie jetzt Kontakt mit uns auf.
Quellen:
Weitere Artikel
- April 2026
- Februar 2026
- Januar 2026
- Dezember 2025
- November 2025
- Oktober 2025
- August 2025
- Juli 2025
- Juni 2025
- Mai 2025
- April 2025
- März 2025
- Februar 2025
- Januar 2025
- Oktober 2024
- September 2024
- August 2024
- Juli 2024
- Juni 2024
- Mai 2024
- April 2024
- März 2024
- Februar 2024
- Januar 2024
- Dezember 2023
- November 2023
- September 2023
- August 2023
- Juli 2023
- Juni 2023
- Mai 2023
- April 2023
- Februar 2023
- Dezember 2022
- November 2022
- Mai 2022
- April 2022
- März 2022
- Januar 2022
- Dezember 2021
- November 2021
- Oktober 2021
- August 2021
- Juli 2021
- Juni 2021
- Mai 2021
- April 2021
- Dezember 2020
- Oktober 2020
- September 2020
iteratec
iteratec ist der Partner für alle, die zu den Gewinner:innen der digitalen Transformation gehören wollen. Mit individuellen, überlegenen Lösungen eröffnen wir unseren Kunden technologische wie unternehmerische Potenziale. Denn: Wenn Scheitern keine Option ist, sind wir der Partner, der den Unterschied macht. So haben wir seit 1996 mehr als 1.000 Projekte zum Erfolg geführt und eine Kundenzufriedenheit von 97%.
