Anthropic hat in den letzten Wochen mit seinem KI-Modell „Mythos" für Aufsehen gesorgt. In sieben Wochen fand das Modell über 2.000 bisher unbekannte Sicherheitslücken, darunter einen 27 Jahre alten Fehler in OpenBSD, der Millionen automatisierter Tests überlebt hatte. Regierungen, Banken und Tech-Konzerne sind alarmiert. Aber was bedeutet das wirklich für Unternehmen?
Kurzum: Wir befinden uns mitten in einem Paradigmenwechsel in der IT-Security – von abwehrenden Tools zu resilienten Systemen.
Zunächst zur Einordnung: Anthropic hat mit Mythos nur eine Security-Analysemethode eingesetzt: die Codeanalyse. Die gefundene 27 Jahre alte BSD-Schwachstelle ist keine Magie. Es ist ein Fehler im Code, der seit Jahrzehnten nicht mehr angefasst wurde. Kaum jemand hat ihn in den letzten Jahren analysiert.
Hätte ein menschliches Expertenteam denselben Code gezielt analysiert, hätte es diese Lücken vermutlich auch gefunden. Der Unterschied ist weniger der Preis als vielmehr Geschwindigkeit, Skalierung und die Verfügbarkeit von Experten – die es einfach nicht in ausreichender Zahl gibt. Auch mit KI-Unterstützung bleibt IT-Sicherheit eine signifikante Investition.
Ein genauerer Blick auf die technische System Card relativiert die Schlagzeilen: Die eigentliche nachgewiesene Stärke von Mythos ist nicht das Finden neuer Schwachstellen, sondern das automatisierte Schreiben von Exploits für bekannte Fehler.
Ich teile die Einschätzung von Linus Neumann, Sprecher des Chaos Computer Club: Mythos ist in erster Linie ein Vorteil für Verteidiger. Wer Mythos auf seinen eigenen Sourcecode ansetzt, kann systematisch Schwachstellen schließen, bevor Angreifer sie finden. Der wichtigste öffentlich zugängliche Open-Source-Code wurde bereits analysiert und aktualisiert. Für Angreifer ist das deutlich schwieriger: Bei proprietärer Software kommen sie oft nicht an den Quellcode heran. Und selbst dort, wo der Code öffentlich zugänglich ist, fehlt Angreifern schlicht das Budget für einen solchen Einsatz (staatliche Akteure ausgenommen).
Aber jetzt kommt die unbequeme Wahrheit:
Das Modell wird nicht nur das Finden von Schwachstellen automatisieren. Es wird auch das Schreiben von Exploits beschleunigen, also den Code, der eine Lücke tatsächlich ausnutzt.
Die Zerodayclock dokumentiert, wie dramatisch sich die Zeitspanne zwischen Veröffentlichung einer Schwachstelle und dem ersten Angriff verkürzt hat:
Das Ziel liegt heute bei unter 10 Stunden. Kaum ein Unternehmen kann heute in diesem Zeitfenster patchen, testen und ausrollen. Insbesondere der Mittelstand ist hier überfordert, da er kein 24/7 Follow-the-Sun-Modell hat.
Dabei entsteht ein neues Dilemma: Einfach sofort patchen ist auch keine sichere Antwort. Supply-Chain-Angriffe, bei denen Angreifer ein Update selbst kompromittieren, bevor es beim Nutzer ankommt, sind inzwischen die Regel. Die Empfehlung, 24 Stunden abzuwarten, damit ein manipuliertes Update beim Maintainer auffällt und zurückgezogen werden kann, widerspricht dem Imperativ, sofort zu handeln.
Eine pragmatische Priorisierung könnte so aussehen: Exponierte Systeme am Perimeter, also alles, was direkt aus dem Internet erreichbar ist, sollten so schnell wie möglich gepatcht werden. Interne Systeme können mit kurzer Verzögerung folgen, um Supply-Chain-Risiken zu reduzieren.
Die Konsequenz ist klar: Wir werden gehackt werden. Das ist keine Frage des Ob, sondern des Wann.
Unternehmen haben jahrelang vor allem in Prevention investiert: In Firewalls, Virenscanner, Perimeterschutz. Das ist nicht falsch, aber es reicht nicht mehr. Der Paradigmenwechsel, den wir jetzt brauchen, geht von Stabilität zu Resilienz.
Das bedeutet konkret:
Ich kenne den Widerstand in den Entscheidungsgremien: Die Kosten für IT-Security sind erstmal nur da. Niemand kann vorhersagen, wann man es wirklich braucht, auch das Know-how fehlt in vielen Unternehmen. Zuletzt ist es schlicht schwer, einen Business Case für etwas zu rechnen, das möglicherweise nie eintritt.
Das ist menschlich, aber es ist auch gefährlich.
Meine Prognose: Der Druck wird in den nächsten Monaten massiv steigen. Nicht durch Regulierung, nicht durch Versicherer, sondern weil immer mehr Unternehmen tatsächlich gehackt werden. Das wird der entscheidende Hebel für CISOs sein.
Die Verantwortung liegt bei den Geschäftsführungen. Niemand sonst. Ich erhoffe mir vom BSI außerdem eine stärkere Sichtbarkeit bestehender Vorgaben: Frameworks wie der IT-Grundschutz sind ein guter Ausgangspunkt, bleiben aber zu abstrakt. Was fehlt, sind konkrete technische Empfehlungen: Welche technischen Architekturen für welche Unternehmensgrößen geeignet sind und welche nicht. Gerade dem Mittelstand fehlt diese Orientierung.
Bitte fangen sie nicht mit der Ausschreibung eines großen Transformationsprojektes an, sondern mit der Frage:
Wann haben Sie zuletzt Ihr Backup tatsächlich eingespielt?
Nicht theoretisch dokumentiert. Wirklich auf einer Testmaschine eingespielt, unter realen Bedingungen. Denn das Backup ist der Unterschied zwischen Recovery und Lösegeld – und die Mehrheit der Ransomware-Opfer, die zahlen müssen, scheitert genau an diesem Punkt, an nicht funktionierenden oder verschlüsselten Backups.
Wenn Sie das nicht wissen oder es noch nie gemacht haben: Das ist Ihr erster Schritt. Heute. Prüfen Sie außerdem, ob es ein Offline-Backup gibt, eines, dass ein Angreifer nicht erreichen kann, selbst wenn er bereits im Netzwerk ist.
Das klingt simpel und es ist simpel. Leider ist es genau der Punkt, an dem die meisten Unternehmen scheitern, wenn es ernst wird.
Haben Sie Fragen oder benötigen Sie Unterstützung?
Mehr zu den Möglichkeiten von IT-Security und Resilienz für Ihr Unternehmen finden Sie auf unserer Webseite. Nehmen Sie jetzt Kontakt mit uns auf.
Quellen: